Domain 4. Communication & Network Security(Network attack)

passive attacks(수동적 공격 형태 )

-interception(sniffer 사용=>통합적으로 tool을 쓰는 의미 )

-> traffic analysis(트래픽 분석)

->eavessdropping(도청)

-island hopping attack : sniffer 가 사용 하는  active attack 방식 

     

- 방지방법 

-> 암호화

-> 스위치 사용(vlan 을 이용하여 리피터,브릿지 보다 보안이 좋다)

Q) passive attack 의 목적 ?=> traffic analysis, eavesdropping

-Promisuous mode

-> nic 는 기본적으로 broadcast,multicast , 자기 목적인 패킷만 통과 시키지만 promisuous mode 를 사용 하면 모든 패킷을 통과 (-> 잡동사니 모드)

Q) 네트워크상 sniffer 를 쉽게 찾는 방법?=>도구를 사용 한다.

*Port scanning -stealth scanning(로그 안남게 함)

- fin scanning : fin flag is set

- null scanning: no flag are set on initiatiing TCP packet

- xmas scanning : all tcp flag are ser

Active attack(능동적인 공격 형태 )

* social engineering

-> 다른 사람인척 하여 정보를 뺴내는 방법

-> dumpster diving 등을 이용하여 정보를 얻음

-> scavenge :하드 디스크의 삭제된 내용을 복구 하는 기술

* replay attack (play back attack)

-> 데이터 캡처후 일정 시간이 지난후 재전송 기법

-해결책

1) packet sequnce 를 이용 - >IPSEC

2) packet timestamp 를 이용 -> Kerberos

* DOS/DDOS

1tire attack(dos) : ping,syn/udp flooding

2tire attack(ddos) : smurf attack

3tire attack(ddos):trinoo,TFN2k

* denial of service attack

- 시스템 파괴 공격/시스템 과부하 공격

- dos를 하는 이유 ->가용성

* Lnad attack

- tcp syn 패킷을 이용하여 , 출발지 주소 포트를  공격대상자의 ip,port 로 지정하여 loop 상태 빠지며 ,ip 스택에 심각한 장에 유발

* Syn attack

- Tcp syn flooding : 많는 수의 half-open(완료되지 않은 tcp 연결)을 시도 하여 상대 호스트의 listen queue(backlog queue)를 가득 채움(tcp 서비스 거부공격)

=> 방지방법

1) backlog queue 늘림

2) connection timeout 을 줄임

3) syn cookies 이용 ( syn + ack 을 응답하기전 cookie를 이용하여 확인후 응답)

Q) 해커가 사용 하지 않을거 같은 툴은 ?

1)trpwire (->무결성 검사 도구)

2) john the repper (->password crack tool)

3) hunt (세션 하이제킹 툴)

ㅁFragmentation Attack (1tire attack )

- Ping of Death         : IP Datagram 의 최대치인 65535 Byte 이상으로 전송 하여 서비스 거부를 유발

- Tiredrop attack (DNS 53 port) : IP Fragment 의 재조합 과정의 취약점을 이용하여, 두번째 offset 을 수정하여

             IP Fragment 재조합 과정에서 버퍼가 넘쳐 겹치게 하는 형태 (offset의 중첩 -> overlap)

- Unnamed ack attack     : IP Fragment 의 재조합 과정의 중첩이 아닌 GAP 을 이용하는 형태

ㅁ Smurf Attack (2 tire Attack)

- Smurf Attack         :  icmp + broadcast

- Fraggle Attack        :  UDP + broadcast (UDP echo port 7 사용)

- Smurf Attack 의 구성     :  attacker -> amplified network ->victim

- Smurf Attack 의 해결 방법     : Router(L3) 에서 Destination 이 Broadcast IP 인 것을 막음

ㅁ Distribute Denial of Service Attack (DDoS)

- master/slave(bot,zombie), handler/agent 의 기본 공격자와 공격호스트 분리

- DDoS는 완벽하게 방어가 힘들다

- DDoS 대표적 사용 Tools    :  Trinoo, TFN2K,  Stacheldraht 등

- 만약, zombie pc 가 사내에 발생 하여, 손해배상 청구가 들어오게 될 경우, 보안 담당자가 Due Care 를 준수하여 근거가 있으면 손해배상 청구가 무효된다.

