많은 기업 웹 사이트가 잘못된 DoS(서비스 거부) 공격을 경험한 적이 있습니다. 회사들은 이러한 경험을 활용하여 그러한 공격이 다시 발생하지 않도록 많은 노력을 합니다.
때로는 문제가 발생해야 주변 환경에 대한 새로운 시각을 얻을 수 있습니다. 그러므로, 네트워크 공격과 같은 상황을 통해 몇 가지 중대한 오점을 발견하고 많은 교훈을 얻을 수 있습니다. 문제를 해결하고 나면 거기에서 얻은 교훈을 유용한 대처 방법으로 활용할 수 있습니다. 최상의 대처 방법을 세우려면 먼저 그러한 공격에 얼마나 노출되어 있는지 파악합니다. 다음의 대처 방법은 DoS 공격을 경험한 후 여러 회사가 일반적으로 도달한 결론의 일부분입니다.
방법 1
변경된 사항과 이유를 설명하는 감사 내역을 기록합니다.
방법 2
모든 부서에 적용 가능한 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)를 확립합니다.
방법 3
업무가 원할하게 진행되는 상황에서는 위험 요소를 간과할 수 있다는 사실을 인식합니다.
방법 4
네트워크 모니터링으로는 충분하지 않으므로 관리자는 구성을 세부적으로 알고 있어야 합니다.
방법 5
인터넷으로 직접 테스트해봅니다.
방법 6
사용하는 프로세스가 해커처럼 자신에게 해를 끼칠 수 있습니다.
방법 7
기존 구성 및 그 구성의 목적을 사람들에게 계속해서 인식시킵니다.
방법 8
다른 점이 발견될 경우 그에 대해 질문해 봅니다.
방법 9
단순성, 비용 및 생존 가능성 간의 장점과 단점을 이해합니다.
방법 10
해커로부터 자신을 보호합니다.
대처 방법 세부 사항
방법 1 - 변경된 사항과 이유를 설명하는 감사 내역을 기록합니다.
파일 보관함 어딘가에 네트워크 설계의 본래 목적 및 상호 의존성에 대한 문서가 있을 것입니다. 네트워크를 변경하려면 이 문서를 참조하고 업데이트해야 합니다.
여기서 배울 수 있는 점은 감사 내역을 다시 검토하여 사용 중인 네트워크 인프라에서 현재 변경한 내용과 그 이유를 자세하게 기록해 두는 것입니다. 이 방법을 통해 네트워크의 공통적인 구성과 그렇지 않은 구성이 모두 이따금 발생하는 오류로부터 보호됩니다.
방법 2 - 모든 부서에 적용 가능한 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)를 확립합니다.
네트워크 장애를 진단하는 데 오래 걸리는 이유 중 하나는 많은 네트워크 관리자들이 담당 세그먼트에서만 오류를 찾으려 하기 때문입니다. 오류가 한 세그먼트에서 발생했더라도 인트라넷 및 인터넷 전체를 통해 이 문제를 진단할 수 있습니다. 문제가 발생한 서버에 먼저 응답했기 때문에 네트워크 진단은 오래 걸릴 것입니다. 많은 경우, 회사 내의 모든 사람들이 동일한 문제를 두고 씨름하고 있다는 사실을 깨닫는 데는 시간이 꽤 많이 걸립니다.
최상의 방법을 개발할 때 얻은 교훈은 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)에 구축된 그룹 간에 보다 나은 의사 소통이 필요하다는 것입니다. 세그먼트의 관리자는 이러한 변경 사항이 네트워크의 다른 세그먼트에 갖는 함축적인 의미와 비상 사태가 발생했을 때 다른 세그먼트에 연락할 사람을 알고 있어야 합니다.
방법 3 - 업무가 원할하게 진행되는 상황에서는 위험 요소를 간과할 수 있다는 사실을 인식합니다.
네트워크 팀의 경우 몇 년동안 별 문제없이 지냈을 수 있습니다. 이 시기 동안 네트워크의 고가용성에 익숙해져서 비상 사태를 무시할 수도 있습니다. 불행하게도, 이러한 태도는 심각한 비상 사태를 야기시킬 수 있습니다.
