1. Null 세션이란?
- 인증되지 않은 사용자가 네트워크를 통해 서버와 세션을 설정할 수 있는 연결
- 주로 Windows에서 발견되며, 서버에 대한 접근 권한 없이도 세션을 만들 수 있다는 점에서 취약점 발생
[+] Null 세션의 특징
- 익명성: 사용자명이나 비밀번호 없이 연결이 가능
- 제한된 접근: 기본적으로 시스템의 제한된 정보에 접근
[+] Null 세션의 동작 방식
- 세션 생성: 인증 없이 서버와 연결을 설정합니다.
- 정보 조회: 시스템 정보나 네트워크 공유 정보 등 제한된 데이터에 접근합니다.
- Null 세션은 주로 SMB (Server Message Block) 프로토콜을 통해 발생
[+] SMB이란?
- 파일 공유, 네트워크 탐색 등 네트워크 리소스를 공유하는 데 사용되는 프로토콜로, Windows 시스템 간의 파일 및 프린터 공유 담당
2. Null 세션의 위험성
- Null 세션을 통해 공격자는 다음과 같은 정보 수집 가능
- 사용자 목록: 시스템에 등록된 사용자 계정 목록.
- 그룹 정보: 사용자 그룹과 해당 권한.
- 공유 리소스: 네트워크에서 공유된 파일 및 프린터 목록.
- 이 정보는 공격자가 추가적인 공격을 계획하고 실행하는 데 유용하게 사용될 수 있는 취약점을 가지고 있습니다.
> 예를 들어, 사용자의 이름을 알아내어 무차별 대입 공격(Brute Force Attack)을 시도하거나, NW구조 파악해 다양한 공격준비 가능
3. Null 세션 취약점 대응 방안
[+] 레지스트리 설정 변경
- Null 세션을 허용하지 않도록 레지스트리를 수정합니다. 예를 들어 , HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters에서 RestrictAnonymous
- RestrictAnonymous 값을 1로 설정하면 익명 연결을 제한할 수 있습니다.
- Win 11의 경우 레지스트리 파라미터가 없으며, 기본적으로 SMBv3, NTLMv2일 때에만 신호를 보내는 등 방안 지원
[+] SMB 설정 수정
- SMB 설정을 통해 Null 세션을 제한 (Windows 서버에서 파일 및 프린터 공유 설정 강화 방법) -> SMBv3 사용
- 네트워크 방화벽 설정
- 특정 포트(예: 139, 445)를 통해 들어오는 SMB 트래픽 제한합니다.
- 서버 하드닝
- 불필요한 서비스 및 프로토콜 비활성화
- 최신 보안 패치 적용
- 감사 및 모니터링
- 네트워크 트래픽을 모니터링하고, 의심스러운 Null 세션 활동을 감지합니다.
4. 결론
Null 세션은 인증 없이 서버와 세션을 설정할 수 있는 취약점으로, 공격자가 시스템 정보를 수집하고 추가적인 공격을 준비하는 데 악용될 수 있습니다. 이를 방지하기 위해 레지스트리 설정 변경, SMB 설정 수정, 네트워크 방화벽 설정, 서버 하드닝, 감사 및 모니터링 등의 보안 조치를 취하는 것이 중요합니다.
'소소한 IT이야기 > 정보보안기사 실기' 카테고리의 다른 글
| [기출] 정보보안기사 24년 2회차 실기 복원 (feat. 정보기 26회) (32) | 2024.08.10 |
|---|---|
| [기출] 2024년 1회 정보보안기사 실기 기출(25회) (1) | 2024.05.02 |
| [정보기 실기] 무선랜 보안 - 23년 4회(feat. 24회차 4번, WPA2 취약점) (0) | 2024.04.12 |
