Open Proxy의 위험
1. 소개
인터넷 주소 자원이 고갈됨으로 인해 이를 극복하는 수단으로 사설 IP 주소의 활용이 빈번하게 되었고, 이러한 컴퓨터들의 인터넷 연결을 지원하기 위해proxy 서비스가 활용되고 있습니다.
proxy 서버는 임의의 IP 주소를 갖는 컴퓨터에 대해 네트워크 연결을 중계해주는 "연결 대행" 서버입니다.
최근 들어 보안 설정이 잘못되어 누구나 접속이 가능한 proxy 서버들이 많이 발견되고 있습니다.
이번 시간은 proxy 서비스와 open proxy 서비스의 취약성 및 대응방안에 대해 알아보고자 합니다.
2. Proxy 서비스
2.1 Proxy의 기능
① Caching 기능
- 네트워크의 트래픽을 줄이고, 데이터 전송 시간을 향상시켜 줍니다.
- 일단 한번 접속이 이루어진 문서를 Proxy server의 Cache에 보관 해 놓은 다음 이 문서에 대한 요구가 있을 시 해당 Site까지 접근하지 않고Proxy Server가 Local Disk에서 원하는 문서를 보내주는 기능입니다.
② Filtering 기능
- 네트워크 외부로부터 허가 받지 않은 접속을 제한합니다.
- 보안을 위해 네트워크를 외부와 차단 하고, proxy를 통해 서비스의 접속의 허가 및 거부 등의 기능을 수행합니다.
2.2 Proxy의 동작 방식
[그림 1] Proxy 서비스의 동작
- Proxy server는 Web Server접속을 위한 Client의 요구를 받습니다. ①
- 우선 자신의 cache 영역에 해당 데이터가 존재하는지 살펴보고 ② 있으면 Client에게 데이터를 전송합니다. ③
- 자신의 cache 영역에 데이터가 없으면 Server에게 데이터를 요청해서 ④ 전송 받은 후에 자신의 cache 영역에 저장합니다. ⑤
- Proxy 서버 내에 저장된 데이터는 시간과 용량, 그리고 사용 빈도에 따라 나중에 삭제되거나 유지됩니다.
3. Open Proxy의 취약성
① 다양한 업체의 HTTP proxy 서비스들은 보안이 고려되지 않은 default 설정 상태로 운영되는 경우가 많습니다. (open proxy)
② Open proxy를 이용하면 공격자들은 사용자가 누구든지, 목적지에 상관없이 HTTP CONNECT 방법으로 telnet, SMTP를 비롯하여 rlogin,rexec 등 다양한 서비스에 자신의 출처를 숨기고서 접속이 가능 합니다.
③ Open proxy를 이용하면 하나의 사용자가 여러 곳의 서버를 동시에 사용해서 네트워크 공격을 할 수 있으며 그 결과 스팸의 차단이나 해킹 방지 등은 매우 어렵습니다.
④ Open proxy를 이용하면 스팸 중계 서버(open SMTP relays)와는 달리 Received: 헤더를 임의로 조작할 수 있고, 그 결과 스팸 발송자의 신원 추적이 불가능합니다.
4. Proxy를 이용한 공격기법
① Proxy 서버를 이용한 접속
[그림 2] proxy 서버를 이용한 접속
- [그림 #2]은 Attacker(1.1.1.1)가 proxy Server를 이용하여 피해자 시스템(3.3.3.3)에 접속합니다.
- 이때, 실제 피해자 시스템에서는 proxy 서버(2.2.2.2)에서 공격이 이루어진 것으로 나타나며, 실제 공격자를 추적할 수 없습니다.
② Proxy 서버를 이용한 스팸메일 발송
[그림 3] Proxy 서버를 이용한 스팸메일 발송
- [그림 #3]는 불법적으로 광고성 메일을 보내고자 하는 공격자가 proxy 서버를 이용하여 발송자 출처를 속여 다수의 사용자에게 발송하는 과정입니다.
- 메일이 발송된 주소를 추적하기 위해 수신된 메일의 헤더에서 Received 부분을 분석하게 되는데 proxy 서버를 이용하여 발송할 경우, 최초의 발송 주소가 proxy 서버 주소가 기록되어 추적할 수 없습니다.
5. Proxy 서버 점검방법
- 갑자기 네트워크가 불안정하거나 속도가 많이 저하될 경우, proxy 서버의 공격 여부를 의심할 수 있습니다.
- 윈도우 시작 메뉴에서 [실행] 선택 -> “cmd” 입력 후 [확인] 선택 -> ‘터미널’이 나타나면 “netstat ?an”를 입력하여 세션 상태를 확인합니다.
- 만약 open proxy으로 악용이 되었다면, 평소와는 다르게 [그림 #4]과 같이 많은 세션이 있으며, 세션상태를 보면 발송 주소가 proxy 서버 주소로 기록되어 다수의 사용자에게 스팸 발송이 된 것을 확인할 수 있습니다.
- [그림 #4]과 같이 발송 주소가 proxy 서버에서 다수의 목적지로의 접근 흔적이 있다면, open proxy악용되고 있음을 의심할 수 있습니다.
[그림 4] Proxy 서버가 스팸메일 발송에 사용되고 있는 화면
6. 대응방안
① proxy 서버를 최신 버전으로 업그레이드
② HTTP CONNECT 방법을 이용하여 임의의 TCP 포트로의 연결을 제어
③ Proxy 서비스들에 대한 접근은 신뢰된 네트워크에서만 가능하도록 제어
[그림 5] Proxy 서버에서 보안설정
'리눅스 > Security' 카테고리의 다른 글
[그린IDC]TCP SYN_Flooding 공격의 원인과 해결책 (0) | 2015.01.26 |
---|---|
ARP 스푸핑 의심될때 RAS Server (Dial In) Interface 확인 (0) | 2015.01.26 |
웹해킹 서버 분석과 웹쉘 탐지 및 대응방법 2편 (0) | 2015.01.26 |
웹해킹 서버 분석과 웹쉘 탐지 및 대응방법 1편 (0) | 2015.01.26 |
check pass; user unknown 메세지로그 차단 (0) | 2015.01.26 |