리눅스마스터1급: 스니핑(Sniffing) 방지

리눅스마스터1급: 스니핑(Sniffing) 방지

스니퍼(Sniffer)는 원래 Network Associate 사의 등록 상표였으나 현재는 PC나 Kleenex처럼 일반적인 용어로 사용되고 있다.

“snift"라는 단어의 의미(냄새를 맡다, 코를 킁킁거리다)에서도 알 수 있듯이 스니퍼는 ”컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청 장치“라고 말할 수 있다.

그리고 ”스니핑(Sniffing)“이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말한다.

이러한 스니핑 공격은 웹 호스팅, 인터넷 데이터 센터(IDC) 등과 같이 여러 업체가 같은 네트워크를 공유하는 환경에서는 매우 위협적인 공격이 될 수 있다.

하나의 시스템이 공격당하게 되면 그 시스템을 이용하여 네트워크를 도청하게 되고, 다른 시스템의 ID/passwd를 알아내게 된다.

비록 스위칭 환경의 네트워크를 구축하여 스니핑을 어렵게 할 수는 있지만 이를 우회할 수 있는 많은 공격 방법이 존재한다.

네트워크 설정을 통하여 스니핑을 어렵게 하는 많은 방법이 있으나 가장 좋은 방법은 데이터를 암호화하는 것이다.

데이터를 암호화하게 되면 스니핑을 하더라도 내용을 볼 수 없게 된다.

SSL, PGP 등 인터넷 보안을 위한 많은 암호화 프로토콜이 존재한다.

하지만, 일관된 암호 프로토콜의 부재, 사용의 어려움, 암호 애플리케이션의 부재로 인하여 암호화를 사용할 수 없는 경우가 많이 있으며, 이러한 경우 가능한 한 스니핑 공격을 어렵도록 네트워크를 설정하고 관리하여야 한다.

특히 웹 호스팅, 인터넷 데이터 센터(IDC) 등과 같이 여러 업체가 같은 네트워크를 공유하는 환경에서는 스니핑으로 부터의 보안 대책이 마련되어야 한다.

스니핑 방지를 위한 대책으로 먼저 네트워크를 스니핑하는 호스트를 주기적으로 점검하는 방법이 있다.

이러한 점검을 통하여 누가 네트워크를 도청하는지 탐지하여 조치하여야 한다.

aucauca 침입 탐지 시스템(IDS :Intrusion Detection System)은 이러한 스니핑 공격을 탐지할 수 있다.

또한 스위칭 환경의 네트워크를 구성하여 되도록 스니핑이 어렵도록 하여야 한다.