passive attacks(수동적 공격 형태 )
-interception(sniffer 사용=>통합적으로 tool을 쓰는 의미 )
-> traffic analysis(트래픽 분석)
->eavessdropping(도청)
-island hopping attack : sniffer 가 사용 하는 active attack 방식
- 방지방법
-> 암호화
-> 스위치 사용(vlan 을 이용하여 리피터,브릿지 보다 보안이 좋다)
Q) passive attack 의 목적 ?=> traffic analysis, eavesdropping
-Promisuous mode
-> nic 는 기본적으로 broadcast,multicast , 자기 목적인 패킷만 통과 시키지만 promisuous mode 를 사용 하면 모든 패킷을 통과 (-> 잡동사니 모드)
Q) 네트워크상 sniffer 를 쉽게 찾는 방법?=>도구를 사용 한다.
*Port scanning -stealth scanning(로그 안남게 함)
- fin scanning : fin flag is set
- null scanning: no flag are set on initiatiing TCP packet
- xmas scanning : all tcp flag are ser
Active attack(능동적인 공격 형태 )
* social engineering
-> 다른 사람인척 하여 정보를 뺴내는 방법
-> dumpster diving 등을 이용하여 정보를 얻음
-> scavenge :하드 디스크의 삭제된 내용을 복구 하는 기술
* replay attack (play back attack)
-> 데이터 캡처후 일정 시간이 지난후 재전송 기법
-해결책
1) packet sequnce 를 이용 - >IPSEC
2) packet timestamp 를 이용 -> Kerberos
* DOS/DDOS
1tire attack(dos) : ping,syn/udp flooding
2tire attack(ddos) : smurf attack
3tire attack(ddos):trinoo,TFN2k
* denial of service attack
- 시스템 파괴 공격/시스템 과부하 공격
- dos를 하는 이유 ->가용성
* Lnad attack
- tcp syn 패킷을 이용하여 , 출발지 주소 포트를 공격대상자의 ip,port 로 지정하여 loop 상태 빠지며 ,ip 스택에 심각한 장에 유발
* Syn attack
- Tcp syn flooding : 많는 수의 half-open(완료되지 않은 tcp 연결)을 시도 하여 상대 호스트의 listen queue(backlog queue)를 가득 채움(tcp 서비스 거부공격)
=> 방지방법
1) backlog queue 늘림
2) connection timeout 을 줄임
3) syn cookies 이용 ( syn + ack 을 응답하기전 cookie를 이용하여 확인후 응답)
Q) 해커가 사용 하지 않을거 같은 툴은 ?
1)trpwire (->무결성 검사 도구)
2) john the repper (->password crack tool)
3) hunt (세션 하이제킹 툴)
ㅁFragmentation Attack (1tire attack )
- Ping of Death : IP Datagram 의 최대치인 65535 Byte 이상으로 전송 하여 서비스 거부를 유발
- Tiredrop attack (DNS 53 port) : IP Fragment 의 재조합 과정의 취약점을 이용하여, 두번째 offset 을 수정하여
IP Fragment 재조합 과정에서 버퍼가 넘쳐 겹치게 하는 형태 (offset의 중첩 -> overlap)
- Unnamed ack attack : IP Fragment 의 재조합 과정의 중첩이 아닌 GAP 을 이용하는 형태
ㅁ Smurf Attack (2 tire Attack)
- Smurf Attack : icmp + broadcast
- Fraggle Attack : UDP + broadcast (UDP echo port 7 사용)
- Smurf Attack 의 구성 : attacker -> amplified network ->victim
- Smurf Attack 의 해결 방법 : Router(L3) 에서 Destination 이 Broadcast IP 인 것을 막음
ㅁ Distribute Denial of Service Attack (DDoS)
- master/slave(bot,zombie), handler/agent 의 기본 공격자와 공격호스트 분리
- DDoS는 완벽하게 방어가 힘들다
- DDoS 대표적 사용 Tools : Trinoo, TFN2K, Stacheldraht 등
- 만약, zombie pc 가 사내에 발생 하여, 손해배상 청구가 들어오게 될 경우, 보안 담당자가 Due Care 를 준수하여 근거가 있으면 손해배상 청구가 무효된다.
