본문 바로가기
Security/Cissp

Domain 4. Communication & Network Security(Network attack)



passive attacks(수동적 공격 형태 )

-interception(sniffer 사용=>통합적으로 tool을 쓰는 의미 )
-> traffic analysis(트래픽 분석)
->eavessdropping(도청)
-island hopping attack : sniffer 가 사용 하는  active attack 방식 
     
- 방지방법 
-> 암호화
-> 스위치 사용(vlan 을 이용하여 리피터,브릿지 보다 보안이 좋다)

Q) passive attack 의 목적 ?=> traffic analysis, eavesdropping

-Promisuous mode
-> nic 는 기본적으로 broadcast,multicast , 자기 목적인 패킷만 통과 시키지만 promisuous mode 를 사용 하면 모든 패킷을 통과 (-> 잡동사니 모드)

Q) 네트워크상 sniffer 를 쉽게 찾는 방법?=>도구를 사용 한다.

*Port scanning -stealth scanning(로그 안남게 함)
- fin scanning : fin flag is set
- null scanning: no flag are set on initiatiing TCP packet
- xmas scanning : all tcp flag are ser

Active attack(능동적인 공격 형태 )

* social engineering
-> 다른 사람인척 하여 정보를 뺴내는 방법
-> dumpster diving 등을 이용하여 정보를 얻음
-> scavenge :하드 디스크의 삭제된 내용을 복구 하는 기술

* replay attack (play back attack)
-> 데이터 캡처후 일정 시간이 지난후 재전송 기법
-해결책
1) packet sequnce 를 이용 - >IPSEC
2) packet timestamp 를 이용 -> Kerberos


* DOS/DDOS
1tire attack(dos) : ping,syn/udp flooding
2tire attack(ddos) : smurf attack
3tire attack(ddos):trinoo,TFN2k

* denial of service attack
- 시스템 파괴 공격/시스템 과부하 공격
- dos를 하는 이유 ->가용성

* Lnad attack
- tcp syn 패킷을 이용하여 , 출발지 주소 포트를  공격대상자의 ip,port 로 지정하여 loop 상태 빠지며 ,ip 스택에 심각한 장에 유발

* Syn attack

- Tcp syn flooding : 많는 수의 half-open(완료되지 않은 tcp 연결)을 시도 하여 상대 호스트의 listen queue(backlog queue)를 가득 채움(tcp 서비스 거부공격)
=> 방지방법
1) backlog queue 늘림
2) connection timeout 을 줄임
3) syn cookies 이용 ( syn + ack 을 응답하기전 cookie를 이용하여 확인후 응답)

Q) 해커가 사용 하지 않을거 같은 툴은 ?
1)trpwire (->무결성 검사 도구)
2) john the repper (->password crack tool)
3) hunt (세션 하이제킹 툴)

ㅁFragmentation Attack (1tire attack )

- Ping of Death         : IP Datagram 의 최대치인 65535 Byte 이상으로 전송 하여 서비스 거부를 유발
- Tiredrop attack (DNS 53 port) : IP Fragment 의 재조합 과정의 취약점을 이용하여, 두번째 offset 을 수정하여
             IP Fragment 재조합 과정에서 버퍼가 넘쳐 겹치게 하는 형태 (offset의 중첩 -> overlap)
- Unnamed ack attack     : IP Fragment 의 재조합 과정의 중첩이 아닌 GAP 을 이용하는 형태

ㅁ Smurf Attack (2 tire Attack)
- Smurf Attack         :  icmp + broadcast
- Fraggle Attack        :  UDP + broadcast (UDP echo port 7 사용)
- Smurf Attack 의 구성     :  attacker -> amplified network ->victim
- Smurf Attack 의 해결 방법     : Router(L3) 에서 Destination 이 Broadcast IP 인 것을 막음

ㅁ Distribute Denial of Service Attack (DDoS)
- master/slave(bot,zombie), handler/agent 의 기본 공격자와 공격호스트 분리
- DDoS는 완벽하게 방어가 힘들다
- DDoS 대표적 사용 Tools    :  Trinoo, TFN2K,  Stacheldraht 등
- 만약, zombie pc 가 사내에 발생 하여, 손해배상 청구가 들어오게 될 경우, 보안 담당자가 Due Care 를 준수하여 근거가 있으면 손해배상 청구가 무효된다.
- DDoS 구성 : client ->  handler(master) -> agent(slave) ->target

