네트워크 트래픽과 악성코드

• 악성코드 분석을 위해 왜 네트워크 트래픽 분석이 필요할까?
  • 악성코드는 외부와의 통신으로 문제가 된다.
  • 따라서 네트워크 트래픽 감시를 통해 차단해야한다.
• 네트워크 트래픽 분석을 통해 악성코드의 경로를 파악할 수 있음
• 악성코드 통신을 차단 가능
  • 방화벽 → 의심 IP, Port 차단
  • IDS(침입탐지 시스템) → 공격을 탐지,감지
  • IPS → 네트워크 트래픽 차단

보안 관점에서 바라본 OSI 7계층

• L2 : 데이터링크 계층 → MAC

  • MAC 을 보고 해당 데이터를 어느곳으로 보내는 지 검사
  • 이더넷 프레임 헤더에 src.MAC, dest.MAC
  • 방화벽
    • 최소 두개 이상의 NIC(Network Interface Card) 필요
    • 장 : 설치할 때 네트워크 디자인 바꿀필요 없음
    • 단 : 동일한 네트워크 안에서만 가능, 다양한 네트워크 환경 불가 → 상위 레이어에서 작동하는 방화벽 → 다양한 네트워크 환경 가능

• L3 : 네트워크 계층 → IP

  • IP 주소를 통해 패킷을 라우팅함

  • 하나의 네트워크 장비(…방화벽)를 통해 여러 개의 네트워크 망 구성

    • NAT , VLAN 기술이 필요

    

    

  • L3 방화벽 장점

    • IP 주소를 바탕으로 여러가지 세팅을 할 수 있다.
    • NAT, VLAN을 통해 다양한 설정의 접근 제어가능

  • L3 방화벽 단점

    • 설치할 때, 네트워크 디자인을 바꿔야 할 수도 있음

• L4 계층 : 전송계층 → Port Number

  • TCP → L4 계층
  • 패킷을 포트 수준까지 확인하고 처리 가능함 (세분화 처리)
  • 일반적인 방화벽
    • IP 주소와 port 번호 기준으로 운용된다.
    • 특정 IP 주소를 차단하는 것이 아닌 특정 대역대를 차단

  

• L7 계층 : 운용계층 → Payload

  • 일부환경에서만 쓸 수 있다.
  • 페이로드 컨트롤이 안되서 잘 사용하지 않음
  • 패킷 암호호가 적용되었을 경우 L7 에서는 암호화된 내용만 보임
  • 패킷 페이로드를 활용하여 방화벽을 운용

방화벽 ( Firewall )

• 하드웨어 기반의 네트워크 방화벽

  • 여러대의 PC와 서버를 커버함

• 소프트웨어 기반의 방화벽

  • 설치된 host PC만을 보호함

• 1세대 방화벽

  • 패킷 필터링 기반 ( Rule table 을 만들고 맞는 것만 통신 허가 )

  

  • 제대로 작동하지 않음 → 모든 패킷에 대해 룰을 참고해서 통신 허가 결정

  • 해당 커넥션에 대해 되돌아 나가는 통신도 허용해야함

    

  • 이렇게 되면 웹서비스를 위해 80번 포트를 열 때, 되돌아가는 포트에 대해 상당히 많은 포트를 열어줘야 함

    • 룰이 추가된다.
    • 포트 개방에 따라서 정보가 빠져나가는 것을 막지 못한다.

• 2세대 방화벽

  • Stateful Inspection 을 수행함
    • Stateful Inspection 이란 TCP 접속 시, 방화벽에서 패킷의 payload를 보면서 3way-handshake의 state를 추적하여 rule 에 자동적으로 추가함

  

  • 장점
    • Response 패킷에 대한 룰을 불필요하게 작성할 필요가 없음
      • 보안성 향상, 룰 관리도 쉬워짐
    • checksum도 계산하므로, checksum이 잘못된 패킷을 폐기