네트워크 관리자들은 대부분 고가용성의 네트워크 전반에 발생하는 비교적 사소한 문제를 해결하는 데에 관여하므로 태도의 변화가 힘들 수 있습니다. 이러한 태도를 시정하려면 네트워크에서 가장 안정적인 구성 요소를 찾고 그러한 구성 요소가 실패할 수 있는 시나리오를 생각해야 합니다. 매우 원할하게 업무가 진행되는 분야에서 발생할 수 있는 문제에 대비하십시오.
방법 4 - 네트워크 모니터링으로는 충분하지 않으므로 관리자는 구성을 세부적으로 알고 있어야 합니다.
모니터링은 아무리 직관적이라 해도 돋보기에 지나지 않습니다. 전체를 알려면 이러한 서비스와 리소스 간의 상호 작용 뿐만 아니라 네트워크의 모든 프로그램, 서비스, 호스트 및 라우터에 대한 모든 설정이 미치는 영향에 대해 보고서를 작성해야 합니다. 그렇지만, 그러한 분석은 구성 이면의 업무 로직과 네트워크 서비스를 사용한 고객에 대한 요구가 부족합니다.
네트워크에 대한 실제 지식은 모니터 요원들의 보고서를 빠르고 정확하게 해석할 수 있도록 모든 관리자가 공유하여 사용할 수 있어야 합니다. 이렇게 하려면 이러한 지식 공유는 네트워크 실행 프로세스에 포함되어야 합니다.
방법 5 - 인터넷으로 직접 테스트해봅니다.
네트워크에서 인터넷의 고객을 서비스할 때 고객의 작업을 시뮬레이션하여 테스트해야 합니다. 이렇게 하면 문제 중요성을 이해하는 데 도움을 주며 고객의 경험을 통해 네트워크 문제를 찾을 때 이러한 경로를 이용할 수 있게 해줍니다.
귀사와 고객이 네트워크 성능의 저하와 향상을 똑같이 경험하고 이러한 방법의 장기적인 결과가 고객 지원 부서를 통해 제공된 것 이상으로 고객의 관점에서 이해할 수 있는지 확인하고자 할 경우에는 이러한 실제 접근 방법이 아주 중요합니다.
방법 6 - 사용하는 프로세스 또한 해커 못지않게 해가 될 수 있습니다.
사용하는 프로세스가 문제를 일으킵니까? 해커의 공격 만큼이나 심각한 손상을 줄 수 있다는 생각으로 프로세스를 평가하지 않으면 언제라도 문제가 발생할 수 있습니다. 현재 프로세스는 안전하여 심각한 네트워크 중지를 경험하지 않았기 때문이라고 가정할 수 있습니다. 그러나, 전체 네트워크 관리 범위를 모든 부서에 대해서 그리고 모든 해결 방안과 함께 통합할 수 없을 경우에는 이들 프로세스가 현재 가용성 수준을 유지 관리하는 데 부족할 것입니다.
개발 방법은 성공적인 프로세스에 의존하지 않는 것이며 프로세스 자체를 문제삼은 팀에서 중요한 사내 요소를 얻는 것입니다.
방법 7 - 기존 구성 및 그 구성의 목적을 사람들에게 계속해서 인식시킵니다.
기존의 네트워크 구성 및 신뢰할 수 있는 네트워크 구성에 대한 인식을 전개하고 유지 관리하려면 비즈니스 개발 및 네트워크 인프라 확장 중에 바뀐 인원에 대해 특별한 관심을 쏟아야 합니다. 전체 네트워크 인프라를 매년 재디자인하는 것과 달리 1년 동안 수행된 구성은 다른 사람이 이 구성에 대한 문제를 발견할 때까지 네트워크에서 사용됩니다. 구성 설정이 누락되지 않도록 하려면 년간 감사 내역에 대한 예비 교육 중에 또는 년간 감사의 일부로 이러한 구성을 새로운 인원에게 알려야 합니다.