- DDoS 구성 : client ->  handler(master) -> agent(slave) ->target

ㅁ security principles ( art of defense)

1) Least Privilege

2) Defense in Depth (DID)

3) Choke Point

4) Weakest Link (가장 취약한 부분 공격 -> 사회공학을 통한 사람 공격)

5) Fail-safe Stance

ㅁ Network partitioning(망분리)

- DMZ / Public access zone     : SMTP,DNS, PROXY server

- Application zone         : Replication DB, Anti-virus, Web-server

- Internal zone         : Source DB,Users, Internal file and mail server

ㅁ Firewall Achetecture

1) Screening router

- L3 =>IP 주소 기반

- packet filtering

- 로그 관리가 미흡

2) Screened host

- bastion host 를 이용 로그관리와 결합

- bastion host는 Lock-Down (불필요한 서비스는 shutdown 되어 있음) 상태

- 1세대 packet filetring    : L3=>IP 주소 기반

- 2세대 application firewall     : L7=>contents 기반 =>정교한 보안 정책 가능, stateless=>느린 속도 처리

- 3세대 stateful firewall     : L7=>contents 기반 =>정교한 보안 정책 가능, stateful=>빠른 속도 처리

- 2세대 application firewall 의 느린 속도처리를 개선 하고자 3세대 statefull firewall 은 한번 허용된 패킷에 대하여

상태 테이블에 일정 시간 저장 하여, 후속 패킷에 대하여 정책 검사 없이 처리 하여 application firewall 보다 빠른 속도 처리를 한다.

- 빠른 처리 속도     :  packet filetering > stateful firewall > application firewall

- 보안성        :  application firewall > stateful firewall > packet fitering

3) Dual-home host

- proxy 구조        :  외부로 패킷이 나갈때 출발치 아이피가 변경=> 내부 client 의 정보 노출 방지

- proxy circuit level        :  L4~5 ,ip,port 를 이용하며, 속도가 빠름, 정교한 보안 정책이 불가능, 네트워크 당 1개씩 설치

- proxy application leve    :  L7, contens 를 이용하며, 속도가 느림, 정교한 보안 정책 가능 ,서비스(프로토콜) 당 1개씩 설치

- circuit level 은 application level 에 비하여 easier to maintain(유지관리가 더쉽다)

4) Screened subnet

- DMZ 구조의 가장 안전한 방식

ㅁ SOCKS : circuit level prxoy 형태의 Dual-home firewall

ㅁ NAT(network address translation)

- static 1:1

- dynamic 1:n, n:n

- 패킷이 나갈때는 출발지 아이피가 변경 되고 들어 올때는 도착지 아이피가 바뀐다

- nat 의 보안상 목적 : 내부 client 정보 유출 방지

ㅁ  수집 위치에 따른 IDS 분류

- HIDS(host 기반 IDS)        :  backdoor, trojan horse, rootkit 등 탐지 => 서버 로그 기반

- NIDC(네트워크 기반 IDS)    :  worm 등 탐지 => sniffer 의 역할

ㅁ탐지 방법에 따른 IDS 분류

1) misuse(오용)                  2) anomaly(변칙)

비정상적인것만 기억             정상적인 것만 기억

signature(서명기반)             behaivor(행위적=> 통계기반)

knowledge-base                  profile-base

expert-system                       ai,neuril network

zero-day attack탐지X         zero-day 탐지 가능

false-negative 높다              false-positive 높다

2종오류(틀린거 놓침)             1종오류(맞는걸 놓침)

주기적 업데이트                       오탐 줄여야 함

Q) anomaly ids 에서 가장 큰 문제점으로 인식 되는 것은 ? false positive => 오탐 줄여야 함

ㅁ Honeypot(=honeynet)

- preventive  control 효과가 있음 =>예방통제

- 침입자의 공격 기술을 사전에 탐지 -> zero-day attack 방지

- padded-cell : ids 와 연계하여 honeypot 으로 패킷 전달(corrective control=>교정통제)