이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

1. 목표

- Windows 2003에서 IPSec을 설정하고 통신환경을 구성하여 IPSec의 기능이 수행되는지 확인.

2. 시나리오

- Alice와 Bob이 합법적인 통신을 하는 도중에 공격자가 둘의 패킷 분석을 하려고 한다.

- Alice는 IPSec을 설정하여 공격자의 패킷 분석 공격을 막고 싶다.

- 공격자는 Alice와 Bob사이에 Man In The Middle Attack 형태를 취하고 있다.

 

3. 사용 도구

<네트워크 구성을 위한 GNS3 Beta.0.5>

<패킷 분석을 위한 WireShark Ver.1.0.2>

<운영체제를 여러 개 운용하기 위한 가상머신 ACE Ver.6.0>

 

4. 네트워크 구성

- Alice, Bob, 공격자 모두 같은 Switch를 통해 네트워크상에 있다.

- Alice와 Bob은 공격자의 존재를 모르고 있다.

 

5. IPSec 통신 확인 방법

- 윈도우 명령어 Ping을 사용하여 패킷이 서로 제대로 교환되는지 확인.

- 공격자의 WireShark를 통해 패킷이 분석되는지 확인.

 

1) 정책 할당 전 WireShark 분석

- Step 1 : Alice는 보안설정 정책을 "아니오" 로 설정.

- Step 2: Alice는 Bob에게 "Ping" 명령어를 통해 패킷을 보냄.

- Step 3: 공격자의 WireShark로 Alice와Bob사이의 패킷을 분석할 수 있음.



1) 정책 할당 후 WireShark 분석

- Step 1 : Alice는 보안설정 정책을 "예" 로 설정.

- Step 2: Alice는 Bob에게 "Ping" 명령어를 통해 패킷을 보냄.

: 패킷이 협상하는 IPSec로 보내지는 것을 알 수 있다.

- Step 3: 공격자의 WireShark로 Alice와Bob사이의 패킷을 분석할 수 없다!

: 패킷이 하나도 잡히지 않음!

 

- Step 4: netstat 명령으로 사용되고 있는 포트 확인. : IPSec의 인증 알고리즘, 암호 키, 암호화 기술 교환을 담당하는 isakmp를 확인 할 수 있다.

 

6. 결론

 

1) 우리는 ESP정책 중 3DES/MD5를 사용했기 때문에 ESP가 제공하는 기밀성, 무결성 서비스를 사용하여 공격자는 Alice 와 Bob 통신 사이의 패킷을 분석 할 수 없었다.

 

2) IPSec은 보안 메커니즘, 키 발행, 폐기로부터 투명하게 지원하기 때문에 사용자는 그 과정을 볼 수 없지만 사용하기에는 무척 쉽다.

 

3) 사용자 개별로 보안 정책을 적용 할 수 있어서 여러 개의 서브 네트워크를 구성 할 수 있다.

 

4) 별도의 ISAKMP(Internet Security Association & Key Management Protocol)포트를 사용해서 Bob과의 SA와 Key관리를 하고 있었다.

 

5) IPSec은 구성한 스위치 환경(LAN) 환경에서 안전한 통신을 제공하였다.

 

7. Alice의 보안 정책 만들기.

1) 윈도우 서버 2003을 설치한다.

2) 윈도우키+R을 눌러 실행창을 실행시키고 secpol.msc를 실행시킨다.

3) IP 보안 정책 우클릭후 IP보안 정책 만들기를 선택한다.

 

4)정책의 이름을 넣고 기본 응답 규칙을 활성의 체크를 풀고 난 다음 마침을 누른다.

 

5) 추가 마법사를 사용의 체크를 풀고 추가 버튼을 누른후 이 화면이 나오면 추가를 누른다.

 

6) 이름과 설명을 적고 추가마법사를 사용 체크를 풀고 추가를 누른다.

7)기본설정으로 설정하고 설명을 간단하게 넣고 확인을 누른다.

8) 추가된 IP필터를 보고 확인을 누른다.

9)새로운 IP필터 목록이 추가된것을 알 수 있다.

 

 

 

10) 필터 동작 탭으로 가서 마법사를 사용하지 않고 추가를 누른다. 그럼 이 화면을 볼 수 있다.

11) 설정이 완료되면 새로운 필터동작을 확인 할 수 있다.

12) 인증 방법 탭으로 가서 상대방과 미리 공유한 키를 입력한다.

13) 터널설정, 연결형식을 설정한다. (목적지 주소는 Bob의 IP주소)

14) 모든 설정이 끝난 화면

 

 

참고:

1) http://support.microsoft.com/kb/816514/ko

 


****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://www.sis.pe.kr BlogIcon 엔시스 2009.11.25 09:37 신고  댓글주소  수정/삭제  댓글쓰기

    윈도우 2003에서 IPSEC 설정 할수 있는 것을 예시와 기타 해쉬함수 그리고 암호알고리즘등을 사용하여 아주 쉽게 잘 설명해 주셨습니다.

    아주 좋은 포스팅입니다. 앞으로도 좋은 정보 공유 해 주시기 바랍니다. 수고 하셨습니다.

  2. Favicon of https://boanin.tistory.com BlogIcon NIMD4 2009.11.25 10:21 신고  댓글주소  수정/삭제  댓글쓰기

    역시 쩌는 내공

  3. Favicon of https://www.extraman.net BlogIcon ^________________^ 2009.11.25 11:06 신고  댓글주소  수정/삭제  댓글쓰기

    고생하셨슴당...호환님하고 도로상님 젤 활발 하세여~

  4. 보라돌이 2009.11.26 10:56  댓글주소  수정/삭제  댓글쓰기

    오오.. 쉽게 보고 따라 할 수 있군요. 패킷탐지를 악용하는 사람에게 유용하겠네요 ^-^~

    음.. 하지만 윈도우 업데이트도 좀 해야될듯;;; 서버설치에 가장 기본요소 ㅎ