[정보보안기사/네트워크] 스푸핑(Spoofing) / 원격접속 공격

한국어

<h2 id="ip-spoofing">IP Spoofing</h2> <p><strong>자신의 IP를 속이는 행위(위장)</strong>로서 공격자가 자신의 IP 주소를 공격하고자 하는 소스 IP 주소로 변조하여 해킹하는 방법이다.</p> <p><strong>TCP/IP의 구조적인 취약성/결함을 이용하는 공격</strong>으로 자신의 IP를 속여서 접속하는 방법이다. 자세히 서술하면, TCP/IP의 취약점을 이용하여 순서 제어 번호 추측(Sequence Number Guessing), SYN Flooding, Connect Hijacking, RST/FIN을 이용한 접속 끊기, SYN/RST 패킷 생성 공격, IP 주소 인증(rlogin, rsh 등)을 수행한다.</p> <ul> <li> <p><strong>DNS Spoofing</strong><br /> <strong>DNS의 IP 주소를 변경</strong>하여 다른 사이트로 접속하게 하는 공격</p> </li> <li> <p><strong>Web Spoofing</strong><br /> 공격자가 다른 컴퓨터로 전송되는 웹 페이지를 보거나 바꿀 수 있는 방법</p> <p><strong>가짜 홈페이지</strong>를 만들어놓고 로그인을 유도하여 개인정보 획득한다.</p> </li> </ul> <h3 id="대응-방법">대응 방법</h3> <p>라우터에서 불법적인 IP를 차단하거나 내부 IP 주소를 통해서 외부에서 유입되는 패킷을 차단한다. 또한 TCP의 Sequence Number를 Random하게 생성하여 세션 가로채기를 차단한다.</p> <table> <thead> <tr> <th><strong>대응 방법</strong></th> <th><strong>내용</strong></th> </tr> </thead> <tbody> <tr> <td>라우터에서 Source Routing 차단</td> <td>외부에서 유입되는 패킷 중 출발지 IP에 내부망 IP 주소를 가지고 있는 패킷을 라우터 등에서 차단한다<br /><strong>내부에서 발생한 IP Spoofing은 차단하지 못한다</strong></td> </tr> <tr> <td>Sequence Number를 Random하게 발생</td> <td>일부 운영체제 중에서 Sequence Number를 일정하게 증가시키면서 사용한다<br />Random하게 발생하도록 서버 설정을 변경한다</td> </tr> <tr> <td>R-Command 취약점 제거</td> <td>IP로 인증하는 서비스들을 가능하면 차단한다</td> </tr> <tr> <td>암호화된 프로토콜</td> <td>IP Spoofing 공격을 효과적으로 차단하지만 속도가 느려진다</td> </tr> </tbody> </table> <h2 id="arp-spoofing">ARP Spoofing</h2> <p>로컬 통신 과정에서 서버와 클라이언트는 IP와 MAC 주소로 통신을 수행하는데, 클라이언트의 <strong>MAC 주소를 중간에 공격자가 자신의 MAC 주소로 변조하</strong>여 마치 서버와 클라이언트가 통신하는 것처럼 속이는 공격이다. 이러한 공격은 <strong><code class="language-plaintext highlighter-rouge">fragrouter</code>를 통하여 연결이 끊어지지 않도록 Release</strong>를 해주어야 한다.</p> <p><strong>ARP는 인증을 하지 않기 때문에</strong> <code class="language-plaintext highlighter-rouge">ARP Reply</code> 패킷을 각 호스트에 보내서 쉽게 ARP Cache를 갱신한다(변조된 ARP Reply를 <strong>지속적으로 보내서</strong> 각 호스트들이 ARP Cache에 <strong>변조된 MAC 주소정보를 계속 유지</strong>시켜야 한다)</p> <p><strong>대응 방법</strong></p> <ul> <li>ARP Table을 <strong>정적(Static)</strong>으로 설정 <blockquote> <p>arp -s [IP 주소] [MAC 주소]</p> </blockquote> </li> <li>네트워크를 주기적으로 모니터링하여 비정상 ARP 패킷을 검사한다.</li> </ul> <h2 id="원격접속-공격">원격접속 공격</h2> <p>원격접속 공격은 RDP, Teamviewer, VNC, NetCat 등의 프로그램을 사용해서 원격으로 윈도우 시스템에 연결하여 윈도우 시스템을 모니터링하거나 명령을 실행하는 공격.</p> <table> <thead> <tr> <th>윈도우 원격접속 프로그램</th> <th>내용</th> </tr> </thead> <tbody> <tr> <td>RDP</td> <td>Remote Desktop Protocol<br />RDP는 MS에서 개발한 원격 데스크톱 연결 프로그램이 사용하는 프로토콜이다</td> </tr> <tr> <td>Teamviewer</td> <td>원격으로 시스템에 연결하는 프로그램</td> </tr> <tr> <td>VNC</td> <td>Virtual Network Computing<br />원격으로 대상 시스템을 모니터링하거나 관리할 수 있는 프로그램</td> </tr> <tr> <td>NetCat(NC)</td> <td>원격으로 연결하여 명령을 실행할 수 있는 프로그램</td> </tr> </tbody> </table> <h3 id="대응-방법-1">대응 방법</h3> <ul> <li> <p><strong>윈도우 원격 데스크톱 프로토콜(RDP)</strong><br /> 윈도우 원격접속 프로그램인 RDP 서비스에 취약한 패스워드를 사용하면 <strong>무작위 공격(Brute Force Attack)</strong>을 통해서 패스워드를 알아낼 수 있다.</p> <p>공격자는 RDP에서 사용하는 기본포트(<strong>3389/TCP</strong>)를 사용해서 접속 IP와 패스워드로 접속 후 원격제어 공격이 가능하다.</p> <p>RDP 포트 변경은</p> <blockquote> <p>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<br /> Control\TerminalServer\WinStations\<strong>RDP-Tcp</strong></p> </blockquote> <p>경로에서 <strong>PortNumber키 값</strong>을 통해 포트번호를 변경할 수 있다</p> <p>원격 데스크톱 연결이 필요없으면 윈도우 제어판에서 “<strong>컴퓨터에 대한 원격 엑세스 허용</strong>” 부분에서 원격 지원 연결을 해제한다.</p> </li> <li> <p><strong>VNC</strong><br /> 패스워드 설정 시에 사용자 패스워드 복잡도를 준수하여 3-6개월 단위로 패스워드를 변경해야 한다.</p> <p>VNC가 사용하는 포트번호(<strong>5800/tcp</strong>, <strong>5900/tcp</strong>)를 다른 포트번호로 변경하여 보안성을 향상시킨다</p> </li> </ul>

