무선 네트워크 보안 위협요소

▶ 채널(Channel)
• 도청이나 재밍에 훨씬 취약
• 무선 네트워크는 일반적으로 브로드캐스팅 통신시 유선 네트워크보다
취약
▶ 이동성(Mobility)
• 실제로 사용하는 무선 장치는 유선 장치보다 휴대가 간편하고 이동이
수월. 이런 이동성 때문에 여러 가지 위협 발생
▶ 자원(Resources)
• 스마트폰이나 태블릿 같은 일부 무선 장치는 정교한 운영체제를 가지
고 있는데, 메모리와 프로세싱 자원이 제한적
• 서비스 거부 공격이나 악성 소프트웨어 위협에 대처 어려움
▶ 접근성(Accessibility)
• 센서나 로봇 같은 일부 무선 장치는 직접 관리가 어려운 원격지에 있거
나 혹독한 환경에 있다. 이 경우 물리적 공격에 매우 취약

무선 환경의 공격 대상 요소

▶무선 클라이언트
• 셀폰(cell phone), Wi-Fi 기능을 가진 랩톱이나 태블릿, 무선
센서, 블루투스(Bluetooth) 장치
▶무선 접속점
• 유선 LAN이나 WAN에 연결된 셀 탑(cell towers), Wi-Fi 핫스
폿(hotspots)과 무선 접속점
▶전송 매체
• 데이터 전송용 라디오 전파를 전송하는 전송 매체

• 접속점이 공격대상이 됨

무선 네트워크 위협

의도하지 않은 연결(Accidental association)

• 선이 없기때문에 내가 원하지 않는곳에 연결이 되거나

▶악성 연결(Malicious association)
▶애드 혹 네트워크(Ad hoc network)
• 중앙 보안 체계가 없음

• 주변 기기끼리 네트워크 구성
  ▶비전형적 네트워크(Nontraditional network)
  • PAN, BT, sensors
• 노드들 끼리만 네트워크 구성
  ▶신원 도용(Identity theft) (MAC 스푸핑)
  ▶중간자 공격(Man-in-the middle attack)
• 무선일 경우에는 내가 접속한게 내가 의도한 상대인지, 해커인지 알수가 없음. 더 문제가 됨
  ▶서비스 거부 공격(DoS: Denial of service)
• 리소스랑 관련.
  ▶네트워크 인젝션(Network injection)
  • 접속점에 대한 가짜 재설정 명령 등

무선 보안 방안

▶무선 전송 보안
▶무선 접속점 보안
▶무선 네트워크 보안

무선 전송 보안

▶위협
• 도청 (C)
• 메시지 변경 및 삽입 (I)
• 통신 방해 (A)

• CIA 가 역시나 적용

▶대응 방안
• 신호-은닉 기술

• SSID 브로드 캐스팅 끄기 (이름 알고 있는 사람만 접속 가능하게)
• SSID에 암호화된 이름 붙이기 (와이파이 이름)
• 신호 강도 줄이기 (원격에서 도청을 못하게)
• 건물 내부 쪽으로 설치
• 지향성 안테나와 신호-차단 기술 활용 (밖으로 나가지 않게 하는것)
  • 암호화

무선 접속점 보안

▶위협
• 불법 네트워크 접근
▶대응 방안
• IEEE 802.1X

• 포트-기반 네트워크 접근통제
• 무선네트워크 접속 시도 장비 인증 메커니즘

무선 네트워크 보안

1. 암호사용
2. 안티바이러스와 안티스파이웨어 소프트웨어와 침입차단
   시스템
3. 식별자 브로드캐스팅 모드 끄기
4. 라우터 디폴트 식별자 변경
5. 사전 세팅 라우터 관리자 패스워드 변경

• AP 들을 스캔해서 디폴트 id,pw 를 다 넣는 중국애들

6. 오직 허가된 MAC 주소를 가진 기기 만 통신할 수 있게
   설정
   -> MAC spoofing 이 가능해서 효과가 제한적 (프로그램 하나만 깔면되서 되게 쉽게 뚤림)

