1 / 75

Part 06

Part 06. 보안. 1. Windows 보안 2. Linux 보안 3. 해킹 기술 4. 네트워크 장비 보안 5. 해킹 도구. Part. 06 의 목표. 보안의 종류 해킹 기술 및 도구. 1. Windows 보안. 1-1. 보안 정책 설정 1-2. 관리 및 감사 1-3. 침입탐지 및 복구 1-4. 응용프로그램 보안 1-5. 커널보안. 3. 1-1. 보안 정책 설정. 그룹 정책. 그룹 정책은 크기 " 컴퓨터 구성 " 과

adelio
Download Presentation

Part 06

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Part 06 보안 • 1. Windows 보안 • 2. Linux 보안 • 3. 해킹 기술 • 4. 네트워크 장비 보안 • 5. 해킹 도구

  2. Part. 06의 목표 • 보안의 종류 • 해킹 기술 및 도구

  3. 1. Windows 보안 1-1. 보안 정책 설정 1-2. 관리 및 감사 1-3. 침입탐지 및 복구 1-4. 응용프로그램 보안 1-5. 커널보안 3

  4. 1-1. 보안 정책 설정 그룹 정책 • 그룹 정책은 크기 "컴퓨터 구성"과 • 사용자 구성으로 되어 있다. • 컴퓨터 구성에는 시스템과 관련된 서비스들을 • 제어할 수 있다. • 사용자 구성에 필요한 부분.

  5. 1-1. 보안 정책 설정(계속) 제어판 액세스 금지 설정 • 사용자 구성 -> 관리 템플릿 -> 제어판 선택. • 제어판의 엑세스 금지" 항목을 더블클릭. • [설정]탭에서 "사용"을 선택 다음 [확인]버튼. • [시작버튼]에서는 제어판 항목이 사라져서 • 보이지 않게 된다. • 그러나 윈도우 탐색기에서는 제어판 항목이 • 보이는데, 제어판을 클릭하게 되면 경고창이 • 뜨면서 엑세스가 거부된다.

  6. 1-1. 보안 정책 설정(계속) 로컬 보안 정책 • 암호 정책은 사용자 계정의 암호를 설정할 때 • 영향을 미치게 될 정책. • 계정 잠금 정책은 계정 로그인을 실패할 때 • 영향을 미치게 될 정책. • Windows XP에서는 설정과 동시에 정책이 • 적용된다. • Windows 2000 에서는 정책을 수정하고 난 • 다음에는 "다시 로드"를 해줘야만 적용이 된다.

  7. 1-2. 관리 및 감사 로그관리 • 로그란 시스템의 모든 기록을 담고 있는 데이터이다. 로그분석 • 데이터를 분석하여 필요로 하는 유용한 정보를 만들어내는 행위. 정보 • 외부로부터의 침입 감지 및 추적 • 시스템 성능관리 • 마케팅 전략으로 활용 • 시스템의 장애 원인 분석 • 시스템 취약점 분석

  8. 1-2. 관리 및 감사(계속) 중요성 • 시스템에서 발생하는 모든 문제에 대한 유일한 단서 • 시스템에서 발생한 오류 및 보안 결함 검색이 가능 • 잠재적인 시스템 문제를 예측하는데 사용될 수 있음 • 장애 발생시 복구에 필요한 정보로 활용 • 침해사고 시 근거 자료로 활용 • 각종 법규 및 지침에서 관리 의무화

  9. 1-2. 관리 및 감사 감사 정책 • 개체 액세스, 로그온/로그오프, 감사 정책 설정 변경 등의 보안 관련 로그를 기록하며, • 지정한 이벤트 범주의 사용자나 시스템 동작을 기록하도록 정책 설정이 가능하다.

