오답노트 및 메모 ~241

네트워크 기반 공격의 이해
IDS/IPS

-

 

 

211.

포트 스캐닝 방식과 특징
- TCP connect : 완전한 tcp 연결 설정
- udp 스캔 : 닫혀있을 때 icmp port unreachable 메시지 전송
- tcp ack 스캔 : 방화벽의 종류(패킷 필터링인지, 상태추적인지) 등을 판단하기 위해 이용
- tcp syn 스캔 : 열려있을 때 Half-open 스캔
- tcp open 스캔 : 열려있을 때 tcp 연결이 완전히 이루어 진다

 

212.
포트 스캔
- tcp open 스캔 : 완전한 tcp 연결이 이루어지므로 비교적 속도가 느리다
- tcp syn 스캔 : 완전한 tcp 연결X 스캔 대상 시스템에 로그가 남지 않는다
- tcp stealth 스캔 : 스캐닝 사실을 숨기기 위해 사용된다. fin, x-mas, null 스캔 등이 있다
- tcp ack 스캔 : 방화벽 종류를 판단하기 위해 사용한다
- tcp half open 스캔 : tcp 연결X 특정 포트가 동작하는지 점검하기 위해

 

ack 스캔

+ sin인지 ack인지 구분 못하면 : 패킷필터링
+ 구분할 경우 : 상태추적

 

213.
Sniffing
- 로컬 네트워크에 존재하지 않는 mac 주소를 위조하여 ping echo request를 다른 시스템으로 보내 echo reply를 받게 되면 해당 호스트를 스니핑하고 있는 것이다
- 원격 접속 프로그램으로 텔넷 대신 ssh 프로토콜을 이용하여 방지 가능
- 위조된 arp request를 보냈을 때 arp response가 오면 상대방 호스트를 스니핑하고 있는 것이다
- vpn을 이용해 네트워크 구간을 암호화하여 방지할 수 있다

+ syn flooding: tcp 연결설정 과정 중 half-open 연결시도가 가능한 것을 이용한 공격

 

214.
L2 스위치에 대한 스니핑 공격
- ARP 스푸핑, ICMP 리다이렉트, MAC 어드레스 플러딩(스위치 재밍) 등이 있다
- ICMP 리다이렉트: icmp 리다이렉트 메시지를 생성해 타겟 시스템에 보내고, 타겟 시스템이 전송하는 패킷은 공격자에게 먼저 전송된다.
- ARP 스푸핑 : ARP Reply를 지속적으로 전송하여 이루어진다. 대상 시스템의 arp cache table을 변조한다
- mac 어드레스 플러딩 : 조작된 mac 주소를 출발지 mac 주소에 설정하여 대량 전송. 스위치가 더미허브처럼 동작하게 만든다.

 

215.
스니핑 위험 및 공격
- 스위치 장비를 이용한 환경에서는 공격 컴퓨터가 스니핑 소프트웨어를 활용하여 스위칭 테이블을 조작하는 트래픽을 생성한다
- 스위치로 구축된 네트워크 환경에서는 네트워크 탭(스플리터)을 이용하거나, 포트 미러링 기능으로 스니핑 공격 수행
- 스위치로 구축된 환경에서 arp 스푸핑 공격시, 타겟 시스템과 디폴트 게이트웨이의 arp cache의 내용을 조작한다 => arp 리다이렉트의 내용. (arp 리다이렉트는 arp 스푸핑에 포함됨)

- 스니핑 공격에 대응하는 방법 : ssl, ipsec, pgp 등의 암호화 프로토콜 사용

 

+ 일반적으로 구분할 때

ARP 스푸핑 : 타겟 시스템(호스트)의 ARP CACHE Table 조작하여 속인다 
ARP 리다이렉트 : 호스트로 통하는 게이트웨이(라우터)를 속인다

 

 

216.
IP Spoofing 공격 대응방안
- rsh나 rlogin같이 인증과정을 생략할 수 있는 서비스는 사용하지 않는다
- 상대호스트 인증 강화
- 외부 패킷 중 내부 ip를 가진 것을 필터링하여 차단

+ 스머프 공격 대응책 : 다이렉트 브로드캐스트 차단

 