이러한 종류의 훈련이 없다면 관리자는 네트워크 손상에서 나아가 자신의 평판에까지 악영향을 줄 수 있는 상황에 처할 수 있습니다. 이러한 발생 가능한 비상 사태 원인을 새로 임명된 관리자에게 인식시켜 이들이 구성 설정을 변경하기 전에 구성 설정을 자세히 조사하도록 고무시킵니다.
방법 8 - 다른 점이 발견될 경우 그에 대해 질문해 봅니다.
어느 회사에서나 한 직원이 수행한 작업은 다른 직원이 수행한 작업만큼 중요합니다. 그러므로, 네트워크 구성을 감사하는 관리자는 각 네트워크 구성과 해당 네트워크를 사용하는 프로그램 설정이 자신의 동료가 작업한 것이며 그에 합당하게 존중해야 한다는 것을 이식해야 합니다. 따라서, 평범하지 않은 디자인을 개발할 때 새로운 독창성이나 표준에 맞게 디자인을 구성하기 보다는 해당 관리자가 이러한 특성을 직접 조사하는 것이 중요합니다.
개발 훈련은 관리자들이 스스로 탐구적 자세를 기르고 그와 동시에 기계적인 네트워크 변경사항 처리를 지양하도록 하는 것입니다. 이러한 태도로 오래 동안 변화 없이 그대로 유지하여 효율성을 잃은 것 같지만, 관리자가 네트워크 설정을 제대로 이해하지 않은 상태에서 변경했을 때 경험할 수 있는 서비스 손실과 비교하면 효율은 엄청난 것입니다.
방법 9 - 단순성, 비용 및 생존 가능성 간의 장점과 단점을 이해합니다.
관리 비용의 이점을 위해 복잡성보다 단순성을 높이 평가하는 경향이 있습니다. 이러한 방법의 이면에 진실이 있지만 단순성이 전례 없이 문제를 일으킬 수 있다는 점을 고려해야 합니다. 단순한 방법으로 네트워크를 디자인함으로써 발생할 수 있는 간단한 실수에 따른 영향에 노출됩니다.
복잡한 네트워크 디자인의 장점은 내결함성과 중복성을 통해 얻은 안정성보다 훨씬 큽니다. 복잡한 디자인은 지원하고자 하는 복잡한 비즈니스 요구 사항에 이점을 제공할 수 있습니다. 비즈니스 정보가 네트워크를 이동하는 방법을 단순하게 할 때 관리 요구 사항을 두 번째로 고려하고 고객 및 사용자 업무를 첫 번째로 서비스할 것인지의 여부를 고려해야 합니다.
방법 10 - 해커로부터 자신을 보호합니다.
해커가 공격할 수 있는 네트워크 위치를 예측할 수 있습니까? 이러한 예상 능력을 개발하는 것은 해커의 실제 공격을 통해서 가능합니다. 해커가 나서서 공격하는 대신 해커가 수행할 수 있는 작업을 네트워크에 직접 수행하여 이러한 예측 능력을 개발합니다. 이렇게 하면 해커에게 노출된 네트워크 위치에 대한 민감성을 개발하고 네트워크의 취약점을 감사하는 데 도움을 줍니다.
네트워크에 대한 고려 사항
다음 정보는 네트워크를 자세히 살펴보고 DoS 공격으로부터 보호할 수 있도록 도움을 제공합니다.
DoS 공격을 차단할 수 있는 권장 레지스트리 키 구성
주의 레지스트리를 제대로 편집하지 않으면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터에 중요한 데이터를 백업해야 합니다. 또한, 수동 변경을 적용한 후에 문제가 발생하면 Last Known Good Configuration 시작 옵션을 사용할 수도 있습니다.
DoS 공격으로부터 보호할 수 있도록 다음과 같은 레지스트리 키 설정을 구현할 수 있습니다.