  10. 1-2. 관리 및 감사(계속)

  11. 1-2. 관리 및 감사 감사 정책 구성 방법 • 로컬보안정책 설정을 이용하는 방법과 보안 템플릿을 이용한 감사 정책 구성방법. 로컬 보안 정책 • [시작] -> [설정] -> [제어판] -> [관리도구] -> [로컬보안정책] 보안 템플릿 • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library • /ServerHelp/ea9858dc-9bf1-4a42-ada6-090237ad178a.mspx?mfr=true

  12. 1-3. 침입 탐지 및 복구 침입 탐지 방식(오용탐지) • 오용탐지(Misuse Detection) = Signature Base = Knowledge Base • Signature업데이트가 필요 이미 발견되고 경립된 공격 패턴을 미리 입력해 두고, 거기에 • 해당하는 패턴을 탐지하게 되었을 때 이를 알려주는 것. 침입 탐지 방식(이상탐지) • 이상탐지(Anomaly Detection) = Behavior = Statistical Detection • 정상적이고 평균적인 상태를 기준으로 하여, 상대적으로 급격한 변화를 일으키거나 확률이 • 낮은 일이 발생할 경우 침입 탐지를 알리는 것.

  13. 1-3. 침입 탐지 및 복구(계속) • 시디롬에서 Press Key..화면이 나올 때 아무키나 눌러 윈도우 설치 복구 화면이 나올 때 • 까지 기달린다. R키를 눌러 다음 단계로 이동한다.

  14. 1-3. 침입 탐지 및 복구(계속) • C키를 눌러 콘솔 모드 즉 도스화면으로 들어가게 된다. • administrator 암호를 입력한 후 • C:\cd system32\config 입력 • C:\winnt\system32\config> ren system systemold ->손상된 파일에 이름 변경 • C:\winnt\system32\config> copy c:\winnt\repair\system

  15. 1-4. 응용 프로그램 보안 패스워드 설계 • 패스워드는 문자/숫자를 조합하여 4자리 이상으로 한다. • 직전의 패스워드로는 변경이 허용되지 않아야 한다. • 계정의 패스워드 입력 제한의 횟수를 정의하고, 정의된 횟수 실패 시 자동적으로 연결이 • 해제 되도록 한다. • 사용자 패스워드는 암호화하여 조회가 불가하도록 해야 한다. • 사용자 비밀번호는 화면 및 출력물에 노출되어서는 안된다. C/S 로그온 및 로그오프 설계 • 로그인 후 일정시간 미 사용 시 자동 로그오프를 적용하거나 화면 잠금 기능을 적용한다. • 시스템 접속 시 최종사용시각을 표시한다. • 일정기간 시스템 미 사용 시 미 사용자의 로그인을 제한한다. • 고객업무에 대해서는 예외로 할 수 있다.

  16. 1-4. 응용 프로그램 보안(계속) 인터넷/인트라넷 설계 • 디렉토리 리스팅을 금한다. • 인증이 필요한 경우임에도 인증과정 없이 중간페이지로 직접 접속하는 것을 금지한다. • 사용자의 주요 정보는 암호화하여 전송한다. 로깅 감사기능 설계 • 시스템 개발 시 거래기록 등 감사업무 수행에 필요한 자료를 생성하도록 감사기능을 설계. • 이용자원장을 수정하거나, 규정 등에서 정한 중요한 거래, 특이 거래를 로그할 수 있도록 • 감사기능을 설계. • 관리자 활동내역에 대해서 로그할 수 있는 감사기능을 설계. • 단말기를 통해 고객 기본정보를 조회, 수정하는 경우에는 조회자, 조회일시, 변경 또는 • 조회내용, 접속방법 등을 시스템에 자동 기록되도록 하고 그 기록을 1년 이상 보관.

  17. 1-5. 커널 보안 개요 • 프로세스의 스케쥴,메모리,데이터,하드웨어등의 관리등운영체제의 기본적 기능을 관장 • 관리,실현 하는 부분으로 운영체제의 핵심. 기능 • 커널은 프로세서 32개와 32GB의 RAM을 지원하도록 운영 체제를 더 확장할 수 있다. • 새 커널은 Microsoft SQL Server 같은 데이터베이스 응용 프로그램이 대용량의 하드웨어를 • 이용하고 기능 중 일부를 커널 자체로 이동하여 성능을 높일 수 있게 한다. 프로세서 • 할당량과 프로세스 계정 같은 기능은 Windows 2000 Server를 웹 호스팅 환경에 아주 • 적합한 플랫폼으로 만든다. 이제 클러스터링 기능이 커널에 기본으로 제공되므로 • 중복성을 사용할 수 있는 네트워크에서 가동 시간을 크게 높일 수 있다.