7.2 모바일 장치 보안

▶ 스마트폰 사용 이전 조직 컴퓨터 및 네트워크 보안 패러다임 (기존)
• IT에 대한 완벽한 통제
• 사용자 장치는 대체로 윈도우 PC
• 비즈니스 응용프로그램도 IT 부서에서 통제
• 네트워크 보안은 신뢰영역과 비신뢰영역 사이에서 구현

스마트폰 사용 후 환경 변화

▶새로운 장비 사용 증대(Growing use of new devices)
• 모바일 기기 증대
▶클라우드-기반 응용 프로그램(Cloud-based applications)
• 모바일 가상 서버, 클라우드 서버 활용
▶경계 붕괴(De-perimeterization)
• 기기, 응용프로그램, 사용자, 데이터에 대한 다수의 네트워크 경계가
다이나믹하고 수시로 변경
▶외적 비즈니스 요구(External business requirements)
• 장소 구애 없어지고 게스트나 비즈니스 파트너도 네트워크 접근 허가
필요

모바일 기기 보안 전략

▶기기 보안
▶클라이언트/서버 트래픽 보안
▶장벽 보안

기기 보안

▶BYOD(Bring-your-own-device) 정책
• 자신의 단말로 조직 서비스에 접속

• 자기 노트북으로 접속하는거
  ▶IT 관리자
  • 네트워크 접속 허락 전 각 기기 조사
  ▶IT 센터
  • 운영체제와 응용 프로그램 설정 가이드라인 제시

BYOD 보안 통제 (직원이 가져온 개인 컴)

▶자동 잠금(auth-lock)을 활성화
▶패스워드와 PIN 보호를 활성화

• 내 PC지키미(공공기관에서 체크리스트)
  ▶자동-완성 기능을 배제
  ▶원격 제어기능을 활성화
  ▶TLS 보호 기능이 있다면 반드시 활성화
  ▶소프트웨어 최신 상태 유지
  ▶안티바이러스 소프트웨어 설치
  ▶민감 데이터 모바일 기기에 저장하지 않고 저장하려
  면 암호화

BYOD 보안 통제

▶기기를 불능화할 수 있는 권한 확보

• 아이폰에서 벽돌로 만들어버리는 기능
  ▶3자의 응용 프로그램 설치 금지
  • 허용목록(whitelisting) 구현
  • 보안 샌드박스(sandbox) 구현
  • 허용목록 상 모든 응용 프로그램은 반드시 신뢰된 기관의 공
  개 키 인증서로 디지털 서명
  ▶클라우드 기반 저장소 접속 가능 기기 규정
  ▶인적 요소에 대한 교육 훈련 및 모바일 기기 카메라
  비활성화
• 군대에서 스티커 붙이는거. ex) MDM
  ▶위치 서비스 비활성화

트래픽 보안

▶암호와 인증 메커니즘에 토대하여 실시
▶모든 트래픽을 TLS나 IPv6처럼 암호화하여 안전한
상태로 전송
▶가상 사설망(VPN: Virtual private network) 활용
▶강력한 인증 프로토콜 사용
• 이중 인증 메커니즘 활용

장벽 보안

▶보안 메커니즘 구비
▶침입차단시스템 정책 수립
• 모든 모바일 기기의 데이터 및 응용프로그램 접근 범위 제한
▶침입 탐지 및 침입예방시스템 설정
• 모바일 트래픽 통제

7.4 IEEE 802.11I 무선 LAN 보안

▶무선 LAN의 특징
• 다른 장비의 통신 범위 내에 들어오는 모든 지국은 송신이 가능
• 무선 신호 범위에 들어 있는 모든 지국은 수신이 가능

무선 LAN의 보안

▶ 무선 LAN의 경우에 강한 보안 서비스와 보안 메커니즘이 필요
▶ 원래 802.11 규격에 명시된 프라이버시와 인증을 위한 보안 기능
은 매우 취약
▶ 802.11
• WEP(Wired Equivalent Privacy) 알고리즘 정의 => 약함.
▶ 802.11i 작업 그룹
• WEP 개발 이후 WLAN 보안 문제를 해결하기 위해 여러 가지 기능을 개발
▶ Wi-Fi 연합
• Wi-Fi 표준 WPA(Wi-Fi Protected Access)를 공표 =>요즘 사용
▶ RSN (Robust Security Network)
• 최신 802.11i 표준 버전

IEEE 802.11I 서비스와 프로토콜

• 암호화를 하기 위해서 TKIP(구식),CCMP (최신) 방식 사용

IEEE 802.11I 동작 단계

예시

• Wi-Fi 네트워크에 연결을 시도하는 새 장치를 상상해 보십시오.

