공격자 회피 기술

정보를 수집하든 공격을 시작하든 일반적으로 공격자는 탐지를 피할 것으로 예상됩니다. 일부 IP 주소 및 포트 스캔은 노골적이고 쉽게 감지할 수 있지만 보다 교활한 공격자는 다양한 수단을 사용하여 활동을 숨깁니다. SYN 스캔 대신 FIN 스캔을 사용하는 것과 같은 기술(공격자는 대부분의 방화벽과 침입 탐지 프로그램이 탐지하는 것으로 알고 있음)은 탐지를 회피하고 작업을 성공적으로 수행하기 위한 정찰 및 익스플로잇 기술의 진화를 나타냅니다.

FIN 스캔은 응답을 유발하기 위해 FIN 플래그가 설정된 TCP 세그먼트(RST 플래그가 설정된 TCP 세그먼트)를 전송하여 호스트에서 활성 호스트 또는 활성 포트를 검색합니다. 많은 방화벽이 일반적으로 후자의 두 가지 접근 방식을 보호하지만 반드시 FIN 세그먼트를 방어하는 것은 아니라는 것을 알고 있기 때문에 공격자는 ICMP 에코 요청으로 주소 스윕을 수행하거나 SYN 세그먼트로 주소 스캔을 수행하는 대신 이 접근 방식을 사용할 수 있습니다. FIN 플래그가 설정된 TCP 세그먼트를 사용하면 탐지를 피할 수 있으므로 공격자가 정찰에 성공하는 데 도움이 될 수 있습니다.

기본적으로 Junos OS는 세션의 첫 번째 패킷에서 SYN 플래그를 확인하고 세션을 시작하려는 비 SYN 플래그가 있는 모든 TCP 세그먼트를 거부합니다. 이 패킷 플로우를 그대로 두거나 Junos OS가 세션을 생성하기 전에 SYN 플래그 검사를 시행하지 않도록 변경할 수 있습니다. 그림 1 은 SYN 플래그 검사가 활성화되었을 때와 비활성화되었을 때의 패킷 플로우 시퀀스를 보여줍니다.

그림 1: SYN 플래그 검사

SYN 플래그 검사가 활성화된 Junos OS가 기존 세션에 속하지 않는 비 SYN TCP 세그먼트를 수신하면 패킷을 삭제합니다. 기본적으로 Junos OS는 비 SYN 세그먼트를 수신할 때 소스 호스트로 TCP RST를 보내지 않습니다. 명령을 사용하여 소스 호스트에 TCP RST를 set security zones security-zone trust tcp-rst 전송하도록 디바이스를 구성할 수 있습니다. 초기 비 SYN TCP 패킷의 코드 비트가 RST인 경우 디바이스는 TCP-RST를 보내지 않습니다.

첫 번째 패킷에서 SYN 플래그를 확인하지 않으면 다음과 같은 이점이 있습니다.

• 비대칭 라우팅을 사용하는 NSRP - 동적 라우팅 환경의 액티브/액티브 NSRP 구성에서 호스트는 SYN 플래그가 하나의 디바이스(디바이스-A)로 설정된 초기 TCP 세그먼트를 전송할 수 있지만, SYN/ACK는 클러스터의 다른 디바이스(디바이스-B)로 라우팅될 수 있습니다. Device-A가 세션을 Device-B와 동기화한 후에 이 비대칭 라우팅이 발생하면 모든 것이 정상입니다. 반면, Device-A가 세션을 동기화하고 SYN 검사가 활성화되기 전에 SYN/ACK 응답이 Device-B에 도달하면 Device-B는 SYN/ACK를 거부하고 세션을 설정할 수 없습니다. SYN 검사가 비활성화된 상태에서 Device-B는 자신이 속한 기존 세션이 없더라도 SYN/ACK 응답을 수락하고 이에 대한 새 세션 테이블 항목을 생성합니다.

• Uninterrupted Sessions(중단 없는 세션) - 디바이스를 재설정하거나 정책의 핵심 섹션에서 구성 요소를 변경하고 SYN 검사가 활성화된 경우, 정책 변경이 적용되는 모든 기존 세션 또는 세션이 중단되므로 다시 시작해야 합니다. SYN 검사를 비활성화하면 네트워크 트래픽 흐름에 대한 이러한 중단을 방지할 수 있습니다.