IP Spoofing

자신의 IP를 속이는 행위(위장)로서 공격자가 자신의 IP 주소를 공격하고자 하는 소스 IP 주소로 변조하여 해킹하는 방법이다.

TCP/IP의 구조적인 취약성/결함을 이용하는 공격으로 자신의 IP를 속여서 접속하는 방법이다. 자세히 서술하면, TCP/IP의 취약점을 이용하여 순서 제어 번호 추측(Sequence Number Guessing), SYN Flooding, Connect Hijacking, RST/FIN을 이용한 접속 끊기, SYN/RST 패킷 생성 공격, IP 주소 인증(rlogin, rsh 등)을 수행한다.

• DNS Spoofing
  DNS의 IP 주소를 변경하여 다른 사이트로 접속하게 하는 공격

• Web Spoofing
  공격자가 다른 컴퓨터로 전송되는 웹 페이지를 보거나 바꿀 수 있는 방법

  가짜 홈페이지를 만들어놓고 로그인을 유도하여 개인정보 획득한다.

대응 방법

라우터에서 불법적인 IP를 차단하거나 내부 IP 주소를 통해서 외부에서 유입되는 패킷을 차단한다. 또한 TCP의 Sequence Number를 Random하게 생성하여 세션 가로채기를 차단한다.

대응 방법	내용
라우터에서 Source Routing 차단	외부에서 유입되는 패킷 중 출발지 IP에 내부망 IP 주소를 가지고 있는 패킷을 라우터 등에서 차단한다 내부에서 발생한 IP Spoofing은 차단하지 못한다
Sequence Number를 Random하게 발생	일부 운영체제 중에서 Sequence Number를 일정하게 증가시키면서 사용한다 Random하게 발생하도록 서버 설정을 변경한다
R-Command 취약점 제거	IP로 인증하는 서비스들을 가능하면 차단한다
암호화된 프로토콜	IP Spoofing 공격을 효과적으로 차단하지만 속도가 느려진다

ARP Spoofing

로컬 통신 과정에서 서버와 클라이언트는 IP와 MAC 주소로 통신을 수행하는데, 클라이언트의 MAC 주소를 중간에 공격자가 자신의 MAC 주소로 변조하여 마치 서버와 클라이언트가 통신하는 것처럼 속이는 공격이다. 이러한 공격은 fragrouter를 통하여 연결이 끊어지지 않도록 Release를 해주어야 한다.

ARP는 인증을 하지 않기 때문에 ARP Reply 패킷을 각 호스트에 보내서 쉽게 ARP Cache를 갱신한다(변조된 ARP Reply를 지속적으로 보내서 각 호스트들이 ARP Cache에 변조된 MAC 주소정보를 계속 유지시켜야 한다)

대응 방법

• ARP Table을 정적(Static)으로 설정

  arp -s [IP 주소] [MAC 주소]

• 네트워크를 주기적으로 모니터링하여 비정상 ARP 패킷을 검사한다.

원격접속 공격

원격접속 공격은 RDP, Teamviewer, VNC, NetCat 등의 프로그램을 사용해서 원격으로 윈도우 시스템에 연결하여 윈도우 시스템을 모니터링하거나 명령을 실행하는 공격.

윈도우 원격접속 프로그램	내용
RDP	Remote Desktop Protocol RDP는 MS에서 개발한 원격 데스크톱 연결 프로그램이 사용하는 프로토콜이다
Teamviewer	원격으로 시스템에 연결하는 프로그램
VNC	Virtual Network Computing 원격으로 대상 시스템을 모니터링하거나 관리할 수 있는 프로그램
NetCat(NC)	원격으로 연결하여 명령을 실행할 수 있는 프로그램

대응 방법

• 윈도우 원격 데스크톱 프로토콜(RDP)
  윈도우 원격접속 프로그램인 RDP 서비스에 취약한 패스워드를 사용하면 무작위 공격(Brute Force Attack)을 통해서 패스워드를 알아낼 수 있다.

  공격자는 RDP에서 사용하는 기본포트(3389/TCP)를 사용해서 접속 IP와 패스워드로 접속 후 원격제어 공격이 가능하다.

  RDP 포트 변경은

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
  Control\TerminalServer\WinStations\RDP-Tcp

  경로에서 PortNumber키 값을 통해 포트번호를 변경할 수 있다

  원격 데스크톱 연결이 필요없으면 윈도우 제어판에서 “컴퓨터에 대한 원격 엑세스 허용” 부분에서 원격 지원 연결을 해제한다.

• VNC
  패스워드 설정 시에 사용자 패스워드 복잡도를 준수하여 3-6개월 단위로 패스워드를 변경해야 한다.

  VNC가 사용하는 포트번호(5800/tcp, 5900/tcp)를 다른 포트번호로 변경하여 보안성을 향상시킨다