• 1. 먼저 사용 가능한 네트워크와 해당 보안 프로토콜을 검색합니다.
• 2. 네트워크를 선택하면 자신을 인증하여 신원을 증명합니다.
• 3. 인증에 성공하면 장치와 네트워크는 통신을 보호하기 위해 암호화 키에 동의합니다.
• 4. 마지막으로, 이러한 키를 사용하여 장치와 네트워크 간에 전송되는 모든 데이터가 암호화되므로 다른 사람이 쉽게 읽거나 변조할 수 없습니다.

• 탐색-인증-키관리(associate)

• 연결을 중단하면 AP랑도 연결이 끊김

---

IEEE 동작단계 총정리

1. 검색 단계:

네트워크 검색: 클라이언트(무선 장치)가 사용 가능한 무선 네트워크를 검색합니다. AP(액세스 포인트)에서 브로드캐스팅하는 SSID(Service Set Identifier)를 기반으로 네트워크를 식별합니다.
인증 요청: 클라이언트가 네트워크를 선택하면 AP에 인증 요청을 보냅니다. 이는 초기 접촉을 설정하기 위한 기본적이고 비보안 교환인 "개방형 시스템 인증" 프로세스의 일부입니다.
인증 응답: AP가 이 요청에 응답하여 인증을 확인합니다. 이 초기 인증은 아직 안전하지 않습니다.

연합 단계:

Association Request: 클라이언트는 기본 인증 후 AP에 Association 요청을 보냅니다. 이 요청에는 클라이언트의 기능과 요구 사항이 포함되어 있습니다.
연관 응답: AP가 연관 응답으로 응답합니다. 연결이 성공하면 이제 클라이언트가 연결되었지만 아직 인증되지 않았으며 네트워크 액세스가 여전히 제한됩니다.
이 시점에서 802.1X 제어 포트는 실제로 차단됩니다. 이는 클라이언트가 AP 외부의 네트워크 리소스에 액세스할 수 없음을 의미합니다.

인증

인증 단계(802.1X 인증):

여기서는 IEEE 802.11i 강력한 보안 네트워크(RSN)가 작동합니다.
802.1X/EAP 교환: 클라이언트와 AP가 EAP(확장 인증 프로토콜) 교환에 참여합니다. 이 프로세스에는 클라이언트 자격 증명의 유효성을 검사하기 위한 인증 서버(예: RADIUS 서버)가 포함됩니다.
동적 키 교환: EAP 인증이 성공한 후 클라이언트와 AP는 키 교환(일반적으로 WPA/WPA2의 4방향 핸드셰이크)을 수행하여 설정합니다.

키관리

PMK(Pairwise 마스터 키) 파생:

PMK는 사전 공유되거나(WPA-Personal에서와 같이) 인증 서버에서 파생됩니다(802.1X/EAP를 사용하는 WPA-Enterprise에서와 같이).
WPA-Enterprise에서 PMK는 EAP 인증 프로세스에서 파생됩니다.
4방향 핸드셰이크:

이 프로세스는 PMK에서 PTK(Pairwise Transient Key) 및 GTK(Group Temporal Key)를 생성하는 데 사용됩니다.
메시지 1: AP가 클라이언트에 nonce(ANonce)를 보냅니다.
메시지 2: 클라이언트는 PMK로 암호화된 정보를 포함하여 자체 nonce(SNonce) 및 MIC로 응답합니다.
메시지 3: AP는 GTK를 전송하고 PMK로 암호화된 PTK를 확인합니다.
메시지 4: 클라이언트는 GTK를 승인하고 PTK를 확인합니다.
이러한 교환을 통해 유니캐스트 통신을 보호하기 위해 PTK가 설정되고, 브로드캐스트 및 멀티캐스트 트래픽을 위해 GTK가 설정됩니다.
그룹 키 핸드셰이크:

