Engineer information security
-
VPN(Virtual Private Network)의 의미와 2계층 VPN 종류Engineer information security 2021. 2. 9. 02:59
직역하자면 가상 사설망이다. 매우 맞는 말이다. ISP에서는 크게 일반적으로 사용하는 망과 전용선 두 가지를 공급한다. 일반적인 네트워크는 속도가 평범하고 보안도 그저 그런 편이다. 하지만 전용선은 ISP에서 다이렉트로 회선이 들어온다. 중간에 라우터 등을 훨신 적게 거치거나 거치지 않고 바로 ISP까지 도달한다. 일반적인 망보다 당연히 훨신 빠르다. 그리고 보안상 더 안전하다. 하지만 비용이 매우 비싸다. 글쓴이의 회사에도 전용망이 있고 1G 회선, 그리고 2.5G 회선이 존재한다. 하지만 사실상 1G와 2.5G는 그다지 큰 차이를 느낄 수 없다는 게 현실이다. 전용선은 비싼 값을 확실하게 한다. 그리고 안정적이다. 아무튼, 거두 절미 하고 VPN의 장점은 사용시 전용선과 비슷한 효과를 낼 수 있기 때..
-
무선랜 보안, WPA(Wifi Protected Access, WPA2) 알아보기Engineer information security 2021. 2. 7. 04:02
WPA1이 나왔지만 보안에서 부족한 모습을 보였다. 그래서 WPA2 방식이 등장하였다. WPA2는 IEEE 802.11i 기준에 부합하는 방식이다. WPA2는 AES 암호화 방식을 사용한다. 기존의 RC4 보다 강력한 암호화 방식이다. 그중에서 블록 암호 중에 CCMP를 사용하며, 무결성 보장 및 재전송 공격을 방지한다. 키 관리가 되지 않았던 것과 다르게 키 관리를 하며, AES-128 대칭키를 사용한다. 하지만 더욱 강화된 보안을 제공해도 취약점은 존재한다. 패스워드를 쉽게 설정하는 경우이다. 이 경우는 어떤 장비에도 있는 일이기도 하다. 패스워드를 쉽게 설정하면 추측이 가능하기 때문에 사전 공격 등에 취약해진다. 다른 취약점은 공격자가 PSK(Pre Shared Key, 사전공유키)를 생성하여 접근..
-
무선랜 보안, WPA(Wifi Protected Access, WPA1) 알아보기Engineer information security 2021. 2. 3. 03:56
기존의 보안 규격인 WEP는 취약점이 많았다. 그래서 WEP보다 업그레이드된 보안 규격으로 WPA가 새로운 규격으로 등장하였다. WPA(WPA1)은 WEP보다 인증 및 키 교환, 암호화 방식이 향상되었다. WPA는 RC4-TKIP(Temporal Key Integrity Protocol)을 암호화 알고리즘으로 사용한다. 그리고 인증 방식은 개인과 기업으로 나눠진다. 개인은 PSK(Pre-Shared Key, 사전 공유키)를 이용하여 인증한다. 기업은 802.1x/EAP로 RADIUS 인증서버를 이용한 상호 인증 방식을 사용한다. WPA는 WEP를 어떻게 보완한 것일까? - WEP에서 IV(Initial Vector) 값이 24 bits에서 48 bits로 증가 - WEP에서 CRC-32 알고리즘에서 MI..
-
무선랜 보안 , WEP(Wired Equipment Privacy) 알아보기Engineer information security 2021. 2. 3. 02:53
초창기 무선랜은 도청과 스니핑에 굉장히 취약한 구조였다. 기본 구조 자체가 공기를 전송매체로 하고, 브로드캐스트 통신을 하기 때문이다. 그래서 최초의 무선랜 보안 기술이 등장하였고, 그것이 WEP이다. WEP에서 제공하는 보안은 사용자 인증 및 데이터 암호화이다. 공유키(고정) + IV(Initial Vector)를 조합하여 암호화 키를 생성한다. 그리고 RC4 알고리즘을 이용하여 데이터 암호화를 제공한다. WEP는 암호화 및 인증을 제공하지만, 문제점이 존재한다. 문제점을 아래 나열해보았다. 문제점 - 암호화에 사용되는 공유키의 길이(40bit, 104bit 두 종류)가 짧다. - RC4 알고리즘은 취약한 알고리즘이다. - IV(Initial Vector)의 길이가 짧아서(24bit) 같은 값이 재사용..