  18. 2. Linux 보안 2-1. 권한 설정 2-2. 보안정책 설정 2-3. 침입탐지 및 복구 2-4. 응용프로그램 보안 2-5. 커널보안 2-6. 로그분석 3

  19. 2-1. 권한 설정 chmod • 파일 또는 디렉토리의 접근 권한을 변경하는 명령어. 사용법 • chmod [-옵션] [모드] [파일명] 옵션 • -R : 퍼미션 변경 대상이 디렉토리일 경우 그 하위 경로에 있는 모든 파일과 디렉토리의 • 퍼미션을 변경한다

  20. 2-1. 권한 설정(계속) 모드(심볼릭) • u = 소유자, g = 소유 그룹, o = other, a = all, r = 읽기, w = 쓰기, x = 실행을 의미한다. • 권한 추가에 대해서 '+' 를 사용하고 권한 박탈에 대해서는 '-' 를 사용한다. • '=' 를 사용하면 현재 설정된 권한은 제거되고 오직 '='로 설정한 권한만 부여한다. 모드(8진수) • 4 = 읽기, 2 = 쓰기, 1 = 실행을 의미한다. • 소유자와 소유그룹, other에 대해서 8진수 3자리로 표현하는데 첫째 자리수가 소유자를 • 의미하고 둘째 자릿수가 소유 그룹, 셋째 자릿수가 other을 의미한다. • 751 퍼미션은 소유자에게 7, 소유 그룹에게 5, other에게 1 에 해당하는 퍼미션을 설정한 • 것이다. • 퍼미션의 계산은 주어진 권한에 해당하는 8진수 값을 모두 더해서(+) 설정된다.

  21. 2-1. 권한 설정(계속) 종류(setuid, setgid) • setuid는 심볼릭 모드로 's'로표현되고 8진수 모드로는 4000으로 표현된다. • setuid 퍼미션이 설정되어 있는 실행 파일은실행되는 동안에는 그 파일의 소유자 권한을 • 가지게 된다. • root 소유의 setuid 퍼미션이 포함되어 있는 파일은 아주 신중히 관리를 해야 된다. • setgid 퍼미션이 포함되어 있는 실행 파일은 실행되는 동안은 그 파일의 소유 그룹의 • 권한을 가지는 것 빼고는 setuid와 같다. setgid의 8진수 모드는 2000 이다. 종류(sticky bit) • other의 쓰기 권한에 대한 특별한 퍼미션으로 /tmp 디렉토리와 /var/tmp 디렉토리에의 • 퍼미션이 stickbit가 포함되어 있다. 8진수 모드로 1000으로 설정되고 심볼릭 모드로는 • 't' 또는 'T‘로 설정된다. sticky bit가 포함되어 있는 디렉토리에 other에 쓰기 권한이 있을 • 경우 other에 해당하는 사용자들은 디렉토리 안에 파일을 만들 수는 있어도 디렉토리 • 삭제는 할 수 없다.

  22. 2-2. 보안 정책 설정 기초 보안 설정 • 리눅스 설치시에 자동으로 생성되는 계정중에 사용하지 않는 계정은 없애도록 한다. • root계정의 접속 시간 제한 설정. • 리눅스 단일 사용자 모드 제한. • 새도우 패스워드는 꼭 사용한다. • SUID, SGID가 설정되어 있는 프로그램을 찾아 관련없는 프로그램에서 set-bit를 제거한다. • 쉘을 이용한 기록관리. • 프로세스, 메모리 자원의 사용제한. • su명령어 제한하기.