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \synattackprotect=1 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \tcpmaxconnectresponseretransmissions=2 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \tcpmaxdataretransmissions=3 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \enablepmtudiscovery=0 REG_DWORD
때로는 문제가 발생해야 주변 환경에 대한 새로운 시각을 얻을 수 있습니다. 그러므로, 네트워크 공격과 같은 상황을 통해 몇 가지 중대한 오점을 발견하고 많은 교훈을 얻을 수 있습니다. 문제를 해결하고 나면 거기에서 얻은 교훈을 유용한 대처 방법으로 활용할 수 있습니다. 최상의 대처 방법을 세우려면 먼저 그러한 공격에 얼마나 노출되어 있는지 파악합니다. 다음의 대처 방법은 DoS 공격을 경험한 후 여러 회사가 일반적으로 도달한 결론의 일부분입니다.
방법 1
변경된 사항과 이유를 설명하는 감사 내역을 기록합니다.
방법 2
모든 부서에 적용 가능한 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)를 확립합니다.
방법 3
업무가 원할하게 진행되는 상황에서는 위험 요소를 간과할 수 있다는 사실을 인식합니다.
방법 4
네트워크 모니터링으로는 충분하지 않으므로 관리자는 구성을 세부적으로 알고 있어야 합니다.
방법 5
인터넷으로 직접 테스트해봅니다.
방법 6
사용하는 프로세스가 해커처럼 자신에게 해를 끼칠 수 있습니다.
방법 7
기존 구성 및 그 구성의 목적을 사람들에게 계속해서 인식시킵니다.
방법 8
다른 점이 발견될 경우 그에 대해 질문해 봅니다.
방법 9
단순성, 비용 및 생존 가능성 간의 장점과 단점을 이해합니다.
방법 10
해커로부터 자신을 보호합니다.
대처 방법 세부 사항
방법 1 - 변경된 사항과 이유를 설명하는 감사 내역을 기록합니다.
파일 보관함 어딘가에 네트워크 설계의 본래 목적 및 상호 의존성에 대한 문서가 있을 것입니다. 네트워크를 변경하려면 이 문서를 참조하고 업데이트해야 합니다.
여기서 배울 수 있는 점은 감사 내역을 다시 검토하여 사용 중인 네트워크 인프라에서 현재 변경한 내용과 그 이유를 자세하게 기록해 두는 것입니다. 이 방법을 통해 네트워크의 공통적인 구성과 그렇지 않은 구성이 모두 이따금 발생하는 오류로부터 보호됩니다.
방법 2 - 모든 부서에 적용 가능한 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)를 확립합니다.
네트워크 장애를 진단하는 데 오래 걸리는 이유 중 하나는 많은 네트워크 관리자들이 담당 세그먼트에서만 오류를 찾으려 하기 때문입니다. 오류가 한 세그먼트에서 발생했더라도 인트라넷 및 인터넷 전체를 통해 이 문제를 진단할 수 있습니다. 문제가 발생한 서버에 먼저 응답했기 때문에 네트워크 진단은 오래 걸릴 것입니다. 많은 경우, 회사 내의 모든 사람들이 동일한 문제를 두고 씨름하고 있다는 사실을 깨닫는 데는 시간이 꽤 많이 걸립니다.
최상의 방법을 개발할 때 얻은 교훈은 표준 운영 절차(Standard Operating Procedures) 및 비상 운영 절차(Emergency Operating Procedures)에 구축된 그룹 간에 보다 나은 의사 소통이 필요하다는 것입니다. 세그먼트의 관리자는 이러한 변경 사항이 네트워크의 다른 세그먼트에 갖는 함축적인 의미와 비상 사태가 발생했을 때 다른 세그먼트에 연락할 사람을 알고 있어야 합니다.
방법 3 - 업무가 원할하게 진행되는 상황에서는 위험 요소를 간과할 수 있다는 사실을 인식합니다.
네트워크 팀의 경우 몇 년동안 별 문제없이 지냈을 수 있습니다. 이 시기 동안 네트워크의 고가용성에 익숙해져서 비상 사태를 무시할 수도 있습니다. 불행하게도, 이러한 태도는 심각한 비상 사태를 야기시킬 수 있습니다.
