'보안은 무료로/강좌 및 자료'에 해당되는 글 13건

  1. 2007.03.12 AVG Free Edition을 Windows 95에 설치하는 방법은?
  2. 2007.03.02 Internet Connection Firewall(ICF)
  3. 2007.03.01 무선 네트워크 보안의 10계명

AVG Free Edition은 Windows 95에서도 설치하여 사용할 수 있습니다. 하지만, 설치하는 동안에 다른 OS와 달리 DCOM이라는 시스템 라이브러리가 이미 설치되어 있는지 확인하는 과정이 추가된다. 이 라이브러리는 윈도우 설치 CD의 REDIST\DC95Inst.exe 파일에서 찾아 볼 수 있으며, 다음의 링크를 통해 다운로드 할 수 있다.

다운로드

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    Internet Connection Fireawall(이하 ICF) Windows XP 버전에서 새롭게 추가된 기능으로 인터넷과 같은 네트워크로 부터 사용자의 시스템을 보호하기 위해 설계되었다. ICF 사용하여 특정 서비스(예를 들면, http(80), FTP(21))만을 사용할 있도록 있으며, 기본적으로 이러한 서비스를 사용하도록 구성할 있다. 또한, 사용자 정의(custom) 통해 다양한 애플리케이션이 사용하는 포트들도 허용/차단 있다.

     

     

    • ICF 설치하기
    • 포트 매핑
    • 보안로그
    • ICMP

     

     ICF 설치하기

     

    설치라기 보다는 활성화(enable)이라는 말이 어울리지만, 하여튼 제목을 이렇게 정했다. ICF 활성화하는 방법은 다음과 같다.

     

    1. 시작 -> 설정 -> 네트워크 연결을 클릭하고, 현재 인터넷(또는 네트워크) 연결된 네트워크 어댑터를 오른클릭하고 Properties 클릭한다. Advanced 탭에 보면 체크박스가 하나 있다. 이것을 체크하면 아래의 Settings 버튼을 누를 있게 활성화된다. Settings 버튼을 클릭하면 아래 오른쪽 그림과 같은 대화상자가 나타난다.

     

    사용자 삽입 이미지

    1. 현재 기본적인 설정들이 나와 있다. FTP(21), POP3(110), HTTP(80) 등이 체크되어 있다. 여러분이 사용하는 컴퓨터가 XP 서버군이고 SMTP 사용한다면 Internet Mail Server(SMTP) 체크해야 것이다. 한번 이상태로 그냥 OK 클릭하고 다시 한번 OK 클릭한다. 그러한 후에 여러가지 인터넷에 관련된 프로그램을 사용해 보면서 내가 필요한 것이 무엇인지 찾아야 한다.

     

     

     

     

    포트 매핑(필요한 서비스 추가하기)

     

    현재 기본으로 제공되는 서비스는 너무 제한적이다. 사용하다 보면 컴퓨터와의 파일 프린터 공유도 사용할 있고, IRC 사용할 수도 있을 것이다. 여기서는 파일 프린터 공유에 일부 사용되는 445 포트를 추가해 본다.

     

      위의 오른쪽 그림에서 Add 버튼을 클릭한다. 위칸에는 설정의 이름을 적어준다. 나중에 봐서 금방 알수 있도록 #445 같이 포트번호도 함께 넣는 것이 좋다. 두번째 항목은 랜카드의 IP 주소를 입력하는 부분이다. 고정 IP 가지고 있다면 주소를 ADSL 같이 유동 IP라면 자기자신을 가르키는 127.0.0.1 입력한다. 나가는/들어오는 포트 번호와 TCP/UDP 여부를 정확히 알아내어 입력하고 OK 누른다. 그러면 아래 오른쪽 그림과 같이 추가된 것을 있다.

    사용자 삽입 이미지
     

     다른 예를 보자. 네트워크 환경을 통해 네트워크를 브라우징 하거나 파일 공유 서비스를 이용하고자 때에는 다음과 같은 에러가 나타난다.

     

    System error 6118 has occurred. The list of servers for this workgroup is not currently available.

     

    따라서, 여기에 이용되는 모든 포트들을 열어줄 필요가 있다. 필요한 포트 목록은 다음과 같다

     

    • TCP : 135-139
    • UDP : 135-139

     

    포트에 대한 정보는 다음 URL 참고한다 : http://www.sygate.co.kr/Apprule.cfg
    보안 로그

     

    ICF 패킷을 차단하거나 허용할 때마다 시스템의 보안을 위해 로그를 활성화 있다.  기본은 비활성화이다.  

     

    사용자 삽입 이미지

    • Log Dropped packets :  인바운드 아웃바운드 연결에서 차단되는 모든 패킷을 로그하도록 한다.
    • Log successful connections :  성공적으로 수립한 아웃바운드 인바운드 연결을 로그하도록 한다.
    • Log file options : 부분에서는 로그 파일의 경로 파일 이름을 지정한다. LOG 파일의 예는 다음과 같다.