이는 GTK를 업데이트하고 인증된 모든 클라이언트가 브로드캐스트 및 멀티캐스트 트래픽을 해독하기 위한 최신 GTK를 갖도록 보장하기 위한 것입니다.
AP는 인증된 모든 클라이언트에게 새로운 GTK를 보내고 클라이언트는 수신을 확인합니다.
주요 용도:

PTK는 클라이언트와 AP 간의 유니캐스트 프레임을 보호하는 데 사용됩니다.
GTK는 AP에서 모든 클라이언트로의 브로드캐스트 및 멀티캐스트 프레임을 암호화하는 데 사용됩니다.
키 갱신 및 관리:

보안을 유지하려면 키는 b이어야 합니다.

안전 데이터 전송

데이터 암호화:

키가 설정되면(유니캐스트의 경우 PTK, 브로드캐스트/멀티캐스트의 경우 GTK) 클라이언트와 액세스 포인트(AP) 간에 전송되는 데이터 프레임이 암호화됩니다.
사용되는 암호화 방법은 보안 프로토콜(예: WPA의 TKIP 또는 WPA2의 AES)에 따라 다릅니다.
프레임 전송:

클라이언트가 AP로 데이터를 보낼 때 PTK를 사용하여 프레임을 암호화합니다.
여러 클라이언트(예: 브로드캐스트 또는 멀티캐스트)를 위한 데이터의 경우 AP는 GTK를 사용하여 프레임을 암호화합니다.
데이터 수신 및 암호 해독:

암호화된 프레임을 수신하면 수신자는 적절한 키(유니캐스트의 경우 PTK, 브로드캐스트/멀티캐스트의 경우 GTK)를 사용하여 데이터를 해독합니다.
이렇게 하면 승인된 당사자만 메시지 내용을 읽을 수 있습니다.
무결성 검사:

암호화된 각 프레임에는 전송 중에 변조되지 않았는지 확인하기 위한 무결성 검사 정보가 포함되어 있습니다.
이는 일반적으로 수신자가 프레임의 무결성을 확인하는 데 사용하는 MIC(메시지 무결성 코드)를 사용하여 수행됩니다.

---

1. IEEE 802.11I 동작단계(탐색)

• 클라이언트(또는 STA)가 무선 액세스 포인트(AP)를 찾아서 연결할 수 있는지 확인하는 단계

예시

• 1. 스마트폰에서 Wi-Fi를 켰을 때, 스마트폰은 주변에 있는 무선 액세스 포인트(AP)를 검색합니다.

• 이때, 스마트폰은 AP의 신호 세기, 채널 정보, 보안 설정 등을 고려하여 가장 적합한 AP를 선택합니다.

• 2. 선택된 AP에 접속하기 위해서는, 이후에 IEEE 802.11I 동작단계(인증)과정을 거쳐야 합니다.

• 이 단계에서는 클라이언트가 AP에 접속하기 위한 인증 과정을 수행하게 됩니다.

• 대부분의 보안 매커니즘은 TLS 같이 이렇게 함.

• 정해놓은 규격만 접속하는게 아니니까 자기가 가능한거 알려주고 그거 중에 선택하는 방식

2. IEEE 802.11I 동작단계(인증)

• 인증이 다되면 키교환
• 개방형 시스템 인증:

이는 초기 단계이며 본질적으로 null 인증 프로세스입니다. 이는 클라이언트(STA - 스테이션)와 액세스 포인트(AP) 간의 공식적인 핸드셰이크에 가깝습니다.
클라이언트는 인증 요청을 보내고 AP는 인증 응답으로 응답하여 이 단계의 성공을 나타냅니다.
액세스 포인트와의 연결:

최초 인증 후 클라이언트는 AP와의 연결을 시도합니다. 여기에는 연결 요청을 보내는 클라이언트와 연결 응답으로 응답하는 AP가 포함됩니다.
4방향 핸드셰이크(WPA/WPA2 인증):

WPA(Wi-Fi Protected Access) 또는 WPA2 프로토콜을 사용하여 실제 RSN(강력한 보안 네트워크) 인증이 이루어지는 곳입니다.