  참고:

  이 시나리오의 해결 방법은 처음에 SYN 검사가 비활성화된 상태로 디바이스를 설치하는 것입니다. 그런 다음 몇 시간 후(설정된 세션이 디바이스를 통해 실행 중일 때) SYN 검사를 활성화합니다. 정책의 코어 섹션에는 소스 및 대상 영역, 소스 및 대상 주소, 하나 이상의 서비스, 작업과 같은 주요 구성 요소가 포함되어 있습니다.

그러나 앞의 이점으로 인해 다음과 같은 보안 희생이 발생합니다.

• 정찰 구멍 - ACK, URG, RST, FIN과 같은 비 SYN 플래그가 있는 초기 TCP 세그먼트가 닫힌 포트에 도착하면 많은 운영 체제(예: Windows)가 RST 플래그가 설정된 TCP 세그먼트로 응답합니다. 포트가 열려 있으면 수신자는 응답을 생성하지 않습니다.

  정보 수집자는 이러한 응답 또는 응답 부족을 분석하여 보호된 네트워크와 Junos OS 정책 세트에서 정찰을 수행할 수 있습니다. TCP 세그먼트가 비 SYN 플래그가 설정된 상태로 전송되고 정책에서 이를 통해 허용하는 경우, 이러한 세그먼트를 수신하는 대상 호스트는 해당 세그먼트를 삭제하고 RST 플래그가 설정된 TCP 세그먼트로 응답할 수 있습니다. 이러한 응답은 가해자에게 특정 주소에 활성 호스트가 있으며 대상 포트 번호가 닫혀 있음을 알립니다. 또한 정보 수집자는 방화벽 정책이 해당 호스트의 포트 번호에 대한 액세스를 허용한다는 것을 알게 됩니다.

  SYN 플래그 검사를 활성화함으로써 Junos OS는 기존 세션에 속하지 않는 경우 SYN 플래그 없이 TCP 세그먼트를 삭제합니다. TCP RST 세그먼트는 반환하지 않습니다. 따라서 스캐너는 정책 집합 또는 대상 호스트에서 포트가 열려 있는지 또는 닫혀 있는지 여부에 관계없이 응답을 받지 못합니다.

• 세션 테이블 플러드—SYN 검사가 비활성화된 경우 공격자는 비 SYN 플래그가 설정된 TCP 세그먼트 공세로 보호된 네트워크를 플러딩하여 Junos OS SYN 플러드 보호 기능을 우회할 수 있습니다. 대상 호스트가 패킷을 삭제하고 응답으로 TCP RST 세그먼트를 보낼 수도 있지만, 이러한 플러드는 주니퍼 네트웍스 디바이스의 세션 테이블을 가득 채울 수 있습니다. 세션 테이블이 가득 차면 디바이스는 합법적인 트래픽에 대한 새 세션을 처리할 수 없습니다.

  SYN 검사 및 SYN 플러드 보호를 활성화하면 이러한 종류의 공격을 저지할 수 있습니다. 세션의 초기 패킷에 SYN 플래그가 설정되어 있는지 확인하면 모든 새 세션이 SYN 플래그가 설정된 TCP 세그먼트로 시작됩니다. 그런 다음 SYN 플러드 보호는 초당 TCP SYN 세그먼트 수를 제한하여 세션 테이블이 과부하되지 않도록 합니다.

SYN 검사를 비활성화할 필요가 없는 경우, 주니퍼 네트웍스는 활성화할 것을 강력히 권장합니다(Junos OS 최초 설치 시 기본 상태). 명령으로 활성화할 수 있습니다 set flow tcp-syn-check . SYN 검사가 활성화되면 디바이스는 설정된 세션에 속하지 않는 한 비 SYN 플래그가 설정된 TCP 세그먼트를 거부합니다.

