'무선랜'에 해당되는 글 3건

  1. 2010.04.29 무선랜 보안
Network2010. 4. 29. 02:08
반응형

무선랜 보안
 무선랜 해킹의 이점
첫째 무선으로 접속하게 모든 보안 제품을 우회할 수 있다. 무선으로 엔드 단에 클라이언트(사무실 노트북)에 직접 접근가능하므로 기존 방화벽, IDS, IPS 심지어 메일 필터와 웹 필터같은 콘텐츠 보안 솔루션들까지 모든 보안 솔루션을 우회할 수 있다.
둘째, 침입 경로를 남기지 않는다. 유선으로 내부에 침입하게 되면 시스템에 모든 로그를 지운다고 하더라도 라우터, 스위치 등 지나가는 경로마다 어디를 통해서 침입했는지를 남기게 되는데, 무선을 이용하면 엔드단에서 시스템에 직접 접근하므로 이를 최소화하거나 남기지 않을 수 있다.
셋째, 해커에 물리적 위치를 숨길 수 있다. 해커가 해킹 도중 역추적을 당하더라도 최종 위치는 해커가 접속해 있는 AP까지 밖에 파악할 수 없다. 또한 해커가 워 드라이빙(War-driving: 무선랜 AP를 위치를 지도에 표시)을 통해 AP를 옮겨 다니며 해킹을 하게 되면 역추적은 현실적으로 불가능해진다.
마지막으로 취약한 많은 무선랜 인프라들을 들 수 있다. 네스팟, 애니웨이와 같은 무선랜을 이용한 공중망 서비스부터 유무선 공유기 이르기까지 수많은 무선랜 인프라들이 존재하고 이들 대부분이 보안에 취약하기 때문이다. `06년 4월에 실시한 무선랜 보안 실태 조사 결과에 따르면 조사 대상 4천여 클라이언트와 500여 AP 중 안전한 64%가 전혀 보안이 되어 있지 않는 오픈 시스템이 있었고, 34%는 크래킹(Cracking)이 가능한 WEP를 사용하고 있다. 그리고 단 2% 만이 안전한 802.1x나 WPA를 쓰고 있는 것으로 나타났다


무선랜 해킹 기술
무선랜 해킹은 AP를 통해 내부망으로 침투해 내부의 주요 서버를 공격하거나 무선랜의 클라이언트(사용자 노트북)의 정보를 해킹하는 것을 주요 목표로 한다.
ESSID를 브로캐스트하는 경우 액티브 프로빙을 통해 해당 AP를 찾을 수 있다. 액티브 프로빙을 하는 방법은 여러 가지가 있다. 공개된 툴을 사용할 수도 있고 OS에서 지원하는 툴을 사용할 수도 있다. 우선 가장 손쉬운 방법으로는 윈도 XP에 설치된 와이어리스 제로 컨피그레이션 서비스(Wireless Zero Configuration Service)를 이용할 수 있다 <그림 1 참조>. 사용할 수 있는 무선 네트워크 목록이 액티브 프로빙을 통해 얻어지는 결과값이다. 목록에서 암호화가 걸려 있지 않은 AP를 선택하면 바로 접속이 이뤄진다.
공개된 툴은 윈도용으로 넷스템블러(Netstumbler)가 가장 유명하며 PDA용으로 미니스템블러(Ministumbler)도 있다. 리눅스용으로 제작된 툴들은 더욱 종류가 많으나 대표적인 것으로 디스텀블러(DStumbler)가 있다. 이러한 툴들은 지속적으로 사이트 서베이(Site Survey)를 통해 암호화가 걸려있지 않은 AP들을 찾아낸다. 또 다른 방법은 WNIC 제조사에서 제공하는 유틸리티를 이용하는 방법이 있다. 대부분의 경우 제조사에서 제공하는 유틸리티에서 액티브 프로빙 기능이 포함되어 있으므로 이를 이용할 수 있다.