217.
arp 스푸핑 또는 arp cache 포이즈닝 공격 및 대응방법
- 공격 시스템과 타겟 시스템이 동일한 lan 세그먼트에 연결된 환경에서 이루어진다. ip주소와 mac 주소의 연관정보를 조작하는 중간자공격MITM이다
- 공격 시스템은 ARP Reply 메시지를 조작하여 타겟 시스템의 ARP Cache 내용 중 디폴트 게이트웨이의 mac 주소를 공격 시스템의 mac 주소로 변경하고, 디폴트 게이트웨이의 cache 내용 중 타겟 시스템의 mac 주소를 공격 시스템 mac 주소로 변경한다
- arp 스푸핑 공격이 가능한 원인: arp 프로토콜이 상태를 관리하지 않는 stateless 특징, 조작된 arp reply 메시지 출처를 확인하지 않기 때문
- arp 스푸핑 대응책 : arp -s arp cache table을 정적으로 설정하거나, 별도 보안 소프트웨어를 이용해 arp reply 조작여부를 점검

 

218.
arp 스푸핑 공격 발생시 피해 시스템에 나타나는 현상
- 네트워크 속도 저하
- 정기적인 arp 패킷 다량 수신
- arp cache table 변조

 

219.
TCP 세션 하이재킹
- 암호화되지 않은 연결을 사용할 때 대응이 어렵다 (텔넷, ftp)
- 패킷의 유실과 재전송이 증가하고, 세션의 리셋이 발생하면 공격을 의심할 수 있다
- 스니핑 + 재연(재전송) 공격
- 서버와 클라이언트가 통신할 때 tcp의 시퀀스 넘버를 제어하는 데 문제점이 있다는 취약점을 이용
- OTP, 시도 응답(Challenge/Response)등 대응 방식을 무력화함(인증이 완료된 이후 탈취하므로)

- 탐지 기법, 암호화, 지속적인 재인증으로 대응

 

220.
세션 하이재킹
- 연결지향형 프로토콜에서만 가능
- 공격자는 시퀀스 번호를 정확히 예측해야 함
- 정확히 예측하지 못하면 ack 패킷이 대량 발생
- ack 패킷의 대량 발생을 막기 위해 DoS 공격을 수행하거나, 중간자공격MIMT을 시도함

 

221.
TCP 세션 하이재킹 공격 순서
1) 공격자는 스니핑을 통해 세션확인 후 스퀀스 넘버 획득 
2) RST 패킷을 생성해 서버쪽 연결만 끊어서 closed, 클라이언트는 Established 상태
3) 공격자는 새 시퀀스 넘버를 생성해 서버로 보낸다 
4) 서버는 새 시권스 넘버를 받아들여서 다시 세션을 생성
5) 공격자는 정상연결처럼 서버와 시퀀스 넘버 교환. 공격자와 서버 모두 established상태

 

222.
HTTP 세션 하이재킹 (세션 id 하이재킹)
- 다른 사람의 세션 id를 가로채서 서버에 보내 인증을 받는 공격 방법
- owasp top10의 취약한 인증/세션 관리에 속함
- 세션 id는 서버와 클라이언트 모드가 가지고 있어서, 인증을 받은 후 한 세션동안 다시 인증을 거치지 않고 계속 연결을 유지할 수 있는 취약점을 이용

 

223.
ip 스푸핑과 세션 하이재킹에서 공격자가 공통적으로 사용하는 속임수
=> 신뢰된 두 시스템 찾기

(신뢰관계를 악용하므로)

 

224.
호스트기반 침입탐지시스템 HIDS
- 이상행위 유형
1) 버퍼오버플로우
2) 권한-확대 취약점 공격
3) 디렉터리 검색 (상위 디렉터리에 접속하여 중요파일 접근)

+ NIDS 네트워크 기반 침입탐지 시스템의 이상행위 : 프로토콜 이상행위(HTTP같은 프로토콜 취약점 악용)

+

HIDS : 시스템에 대한 공격

NIDS : 네트워크 시스템이나 프로토콜에 대한 공격

 

225.
호스트기반 HIDS
- 하드웨어 추가설치 없이 시스템에 다양한 로그정보 분석을 통해 침입 탐지
- 암호화된 트래픽 분석은 HIDS가 유리
- 각 시스템에 저장된 로그를 활용하므로 탐지율이 우수함
- 단점 : 하드웨어 자원을 활용하므로 성능저하, 설치와 버전관리가 어렵다

네트워크 기반NIDS
- 네트워크 스캐닝 공격 탐지

 