네트워크의 제한된 영역에 대한 액세스를 시도하는 한 가지 방법은 패킷 헤더에 잘못된 소스 주소를 삽입하여 패킷이 신뢰할 수 있는 소스에서 온 것처럼 보이게 하는 것입니다. 이 기술을 IP 스푸핑이라고 합니다. IP 스푸핑을 탐지하는 메커니즘은 경로 테이블 항목에 의존합니다. 예를 들어, 소스 IP 주소가 10.1.1.6인 패킷이 ge-0/0/1에 도착하지만 Junos OS가 ge-0/0/0을 통해 10.1.1.0/24에 대한 경로를 가지고 있는 경우, IP 스푸핑을 확인하면 이 주소가 경로 테이블에 정의된 잘못된 인터페이스에 도착한 것을 발견할 수 있습니다. 10.1.1.6의 유효한 패킷은 ge-0/0/1이 아닌 ge-0/0/0을 통해서만 도착할 수 있습니다. 따라서 Junos OS는 패킷에 스푸핑된 소스 IP 주소가 있다고 결론을 내리고 이를 폐기합니다. Junos OS는 IPv4 및 IPv6 스푸핑된 패킷을 모두 감지하고 삭제합니다.

이 예에서는 IP 스푸핑 공격을 차단하기 위해 화면을 구성하는 방법을 보여줍니다.

IP 스푸핑 공격에서 공격자는 네트워크의 제한된 영역에 대한 액세스 권한을 얻고 패킷 헤더에 잘못된 소스 주소를 삽입하여 패킷이 신뢰할 수 있는 소스에서 온 것처럼 보이게 합니다. IP 스푸핑은 DoS(Denial-of-Service) 공격에 가장 자주 사용됩니다. SRX 시리즈 방화벽이 투명 모드에서 작동할 때는 IP 스푸핑 검사 메커니즘이 주소록 항목을 사용합니다. 주소록은 라우팅 엔진에만 존재합니다. 레이어 2 투명 모드의 IP 스푸핑은 패킷 전달 엔진에서 수행됩니다. 패킷 전달 엔진이 패킷을 수신할 때마다 라우팅 엔진에서 주소록 정보를 얻을 수 없습니다. 따라서 레이어 2 영역에 연결된 주소록은 패킷 전달 엔진으로 푸시되어야 합니다.

패킷이 패킷 전달 엔진에 의해 수신되면 패킷의 소스 IP 주소를 검사하여 수신 영역의 주소록에 있는지 확인합니다. 패킷의 소스 IP 주소가 수신 영역의 주소록에 있는 경우 이 IP 주소는 인터페이스에서 허용되고 트래픽이 전달됩니다.

원본 IP 주소가 수신 영역의 주소록에 없지만 다른 영역의 주소록에 있는 경우 IP 주소는 스푸핑된 IP로 간주됩니다. 따라서 화면 구성에 따라 삭제 및 로깅과 같은 작업을 수행할 수 있습니다(알람 없는 드롭).

패킷의 소스 IP 주소가 수신 영역의 주소록 또는 다른 영역의 주소록에 없으면 IP가 스푸핑되었는지 여부를 확인할 수 없습니다. 이러한 경우 패킷이 전달됩니다.

Junos OS는 주소록에서 소스 IP 주소를 검색할 때 다음과 같은 일치 조건을 고려합니다.

• Host-match- 주소록에 있는 IP 주소 일치는 접두사가 없는 주소입니다.

• Prefix-match- 주소록에 있는 IP 주소 일치는 접두사가 있는 주소입니다.

• Any-match- 주소록에 있는 IP 주소 일치는 "any", "any-IPv4" 또는 "any-IPv6"입니다.

• No-match- 일치하는 IP 주소가 없습니다.

소스 라우팅은 IP 패킷 전송 소스의 사용자가 IP 패킷이 목적지로 이동하려는 경로를 따라 디바이스의 IP 주소("홉"이라고도 함)를 지정할 수 있도록 설계되었습니다. IP 소스 경로 옵션의 원래 의도는 진단 분석을 지원하는 라우팅 제어 도구를 제공하는 것이었습니다. 예를 들어, 특정 대상으로의 패킷 전송이 불규칙한 성공을 거둔 경우, 먼저 기록 경로 또는 타임스탬프 IP 옵션을 사용하여 패킷이 취하는 경로를 따라 디바이스의 주소를 검색할 수 있습니다. 그런 다음 loose 또는 strict 소스 경로 옵션을 사용하여 레코드 경로 또는 타임스탬프 옵션이 생성한 결과에서 학습한 주소를 사용하여 특정 경로를 따라 트래픽을 전송할 수 있습니다. 디바이스 주소를 변경하여 경로를 변경하고 다른 경로를 따라 여러 패킷을 전송하면 성공률을 높이거나 낮추는 변경 사항을 확인할 수 있습니다. 분석과 제거 과정을 통해 문제가 어디에 있는지 추론 할 수 있습니다. 그림 2를 참조하십시오.

