이름 자체에서 암시된 것처럼,
중간자 공격은 불법적인 사람이 두 당사자 사이의 통신을 가로채려고 시도하는 공격 유형입니다.
교환되는 중요한 데이터를 비밀리에 엿듣거나 훔쳐서, 통신을 감시하거나 파괴하고 데이터를 손상시키는 것입니다.
기본적으로, 두 개체 사이의 대화를 그들에게 알리지 않고 우연히 엿듣으려고 할 때, 그 자체가 일종의 중간자 공격입니다.
그렇다면, 중간자 공격이란 정확히 무엇일까?
하지만 중간자 공격에 더 들어가기 전에, 주변을 둘러보시기 바랍니다!
스마트폰, 인터넷에 접속하는 기기, 사용 중인 모든 소프트웨어 애플리케이션을 살펴보세요.
어떻게 생각하세요? 이 모든 일의 원동력은 무엇인가요?
데이터! 맞죠?
음, 이 모든 데이터는 경계 없이 우리 주변을 떠돌아다닙니다. 한 출처에서 다른 목적지로 이동하는 데이터는 아무런 제한도 없습니다. 이처럼 눈에 띄지 않는 데이터 이동은 데이터의 프라이버시와 보안에 대한 심각한 의문을 제기합니다.
이러한 개인정보를 유지하는 것에 대해 생각해 본 적이 있나요?
만약 누군가가 이미 당신의 휴대전화에 있는 당신의 모든 데이터를 보고 있거나, 자신의 이익을 위해 당신의 개인 정보를 사용하고 있다면 어떻게 될까요?
클라이언트와 서버 간에 데이터 전송이 이루어지는 동안 공격자는 통신의 두 종단점 사이에 자신을 위치시키고 데이터 전송을 방해하며, 교환되고 있는 중요한 정보를 얻으려고 시도합니다.
클라이언트와 서버는 서로 상호작용을 하고 있다고 생각하지만 실제로는 공격자와 상대하고 있는 것입니다.
설명 :
A와 B가 두 개체이고 C가 중간자라고 가정해 보겠습니다. A와 B가 서로 정보를 공유하려면 A는 B에게 공개 키를 요청합니다. 그러면 A는 B에게 공개 키로만 접근 가능한 암호화된 데이터를 전송하고, B만 해당 키를 사용하여 해당 정보를 열 수 있습니다. 하지만 B가 A에게 공개 키를 전송하자마자, 중간에 있는 C는 B의 공개 키를 가져와 자신의 공개 키를 A에게 전송합니다.
A는 이제 키가 B의 키라고 가정하고, 필요한 데이터를 암호화하여 B에게 다시 전송합니다. C는 자신의 공개 키를 사용하여 해당 데이터를 복호화하고, 데이터를 읽어 필요에 따라 정보를 변경한 후 자신의 공개 키와 함께 B에게 전송합니다. 그러면 B는 이 정보를 복호화할 수 있습니다. 이 정보는 A에게서 직접 온 것이라고 가정하고, 이 과정은 계속됩니다. A와 B는 서로 통신하고 있지 않다는 사실조차 알지 못합니다.
기술적으로 두 당사자가 서로 통신할 때마다 TCP 연결이 설정됩니다. 공격자는 이 연결을 두 부분으로 나눕니다. 하나는 공격자와 클라이언트 간 연결이고, 다른 하나는 공격자와 서버 간 연결입니다. 공격자는 두 연결 사이에서 프록시 역할을 합니다. 또 다른 공격 방법은 Man-in-the-Browser 공격입니다. 공격자는 시스템에 봇을 설치하여 사용자의 일상적인 웹 브라우징에서 모든 자격 증명과 중요 정보를 수집하고 이를 공격자에게 전송합니다.
이 공격은 어떻게 작동하나요?
공격자는 보안을 뚫고 데이터 전송에 접근할 수 있는 취약한 네트워크를 항상 찾습니다. 공격은 두 단계로 진행됩니다. 첫 번째 단계는 '차단' or '암호화' 두 번째는 '복호화'.
'암호화' 및 '복호화'
가로채기에는 기차역, 공항 등 공공장소가 가장 적합합니다. 무료 와이파이가 제공되기 때문입니다(사람들은 무료를 좋아합니다). 공격자는 보안이 취약한 네트워크를 찾아 취약점을 탐색합니다. 공격자는 피해자의 클라이언트 컴퓨터와 서버 사이에 침투하여 데이터를 가로채고, 피해자가 안전하다고 생각하는 중요한 정보를 획득하기 위해 필요한 도구를 설치합니다. 이제 데이터가 가로채기되었으므로 복호화가 필요합니다. 이제 데이터를 복호화하고 추가적인 조치를 취하는 복호화 단계가 진행됩니다.
너무 짧죠? 어쨌든 최소한의 개념만 잡기 위한 간단한 설명이니까요. 이제 단계별로 이해해 봅시다.
네트워크 보안 공격을 수행하는 방법은 몇 가지 더 있습니다. 이러한 공격 중 몇 가지를 간략하게 살펴보겠습니다.
