-o-k's story

네트워크 장비를 가상으로 구현하여 테스트 하기 위한 방법을 찾아보았다. 네트워크 시뮬레이션이 가능한 GNS3의 다운로드와 설치과정을 소개하려고 한다. GNS3이란? 네트워크 애뮬레이터 특징 - Cisco 이외 다른 벤더의 장비들도 시뮬레이션 가능 - Cisco Packet 장점 - 지원되는 명령어 많음 - 실제 망의 장비나 VMware의 가상머신과 붙일 수 있어 확장성 우수 1. vmware workstation Pro설치 GNS3 에서는 VMware Workstation 을 사용하는 것을 권장 2. GN3 설치 하기 1) 홈페이지 설치파일로 접속하기 - 설치하기 위해서는 회원가입 및 로그인이 필요함 - 운영체제에 맞게 선택 https://www.gns3.com/software/download 파일 다운..

침입탐지시스템(IDS: Intrusion Detection System) 정의 탐지 대상 시스템이나 네트워크를 감시하여 비인가되거나 비정상적인 행동을 탐지하여 구별한다. IDS 주요 기능 사용자의 시스템의 행동 분석 및 관찰하여 설정된 시스템에 대한 보안 상태를 테스트한다. 잘 알려진 공격에 대한 패턴 기반 대응인 오용탐지와 정상적인 행위에 대한 임계치를 벗어나는 행위를 탐지하는 이상 탐지를 통해 탐지한다. 오용탐지 지식 기반 탐지, 패턴 기반 탐지 패턴을 등록해놓고 일치하는 행위에 대해서 탐지 오탐률이 낮지만 지속적인 새로운 패턴에 대해 등록 작업이 이루어져야 하기 때문에 미탐률은 높다. 이상탐지 행위 기반 탐지 정상적인 행위에 대한 프로파일을 생성해놓고 정량적이고 통계적인 방법을 통해 비교, 분석을 ..

분산 반사 서비스 거부 공격(DRDoS) 공격자는 출발지 IP를 공격 대상의 IP로 위조(IP Spoofing)하여 다수의 반사 서버(Reflector)로 요청정보를 전송, 공격 대상은 반사 서버로부터 다수의 응답을 받아 서비스 거부 상태가 되는 공격 유형 반사(reflection)와 증폭(amplification) 공격으로 나뉜다. 반사 서버인 제 3자를 두고 DDoS 공격을 하는 기법이다. 공격 유형 UDP 프로토콜 서비스를 제공하는 서버를 반사 서버로 이용해 그 응답이 공격 대상으로 향하도록 하는 방법 (가장 많이 발생) DNS 증폭 DRDoS 공격 DNS 서버(반사 서버)에 많은 양의 레코드 정보를 요구하는 DNS 질의 타입을 요청 공격 대상에게 대량의 트래픽을 유발함 NTP 증폭 DRDoS 공격..

분산 서비스 거부 공격(DDoS: Distributed Denial of Service) 1. 정의 분산된 다수의 좀비 PC/디바이스 (악성 봇)에 의해 Target 시스템의 서비스를 마비시키는 공격 형태 2. 구성요소 4가지 공격자 : C&C 서버에 공격 명령 전달하는 해커의 컴퓨터 (bot master) 공격대상 (Target) : 공격의 대상이 되는 시스템 C&C (Command & Control) 서버 : 공격자로부터 직접 공격 명령을 전달받는 시스템 (master). 전달받은 명령은 관리하는 다수의 좀비 PC에게 전달 Zombie PC/디바이스 : C&C 서버로부터 전달받은 명령을 실행하여 Target 에게 실제 공격을 수행하는 PC/디바이스 (bot, slave, agent) 3. DDoS공격..

1. 네트워크 기반 위협 1) 네트워크를 취약하게 만드는 요인 = 많은 공격 지점, 네트워크를 통한 자원 공유, 시스템 복잡성 2) 네트워크 위협의 유형 = 기술적 위협, 수동적 공격(스니핑) / 능동적 공격(Replay-attack, DoS, Session Hijacking) 2. 서비스 거부 공격(DoS, Denial of Service) 시스템이 정상적으로 서비스를 하지 못하게 해서 일반적으로 서버를 다운시키는 공격 특정 서버에게 수많은 접속 시도(=부하)를 만들어 다른 이용자가 정상적으로 서비스 이용을 못하게 만든다. 정상적인 서비스를 할 수 없도록 가용성(Availability) 침해가 목표 3. 서비스 거부 공격의 종류와 원리 및 대처방안 1) TCP SYN Flooding Attack [공격..