PMK(Pairwise Master Key): 사전 공유 키(PSK) 또는 802.1X/EAP(확장 가능 인증 프로토콜) 교환을 통해 설정됩니다.

4방향 핸드셰이크 프로세스:

메시지 1: AP가 클라이언트에 nonce(ANonce)를 보냅니다.
메시지 2: 클라이언트는 인증, 연결 및 협상 정보를 포함하여 모두 PMK로 암호화된 MIC(메시지 무결성 코드)와 함께 Nonce(SNonce)를 생성하여 AP로 다시 보냅니다.
메시지 3: AP는 키를 확인하고 PMK로 암호화된 그룹 임시 키(GTK)를 보냅니다.
메시지 4: 클라이언트는 GTK를 승인하고 암호화된 세션의 설정을 확인합니다.
그룹 키 핸드셰이크:

이는 네트워크의 모든 사람이 멀티캐스트 및 브로드캐스트 트래픽을 해독할 수 있도록 AP가 인증된 모든 클라이언트에 새로운 GTK를 보내는 브로드캐스팅 및 멀티캐스팅에 사용됩니다.

네트워크와 보안 기능 탐색

▶STA
• 통신할 때 사용할 네트워크 존재를 확인
▶AP
• 주기적으로 RSN IE(Robust Security Network Information
Element)로 표현된 자신의 보안 기능을 Beacon 프레임을
통해 특정 채널로 브로드캐스트
• 지국의 Probe Request에 대해 Probe Response 프레임으
로 응답

개방 시스템 인증

▶IEEE 802.11 장비와의 하위 호환성
• 이 프레임 순서는 보안을 제공하지 않음
• 목적은 기존의 IEEE 802.11 하드웨어와의 호환성
▶핵심
• 두 장치(STA와 AP)는 단순히 식별자만 교환

연관 (ASSOCIATION)

▶ 목적
• 앞으로 사용할 보안 기능에 대한 합의
▶ STA는 AP로 ‘Association Request’프레임 전송
▶ STA는 AP가 브로드캐스트한 도구 중 자신이 매칭해서 사용할 수 있는
보안 도구를 이 프레임에 명시
• 매칭 도구

• 하나의 인증 및 키 관리 도구
• 하나의 암호 도구 쌍
• 하나의 그룹 키 암호 도구
  ▶ AP의 연관요청 거부
  • AP와 STA 간에 공통적으로 존재하는 도구가 없을 경우
  ▶ STA의 연관 거절
  • 정당하지 않은 AP와 연관이 될 경우
  • 채널에 정상적이지 않은 프레임 발견

2. 인증 단계

▶ 인증 단계를 통해 STA와 DS 내부 인증 서버(AS)는 상호 인증
▶ 인증을 통해 인증된 지국만 네트워크를 사용할 수 있도록 한다
▶ STA도 자신이 정당한 네트워크 내에서 통신하고 있음을 확인.

AS가 요청자 인증하기

▶ 인증자 역할
• 요청자와 AS간에 제어나 인증 메시지 전달
▶ 802.1X 제어 채널 (=통제안된 포트) 열린 상태
▶ 802.11 데이터 채널 (=통제된 포트=제어된 포트)은 막힌 상태
▶ 요청자를 인증하고 키를 제공
▶ 인증자는 요청자에게 사전에 정의된 네트워크 접근제어 제한
허용범위 내에서 데이터를 요청자에게 전송

EAP 교환

▶EAP(EAPOL: EAP over LAN) 프로토콜
• STA와 AP간의 메시지 전달
▶원격 인증 전화접속 사용자 서비스(RADIUS: Remote
Authentication Dial In User Service) 프로토콜
• AP와 AS 간의 메시지 전달