  23. 2-3. 침입탐지 및 복구 IDS • Intrusion Detection System 침입탐지시스템을 말한다. 종류 • H-IDS : Host(컴퓨터)에서 일어나고 있는 일련의 활동들을 감시하고 침입 발생에 대해 • 탐지를 하는 IDS • N-IDS : Network 상에서 일어나는 활동들을 감시하고 침입 시도를 탐지하는IDS

  24. linux rescue 입력 english 선택 us 선택 ok 선택 Continue 선택 네트워크 설정 2-3. 침입탐지 및 복구(linux rescue복구)

  25. chroot /mnt/sysimage 실행 /boot/grub/grub.conf 파일 exit 2번으로 재부팅 2-3. 침입탐지 및 복구(linux rescue복구) • 파일 시스템이 깨졌을 때 : e2fsck실행으로 파일 시스템 복구. • 비밀번호 및 로그인 장애 : /etc/passwd 파일을 점검하고 root가 Root로 되었는지 확인. • 일반 사용자 ID이면서 UID가 0인 사용자 있는가 확인. • 흔히 보지 못했던 사용자 등록되었는지 확인. • GRUB정보로 부팅장애 : /boot/grub/grub.conf파일을 vi로 열어 부팅정보 확인. • 수정후에 grub-install을 실행하여 GRUB정보적용. • 부팅시 마운트 정보 장애 : /etc/fstab파일이 잘못되는 경우이므로 vi로 열어 정확하게 수정함.

  26. 2-4. 응용프로그램 보안 nikto • 웹 서버 설치시 기본적으로 설치되는 파일과 웹 서버의 종류와 버전 등을 스캔하며 특히 • 방대한 DB를 이용해 취약한 CGI 파일을 스캔하는 기능이 매우 뛰어나다. 특징 • 취약하다고 알려진 3100여개의 방대한 CGI 파일에 대한 정보를 갖고 있으며 625개가 넘는 • 서버에 대한 버전 정보를 갖고 있다. 서버에서 보안적으로 잘못 설정된 부분이나 웹 서버 • 설치시 기본적으로 설치되는 파일이나 스크립트의 존재 유무, 안전하지 못한 파일이나 • 스크립트의 유무, 오래되어 취약성을 가지고 있는 프로그램의 유무 등을 검색한다. • 취약성 DB는 수시로 업데이트가 되며 원격지에서도 쉽게 업데이트가 가능하다. • 취약성 점검 결과는 html이나 txt, csv 등으로 저장 가능하다.

  27. 2-4. 응용프로그램 보안(계속) • www.cirt.net 사이트에서 최신 버전을 다운 받는다. • nikto-current.tar.gz 파일을 압축 풀고 실행한다. • 기본적으로 perl로 되어 있기 때문에 사용시 별도로 컴파일 과정은 필요하지 않고 바로 • 사용할 수 있다. • 사용 형식 : ./nikto.pl [-h targer] [옵션] 아무런 옵션 없이 사용하면 전체옵션을 보여준다.

  28. 2-4. 응용프로그램 보안(계속) nikto 옵션 • -Cgidirs : 스캔을 진행할 cgi 디렉토리를 지정할 수 있다. • -generic : 스캔시 ‘Server:’문자열에 보이는 정보와는 관계없이 스캔을 진행하도록 한다. • -findonly : 웹 서버가 사용하는 웹 포트를 스캔하기 위한 옵션이다. • 80번이 아닌 다른 포트에서 웹 서비스를 하는 포트를 찾을 경우에 사용된다. • -Format : 스캔 결과를 파일로 저장하고자 할 때 어떤 형식으로 남길지 지정한다. • -id : 해당 웹 서버가 HTTP Authentication으로 보호되고 있을 때 ID/PW로 인증할 필요가 • 있는데, 형식은 userid:password이다. • -update : 룰 등을 업데이트할 때 필요하다.

  29. 2-4. 응용프로그램 보안(계속) • 옵션을 설정하지 않아 전체 옵션이 보여지고 있다. • 옵션 -findonly 을 사용한 모습.

