[ISS-035] 출발지 포트 기반의 정책허용

항목 설명

출발지 포트 기반의 정책이 존재하는지 확인

보안 위협

VPN 장비에서 출발지 포트를 기반으로 하는 허용정책을 사용하면, 출발지 포트를 조작하는 공격자가 트래픽을 전송하여 허용되지 않은 접근을 시도할 수 있음

이러한 공격을 '출발지 포트 조작 공격(Source Port Spoofing Attack)'이라고 하는데,  다음과 같은 방식으로 이루어진다.

1) 공격자는 자신의 IP 주소와 포트 번호를 이용하여 가장 최근에 사용한 출발지 포트 번호와 동일한 출발지 포트 번호를 생성.
2) 공격자는 이렇게 생성한 출발지 포트 번호를 이용하여 VPN 장비에 접근을 시도
3) VPN 장비는 출발지 포트 번호를 기반으로 하는 허용 정책을 사용하고 있으므로, 공격자가 생성한 출발지 포트 번호를 허용
4) 공격자는 허용된 출발지 포트 번호를 이용하여 VPN 장비에 접근하고, 이후에는 자신이 원하는 행동을 취할 수 있음

 

출발지 포트 조작 공격을 활용한 공격은 다음 2가지가 있다.

 

1. DNS 쿼리 스푸핑 공격

1) 보통 DNS 쿼리에 대한 응답 패킷은 DNS 서버로부터의 출발지 포트가 고정되어 있음

2) 공격자는 해당 DNS 응답 패킷을 받아들이기 위해, DNS 서버와 동일한 출발지 포트를 사용하여 DNS 응답 패킷을 생성

(공격자가 DNS 쿼리를 위조하는 것과 비슷한 개념으로, 공격자는 DNS 응답 패킷을 위조함으로써 DNS 서버로부터 오는 응답 패킷을 대신할 수 있게 됨)

3) 공격자는 DNS 응답 패킷에 포함된 IP 주소를 변조하여 피해 대상의 호스트에게 전송

4) 피해 대상의 호스트는 이 응답 패킷을 DNS 서버로부터의 유효한 응답으로 인식하고, 해당 IP 주소로부터 해당 도메인 이름에 대한 IP 주소를 받아들임

5)즉, 공격자는 DNS 응답 패킷을 위조하고, DNS 서버로부터 유효하지 않은 응답을 대신하여 피해 대상의 호스트를 속일 수 있음.

 

1.1 DNS 쿼리 스푸핑 공격의 대응방안

DNS 서버에서 출발지 포트를 랜덤화하여 응답 패킷을 전송하는 것이 가장 일반적인 방법이다. 이를 통해 공격자가 출발지 포트를 예측하여 스푸핑하는 것을 어렵게 만든다. 또한, 방화벽 등에서는 출발지 포트를 랜덤화하는 것 외에도, 출발지 IP 주소를 검사하여 정상적인 사용자의 요청인지 판단하는 등의 보안 대책을 추가로 시행할 수 있다.

 

판단 기준

출발지 포트 기반의 정책이 존재할 경우 "취약"으로 판단 

대응방안

1.인증서나 사용자 계정 정보 등을 이용하여 인증을 강화

2. 방화벽 등의 보안 장비를 이용하여 출발지 IP 주소나 출발지 MAC 주소를 검증