• 인증이 되고나면 키 교환이 되는데

3. 키 관리 단계

▶다양한 암호 키가 생성되고 STA로 분배
▶분배되는 키
• 한 쌍의 pairwise 키

• STA와 AP 간에 사용
  • 그룹 키
• 멀티캐스팅 통신에 사용
  

IEEE 802.11I 키 계층(쌍별 (PAIRWISE) 키 계층)

• 원래 정의된 키를 사용할 수 있고(사전공유키) ,인증을 성공하면 AAA키를 받음
• 더 긴 임시키를 만들어내고, 그 중 일부를 잘라서 키 확인키, 암호화키, 임시키로 사용한다.

4. 안전 데이터 전송 단계

▶IEEE 802.11i에는 802.11 MPDU를 전달하기 위한 두
가지 시스템을 정의
• 임시 키 무결성 프로토콜(TKIP: Temporal Key Integrity
Protocol)
• 카운터 모드-CBC MAC 프로토콜(CCMP: Counter ModeCBC MAC Protocol)

TKIP (옛날식)

▶WEP에서 소프트웨어만 수정해서 동작할 수 있도록 설계
▶TKIP 두 가지 서비스
• 메시지 무결성(Message Integrity): Michael 알고리즘

• 입력값 : 목적지 MAC 주소, 데이터 필드, 키 값
• 출력: 64비트
  • 데이터 기밀성(Data Confidentiality)
• MPDU와 MIC를 RC4로 암호화

CCMP(요즘)

▶2 가지 서비스
• 메시지 무결성:

• CCMP는 암호 블록 체인 인증 코드(CBC-MAC: Cipher-block-chaining Message
  Authentication Code)를 사용
  • 데이터 기밀성:
• CCMP는 AES의 CTR 블록 암호 모드를 사용
  ▶무결성과 기밀성 보호를 위해 128비트 AES 키 한 개 사용

---

파이어월

▶ premises network (자체 네트워크)과 인터넷 사이에 배치되어 경계(perimeter)를
형성
• On-premise : 클라우드 이용과 반대, 자체 전산실 서버에 직접 설치해 운용

▶ perimeter 는 Internet-based attacks을 방어하는 a single choke point
▶ a single computer 또는 a set of two or more systems

• 한대컴퓨터 or 두개 이상

파이어월 정책

▶IP Address and Protocol Values
• source or destination addresses and port numbers
• direction of flow
▶Application (Protocol)
• 허용하는 프로그램
▶User Identity
• IPSec 등의 인증 메커니즘과 결합하여 사용자 id 기반 접근 :
일반 접근제어

• 접근제어 자체를 파이어월을 통해 할 수 있다.

▶Network Activity
• 시간 대 등

• 서버를 한대 파는데 서버 안에 저런 기능들이 탑재

BASTION HOST

▶application-level or circuit-level proxy
▶특징
• Secure OS에서 동작
• 네트워크 관리자만 이용
• 각 proxy는 일부 기능 만 수행
• 각 proxy는 일부 서버만 담당
• Audit을 강화, 모든 traffic을 로깅 하는 등

파이어월 구성 예

• premises network (자체 네트워크)과 인터넷 사이에 배치되어 경계(perimeter)를 형성

Perimeter 보안

• 기업이나 조직의 네트워크를 외부로부터 보호하기 위한 중요한 보안 방식으로, 외부 공격을 방어하기 위해 네트워크를 외부와 분리합니다. => 네트워크가 복잡해지고, 외부와 내부의 경계가 모호해지면서 제로 트러스트 등장

• 외부 방화벽으로 일차로 거르고

• 안쪽에는 웹서비스를 안하니까 80포트도 안열고 거의 막아놓음

• 두개 파이어월 사이에 DMZ

제로 트러스트

▶Perimeter 보안과 반대
▶모든 접근에 대해 (강화된) 인증과 접근제어 + 플랫폼 보안

• 장벽을 믿지말고 각자 알아서 보안하기

• 유저에 대한 인증 뿐만아니라 머신도 장치가 꽂혀있는 애들끼리 인증
• '타이탄' 하드웨어 내에 암호화된 상태로 저장. HSM(하드웨어 시큐리티 모듈). 키랑 암호 알고리즘은 안에만 있어서 + 안전한 공간이 안에 있어서, 외부에서 꺼내 볼 수 없다.
• 부팅을 맨 처음에 하는 단계부터 os가 신뢰를 쌓을 수 있는데 (root of trust) -> 저런 하드웨어 장치를 사용.(시스템 보안)