-
Wireless LAN 구성 요소 용어 설명Engineer information security 2021. 2. 2. 03:27
Wireless 구성하는 장치들과 장비들을 그려봤다. 그리고 그 장치들에 대한 설명이다. SSID(Service Set Identifier) : 흔히 Wifi 접속을 시도할 때 나타나는 Wifi의 이름이다. 설정으로 숨길 수도 있다. BSS(Basic Service Set) : 무선 AP + AP에 연결된 장치(Station)를 하나의 망에 연결된 구성을 의미한다. AP(Access Point) : 장치들이 무선인터넷에 연결될 포인트 Station : 그림 상에서 보이는 AP에 연결된 장치(PC, Smart Phone 등)이다. BSSID(Basic Service Set Identifier) : BSS의 ID. 보통 AP의 MAC주소로 이루어져 있다. ESS(Extended Service Set Iden..
-
Wireless LAN(무선랜)취약점Engineer information security 2021. 2. 2. 02:26
Wireless LAN(무선랜) 이란 말 그대로 무선이다. 기존의 선이 있던 네트워크를 선이 없는(Wireless) 네트워크로 사용하는 것이다. 무선랜은 기술이 많이 발전하여 안정성도 높아지고 보안도 갈수록 강화되고 있다. 현재는 가장 널리 쓰이는 기술 표준은 802.11이다. 기술표준은 IEEE(Institute of Electrical and Electronics Engineears, 전기 전자 기술자 협회)에서 규정하며 802.11같은 경우 IEEE 802 위원회에서 표준화한다. 구축하는 장소도 중요하다. 다수의 인원이 연결해서 사용하는 카페 같은 곳에서는 집, 회사 등보다 취약할 수밖에 없다. 회사 같은 경우 기본적인 보안 수칙을 지키도록 되어 있고 보안 교육도 하기 때문에 다른 환경보다는 안전하..
-
DRDoS(Distributed Reflection Dos) 공격이란?Engineer information security 2021. 2. 1. 02:21
DRDoS 공격을 해석하면 분산 반사 DoS 공격이다. 무엇을 분산하고 반사하는 것일까?? 바로 공격자의 대량의 공격 요청이다. 공격자는 IP를 공격 대상으로 Spoofing 하고, 대량의 공격 요청을 반사 대상(서버 등)에 보낸다. 그리고 대량의 요청을 받은 반사 대상은 요청의 출발지가 공격 대상으로 인식하게 되고, 응답을 공격 대상으로 하게 된다. 이때, 반사 대상이 많을 수록 공격 대상에게 더 많은 피해를 주게 된다. 그림으로 보면 이해가 쉽다. 공격 과정 1. 공격자는 IP Spoofing을 공격 대상으로 변경한 상태로 패킷을 반사 서버로 보낸다. 2. 요청을 받은 대량의 반사 서버들은 응답을 Target 서버로 보낸다. 3. 공격 대상은 요청을 한적 없는 응답을 받아 가용성을 잃는다. 이 공격은..
-
IPv4 에서 IPv6로 변환 방법 알아보기Engineer information security 2021. 1. 22. 02:37
어느 날 IPv4에서 IPv6로 바로 전환된다고 생각해보자. 아마도 네트워크에 대혼란이 오게 될것이다. 그래서 IPv6가 등장함에 따라 그것에 대응할 수 있는 기술이 몇 가지 등장했다. 그 기술의 형식은 총 3가지인데 터널링 / 듀얼스택 / 주소 및 헤더를 변환하는 형식이다. 먼저 터널링에 대해서 알아보자. 무엇을 터널링 하는 것인가 하면, IPv6 네트워크 간에 통신을 하려고 하는데 통신하려는 통로에 IPv4 네트워크가 존재한다면? 이대로 통신을 멈춰야 하는가? 아니다. 이럴 때 터널링을 하는 것이다. 기존의 IPv6에서 다른 IPv6로 지나가는 가상의 통로를 만들고 통로를 지나가기 위해 패킷을 IPv4로 캡슐화하여 전송한다. 그리고 통로를 통과한 캡슐화된 패킷은 다시 디캡슐화되어 IPv6 패킷으로 정..