1. Snort 정의 1998년 "마틴 로시"에 의해 처음 개발됐다. Snort라는 단어는 "Sniffer and More"에서 유래된 이름이다. IP 네트워크에서 실시간 트래픽 분석과 패킷 로깅 작업을 수행하여 다양한 공격과 스캔을 탐지하는 방법 2. 주요 기능 - 패킷 스니퍼(sniffer): 네트워크 상의 패킷을 스니핑 하여 보여주는 기능 - 패킷 로거(logger): 패킷을 저장하고 로그에 기록 - 네트워크 IDS/IPS: 네트워크 트래픽 분석하여 공격을 탐지 및 차단 3. Snort Rule 설정 방법 - 룰 헤더(header)와 룰 바디(body)로 구성되어 있다. - 헤더 부분은 처리방식, 프로토콜 등 처리할 패킷을 판단하는 기준이 명시되어 있고 바디 부분은 패킷을 탐지하는 규칙을 명시한다...

1. 방화벽(Firewall)이란? 외부로부터 침입을 막는 벽, 물리적으로 네트워크를 연결하고 절단시키는 구조를 갖고 있기 때문에 응용 프로그램을 고칠 필요 없이 쉽게 사용할 수 있고 네트워크에 흘러 다니는 모든 패킷을 검사하므로 해킹과 같은 외부 침입을 근본적으로 막을 수 있다. 네트워크 계층(Network Layer)의 IP 주소와 전송 계층(Transport Layer)의 Port 주소를 기반으로 방화벽 룰셋에 따라 패킷 필터링을 수행하는 보안장비이다. 접근통제목록(ACL, Access Control List)에 따라 보안정책 설정 방화벽 위치: DMZ 구간과 내부망 사이, 내부망 안에서 서로 다른 존에 위치 차세대 방화벽(NGFW, Next Generation Firewall) 출시 2. 방화벽 ..

FTP Active Mode, Passive Mode 정의와 차이 알아보기 FTP (File Transfer Protocol) TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜, 두 가지 모드가 존재한다. 1) Active Mode - 사용위치: 방화벽이 없는 환경에서 주로 사용, 방화벽이 존재한다면 해당 포트를 열어서 사용하거나 NAT 환경에 있는 네트워크라면 포트 포워딩을 해줘야 한다. - 작동원리 >>최초 접속 요청: 클라이언트 -> 서버의 21번 포트에 접속을 요구한다. 서버는 정상적인 접근일 경우 그에 대해 승인을 한다. >> Data 전송: 클라이언트는 Data 전송을 위한 접속 Port를 서버에게 알려준다. 서버는 20번 포트를 이용하여 클라이언트가 알려..

File Magic Number(File Signature=시그니처) 정의 파일들이 각각 고유한 포맷을 가지고 있는데 포맷의 기본이 되는 내용이 파일 시그니쳐이다. 파일의 처음에만 존재하는 파일 포맷도 있지만 파일의 마지막에도 존재하는 포맷이 있다. 각 파일의 형식마다 정해져 있는 특정 바이트로 파일에 포함되는 몇 개의 Bytes >> 헤더(Header) 시그니처: 파일의 처음에 존재하는 시그니처 >> 푸터(Footer or Tailer) 시그니처: 파일의 마지막에 존재하는 시그니처 사용용도 파일 포맷 분석, 악성코드 분석, 파일 복구 등에 중요하게 쓰인다. 파일 시그니처 종류 http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatur..

대칭키/비대칭키 => 키동기화 방식 => SSL/TLS => SSL MITM 1. 대칭키/비대칭키 정의 및 차이점 대칭키(비밀키) 비대칭키(공개키) 정의 송신자와 수신자가 같은 키를 사용하는 암/복호화 알고리즘 - 스트림 암호: 연속적인 비트/바이트를 계속해서 입력 받아, 그에 대응하는 암호화 비트/바이트를 생성하는 방식 - 블록암호: 정해진 한 단위(블록)을 입력 받아 그에 대응하는 암호화 블록을 생성하는 방식 송신자는 외부에 공개된 키로 암호화하여 송신하고 수신자는 개인키로 복호화 하는 알고리즘 KEY 하나의 키로 암호화와 하고 같은 키로 복호화를 진행한다 키는 외부에 노출되면 안되므로 비밀키 라고도 한다. 송신자: 외부에 공개된 공개키(Public Key) 수신자: 개인키(Private Key) K..