---

실습

규칙
▶조회

ufw show raw | grep 21

또는

ufw status verbose

▶번호 조회

ufw status numbered

▶규칙의 삭제

ufw delete 1

▶전체 삭제 = inactive

ufw reset

sudo ufw enable # inactive -> active

• rule 들을 default 룰로 되돌리는게 reset

ufw status
ufw enable

ufw allow 21 => udp 까지 오픈되어있었음
ufw allow ftp 하면 => tcp만 허용이됨.

ufw deny 21 하면 => 21번 전체는 deny but 21/tcp 는 allow

=> 완전히 상충이 되면 번호가 낮은게

상충되는 규칙 : 덮어 씀

ufw deny 21/tcp

▶범위가 다른 규칙: 번호가 낮은 규칙이 적용됨(방화벽마다 다름)

FROM, TO
▶ 포트번호 범위

# ufw allow 21:30/tcp # tcp port 21~30

▶ 특정 IP 만 허용

• ufw allow from <ip address> to <protocol> port <port number>.
  
#### ufw allow from 192.168.33.1 to any port 21.

▶ Rule을 낮은 번호로 insert (번호 지정)

#### ufw insert 1 allow from 192.168.33.1 to any port 21

ufw allow 21/tcp

과제 1: reset 후에 enable (시험에 나올 수도)

ufw deny 21 실행 후 (디나이 한 후)

ftp (tcp) 접속을 허용하도록 rule 추가 후
rule 조회 (현재 룰)
• 상기 명령 전체 실행 화면을 캡처 1.jpg

• 4번 21번에 192.168.77.1 allow
• ufw insert 1 allow from 192.168.77.129 to any port 21

---

APP 단위

▶ App list

# ufw app list
# ufw CUPS # list에 포함된 app

▶ App 편집 : /etc/ufw/applications.d/app이름
▶ 반영

# ufw reload

▶ App 단위 허용

# ufw allow vsftp

vi /etc/ufw/applications.d/vsftpd

[vsftp]
title =vsftpd
description=vsftpd ..
ports=21/tcp

후에 ufw reload 로 반영시키고

ufw allow vsftp 허용.

---

GPT 로 만든 객관식

모바일 기기 보안 측면에서 BYOD(Bring Your Own Device) 정책의 핵심 측면은 무엇입니까?

a) 개인 기기의 사용 제한
b) 개인 장치가 회사 보안 정책을 준수하는지 확인
c) 외부망 이용 금지
d) 회사 리소스에 대한 무제한 액세스

• 업무 관련 목적으로 사용되는 개인 장치가 회사 보안 정책을 준수하는지 확인하는 것입니다.
• 여기에는 직원이 회사 데이터와 네트워크 리소스를 사용할 수 있도록 허용하는 동시에
• 회사 데이터와 네트워크 리소스를 보호하기 위해 개인 장치에 대한 보안 조치 및 제어 구현이 포함됩니다.

무선랜에서 IEEE 802.11i 표준의 주요 기능은 무엇입니까?

a) 데이터 전송 속도를 높이기 위해
b) 강력한 보안 메커니즘을 제공하기 위해
c) 네트워크 설정을 단순화하려면
d) 네트워크 인프라 비용 절감

네트워크 보안에 방화벽을 사용하는 주요 목적은 무엇입니까?

a) 네트워크 속도를 높이려면
b) 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하기 위해
c) 데이터를 안전하게 저장하기 위해
d) 네트워크 장치의 물리적 보안을 강화하기 위해

• 방화벽은 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에 장벽을 설정하고 네트워크 패킷을 필터링 및 검사하여
• 미리 정의된 보안 규칙 및 정책에 따라 트래픽을 허용하거나 차단하도록 설계되었습니다.