네트워크 관리자들은 대부분 고가용성의 네트워크 전반에 발생하는 비교적 사소한 문제를 해결하는 데에 관여하므로 태도의 변화가 힘들 수 있습니다. 이러한 태도를 시정하려면 네트워크에서 가장 안정적인 구성 요소를 찾고 그러한 구성 요소가 실패할 수 있는 시나리오를 생각해야 합니다. 매우 원할하게 업무가 진행되는 분야에서 발생할 수 있는 문제에 대비하십시오.
방법 4 - 네트워크 모니터링으로는 충분하지 않으므로 관리자는 구성을 세부적으로 알고 있어야 합니다.
모니터링은 아무리 직관적이라 해도 돋보기에 지나지 않습니다. 전체를 알려면 이러한 서비스와 리소스 간의 상호 작용 뿐만 아니라 네트워크의 모든 프로그램, 서비스, 호스트 및 라우터에 대한 모든 설정이 미치는 영향에 대해 보고서를 작성해야 합니다. 그렇지만, 그러한 분석은 구성 이면의 업무 로직과 네트워크 서비스를 사용한 고객에 대한 요구가 부족합니다.
네트워크에 대한 실제 지식은 모니터 요원들의 보고서를 빠르고 정확하게 해석할 수 있도록 모든 관리자가 공유하여 사용할 수 있어야 합니다. 이렇게 하려면 이러한 지식 공유는 네트워크 실행 프로세스에 포함되어야 합니다.
방법 5 - 인터넷으로 직접 테스트해봅니다.
네트워크에서 인터넷의 고객을 서비스할 때 고객의 작업을 시뮬레이션하여 테스트해야 합니다. 이렇게 하면 문제 중요성을 이해하는 데 도움을 주며 고객의 경험을 통해 네트워크 문제를 찾을 때 이러한 경로를 이용할 수 있게 해줍니다.
귀사와 고객이 네트워크 성능의 저하와 향상을 똑같이 경험하고 이러한 방법의 장기적인 결과가 고객 지원 부서를 통해 제공된 것 이상으로 고객의 관점에서 이해할 수 있는지 확인하고자 할 경우에는 이러한 실제 접근 방법이 아주 중요합니다.
방법 6 - 사용하는 프로세스 또한 해커 못지않게 해가 될 수 있습니다.
사용하는 프로세스가 문제를 일으킵니까? 해커의 공격 만큼이나 심각한 손상을 줄 수 있다는 생각으로 프로세스를 평가하지 않으면 언제라도 문제가 발생할 수 있습니다. 현재 프로세스는 안전하여 심각한 네트워크 중지를 경험하지 않았기 때문이라고 가정할 수 있습니다. 그러나, 전체 네트워크 관리 범위를 모든 부서에 대해서 그리고 모든 해결 방안과 함께 통합할 수 없을 경우에는 이들 프로세스가 현재 가용성 수준을 유지 관리하는 데 부족할 것입니다.
개발 방법은 성공적인 프로세스에 의존하지 않는 것이며 프로세스 자체를 문제삼은 팀에서 중요한 사내 요소를 얻는 것입니다.
방법 7 - 기존 구성 및 그 구성의 목적을 사람들에게 계속해서 인식시킵니다.
기존의 네트워크 구성 및 신뢰할 수 있는 네트워크 구성에 대한 인식을 전개하고 유지 관리하려면 비즈니스 개발 및 네트워크 인프라 확장 중에 바뀐 인원에 대해 특별한 관심을 쏟아야 합니다. 전체 네트워크 인프라를 매년 재디자인하는 것과 달리 1년 동안 수행된 구성은 다른 사람이 이 구성에 대한 문제를 발견할 때까지 네트워크에서 사용됩니다. 구성 설정이 누락되지 않도록 하려면 년간 감사 내역에 대한 예비 교육 중에 또는 년간 감사의 일부로 이러한 구성을 새로운 인원에게 알려야 합니다.