네트워크 침투
일단 접속할 AP를 찾은 경우, 해당 AP로의 접속은 별도의 절차 없이 이뤄진다. AP에 접속한 이후 인터넷 상에서 쉽게 구할 수 있는 패킷 스니퍼 프로그램을 이용해 ARP(Add-ress Resolution Protocol) 패킷이나 DHCP (Dynamic Host Configuration Protocol) 패킷 등을 확인할 수 있다. 대표적인 툴로는 이더리얼(Ethereal) 등이 있다.
리눅스에서는 키스멧와이어리스(Kismet Wire less) 프로그램을 이용하면 해당 AP에서 찾을 수 있는 IP 주소 대역을 바로 찾아 주기도 한다. ARP 패킷을 분석하면 현재 해당 AP에서 사용하는 사용자들의 IP 주소가 보이게 되므로 이를 이용하여 IP를 도용할 수 있다.
DHCP를 이용해 IP 주소를 동적으로 할당하는 경우에는 그냥 접속하면 IP 주소를 바로 할당 받을 수 있다. DHCP 사용여부는 스니퍼에서 DHCP 리스폰스(Response) 패킷이 수집되면 사용한다고 가정한다.
일단 적합한 IP 주소를 확보하면 망에 침투할 수 있는 여건은 마련된 셈이다. 이후의 공격은 해당 AP에 접속한 사내 사용자와 같은 권한이므로 네트워크 내의 다른 호스트나 사용자 PC를 여러 형태로 공격할 수 있다.


패킷 스니핑
네트워크에 침투할 수 있는 여건이 마련되고 나면 무선랜 사용자가 사용하고 있는 응용프로그램 정보와 사용자 ID/패스워드를 얻기 위해 패킷 스니핑을 수행한다. 무선랜 패킷 스니핑을 하기 위해서는 별도의 툴이 필요한데 윈도용으로는 에어로피크(AiroPeek)나 스니퍼 와이어리스(Sniffer Wireless) 등을 이용할 수 있고, 리눅스에서는 키스멧와이어리스 혹은 이더리얼 등을 사용할 수 있다.
리눅스에서는 WNIC의 칩셋 벤더에 따라 RF 모니터 모드를 지원하는 경우가 있는데 RF 모니터 모드를 이용할 경우 원하는 채널 혹은 전 채널에서 패킷 스니핑이 되므로 사용자가 사용하는 모든 데이터를 수집할 수 있다.
패킷 스니핑을 통해 암호화를 하지 않는 응용 프로그램들은 ID와 패스워드를 바로 알아 낼 수 있다. 예를 들어 웹 사이트 로그인 데이터, 웹 메일 로그인, 혹은 POP3 이메일 계정 등 그리고 암호화가 이뤄지는 경우라도 취약점이 알려진 경우라면 수집한 패킷을 이용해 오프라인에서 부트 포스(Brute-Force) 공격이나 딕셔너리(Dictionary)공격 등을 통해 ID와 패스워드를 알아낼 수도 있다.


무선랜 클라이언트에 대한 공격
동일한 AP에 접속되어 있는 무선 클라이언트에 대한 공격은 유선 네트워크를 통하지 않고서도 가능하다. AP의 역할은 일종의 허브와 비슷한 역할을 수행하는데 동일 AP에 접속된 클라이언트끼리의 통신은 AP에서 바로 중계하는 경우가 많아서 직접적인 공격의 대상이 될 수 있다. 클라이언트를 공격하기 위해 AP 이용하지 않고 집적 연결하는 방식도 있다.
공격자가 AP를 가장해 사용자 접속을 유도하는 방식인데 페이크(Fake) AP가 사용된다. 페이크 AP는 랜카드 하나로 수십개의 가상AP를 만들어 낼 수 있는 툴이다. 이 외에도 AP와 클라이언트 중간에서 정보를 가로 채거나 수정해 전달하는 맨 인 더 미들(Man-in-middle) 공격 방식도 있다.


WEP 크래킹
WEP, WPA와 같은 표준기반에 암호화 통신을 크래킹하는 공격들이다. 이들 공격 방식은 대부분 RC4 알고리즘의 취약점으로 인해 특정한 조건에서 암호화 키를 복구할 수 있는 프로그램들을 이용한다.
이러한 프로그램들 중 대표적인 프로그램이 에어스노트(Airsnort)와 WEP 크랙이다. 에어스노트나 WEP 크랙을 이용하면 WEP 알고리즘으로 암호화된 데이터 트래픽을 충분히 모아서 WEP 키를 알아낼 수 있다. 일단 WEP 키를 알아내면 패킷 스니핑을 통해 데이터의 수집 및 네트워크 침투가 가능해진다.
 
반응형
Posted by pmj0403