  30. 2-5. 커널 보안 2.0 커널 컴파일 옵션 • 네트워크 방화벽 (CONFIG_FIREWALL) • IP: 포워딩/게이트웨이 (CONFIG_IP_FORWARD) • IP: syn 쿠키 (CONFIG_SYN_COOKIES) • IP: 방화벽 처리 (CONFIG_IP_FIREWALL) • IP: 방화벽 패켓의 일지 쓰기 (CONFIG_IP_FIREWALL_VERBOSE) • IP: 소스에서 라우트된 프레임 떨구기 (CONFIG_IP_NOSR) • IP: 마스커레이딩 (CONFIG_IP_MASQUERADE) • IP: ICMP 마스커레이딩 (CONFIG_IP_MASQUERADE_ICMP) • IP: 투명 프락시의 작동 (CONFIG_IP_TRANSPARENT_PROXY) • IP: 데이타를 항상 뭉치로 전송 (CONFIG_IP_ALWAYS_DEFRAG) • 패켓 사인 인증 (CONFIG_NCPFS_PACKET_SIGNING) • IP: 방화벽 패켓 넷링크 디바이스 (CONFIG_IP_FIREWALL_NETLINK)

  31. 2-5. 커널 보안(계속) 2.2 커널 컴파일 옵션 • 소켓 필터링 (CONFIG_FILTER) • 포트 포워딩 (Forwording 전송 처리) • 소켓의 여과 (CONFIG_FILTER) 커널 디바이스 틀 • /dev/random • /dev/urandom

  32. 2-5. 커널 보안(계속) 차이점 /dev/random /dev/urandom • 무작위의 바이트들로 만들어지며, • 무작위의 바이트들이 만들어 쌓이는 동안은 • 대기 상태가 된다는 정도. • 일부 시스템에서는 새로운 사용자 생성 • 입력이 시스템에 등록되는 시간이 오래 • 걸릴 수 있고, 그 동안은 막혀 있을 수 • 있다는 것. • 비슷하나 엔트로피가 낮을 때의 경우 • 암호학 기법 상 강하다고 할 수 있는 헤쉬 • 값을 만들어 준다. 이것은 상대적으로는 덜 • 안전하지만, 대부분의 풀그림용으로는 • 충분하다.

  33. 2-6. 로그 분석 lostlog • 가장 최근의 로그인 시간만을 기록하기 때문에 그 전의 로그인 정보기록 btmp • 리눅스 시스템상에서의 로그인이 실패될 경우 이 파일에 저장 messages • 로그인,디바이스 정보,시스템 설정오류, 파일 시스템, 네트워크 세션 기록등이 저장

  34. 2-6. 로그 분석(계속) secure • 텔넷이나 ftp,원격접속 등 인증과정의 모든 로그를 secure에 기록 access log • 누가,언제,어떻게 서버에 접속했는지 기록이 저장 error log • 웹 서버 접근시 접근 에러의 메시지를 저장

  35. 3. 해킹 기술 3-1. 1) Race condition, 2) Dead Lock 3-2. IFS 3-3. Buffer overflow 3-4. Password attack 3-5. Format string 3-6. IP spoofing 3-7. DoS 3

  36. 3-1. 1) Race condition(경쟁상태) 개요 • UNIX시스템상에 두 프로세스가 서로 UNIX간에 자원을 사용하기 위해서 다투는 과정. 오류 종류 • 경계검증오류 : 입력되는 값의 길이를 검증하지 않아 생기는 취약점 • 입력데이터검증오류 : 입력 데이터 값의 수, 타입, 형식등을 검증하지 않아 생기는 취약점 • 접근권한오류 : 적절한 접근권한을 검사하지 않아 생기는 취약점 • 근원지검증오류 : 상대방의 적절한 신원을 확인하지 않아 생기는 취약점으로 불법사용자가 • 접근할 수 있도록 하는 취약점

