[보안] 네트워크 공격_정찰

 

 

네트워크 공격 유형

 

- 대상 네트워크에 대한 정보를 수집으로 하는 공격

 

• 정찰
• 액세스 공격
• DoS 및 Distributed DoS   

 

 

- 자세한 정보 또는 내부자 액세스를 필요로 하는 공격

 

• Worms, Virses, Trojan Horses
• 어플리케이션 레이어 공격
• 메니저먼트 프로토콜의 위협

 

 

 

 

 

정찰 (Reconnaissance Attacks)

 

1. 정찰

▪ 정찰은 인터넷 정보 및 응용프로그램을 사용하여 대상 네트워크에 대한 정보를 습득하고 전반적인 조사를 뜻함

▪ 정찰 공격 종류

  - 패킷 스니퍼 --> Promiscuous 모드로 네트워크 어댑터 카드를 사용하여 모든 네트워크 패킷을 캡쳐하는 모드로 사용하는 소프트웨어 응용 프로그램

  - 포트 스캔 --> 포트가 열리고 닫힘을 확인하는 데 어떤 서비스를 이용하는 지 알 수 있음.
  - Ping
  - 인터넷 정보 쿼리 --> DNS 조회할 때.

 

 

 

2. 패킷 스니퍼

 

• 패킷 스니퍼가 Promiscuous 모드로 네트워크 어댑터 카드를 사용하여 모든 네트워크 패킷을 캡쳐하는 모드로 사용하는 소프트웨어 응용 프로그램
  
  (Promiscuous 모드 = 무차별 모드 = 네트워크 상 통신되는 패킷이 자신의 패킷이 아니라도 모두 수신하는 상태)
  
  
• 패킷 스니퍼는 일반 텍스트로 전달되는 정보 및 일반 텍스트로 정보를 전달하는 프로토콜 Telnet, FTP, SNMP, POP, HTTP를 악용할 수 있음

 

** Telnet --> 요새는 SSH 접근을 추천

** SNMP --> 장치들을 관리하기 위한 프로토콜로서 MIB데이터베이스가 있어야 값에 대한 확인을 제대로 할 수 있음

                  숫자 배열 형태로 되어있음. 

 

 

 

3. 패킷 스니퍼 완화 

 

- 패킷 스니퍼를 완화하기 위한 기법 및 도구는 아래와 같음

   ① 인증 (Authentication)
   ② 암호화 (Cryptography)
   ③ Anti-Sniffer Tools -->  Promiscuous 모드를 감지하는 것 
   ④ Switched infrastructure

 

- 콜리전 도메인 분리 및 VLAN을 이용하여 완화 가능

 

 

 

 

4. 포트 스캔 및 Ping

 

 ▪ 포트 스캔 및 Ping의 목적은 아래와 같습니다.

 - 전체 서비스의 파악
 - 전체 호스트 및 디바이스 정보 수집
 - 운영체제 정보 수집
 - 취약점 검색

 

 

 ▪ 포트 검색 및 ping의 경우 네트워크 기능의 저하 없이 막기가 어려움.

 ▪ ICMP를 막게 되면 일부 장애 감지 및 처리에 어려움이 발생

 ▪ 네트워크 및 호스트 수준의 침입 방지 시스템 (IDS, IPS)구성으로 위험을 줄일 수 있음.

 

 

 

 

ICMP = 네트워크 컴퓨터 위에서 돌아가는 운영체제에서 오류 메시지를 전송받는 데 주로 쓰이며 인터넷 프로토콜의 주요 구성원 중 하나로 인터넷 프로토콜에 의존하여 작업을 수행

IDS = 침입 탐지 시스템

IPS = 침입 방지 시스템

 

 

 

 

 

---

 

 

 

참고할 내용들 정리

 

 

 

NMS

 

• 네트워크 메니지먼트 시스템
• 우리회사에 설치되어있는 각각의 라우터, 보안장비들을 모니터링할 때 사용

 

 

 

 

MIB

 

• 벤더사에서 장비 제공
• Object IDentifier (OID) 정보들이 들어있음
• MIB 데이터베이스를 NMS에 제대로 연동시켜야 값을 확인할 수 있음

 

 

 

ㅁ H/W ------> NMS    :  Trap을 계속 보내는 데 주기적으로 보내거나 event로 보냄 (보통은 주기별로 보냄)

 

ㅁ NMS ------> H/W    :   Polling 지금 cpu상태, 메모리 상태 등등 특정 항목에 대한 질의를 보냄

 

 

 

 

 

 

 

SNMP 버전

 

• v1 : 요새 거의 쓰지 않음/ 인증 기능 부존재,  암호화기능 부존재
• v2 : 요새 가장 많이 설치되어 있음/  인증 기능 존재,  암호화기능 부존재
• v3 : 새로 나왔음/  인증 기능 지원,   암호화기능도 지원

 

 

그럼 v3 사용하면 되지 않을까???

 

 

하지만 예전에 만들어진 장비들은 SNMP v3를 지원하지 않아서 문제

보안에 민감한 회사들은 펌웨어 업데이트를 해서 빠른 대응을 하지만 

그렇지 않은 회사들은 업데이트를 하지 않기 때문에

 

 

장비의 노후 기준으로 지원 여부를 말하기도 그렇다.

 

 

 

 

 

 

 

HTTP ------->  HTTPS

 

 

HTTP

 

• 하이퍼 텍스트 전송 프로토콜의(Hypertext Transfer Protocol)의 약자
• 서로 다른 시스템들 사이에서 통신을 주고받게 해주는 가장 기초적인 프로토콜

 

 

 

 

HTTPS

 

 

• 하이퍼 텍스트 전송 프로토콜 보안(Hypertext Transfer Protocol Secure)의 약자
• SSL/ TLS 대응에서 암호화하는 방식
• 암호화할때 인증서를 활용
• 사이트에 접근할 떄 이 인증서가 올바른 지 점검

 

그렇다면 인터넷이 안되는 경우에 인증서 점검을 어떻게 할까??

---> 에러인 상태로 계속 진행될 것입니다. 또한 인증서는 기간 만료 문제도 존재하죠.

 

---> 그럼 망 분리를 하면 어떨까?

 

 

 

 

망분리 ---> 논리적, 물리적 망분리 존재

 

 

 

완벽한 망분리는 존재하지 않습니다.

데이터를 주고 받아야 하기 때문이죠!!!

 

일단 망분리하면 인터넷이 불가능해져서 소프트웨어 업데이트 역시 불가능합니다.

 

또한 데이터를 어떻게 주고 받을까요?

업무를 보면서 데이터를 복사해오는 일은 필수 불가결입니다.

그래서 완벽한 망분리가 미존재합니다.

 

 

망연계라는 장치가 존재하는 데

이 단일 지점을 통해서 입출력이 이루어져서 이 부분만 보호를 잘하면 공격들을 예방할 수 있긴 합니다.

 

망연계할 때 특징이 TCP/IP 프로토콜로 주고 받지 않고 독자적인 프로토콜을 활용하죠.

 

 

하지만 이 망연계 방법은 추천하지 않습니다.

국내에 강제로 망분리를 시켜놓은 곳이 있긴 합니다.

금융권이 망분리 의무화의 대표적인 CASE가 되죠.