SSL (Secure Sockets Layer)은 인터넷 통신의 보안을 보호하는 데 사용되는 일반적인 암호화 프로토콜입니다. 그러나 사이버 공격 기술의 지속적인 발전으로 원래 많은 보안 SSL 구성은 실제로 취약성을 가지고있어 공격자가 보안 보호를 해치는 입구가되었습니다. 이 기사는 부적절하게 구성된 SSL_SET를 통해 SSL 보안 보호를 우회하는 방법을 자세히 살펴보고 주요 취약점을 분석하며 해당 예방 제안을 제공합니다.
SSL_SET는 일반적으로 웹 서버 또는 클라이언트에서 SSL 암호화 된 연결을 구성 할 때 일부 설정 매개 변수를 나타냅니다. 이러한 구성 항목에는 SSL 프로토콜 버전, 암호화 알고리즘 선택, 인증서 검증 방법 등이 포함됩니다. 이러한 설정이 제대로 설정되지 않은 경우 공격자가 침입하는 획기적인 발전이 될 수 있습니다. 공통 SSL_SET 구성 오류는 다음이 포함됩니다. 약한 암호화 알고리즘 활성화, 프로토콜 버전을 제한하지 않거나 인증 체인 검증을 무시하는 등.
프로토콜 다운 그레이드 공격 (SSL/TLS 버전 다운 그레이드)
SSL/TLS 프로토콜에서 보안 차이는 다른 버전간에 큽니다. 예를 들어, SSL 3.0 또는 TLS 1.0에는 여러 보안 취약점이있는 것으로 입증되었습니다. 공격자는 클라이언트가 서버와 약한 프로토콜 버전을 협상하여 다운 그레이드 공격을 시작하도록함으로써 암호화 보호를 뚫을 수 있습니다.
우회 방법 :
서버가 올바르게 구성되지 않고 SSL 3.0 또는 TLS 1.0이 허용되면 공격자는 연결 요청을 가로 채고 수정하여 프로토콜 버전을 해당 구형 불안한 버전으로 다운 그레이드 할 수 있습니다.
공격 중에 공격자는 푸들 취약점과 같은 이러한 구식 프로토콜에서 알려진 취약점을 악용하여 암호화 된 정보를 크랙 할 수 있습니다.
약한 암호화 알고리즘 공격
SSL_SET 구성에서 약한 암호화 알고리즘 (예 : RC4 또는 3DES)이 활성화되면 공격자는 암호화 약점을 사용하여 암호화 텍스트 콘텐츠를 깨뜨릴 수 있습니다. RC4 알고리즘은 통계 분석 공격에 특히 취약하며 공격자는 CipherTexts를 분석하여 일반 텍스트 정보를 유추 할 수 있습니다.
우회 방법 :
공격자는 서버가 이러한 약한 암호화 알고리즘을 사용하여 공격을 수행하도록 강요 할 수 있습니다. 특히 클라이언트 나 서버가 강력한 암호화 사용을 요구하지 않는 경우, 공격자는 MITM (Man-In-the-Middle Attack)을 통해 암호화 된 세션을 약한 암호화 알고리즘으로 다운 그레이드 할 수 있습니다.
중간 공격 (MITM)
중간의 공격에서 공격자 도청과 클라이언트와 서버 사이에 자신을 삽입하여 커뮤니케이션 컨텐츠와 함께 탬퍼. SSL 구성이 엄격하지 않은 경우, 공격자는 인증서를 구축하거나 암호화를 조작하여 SSL 보안 보호를 우회 할 수 있습니다.
우회 방법 :
SSL 구성이 엄격한 인증서 확인을 활성화하거나 만료되거나 유효하지 않은 인증서가 활성화되면, 공격자는 합법적 인 인증서를 만들고 중간 공격을 통해 피해자와 암호화 된 채널을 설정할 수 있습니다.
이러한 방식으로 암호화 된 통신에서도 공격자는 여전히 데이터 컨텐츠를보고 수정할 수 있습니다.
인증서 확인 우회
SSL 프로토콜은 클라이언트가 커뮤니케이션의 정당성을 보장하기 위해 서버의 인증서를 확인해야합니다. 부적절하게 구성된 경우 클라이언트가 인증서 체인을 무시하거나 인증서를 확인할 때 인증서의 취소 상태를 확인하지 않을 수 있습니다. 공격자는이를 사용하여 서버 인증서를 위조하거나 중간의 공격을보다 쉽게 만들 수 있습니다.