  37. 3-1. 2) Dead Lock(교착상태) 개요 • 프로세스가 병행처리되는 과정에서 서로가 자신의 자원을 소유한 채로 상대의 자원을 • 얻기 위해 무한 대기하는 현상. Race condition의 반대. 현실적 방안 • 튜닝을 통한 예방 • - 교착상태는 프로세스외에 데이터베이스내에서도 자주 발생하며, DB의 자원활용과 • 어플리케이션의 튜닝을 통해 예방 • 정확한 트랜잭션의 설계와 모니터링 • - 시스템의 용도와 사용현황에 따라 트랜잭션을 적절한 선에서 분할하며 정확한 설계에 • 의해 교착상태 최소화를 실현. • - 지속적인 모니터링과 교착상태 발생시 원인파악 및 해결책의 Feedback을 통해 시스템 • 안정화 도모

  38. 3-2. IFS 개요 • 명령어의 옵션을 설정하거나 프로그램의 인자를 지정할때 명령어와 옵션, 프로그램과 • 인자를 구분해주는 일종의 시스템 구분 인자. 환경변수 • IFS 환경변수를 내부 유저들이 마음대로 조작해 관리자의 권한을 얻어낼 수 있는데 • loadmodule 해킹, expreserve 해킹, rdist해킹 등이 있다. • 쉘 변수 중 IFS를 /로 선 언하고 몇 가지 트릭을 통해 일반유저들이 쉽게 root의 권한을 • 가질수 있게 된다.

  39. 3-3. Buffer overflow 개요 • 메모리에 할당된 버퍼의 양을 초과하여 데이터를 입력했을 때 프로그램의 복귀 주소를 • 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것. 역사 • 해킹 기법이 아닌 단순한 프로그램상의 문제로 처음 소개되었다. • 1973년 C언어의 데이터 무결성 문제로 그 개념이 처음 알려졌다. • 1988년 모리스웜이 fingerd 버퍼 오버플로우를 이용했다는 것이 알려지면서 문제의 심각성 • 이 인식되기 시작. • 1997년 온라인 보안잡지로 유명한 Phrack에 alephone이 Smashing The Stack For Fun • And Profit 문서를 게재하면서 보다 널리 알려지게 됐다.

  40. 3-3. Buffer overflow(계속) 취약점 • 오류 검사를 제대로 수행하지 않는다. • 개발자가 근거 없는 특수한 가정을 하며, 정상적인 환경에서 변수에 할당된메모리 크기가 • 충분하다고 과신하기 때문이다.

  41. 3-4. Password attack 개요 • 시스템에 입력하는 합법적인 사용자의 패스워드 키를 입수하거나 복호화하려는 시도. 기능 • 기존의 사용 가능한 패스워드 사전, 크래킹 프로그램 및 패스워드 스니퍼를 결합하여 • 패스워드를 상당히 취약하게 만든다. • 사용자의 패스워드를 입수하는 것은 놀랄 정도로 쉬울 뿐만 아니라, 짐작하는 것도 어렵지 • 않으며, 운영 체제 자체에 의해 충분히 보호를 받지 못하는 경우가 많다. 대처방안 • 최소 길이 제한, 인식 불가능한 단어 및 정기적인 변경 등을 포함한 강력한 패스워드 • 정책을 사용하는 것이 패스워드 공격에 대처하는 가장 좋은 방법이다.

  42. 3-5. Format string 개요 • format string을 사용하는 함수에 대해, 어떤 형식 혹은 형태를 지정해 주는 문자열. 문제점 • 대부분의 다른 취약점 또는 버그들처럼 일반 프로그래머들의 작은 실수에서 발생된 • 취약점을 이용하는 것.