226.
NIDS 네트워크 기반 침입탐지 시스템
- 네트워크 패킷정보로 침입여부 판정
- 비정상행위 기반 탐지 : 정상행위 프로파일과 트래픽 정보의 특징을 비교
- 미탐 False negative: 실제 발생한 침입을 탐지하지 못함
- 설치되는 시스템 수가 적다는 장점이 있지만, 암호화된 트래픽 침입을 탐지하지 못함

 

+ 오탐 False Positive : 정상행위를 오류로 탐지함

 

227.
호스트기반 HIDS
- 동작하는 시스템 내 저장된 감사자료를 분석하여 침입여부 판정
- 암호화된 트래픽을 통한 탐지도 가능
- 설치된 시스템 운영체제의 종류와 버전별로 설치, 관리가 필요하므로 관리비용이 크다
- 트로이목마, Race Condition 같은 공격 탐지하는데 유리

 

228.
새로운 트로이목마형 악성코드의 탐지방법
- 사용하지 않은 포트가 열려있는지 검사
- 레지스트리 검사하여 자동실행 설정된 내용 검사
- 사용자 컴퓨터에 설치하지 않은 프로그램이나 파일 검사

+ 시그너처 기반 패턴 탐지 : 새로운 공격형태 탐지 불가 (Misuse)
+ 새로운 공격 형태 탐지는 어노말리Anomaly 기반 공격 탐지 활용 (비정상 행위 탐지, 제로데이어택 탐지)

 

229.
시그너처 패턴 탐지
- telnet 사용시 root 계정을 사용하여 로그인하는 시도 탐지
- 이메일에 첨부된 파일의 확장자가 exe인 메일을 탐지
- 웹서버에 전송되는 데이터 내에 script가 들어간 패킷 탐지
=> 이미 알려진 공격의 패턴을 탐지 (규칙)

 

230.
봇넷탐지 및 대응기술
- 보유 비정상 트래픽 패턴을 이용하여 봇 트래픽을 탐지. 패턴을 벗어나면 탐지 불가
=> 시그너처 패턴 탐지(호스트 기반 HIDS)

- HTTP/P2P 봇넷에 대한 탐지 및 대응에 한계가 있다
=> 시그니처 기반

 

- DDoS 공격 탐지, 수많은 변종과 다양한 탐지회피 기술로 무장한 봇넷들을 탐지

=> 네트워크 기반NIDS

 

231.
침입탐지 시스템
미탐false negative: 공격시도를 공격으로 탐지하지 못하는 것
오탐false positive: 정상접근을 공격으로 잘못 탐지

 

232.
IDS
- HIDS : 로그파일 기반
- NIDS : 패킷을 분석 (운영체제와 무관하게 서비스를 구현 가능)
- 오용탐지 : Misuse (시그너처 패턴)
- 비정상 행위 탐지 : 어노말리
- False negative 미탐 : 공격탐지X 큰 보안위협을 발생시킬 수 있다
- False positive 오탐 : 정상행위를 공격으로 오인, 편의성 문제

 

233.
IDS 동작원리
- 비정상 행위 탐지 : 구축된 시스템 이용패턴 기반, 정상행위 프로파일을 기준으로 판단
- HIDS 단점 : 운영체제별로 개발이 이루어져야 하고 시스템 부하 증가
- NIDS 장점 : 서버 설정변경이 필요 없고, 외부 공격탐지에 유리, 실시간 침입탐지 가능

 

234.
- 오용탐지 : 알려진 공격에 대한 패턴 기반, 침입패턴의 정확성과 지원신속성에 의해 성능 결정
- 비정상행위 탐지 : 임계치 방식, 통계치 방식등. 정상행위에 대한 프로파일 구축, 이 파일과 일치하지 않으면 침입으로 판단
- 침입탐지 패턴이 너무 일반적일 경우 Fasle positive가 증가, 너무 구체적이면 False negative 증가
- NIDS : 외부 트래픽이 유입되는 지점에 패킷 수집용 시스템 설치
- HIDS : 시스템에 저장된 로그파일, 프로세스 파일 등을 수집하여 침입 탐지

 

235.
침입탐지시스템의 설치 위치
- HIDS : 중요 시스템 (비용이 많이 들기 때문)
- NIDS : 네트워크 관련, 일반적으로 방화벽 뒤에 설치 (Inline)

 

[내부 네트워크]
            | ④
            |      ③             ②            ①
     [스위치] --- 방화벽 --- 라우터 --- 인터넷
            | 
     [방화벽]
            | ⑤
[DMZ 네트워크]

 

1) 라우터 전 : 모든 공격 탐지 가능

2) 라우터 뒤 : 라우터에 의해 1차 필터링 된 후, 효율성이 좋다

3) 방화벽 뒤 : 내부 공격자도 어느정도 탐지 가능, IDS 설치 최적 위치

4) 내부 네트워크 : 내부 네트워크 해킹 감시 가능
5) DMZ : 외부 및 내부 공격자에 의한 데이터 손실이나 서비스 중단 방지.