우회 방법 :
공격자는 겉보기에 유효한 SSL 인증서를 위조 할 수 있습니다. 클라이언트가 인증 체인을 엄격하게 확인하지 않으면 공격자는 클라이언트와 암호화 된 연결을 설정 한 다음 커뮤니케이션 내용을 듣거나 변조 할 수 있습니다.
오래된 SSL/TLS 프로토콜 버전 <br> 허용 많은 서버는 여전히 SSL 3.0 또는 TLS 1.0과 같은 오래된 프로토콜 버전을 지원하며, 이는 상당한 보안 취약점이있는 것으로 입증되었습니다. 이러한 프로토콜 버전을 활성화하면 시스템의 보안이 줄어들뿐만 아니라 공격자의 공격 포털이 될 수 있습니다.
약한 암호화 알고리즘을 지원합니다 <br> 구성에서 RC4 또는 3DES와 같은 알려진 약한 암호화 알고리즘이 활성화되면 공격자는 통계 분석 공격 및 기타 수단을 통해 암호화 된 컨텐츠를 깨질 수 있습니다.
인증서 확인은 엄격하지 않습니다 <br> 서버 구성에 클라이언트가 서버 인증서의 전체 체인 또는 취소 상태를 확인하도록 요구하지 않으면 공격자는 위조 인증서 또는 중간 공격을 통해 통신을 제어 할 수 있습니다.
HST 부족 (HTTP 엄격한 운송 보안)
HSTS는 클라이언트와 서버가 HTTPS 프로토콜을 통해서만 통신하도록 강요하는 메커니즘입니다. 서버가 HST를 활성화하지 않으면 공격자는 HTTPS 요청을 SSL 스트리핑 공격을 통해 암호화되지 않은 HTTP 요청으로 변환하여 통신 데이터를 도청하거나 변조 할 수 있습니다.
구식 SSL/TLS 프로토콜 버전 <br>를 비활성화하십시오 SSL 3.0, TLS 1.0 및 TLS 1.1은 비활성화되어 있으며 TLS 1.2 및 TLS 1.3 만 활성화됩니다. 이러한 버전은 더 강력한 암호화 보호를 제공 할뿐만 아니라 알려진 많은 보안 취약점을 수정합니다.
강력한 암호화 알고리즘을 활성화하십시오 <br> 서버가 AES (128 비트 이상) 및 SHA-256 등과 같은 강력한 암호화 알고리즘 만 지원하고 RC4 및 3DES와 같은 안전하지 않은 암호화 알고리즘을 사용하지 않도록하십시오.
엄격한 인증서 확인 <br> SSL/TLS 프로토콜을 구성 할 때 클라이언트는 서버 인증서를 엄격하게 확인하고 인증서 체인의 무결성을 확인하고 인증서의 유효성 및 취소 상태를 확인해야합니다.
HST를 활성화합니다
클라이언트가 HTTPS를 통해 서버에 안전하게 연결하여 중개인의 SSL 스트리핑 공격을 피하기 위해 보안을 줄입니다.
SSL 구성 <br>을 정기적으로 업데이트하고 확인하십시오 서버의 SSL 구성을 정기적으로 확인하고 업데이트하여 최신 보안 표준을 준수하는지 확인하십시오. 동시에 최신 보안 패치를 적시에 적용하여 가능한 취약점을 수정하십시오.
부적절한 SSL 구성은 심각한 보안 취약점으로 이어질 수 있습니다. 공격자는 프로토콜 다운 그레이드, 약한 암호화 알고리즘, 인증서 위조 등과 같은 다양한 수단을 통해 SSL 보호를 우회 한 다음 통신 데이터를 훔치거나 훼손합니다. 네트워크 통신의 보안을 보장하기 위해서는 구식 또는 안전하지 않은 프로토콜 및 알고리즘의 사용을 피하고 인증서 검증 및 보안 정책을 강화하기 위해 SSL/TLS 매개 변수를 엄격하게 구성해야합니다. SSL 구성을 지속적으로 최적화하고 업데이트함으로써 기업 및 개발자는 잠재적 인 보안 위협을 효과적으로 방지하고 사용자 데이터의 보안을 보장 할 수 있습니다.