     

    #Version: 1.0

    #Software: Microsoft Internet Connection Firewall

    #Time Format: Local

    #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

     

    2001-07-11 19:28:06 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -

    2001-07-11 19:28:08 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -

    2001-07-11 19:28:13 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -

    2001-07-11 19:31:05 DROP TCP 172.31.79.4 172.31.82.198 389 4391 40 A 1328582612 3027261772 17397 - - -

    2001-07-11 19:31:07 DROP TCP 172.31.79.4 172.31.82.198 389 4396 40 A 1329262300 3027504832 16769 - - -

    2001-07-11 19:31:08 DROP TCP 172.31.79.4 172.31.82.198 389 4401 40 A 1330742333 3028123509 16963 - - -

     

    • Size limit : 로그 파일의 크기를 지정한다. 기본적으로는 4096KB이며 최대크기는 32767KB이다. 따라서 정기적으로 로그파일을 검사하여 삭제해주는 것이 좋다.

     

    ICMP

     

    ICMP(Internet Control Message Protocol)  시스템 서로간의 에러를 알려주고 상태를 제어할 있게 해주는 방법을 제공하는 프로토콜이다. 이러한 메시지들은 해킹이나 DoS(서비스 거부) 공격에 사용되기도 한다. 다음은 ICF에서 제공하는 ICMP 옵션들이다.

     

    • Allow Incoming Echo Requests (Message type 8)
    • Allow incoming timestamp request (Message type 13)
    • Allow incoming mask request (Message type 17)
    • Allow incoming router request (Message type 10)
    • Allow outgoing destination unreachable (Message type 3)
    • Allow outgoing source quench (Message type 4)
    • Allow outgoing parameter problem (Message type 12)
    • Allow outgoing time exceeded (Message type 11)
    • Allow redirect (Message type 5)

     

    여기서 가장 문제가 되는 것이 바로 ICMP redirect 이다. ICMP redirect 호스트가 목적지 주소로 연결할 해당 라우터가 최적의 경로라는 것을 호스트에게 알려주기 위해 라우터에서 호스트로 보내지는 메시지이다. 이에 관련된 공격중에는 WinFreeze 라는 것이 있다. 이부분을 체크해 두는 것이 좋다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      무선 네트워크는 유선 네트워크보다 설치가 간편하다. 하지만, 편할수록 보안에 더 취약한 법이다. 이 글에서는 무선 네트워크에서 살펴보아야 할 보안 10계명에 대해 자세히 다룬다.

       

           1. 암호화하라

      암호화는 무선 보안의 가장 첫번째 방법이다. 하지만 대부분의 WAP(Wireless access points)에서는 기본적으로 사용하기 않게 되어 있다. 요즘 대부분의 WAP들은 WEP(Wired Equivalent Privacy) 프로토콜을 지원하지만 이 또한 기본적으로 사용하지 않게 구성되어 있는 경우가 많다. WEP 프로토콜은 수많은 보안 취약점을 가지고 있으며 이를 알고 있는 해커들은 크랙할 수도 있지만, 가장 중요한 것은 암호화를 하지 않는 것보다 낫다는 점이다. WEP 인증방식에 모두에게 열어두지 않고 미리 공유된 키등의 인증 방법을 사용하고 있는지 확인한다. WEP에서 아무런 인증방법을 사용하지 않는다면 송수신되는 데이터들은 클라이언트 인증만 확인할 뿐 암호화가 이루어지지 않게 된다. 또한 WEP 키를 자주 바꾸고 40비트보다 128비트의 WEP을 사용하는 것이 좋다.

       

           2. 강력한 암호 방식을 사용하라

      WEP 프로토콜이 보안상 약하기 때문에 가급적 WEP 보다는 WPA(Wi-Fi Protected Access)를 사용하여야 한다. WPA를 사용하기 위해서는 먼저 WAP이 이를 지원해야 한다.( 지원하지 않는 제품 중에는 펌웨어 업그레이드를 통해 WPA를 이용할 수도 있다. 제조사 홈페이지를 참고한다.) 또한 랜카드도 WPA를 지원해야 한다. Windows XP SP2에서부터 WPA를 설치한다. XP SP1 사용자는 다음의 URL에서 WPA를 지원하는 롤업 패키지를 다운로드하여 이용할 수 있다. http://support.microsoft.com/kb/826942

       

      3. WAP의 기본 암호를 변경하라

      WAP 제조사들은 모델 별로 WAP의 구성정보를 보거나 변경할 수 있는 웹 페이지 등을 제공하며 이를 액세스할 수 있도록 기본 관리자 계정과 암호를 제공한다. 이러한 계정 정보는 널리 알려져 있기 때문에 해커들이 쉽게 이용할 수 있다. 따라서, WAP를 설치할 때에는 가장 먼저 이 관리자 계정의 암호를 바꿔야 한다. 당연히 8자 이상의 긴 복잡한 암호를 사용하는 것이 좋다.