 

236.
HoneyPots 시스템 목표
- 공격자를 중요 시스템에 접근하지 못하게 유인
- 공격자의 행동 패턴 정보 수집
- 공격자가 오랫동안 Honeypots에서 시간을 보내도록 한다

 

237.
NAT
- NAT에서 내부 네트워크와 외부 내트워크로 분리된다
- 외부에서 내부 네트워크로 직접적인 접근 불가 (보안효과)
- 네트워크 사설주소와 공인 주소의 매핑 제공

238.
방화벽 내부에서 192.168.20.0/24를 사용중인데, ISP로부터 공인 IP주소를 1개만 할당받았을때
NAT를 이용해 인터넷에 연결하도록 방화벽을 구성시 가장 적절한 NAT의 종류
=> PAT (Port Address Translation)

+ 사설주소 : 10.0.0.0/8~, 172.16.0.0/12~, 192.168.0.0/16~

+ SNAT : 1:1 매핑
+ DNAT : 여러 외부 IP를 동적으로 매핑
+ PAT : 포트번호로 구분하여 주소를 매핑 (웰론포트가 아닌 것)

+ 외부->내부 : Normal NAT
+ 내부->외부 : Reverse NAT

 

239.
배스천Bastion 호스트
- 프록시 역할을 주로 수행
- 애플리케이션 프록시들이 설치되어, 응용 계층 침입차단 시스템 역할 수행하는 호스트

- 접근제어, 프록시 설치, 인증 담당

- 응용레벨/서킷(회선)레벨 플랫폼 제공

 

+ 듀얼홈 게이트웨이 방식 : 두 개의 NIC 사용

 

240.
방화벽
규칙

	출발지주소	목적지주소	동작
1	11.12.99.0/24	162.15.0.0/16	거부
2	11.12.0.0/8	162.15.6.0/24	허용
3	any	any	거부

 

A: (출) 11.12.99.1 (목) 162.15.1.1 => 1번 규칙에 의해 거부 ( 11.12.99 ~ & 162.15 ~)

B: (출) 11.12.99.1 (목) 162.15.6.1 => 1번 규칙에 의해 거부 ( 11.12.99 ~ & 162.15 ~)

C: (출) 11.12.1.1 (목) 162.15.6.1 => 2번 규칙 허용 (11. ~ & 162.15.6 ~ )

D: (출) 11.12.1.1 (목) 162.15.1.1 => 3번 규칙 거부 ( 2번 규칙 목적지 범위에 해당되지 않음 )

 

가장 긴 마스크 매칭 : 라우팅 테이블에서 가장 긴 마스크부터 짧은 마스크로 정렬되어 매칭
=> prefix가 긴 규칙부터 정렬(적용)된다는 뜻.

예시중에서는 출발지 주소에서 /24 /8 이므로 1, 2, 3 순서로 적용되는 것이 맞다

순서대로 적용되므로, 거부되거나 허용된다면 그 다음 규칙은 적용되지 않는다

 

241.
방화벽 패킷 필터링 규칙
내부 네트워크 : 192.168.1.0/24 (웹서버)
외부 네트워크 : 10.10.10.0/24

규칙

	출발지주소	port	목적지주소	동작
1	Any	80	192.168.1.10	Allow
2	192.168.1.10	25	10.10.10.21	Allow
3	192.168.1.10	110	10.10.10.21	Deny
4	192.168.1.10	143	10.10.10.21	Allow
5	External	25	Internal	Deny

 

가) 내외부에서 모두 웹서버(80)에 접근 가능 Allow 

나) 외부의 모든 시스템에서 내부 시스템에 메일을 보낼 수 없다 (SMTP 25) Deny 

다) 내부 메일 서버에서 외부 메일서버의 POP3(110) 접근 불가 Deny 

라) 내부 메일 서버에서 외부 메일서버 IMAP(143) 접근 가능 Allow