방화벽과 ,패킷필터링, Intrusion Detection System
1. 방화벽 시스템을 위협하는것이 무엇인지 사실적으로 평가, 명시. 방어 준비 많은사람들이 시스템을 최신으로 하지않음? 패치가 준비되지않은 여러 익스플로잇이 존재.
컴퓨터사용하는 Usability. 방화벽 설치. 네트워크에서 보안을 높이는데 가장 1차적인 방식. 신뢰하지않는 외부 네트워크와 신뢰하는 내부네트워크 사이를 지나는 패킷을 정해놓은 규칙에 따라 차단하거나 보내주는 기능. 접근제어,로깅과 감사추적, 인증,데이터암호화 Screening Router. 라우터를 통해 외부 인터넷과 연결됨. 패킷이 내부로 들어오는 것을 막아주는 개념. 3계층인 네트워크 계층과 4계층인 전송계층에서 사용
ip주소와 포트에 대한 접근제어 가능. 외부네트워크와 내부네트워크의 경계선 Screening Router
패킷 필터링의 설정과정 허용할 서비스 확인, 제공하려는 서비스의 보안 문제점 및 허용에 대한 타당성 검토 서비스가 이루어지는 형태 확인 및 어떤 규칙적용, 실제적용 및 적용된 규칙 검사 ipaddress와 포트번호 확인.
만약에 합법적인 호스트와 서비스로 부터 오는 공격은 어떻게막지? Intrusion Detection System.
데이터와 호스트의 행동 모니터링, 공격 감지시 리포트
Signature based, anomaly based, host based, network based 네가지정도의 IDS가 존재
시그니처 ids = 알려진 공격 패턴을 비교 매칭
변칙기반 IDS = 통계 또는 머신러닝을 활용해 정상적인 유형의 행동을 규정 그에 반하는 부합하지않는 행동들이 발생하면 비정상행동 규정
네트워크 ids= 패킷 자체에 대한 분석, 페이로드에는 어떠한 메세지들이 들어있는지 그러한 사실을 분석하고, 그 패킷 기반에서 원치 않는 메세지가 포함돼 있다고 하면, 그때 리포트를 하는 식의 IDS 시스템이 된다.
호스트 기반 우리 호스트서 발생하는 문제들이나 위험사항이 나타난다면 리포트를 해주는 시스템.ㅎ
네트워크 보안 문제점 분석 및 실습.
공격자들이 먼저 타겟 시스템에 대한 여러가지 분석을하는 사전작업. 공격전에 일어나는 여러가지 사전 작업에 대해서 어떤 툴들을 사용하고 어떤방식으로 공격대상의 취약점을 파악하는지
풋프린팅,여러가지 스캔 기법, 스캔 실습-fping,nmap
풋프린팅 이란?
여러 스캔기법중 스캐닝이라는 기법. 서버가 제공하는 서비스를 확인하는 방법 TCP 기반의 프로토콜에서 Request Response
스캔은 방화벽과 IDS 침입탐지 시스템을 우회하기 위해 발전.
Ping 과 ICMP 스캔. 공격대상이 네트워크에서 돌아가고있다는걸 확인. 이후 서비스들을 확인하는것이 중요
이떄 TCP OPEN 스캔을 사용한다. 서비스들을 활용 먼저 공격자는 SYN 패킷을 송신. 그 희생자는 포트가 제대로 열려서 서비스가 돌아가는 경우에 SYN과 AckKnowledgement 패킷을 보낸다. 그리고나면 공격자쪽에서 ACK을 주면서 결국에는 공격자 입장에서는 포트가열려있고. 희생자 호스트위에서 내가 공격하고자 하는 그 특정 서비스가 돌아가고있다는것을 확인. 포트가 닫힌경우 그 특정서비스가 돌아가지않는경우. 타깃쪽에서는 RST와 ACK를 보내게되는것
그러면 이 공격자가 RST와 ACK를 받았을때 ㅡ희생자 컴퓨터에서는 우리가 원하는 공격하고자하는 서비스가 동작하지않는구나 판단 누가 TCP세션을 맺었는지 결국 공격자가 뉴구인지에 대한 증거가 남는다. 그래서 스텔스 스캔이 발명 공격 대상을 속이기 위해 세션을 완전히 성립하지 않고, 공격대상 시스템 포트 활성화 여부를 확인. 어떤 증거가 남지 않는다.
TPC Half Open 스캔의 시작은 Open 스캔과 동일 공격자는 그 syn과 ack 패킷을 공격 대상시스템으로 받는 순간 즉시 연결 끊고 연결을 끊기 위한 RST 패킷, Reset 패킷을 전송한다. 그러면 TCP 세션이 맺어지지 않고 그 단계서 종료
UDP 패킷 ICMP Unreachable 패킷이 돌아온다. 반면에 오히려 특정 서비스가 돌아가지 않는다. 근데 udp는 신뢰하기 어렵기떄문에 UDP 패킷이 네트워크를 통해 전달되는 동안 라우터나 방화벽에 의해 손실되기가능
Fping과 Nmap sudo su 관리자 모드 진입
fPING apt-get install fping 설치가 제대로된 이후에 fping-g 그다음에 여러분이 체크하고 싶어하는 IP ADDress를 넣어주면 fping이 패킷을 날리게된다. 스캔 시행 fping - g 192.168.0.0/24 IP ADDRESS가 잘 살아있따.
서비스에 대한 스캔작업은 Nmap