다음 중 무선 액세스 포인트 보안 대책이 아닌 것은?

a) SSID 브로드캐스트 활성화
b) IEEE 802.1X 구현
c) 신호 강도 감소
d) 지향성 안테나 사용

• SSID 브로드캐스트를 비활성화(와이파이 이름 비활성화)하는 것은 네트워크가 일반 사용자에게 덜 눈에 띄게 만들고 WPA/WPA2 암호화 및 강력한 비밀번호와 같은 더 강력한 보안 조치를 장려하는 일반적인 보안 관행입니다.

주관식

무선 네트워크 환경의 보안 문제에 대해 논의하고 이러한 위험을 완화하기 위한 효과적인 전략을 간략하게 설명합니다.

보안문제

• 무선 네트워크는 브로드캐스트 특성으로 인해 무단 액세스, 데이터 가로채기와 같은 고유한 보안 문제에 직면해 있습니다.

문제 완화 전략

• WPA2 또는 WPA3과 같은 강력한 암호화 프로토콜 사용, 네트워크 액세스 제어 구현, 정기적인 펌웨어 업데이트, 안전한 데이터 전송을 위한 VPN 사용, 승인되지 않은 액세스 포인트 또는 장치에 대한 네트워크 모니터링 등이 포함됩니다.

네트워크 보안에서 방화벽의 역할과 중요성을 설명합니다.

방화벽이란

• 미리 결정된 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 제어하기 위한 네트워크 보안에 매우 중요합니다.

• 이는 신뢰할 수 있는 내부 네트워크와 인터넷과 같은 신뢰할 수 없는 외부 네트워크 사이의 장벽 역할을 합니다.

• 실제 시나리오에서 방화벽은 합법적인 통신을 허용하면서 무단 액세스를 차단하도록 구성됩니다.

• 적절한 관리에는 방화벽 규칙을 정기적으로 업데이트하고, 로그에서 비정상적인 활동을 모니터링하고, 네트워크 요구 사항과의 호환성을 보장하는 것이 포함됩니다.

무선 시스템 고유의 취약성에 초점을 맞춰 무선 네트워크 보안을 위한 과제와 전략을 논의합니다.

• 도청 및 무단 액세스와 같은 고유한 취약점을 해결해야 합니다.
• 전략에는 강력한 암호화(WPA2/WPA3) 사용, 정기적인 펌웨어 업데이트, 방화벽 및 침입 탐지 시스템 배포, 강력한 인증 메커니즘 구현이 포함됩니다.

대응 방안

• 네트워크 분할, SSID 브로드캐스팅 비활성화
• 원격 액세스를 위한 VPN 사용

IEEE 802.11i의 다양한 작동 단계를 무선 네트워크에 제공하는 보안 향상 기능에 초점을 맞추어 설명하십시오.

• 이는 사용자나 장치를 확인하는 강력한 인증 프로세스로 시작됩니다.
• 인증 후 AES와 같은 강력한 암호화 프로토콜을 사용하여 보안 통신 채널을 설정합니다.
• 그런 다음 4방향 핸드셰이크 메커니즘을 사용하여 암호화 키를 확인하고 보안 연결의 무결성을 보장합니다.
• 이 프로세스는 무단 액세스를 방지하고 데이터 도청 및 변조로부터 보호함으로써 무선 네트워크의 보안을 크게 향상시킵니다.

네트워크 보안에서 '제로 트러스트'의 개념과 무선 네트워크 환경에서의 적용에 대해 토론하세요.

• "절대 신뢰하지 않고 항상 검증하라"는 원칙에 따라 운영됩니다.
• 이는 이미 네트워크 경계 내부에 있는 장치나 사용자를 포함하여 어떤 장치나 사용자도 자동으로 신뢰하지 않기.
• 이 접근 방식은 네트워크 내에서 무단 액세스 및 측면 이동의 위험을 최소화하므로
• 무선 연결이 공격자에게 수많은 잠재적 진입점을 제공하는 환경에서 특히 효과적입니다.