       

      4. SSID 브로드캐스팅 옵션 끄기

      SSID(Service Set Identifier)는 무선 네트워크에서 WAP의 이름을 나타낸다. 기본적으로 모든 WAP SSID를 브로드캐스팅하도록 설정되어 있다. 이렇게 하면 WAP에 처음 접근하는 사용자들이 쉽게 액세스할 수 있다는 장점이 있다. 하지만, 브로드캐스팅 옵션을 끄게 되면 사용자들은 무선 WAP에 접속하기 위해서 SSID를 알아야 한다. 브로드캐스팅 옵션을 끄더라도 해커들은 패킷 스니퍼링을 통해 SSID를 쉽게 알아낼 수 있기 때문에, 이 옵션을 끌 필요가 없을 지도 모른다. 하지만, 좀 더 나은 보안을 위해 이 옵션을 꺼두는 것이 좋다.

       

      5. WAP를 사용하지 않을 때에는 꺼둔다.

      아주 간단한 보안 방법이지만 실제 회사나 개인이 이를 제대로 지키는 경우는 보기가 드물다. 사용자들이 24시간 내내 접속하지 않고 낮 근무시간에만 접속한다면 접속하지않는 시간대에는 WAP를 꺼두는 것이 좋다. 항상 켜두어 침입자가 침입할만한 시간적 여유를 주지 않는 것이 좋을 것이다.

       

      6. 기본 SSID를 변경하라.

      WAP 제조사들은 각 모델별로 일정한 SSID 이름을 기본적으로 제공한다. 보통 제조사의 약자로 주어지는 경우가 많다. 해커는 이를 통해 어떤 WAP을 이용하는지 알아 낼 수도 있으므로 SSID를 변경하는 것이 좋다.

       

      7. MAC 필터링을 사용하라.

      대부분의 WAP들은 MAC 주소 필터링을 제공한다. 즉 사용자의 MAC 주소를 WAP에 등록하여 인증되지 않은 사용자의 접속을 막는 기술이다. 물론, 패킷 스니퍼링을 통해 무선 네트워크에 흘러다니는 정상적인 MAC 주소를 해커들이 알아 낼 수도 있다.

       

      8. 유선 LAN과 무선랜을 분리하라.

      무선 네트워크와 연결되는 유선 LAN을 보호하기 위해 무선 네트워크가 연결되는 지점에 DMZ이나 경계(perimeter) 네크워크를 설치한다. , 무선네트워크와 유선네트워크 사이에 방화벽을 위치시키라는 뜻으로 무선 네트워크의 사용자들이 유선랜에 액세스할 때에는 특정한 사용자 및 여러가지 보안 규칙을 이용하여 허용하거나 차단시킬 수 있다. 추천할만한 보안 방법으로는 무선 VPN을 구현하는 것이다.

       

      9. 전파 수신 거리 조절

      보통 802.11b WAP는 약 300 피트 거리까지 유효하게 사용할 수 있다. 하지만, 이 거리는 중간에 WAP를 추가 설치하여(리피터처럼 또는 고성능 전파 안테너를 설치) 사용 반경을 더 넓힐 수도 있다. 사용 반경을 넒힘으로 인해 사무실이 위치한 빌딩 밖에서도 WAP에 액세스할 수 있다면 보안적 부분에서 문제가 될 수 있다. 따라서, WAP나 고성능 안테너의 설치시에는 이러한 사용반경을 고려해야 한다. 몇몇 WAP에서는 전파 세기와 방향을 변경할 수도 있다.

       

      10. 서로다른 주파수를 이용하여 통신하라.

      일반적인 802.11b/g 무선기술을 사용하는 경우 해커들에게 노출되지 않게 하는 방법중 하나는 802.11a 기술을 이용하는 것이다.  802.11a 5GHz 대역을 사용하며 b/g 2.4GHz를 사용한다. 802.11a의 단점으로는 이 제품이 널리 사용되지 않았다는 점에 있다. 따라서 이 항목은 한번 고려할 만할 뿐 그리 추천되지는 않는다.

       

       

      이제까지 무선 AP를 사용할 때 고려해야 할만한 보안 10계명에 대해 모두 살펴보았다. 필자도 집에서 유무선 공유기를 통해 유선 랜 설치의 부담없이 편하게 무선랜을 사용한다. 회사에서는 좀더 나은 보안 정책을 구현해야 할 것이며 이 글이 좀더 독자에게 도움이 되었으면 한다.

       
      원문 : http://insight.zdnet.co.uk/communications/wireless/0,39020430,39223889,00.htm

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요



        Web Analytics Blogs Directory