예시 ~
1. 스니핑:
한 네트워크에서 다른 네트워크로 흐르는 민감한 정보가 포함된 데이터 패킷을 분석하고 캡처하는 프로세스입니다. 데이터는 작은 데이터 패킷 형태로 출발지에서 목적지로 이동하며, 공격자는 이러한 데이터 스트림에 접근하여 공격 수행에 필요한 개인 정보를 탈취합니다.
2. 패킷 주입:
공격자가 신뢰할 수 있는 개체 간의 정상적인 데이터 흐름에 자신의 패킷을 삽입하여 기존 네트워크를 교란시키는 기술입니다. 이를 통해 악의적인 활동이 간과되거나 무시되는 것을 방지합니다. 이러한 유형의 패킷 처리 방해는 DDoS 및 중간자 공격(Man-In-The-Middle)에 사용됩니다.
3. 세션 하이재킹:
사용자가 웹사이트에 로그인할 때마다 브라우저를 통해 요청된 웹사이트 서버로 요청을 전송합니다. 요청은 분석되고 네트워크를 통해 사용자에게 응답이 전송되며, 사용자가 웹사이트에 접속할 수 있도록 세션이 설정됩니다. 한편, 공격자는 해당 세션을 탈취하려고 시도하며, 세션을 가로채 공격을 성공적으로 수행하는 데 필요한 개인 정보를 빼낼 수 있습니다.
4. SSL 스트리핑:
공격자는 보안 연결에 사용되는 SSL/TLS 암호화를 해제하고 사용자 네트워크 연결을 HTTPS에서 HTTP로 전환할 때 이 프로세스를 사용합니다. 피해자는 보안 연결에서 비보안 연결로 전환할 때 취약해지며, 공격자는 피해자를 자신의 환경으로 쉽게 이동시켜 피해자가 제공한 정보를 추출할 수 있습니다. KRACK, MITM은 SSL 해제 기법을 통해 수행되는 공격의 몇 가지 예입니다.
이러한 공격으로부터 구원받으려면 어떻게 해야 할까?
이러한 사이버 공격을 예방하기 위해 우리가 따를 수 있는 몇 가지 단계는 다음과 같습니다.
-
HTTPS는 모든 네트워크에 연결하는 데 더 안전하고 안정적인 방법이므로 HTTP 대신 HTTPS 연결을 사용하세요.
-
공격자가 해당 리소스에서 정보를 훔치지 못하도록 브라우저 쿠키와 캐시를 지워 두세요.
-
HTTPS를 통한 HSTS 사용. 이 웹 서버 지침은 모든 웹 앱이 HTTPS에 연결되도록 강제하고 HTTP 프로토콜을 사용하는 다른 모든 콘텐츠를 차단합니다.
-
불필요한 이메일과 광고를 클릭하지 마세요.
-
보안되지 않은 공공 Wi-Fi 접속을 사용하거나 이를 통해 결제하지 마십시오.
-
시스템을 보호하기 위해 필요한 보안 도구를 항상 최신 상태로 유지하세요.
-
항상 작업 네트워크의 보안을 유지하세요.
-
절대로 불법 복제된 데이터를 다운로드하지 마세요.
SEQRITE 통합 위협 머신: IPS
침입 방지 시스템
IPS는 외부 공격, 침입 시도, 악성코드 및 위협으로부터 조직의 네트워크를 보호하는 네트워크 보안 시스템입니다. IPS는 수신 네트워크 트래픽을 모니터링하고 잠재적 위협을 식별하여 지정된 규칙에 따라 대응합니다. 악성으로 판단되는 패킷은 차단하고 해당 IP 주소 또는 포트에서 유입되는 모든 트래픽을 차단합니다.
Seqrite UTM에는 다음과 같은 기능이 있습니다. 침입 방지 시스템공격자가 애플리케이션이나 시스템을 방해하고 제어권을 획득하기 위해 사용하는 취약점 악용을 모니터링하고 차단합니다. 미리 구성된 시그니처 집합이 내장되어 있으며, 이 시그니처는 들어오는 데이터 패킷의 시그니처와 일치합니다. 들어오는 시그니처가 기존 시그니처와 일치하면 IPS는 패킷을 삭제하거나 ALA(Ala Alert)를 설정합니다.rm.
기능 설명
아래 이미지는 IPS의 상태와 IPS에 속하는 다양한 설정 및 관련 정보를 보여줍니다.
- 취할 지정된 조치.
- 의심스러운 패킷을 경고하거나 삭제합니다.
- 발생 횟수 및 설명.
기존 서명 목록에 새 서명을 추가해야 할 수도 있습니다. 시크라이트 UTM IPS에서는 사용자 지정 서명을 추가할 수 있습니다. IPS 페이지의 고급 설정 탭을 사용하면 됩니다.
조직에서 모든 인바운드, 아웃바운드 및 인트라넷 트래픽을 모니터링해야 할 수 있습니다. 이 기능을 사용하면 모든 트래픽 유형 또는 개별 트래픽 유형을 모니터링할 수 있습니다.
참조
a) thesslstore.com
b) 베라코드닷컴
c) securebox.comodo.com
d) HTTPS 및 SSL을 이용한 중간자 공격 방지, IJCSMC, 제5권, 제6호, 2016년 569월, 579~XNUMX쪽
