암호 공격이란?
페더레이션된 Single Sign-on에 대한 요구 사항은 인터넷을 통해 인증할 엔드포인트의 가용성입니다. 인터넷에서 인증 엔드포인트의 가용성을 통해 사용자는 회사 네트워크를 이용하지 않는 경우에도 애플리케이션에 액세스할 수 있습니다.
이는 또한 일부 악의적인 행위자가 이러한 엔드포인트를 사용하여 암호를 확인하거나 서비스 거부 공격을 위해 인터넷에서 사용할 수 있는 페더레이션된 엔드포인트를 활용하게 될 수 있음을 의미합니다. 점점 더 보편화되고 있는 이러한 공격 중 하나를 암호 공격이라고 합니다.
일반적인 암호 공격에는 두 가지 유형이 있습니다. 암호 스프레이 공격 & 무차별 암호 공격
암호 스프레이 공격
암호 스프레이 공격에서 이러한 악의적인 행위자는 다양한 계정 및 서비스에서 가장 일반적인 암호를 시도하여 찾을 수 있는 암호를 통해 보호된 자산에 액세스합니다. 일반적으로 이러한 기능은 다양한 조직 및 ID 공급자에 걸쳐 있습니다. 예를 들어 공격자는 일반적으로 사용 가능한 도구 키트를 사용하여 여러 조직의 모든 사용자를 열거한 다음, 모든 계정에 대해 'P$$@w 0rD' 및 'Password1'을 시도합니다. 예시를 들면 공격은 다음과 같습니다.
| 대상 사용자 | 대상 암호 |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P$$@w0rD |
| User2@org1.com | P$$@w0rD |
| User1@org2.com | P$$@w0rD |
| User2@org2.com | P$$@w0rD |
이 공격 패턴은 개별 사용자 또는 회사의 관점에서는 격리된 로그인 실패로 보이기 때문에 대부분의 검색 기술을 피할 수 있습니다.
공격자에게 이는 숫자 게임입니다. 공격자는 가장 일반적인 암호가 있다는 것을 알고 있습니다. 공격자는 공격을 받은 1,000개 계정마다 몇 번의 성공을 거두며, 이로써 충분히 효과적입니다. 공격자는 계정을 사용하여 이메일에서 데이터를 확보하고, 연락처 정보를 수집하며, 피싱 링크를 보내거나 암호 스프레이 대상 그룹을 확장합니다. 공격자는 이러한 초기 대상이 누구인지에 대해 크게 신경 쓰지 않습니다. 단지 활용할 수 있는 성공 사례가 있다는 점에만 집중합니다.
그러나 AD FS 및 네트워크를 올바르게 구성하는 몇 가지 단계를 수행하면 이러한 유형의 공격으로부터 AD FS 엔드포인트를 보호할 수 있습니다. 이 문서에서는 이러한 공격을 보호하기 위해 올바르게 구성해야 하는 3가지 영역을 다룹니다.
무차별 암호 공격
이러한 형태의 공격을 통해 공격자는 대상 계정 집합에 대해 여러 번 암호를 시도합니다. 대부분의 경우 이러한 계정은 조직 내에서 더 높은 수준의 액세스 권한이 있는 사용자를 대상으로 합니다. 이들은 조직 내의 임원 또는 중요한 인프라를 담당하는 관리자일 수 있습니다.
이러한 유형의 공격으로 인해 DOS 패턴이 발생할 수도 있습니다. 이는 서버 수가 부족하여 AD FS가 다량의 요청을 처리할 수 없는 서비스 수준에서 발생할 수 있습니다. 이는 사용자가 자신의 계정으로부터 잠겨 있는 사용자 수준에서 발생할 수 있습니다.
암호 공격 대비 AD FS 보호
그러나 AD FS 및 네트워크를 올바르게 구성하는 몇 가지 단계를 수행하면 이러한 유형의 공격으로부터 AD FS 엔드포인트를 보호할 수 있습니다. 이 문서에서는 이러한 공격을 보호하기 위해 올바르게 구성해야 하는 3가지 영역을 다룹니다.
- 수준 1, 기준: 악의적인 행위자가 페더레이션된 사용자를 무차별 공격할 수 없도록 AD FS 서버에서 구성해야 하는 기본 설정입니다.
- 수준 2, 엑스트라넷 보호: 엑스트라넷 액세스가 보안 프로토콜, 인증 정책, 적절한 애플리케이션을 사용하도록 구성하기 위해 필요한 구성 설정입니다.
- 수준 3, 엑스트라넷 액세스를 암호 없는 방식으로 전환: 공격에 취약한 암호가 아닌 더 안전한 자격 증명으로 페더레이션된 리소스에 액세스할 수 있도록 하는 고급 설정 및 지침입니다.
수준 1: 기준
AD FS 2016에서 엑스트라넷 스마트 잠금을 구현합니다. 엑스트라넷 스마트 잠금은 익숙한 위치를 추적하여, 이전에 해당 위치에서 성공적으로 로그인한 경우 유효한 사용자만 통과할 수 있도록 허용합니다. 엑스트라넷 스마트 잠금을 사용하면 악의적인 행위자가 사용자에 대해 무차별 암호 공격을 실행할 수 없고 동시에 합법적인 사용자는 생산성을 유지할 수 있습니다.