이러한 종류의 훈련이 없다면 관리자는 네트워크 손상에서 나아가 자신의 평판에까지 악영향을 줄 수 있는 상황에 처할 수 있습니다. 이러한 발생 가능한 비상 사태 원인을 새로 임명된 관리자에게 인식시켜 이들이 구성 설정을 변경하기 전에 구성 설정을 자세히 조사하도록 고무시킵니다.
방법 8 - 다른 점이 발견될 경우 그에 대해 질문해 봅니다.
어느 회사에서나 한 직원이 수행한 작업은 다른 직원이 수행한 작업만큼 중요합니다. 그러므로, 네트워크 구성을 감사하는 관리자는 각 네트워크 구성과 해당 네트워크를 사용하는 프로그램 설정이 자신의 동료가 작업한 것이며 그에 합당하게 존중해야 한다는 것을 이식해야 합니다. 따라서, 평범하지 않은 디자인을 개발할 때 새로운 독창성이나 표준에 맞게 디자인을 구성하기 보다는 해당 관리자가 이러한 특성을 직접 조사하는 것이 중요합니다.
개발 훈련은 관리자들이 스스로 탐구적 자세를 기르고 그와 동시에 기계적인 네트워크 변경사항 처리를 지양하도록 하는 것입니다. 이러한 태도로 오래 동안 변화 없이 그대로 유지하여 효율성을 잃은 것 같지만, 관리자가 네트워크 설정을 제대로 이해하지 않은 상태에서 변경했을 때 경험할 수 있는 서비스 손실과 비교하면 효율은 엄청난 것입니다.
방법 9 - 단순성, 비용 및 생존 가능성 간의 장점과 단점을 이해합니다.
관리 비용의 이점을 위해 복잡성보다 단순성을 높이 평가하는 경향이 있습니다. 이러한 방법의 이면에 진실이 있지만 단순성이 전례 없이 문제를 일으킬 수 있다는 점을 고려해야 합니다. 단순한 방법으로 네트워크를 디자인함으로써 발생할 수 있는 간단한 실수에 따른 영향에 노출됩니다.
복잡한 네트워크 디자인의 장점은 내결함성과 중복성을 통해 얻은 안정성보다 훨씬 큽니다. 복잡한 디자인은 지원하고자 하는 복잡한 비즈니스 요구 사항에 이점을 제공할 수 있습니다. 비즈니스 정보가 네트워크를 이동하는 방법을 단순하게 할 때 관리 요구 사항을 두 번째로 고려하고 고객 및 사용자 업무를 첫 번째로 서비스할 것인지의 여부를 고려해야 합니다.
방법 10 - 해커로부터 자신을 보호합니다.
해커가 공격할 수 있는 네트워크 위치를 예측할 수 있습니까? 이러한 예상 능력을 개발하는 것은 해커의 실제 공격을 통해서 가능합니다. 해커가 나서서 공격하는 대신 해커가 수행할 수 있는 작업을 네트워크에 직접 수행하여 이러한 예측 능력을 개발합니다. 이렇게 하면 해커에게 노출된 네트워크 위치에 대한 민감성을 개발하고 네트워크의 취약점을 감사하는 데 도움을 줍니다.
네트워크에 대한 고려 사항
다음 정보는 네트워크를 자세히 살펴보고 DoS 공격으로부터 보호할 수 있도록 도움을 제공합니다.
DoS 공격을 차단할 수 있는 권장 레지스트리 키 구성
주의 레지스트리를 제대로 편집하지 않으면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터에 중요한 데이터를 백업해야 합니다. 또한, 수동 변경을 적용한 후에 문제가 발생하면 Last Known Good Configuration 시작 옵션을 사용할 수도 있습니다.
DoS 공격으로부터 보호할 수 있도록 다음과 같은 레지스트리 키 설정을 구현할 수 있습니다.
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \synattackprotect=1 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \tcpmaxconnectresponseretransmissions=2 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \tcpmaxdataretransmissions=3 REG_DWORD
hkey_local_machine \system \currentcontrolset \services \tcpip \parameters \enablepmtudiscovery=0 REG_DWORD