그림 2: IP 소스 라우팅

IP 소스 경로 옵션은 원래 무해하게 사용되었지만 공격자는 이를 더 교활하게 사용하는 방법을 배웠습니다. IP 원본 경로 옵션을 사용하여 실제 주소를 숨기고 다른 경로를 지정하여 네트워크의 제한된 영역에 액세스할 수 있습니다. 공격자가 두 가지 속임수를 모두 사용할 수 있는 방법을 보여 주는 예를 보려면 그림 3과 같이 다음 시나리오를 고려하십시오.

그림 3: 디셉션에 대한 느슨한 IP 소스 경로 옵션

Junos OS는 트래픽 2.2.2.0/24가 zone_external에 바인딩된 인터페이스인 ethernet1을 통과하는 경우에만 허용합니다. 디바이스 3과 4는 액세스 제어를 적용하지만 디바이스 1과 2는 그렇지 않습니다. 또한 디바이스 2는 IP 스푸핑을 확인하지 않습니다. 공격자는 소스 주소를 스푸핑하고 느슨한 소스 경로 옵션을 사용하여 패킷을 디바이스 2를 통해 2.2.2.0/24 네트워크로 보내고 거기서 디바이스 1로 보냅니다. 디바이스 1은 이를 디바이스 3으로 전달하고, 디바이스 3은 이를 주니퍼 네트웍스 디바이스로 전달합니다. 패킷이 2.2.2.0/24 서브넷에서 왔고 해당 서브넷의 소스 주소를 가지고 있기 때문에 유효한 것 같습니다. 그러나 이전 chicanery의 잔재 중 하나는 느슨한 소스 경로 옵션입니다. 이 예에서는 zone_external에 대해 IP 소스 경로 화면 거부 옵션을 활성화했습니다. 패킷이 ethernet3에 도착하면 디바이스는 이를 거부합니다.

느슨하거나 엄격한 소스 경로 옵션이 설정된 패킷을 차단하거나 이러한 패킷을 감지하도록 디바이스를 활성화한 다음 수신 인터페이스의 카운터 목록에 이벤트를 기록할 수 있습니다. 화면 옵션은 다음과 같습니다.

• 거부 IP 소스 경로 옵션 - 느슨하거나 엄격한 소스 경로 옵션을 사용하는 모든 IP 트래픽을 차단하려면 이 옵션을 활성화합니다. 소스 경로 옵션을 사용하면 공격자가 잘못된 IP 주소를 사용하여 네트워크에 침입할 수 있습니다.

• IP Loose Source Route Option 탐지 - 디바이스는 IP 옵션이 3(Loose Source Routing)인 패킷을 탐지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 패킷이 출발지에서 목적지까지 이동하는 여정에 대한 부분 경로 목록을 지정합니다. 패킷은 지정된 주소 순서대로 진행되어야 하지만 지정된 주소 사이에 있는 다른 디바이스를 통과할 수 있습니다.

• Detect IP Strict Source Route Option - 디바이스는 IP 옵션이 9(Strict Source Routing)인 패킷을 감지하고 수신 인터페이스의 화면 카운터 목록에 이벤트를 기록합니다. 이 옵션은 패킷이 출발지에서 목적지까지 이동하는 전체 경로 목록을 지정합니다. 목록의 마지막 주소가 목적지 필드의 주소를 대체합니다. 현재 이 화면 옵션은 IPv4에만 적용됩니다.

이 예는 느슨하거나 엄격한 소스 경로 옵션 세트로 패킷을 차단하는 방법을 보여줍니다.

이 예는 느슨하거나 엄격한 소스 경로 옵션이 설정된 패킷을 감지하는 방법을 보여줍니다.