AD FS 2016을 이용하지 않는 경우, AD FS 2016으로 업그레이드하는 것이 좋습니다. AD FS 2012 R2의 간단한 업그레이드 경로입니다. AD FS 2012 R2를 이용하는 경우 엑스트라넷 잠금을 구현합니다. 이 방식의 한 가지 단점은 무차별 암호 패턴을 사용하는 경우 유효한 사용자가 엑스트라넷 액세스에서 차단될 수 있다는 것입니다. Server 2016의 AD FS에는 이러한 단점이 없습니다.
의심스러운 IP 주소 모니터링 & 차단
Microsoft Entra ID P1 또는 P2가 있는 경우, AD FS용 Connect Health를 구현하고 여기서 제공하는 위험한 IP 보고서 알림을 사용합니다.
a. 라이선싱은 모든 사용자를 위한 것이 아니며, AD FS/WAP 서버당 25개의 라이선스가 필요하므로 고객 입장에서는 용이할 수도 있습니다.
b. 이제 다량의 로그인 실패를 생성하는 IP를 조사할 수 있습니다.
c. 이렇게 하려면 AD FS 서버에서 감사를 사용하도록 설정해야 합니다.
의심스러운 IP를 차단합니다. 이는 잠재적으로 DOS 공격을 차단합니다.
a. 2016에서는 엑스트라넷 금지 IP 주소 기능을 사용하여 #3(또는 수동 분석)에 의해 플래그가 지정된 IP의 요청을 차단합니다.
b. AD FS 2012 R2 이하를 이용하는 경우, Exchange Online에서 직접 차단하고 필요에 따라 방화벽에서 IP 주소를 차단합니다.
Microsoft Entra ID P1 또는 P2가 있는 경우, Microsoft Entra 암호 보호를 사용하여 추측 가능한 암호가 Microsoft Entra ID로 들어가지 않도록 방지합니다.
a. 추측 가능한 암호가 있는 경우 1~3번의 시도만으로 암호를 해독할 수 있습니다. 이 기능을 사용하면 이러한 사항이 설정되지 않습니다.
b. 프리뷰 통계에서 새 암호의 약 20~50%가 설정되지 않도록 차단합니다. 이는 사용자의 %가 쉽게 추측할 수 있는 암호에 취약하다는 것을 의미합니다.
수준 2: 엑스트라넷 보호
엑스트라넷에서 액세스하는 모든 클라이언트에 대한 최신 인증으로 이동합니다. 메일 클라이언트는 여기서 큰 비중을 차지합니다.
a. 모바일 디바이스에 Outlook Mobile을 사용해야 합니다. 새 iOS 기본 메일 앱은 최신 인증도 지원합니다.
b. Outlook 2013(최신 CU 패치 포함) 또는 Outlook 2016을 사용해야 합니다.
모든 엑스트라넷 액세스에 대해 MFA를 사용하도록 설정합니다. 이렇게 하면 엑스트라넷 액세스를 추가로 보호할 수 있습니다.
a. Microsoft Entra ID P1 또는 P2가 있는 경우, Microsoft Entra 조건부 액세스 정책을 사용하여 이를 제어합니다. 이는 AD FS에서 규칙을 구현하는 것보다 낫습니다. 이는 최신 클라이언트 앱에 더 자주 적용하기 때문입니다. 이는 새로 고침 토큰을 사용하여 새 액세스 토큰(일반적으로 1시간마다 생성)을 요청할 때 Microsoft Entra ID에서 발생합니다.
b. Microsoft Entra ID P1 또는 P2가 없거나 인터넷 기반 액세스를 허용하는 AD FS에 추가 앱이 있는 경우, Microsoft Entra 다단계 인증을 구현하고 모든 엑스트라넷 액세스에 대한 전역 다단계 인증 정책을 구성합니다.
수준 3: 엑스트라넷 액세스를 암호 없는 방식으로 전환
Window 10으로 전환하고 비즈니스용 Hello를 사용합니다.
다른 디바이스의 경우 AD FS 2016에서 Microsoft Entra 다단계 인증 OTP를 첫 번째 단계로, 암호를 두 번째 단계로 사용할 수 있습니다.
모바일 디바이스에서 MDM 관리 디바이스만 허용하는 경우 사용자는 인증서를 통해 로그인할 수 있습니다.
긴급 처리
AD FS 환경이 활성 공격을 받고 있는 경우 최대한 신속히 다음 단계를 구현해야 합니다.
- AD FS에서 사용자 이름 및 암호 엔드포인트를 사용하지 않도록 설정하고 모든 사용자가 VPN을 사용하여 액세스 권한을 얻거나 네트워크 내부에 있어야 합니다. 이렇게 하려면 수준 2 #1a를 완료해야 합니다. 그렇지 않으면 모든 내부 Outlook 요청은 EXO 프록시 인증을 통해 클라우드를 거쳐 계속 라우팅됩니다.
- EXO를 통해서만 공격이 이루어지는 경우 인증 정책을 사용하여 Exchange 프로토콜(POP, IMAP, SMTP, EWS 등)에 대한 기본 인증을 사용하지 않도록 설정할 수 있습니다. 이러한 프로토콜 및 인증 방법은 대부분의 공격에서 사용됩니다. 또한 EXO 및 사서함별 프로토콜 사용의 클라이언트 액세스 규칙은 인증 후 평가되며 공격 완화에는 효과적이지 않습니다.
- 수준 3 #1~3을 사용하여 선택적으로 엑스트라넷 액세스를 제공합니다.