- DDoS 구성 : client -> handler(master) -> agent(slave) ->target
ㅁ security principles ( art of defense)
1) Least Privilege
2) Defense in Depth (DID)
3) Choke Point
4) Weakest Link (가장 취약한 부분 공격 -> 사회공학을 통한 사람 공격)
5) Fail-safe Stance
ㅁ Network partitioning(망분리)
- DMZ / Public access zone : SMTP,DNS, PROXY server
- Application zone : Replication DB, Anti-virus, Web-server
- Internal zone : Source DB,Users, Internal file and mail server
ㅁ Firewall Achetecture
1) Screening router
- L3 =>IP 주소 기반
- packet filtering
- 로그 관리가 미흡
2) Screened host
- bastion host 를 이용 로그관리와 결합
- bastion host는 Lock-Down (불필요한 서비스는 shutdown 되어 있음) 상태
- 1세대 packet filetring : L3=>IP 주소 기반
- 2세대 application firewall : L7=>contents 기반 =>정교한 보안 정책 가능, stateless=>느린 속도 처리
- 3세대 stateful firewall : L7=>contents 기반 =>정교한 보안 정책 가능, stateful=>빠른 속도 처리
- 2세대 application firewall 의 느린 속도처리를 개선 하고자 3세대 statefull firewall 은 한번 허용된 패킷에 대하여
상태 테이블에 일정 시간 저장 하여, 후속 패킷에 대하여 정책 검사 없이 처리 하여 application firewall 보다 빠른 속도 처리를 한다.
- 빠른 처리 속도 : packet filetering > stateful firewall > application firewall
- 보안성 : application firewall > stateful firewall > packet fitering
3) Dual-home host
- proxy 구조 : 외부로 패킷이 나갈때 출발치 아이피가 변경=> 내부 client 의 정보 노출 방지
- proxy circuit level : L4~5 ,ip,port 를 이용하며, 속도가 빠름, 정교한 보안 정책이 불가능, 네트워크 당 1개씩 설치
- proxy application leve : L7, contens 를 이용하며, 속도가 느림, 정교한 보안 정책 가능 ,서비스(프로토콜) 당 1개씩 설치
- circuit level 은 application level 에 비하여 easier to maintain(유지관리가 더쉽다)
4) Screened subnet
- DMZ 구조의 가장 안전한 방식
ㅁ SOCKS : circuit level prxoy 형태의 Dual-home firewall
ㅁ NAT(network address translation)
- static 1:1
- dynamic 1:n, n:n
- 패킷이 나갈때는 출발지 아이피가 변경 되고 들어 올때는 도착지 아이피가 바뀐다
- nat 의 보안상 목적 : 내부 client 정보 유출 방지
ㅁ 수집 위치에 따른 IDS 분류
- HIDS(host 기반 IDS) : backdoor, trojan horse, rootkit 등 탐지 => 서버 로그 기반
- NIDC(네트워크 기반 IDS) : worm 등 탐지 => sniffer 의 역할
ㅁ탐지 방법에 따른 IDS 분류
1) misuse(오용) 2) anomaly(변칙)
비정상적인것만 기억 정상적인 것만 기억
signature(서명기반) behaivor(행위적=> 통계기반)
knowledge-base profile-base
expert-system ai,neuril network
zero-day attack탐지X zero-day 탐지 가능
false-negative 높다 false-positive 높다
2종오류(틀린거 놓침) 1종오류(맞는걸 놓침)
주기적 업데이트 오탐 줄여야 함
Q) anomaly ids 에서 가장 큰 문제점으로 인식 되는 것은 ? false positive => 오탐 줄여야 함
ㅁ Honeypot(=honeynet)
- preventive control 효과가 있음 =>예방통제
- 침입자의 공격 기술을 사전에 탐지 -> zero-day attack 방지
- padded-cell : ids 와 연계하여 honeypot 으로 패킷 전달(corrective control=>교정통제)
반응형
'Security > Cissp' 카테고리의 다른 글
Domain 8. Software Development Security -1 (0) | 2017.03.30 |
---|---|
Domain 3. Security Engineering(1)-2 (0) | 2017.03.27 |
Domain 3. Security Engineering(1)-1 (0) | 2017.03.21 |
Domain 4. Communication & Network Security(VPN) (0) | 2017.03.02 |
Domain 4. Communication & Network Security(ISO 의 OSI 7 Layer) (0) | 2017.02.28 |