[네트워크] 스니핑 공격의 대응책

[ 1) 스니핑 대응책 ]

---

{ 능동적 대응책 : 스니퍼 탐지 }

 

> ping을 이용한 탐지 :

   - 의심이 가는 host에 ping을 보낼 때 네트워크가 존재하지 않는 MAC 주소를 위장하여 보냄

   - 만약 ICMP Echo Reply를 받으면 해당 host가 스니핑을 하고 있는 것

 

> ARP를 이용한 탐지 :

   - 위조된 ARP Request를 Sniffer임을 확인하고자 하는 시스템에 전송

   - 대상 시스템이 ARP Response(응답)를 보내면 이를 통해 프러미스큐어스 모드로 동작중인 스니퍼임을 확인

 

> DNS를 이용한 탐지 :

   - 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시

 

> 유인(Decoy)을 이용한 탐지 :

   - 가짜 계정과 패스워드를 뿌려, 공격자가 이 가짜 정보로 접속을 시도했을 때 접속을 시도하는 시스템을 탐지

 

> ARP Watch를 이용한 탐지 : 

   - 초기에 MAC 주소와 IP 주소의 매칭 값을 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는

     패킷이 탐지되면 관리자에게 메일로 알림

---

{ 수동적 대응책 : 예방 (암호화) }

 

> SSL (Secure Socket Layer)

   - 암호화된 웹 서핑을 가능케 함

   - 40 Bit와 128 Bit 암호화 키가 존재

 

> PGP (Pretty Good Privacy)

   - 내용을 암호화하는 데에 "IDEA 방법" 사용

   - IDEA 키와 전자서명을 암호화하는 데에 "RSA (Rivest, Shamir, Addleman)" 사용

   - 기본적으로 "Web of Trust" 개념 사용

   (( PGP, PEM, S/MIME는 모두 "이메일을 전송할 때 사용하는 암호화 방법" ))

 

> PEM

   - 공개 키 암호화 표준을 따르고, CA에서 키를 관리

   - 데이터 암호화에는 DES-EDE, 키를 위한 알고리즘에는 RSA, 전자인증을 위한 해시 함수에는 MD2, MD5

   (( PGP, PEM, S/MIME는 모두 "이메일을 전송할 때 사용하는 암호화 방법" ))

 

> S/MIME

   - 이메일 표준인 MIME 형식에 암호화 서비스만을 추가한 것

   - PKCS 기반, 디지털 인증에 X.509 사용

   (( PGP, PEM, S/MIME는 모두 "이메일을 전송할 때 사용하는 암호화 방법" ))

 

> SSH (Secure Shell)

   - 텔넷과 같은 서비스 암호화를 위해 사용

 

> VPN (Virtual Private Network)

   - 공용 회선을 이용한 사설 암호화 망