ㅁ security principles ( art of defense)
1) Least Privilege
2) Defense in Depth (DID)
3) Choke Point
4) Weakest Link (가장 취약한 부분 공격 -> 사회공학을 통한 사람 공격)
5) Fail-safe Stance

ㅁ Network partitioning(망분리)
- DMZ / Public access zone     : SMTP,DNS, PROXY server
- Application zone         : Replication DB, Anti-virus, Web-server
- Internal zone         : Source DB,Users, Internal file and mail server

ㅁ Firewall Achetecture

1) Screening router
- L3 =>IP 주소 기반
- packet filtering
- 로그 관리가 미흡

2) Screened host
- bastion host 를 이용 로그관리와 결합
- bastion host는 Lock-Down (불필요한 서비스는 shutdown 되어 있음) 상태
- 1세대 packet filetring    : L3=>IP 주소 기반
- 2세대 application firewall     : L7=>contents 기반 =>정교한 보안 정책 가능, stateless=>느린 속도 처리
- 3세대 stateful firewall     : L7=>contents 기반 =>정교한 보안 정책 가능, stateful=>빠른 속도 처리
- 2세대 application firewall 의 느린 속도처리를 개선 하고자 3세대 statefull firewall 은 한번 허용된 패킷에 대하여
상태 테이블에 일정 시간 저장 하여, 후속 패킷에 대하여 정책 검사 없이 처리 하여 application firewall 보다 빠른 속도 처리를 한다.
- 빠른 처리 속도     :  packet filetering > stateful firewall > application firewall
- 보안성        :  application firewall > stateful firewall > packet fitering

3) Dual-home host
- proxy 구조        :  외부로 패킷이 나갈때 출발치 아이피가 변경=> 내부 client 의 정보 노출 방지
- proxy circuit level        :  L4~5 ,ip,port 를 이용하며, 속도가 빠름, 정교한 보안 정책이 불가능, 네트워크 당 1개씩 설치
- proxy application leve    :  L7, contens 를 이용하며, 속도가 느림, 정교한 보안 정책 가능 ,서비스(프로토콜) 당 1개씩 설치
- circuit level 은 application level 에 비하여 easier to maintain(유지관리가 더쉽다)

4) Screened subnet
- DMZ 구조의 가장 안전한 방식

ㅁ SOCKS : circuit level prxoy 형태의 Dual-home firewall

ㅁ NAT(network address translation)
- static 1:1
- dynamic 1:n, n:n
- 패킷이 나갈때는 출발지 아이피가 변경 되고 들어 올때는 도착지 아이피가 바뀐다
- nat 의 보안상 목적 : 내부 client 정보 유출 방지

ㅁ  수집 위치에 따른 IDS 분류
- HIDS(host 기반 IDS)        :  backdoor, trojan horse, rootkit 등 탐지 => 서버 로그 기반
- NIDC(네트워크 기반 IDS)    :  worm 등 탐지 => sniffer 의 역할


ㅁ탐지 방법에 따른 IDS 분류
1) misuse(오용)                  2) anomaly(변칙)
비정상적인것만 기억             정상적인 것만 기억
signature(서명기반)             behaivor(행위적=> 통계기반)
knowledge-base                  profile-base
expert-system                       ai,neuril network
zero-day attack탐지X         zero-day 탐지 가능
false-negative 높다              false-positive 높다
2종오류(틀린거 놓침)             1종오류(맞는걸 놓침)
주기적 업데이트                       오탐 줄여야 함

Q) anomaly ids 에서 가장 큰 문제점으로 인식 되는 것은 ? false positive => 오탐 줄여야 함

ㅁ Honeypot(=honeynet)
- preventive  control 효과가 있음 =>예방통제
- 침입자의 공격 기술을 사전에 탐지 -> zero-day attack 방지

- padded-cell : ids 와 연계하여 honeypot 으로 패킷 전달(corrective control=>교정통제)


반응형