  43. 3-5. Format string(계속) 취약점

  44. 3-6. IP spoofing 개요 • 인터넷 프로토콜인 TCP/IP의 구조적 결함, TCP 시퀀스번호, 소스라우팅, 소스 주소를 • 이용한 인증(Authentication) 메커니즘 등을 이용한 방법으로써 인증기능을 가지고 있는 • 시스팀을 침입하기 위해 침입자가 사용하는 시스팀을 원래의 호스트로 위장하는 방법. • 즉 자신의 IP를 속이는 행위다. 예방법 • 패킷 필터링 기능과 보안 취약성이 보강된 라우팅 프로토콜을 포함하는 라우터를 설치해야 • 한다.내부 도메인과 일치하는 소스IP주소를 포함하는 패킷이 외부로 부터 들어오는 것을 • 필터링 해준다면 자연히 외부로부터의 침입은 예방할 수 있다.

  45. 3-7. DoS -> 저작권 침해 그림 DDOS DoS공격을 하나가 아닌 여러 개의 호스트가 담당한다는 데 차이 DOS 공격목표 호스트로 대량의 네트워크 트래픽을 발생 대상 호스트의 네트워크 서비스기능을 일시적으로 또는 완전히 정지시키는 공격의 유형 공격자 Master  target IP로 변경 IP헤더 뒤에 ICMP메시지를 붙임  ICMP Ping Request를 broadcast address로 전송 Victim ICMP Ping Request를 받은 모든 호스트들은 ICMP Ping Reply메시지를 Target으로 되돌려 보냄

  46. 3-7. DoS(계속) DoS 개요 • 시스템이나 네트워크의 구조적인 취약점을 공격하여 며칠 동안 정상적인 서비스를 지연 • 시키거나 마비시키는 해킹 공격을 말한다. DoS 공격 • 파괴공격 : 디스크나 데이터, 시스템의 파괴. • 시스템 자원의 고갈 : CPU, 메모리, 디스크 사용에 과다한 부하를 가중시킴. • 네트워크 자원의 고갈 : 쓰레기 데이터로 네트워크의 대여폭을 고갈시킴.

  47. 3-7. DoS(계속) DoS 공격 종류 • Ping of Death(ICMP Flooding)공격 SYN Flooding 공격 • Boink, Bonk 및 Teardrop 공격 Land 공격 Win Nuke 공격 Ping of Death 공격 • ICMP 패킷을 65500바이트의 일반적인 패킷보다 훨씬 더 큰 크기로 보내 하나의 패킷이 • 네트워크를 통해 공격 대상에게 전달되는 동안 여러 개의 ICMP 패킷으로 나누어지게 하여 • 공격 시스템에 과부하를 일으키는 공격이다. SYN Flooding 공격 • TCP 프로토콜의 구조적인 문제를 이용한 공격으로 각 서버의 동시 가용 사용자 수를 SYN • 패킷만 보내 점유하여 다른 사용자로 하여금 서버를 사용 불가능하게 하는 공격이다.

  48. 3-7. DoS(계속) Teardrop 공격 • UDP와 TCP 패킷의 시퀀스 넘버를 조작하여 공격 시스템에 과부하를 일으키는 공격이다. Land 공격 • TCP 패킷의 출발지 주소와 도착지 주소가 같은 패킷을 공격 시슽템에 보내 공격 시스템의 • 가용 사용자를 점유하며, 시스템의 부하를 높인다. Win Nuke 공격 • 윈도우의 NetBIOS의 플래그 URG를 On 상태로 보내 공격 시스템을 작동 정지 상태로 • 만드는 공격이다.

  49. 4. 네트워크 장비 보안 4-1. Router 보안 4-2. L1~L7 Switch 보안 4-3. Filewall 4-4. IDS, IPS 3

  50. 4-1. 라우터 보안 라우터 보안 원칙 • 불필요한 TCP/UDP 데몬 서비스는 제공하지 않도록 한다. • 꼭 필요한 서비스라면 접근통제를 엄격히 해 꼭 필요한 IP에서만 접속을 하도록 허용한다. • 소스 라우팅이나 원격설정이 가능한 서비스 등 불필요한 서비스는 제공하지 않도록 한다. • 불필요한 인터페이스는 셧다운해 서비스하지 않도록 한다. 라우터 자체 보안 • Default password 보안 • SNMP community string 보안 • AAA서버(TACACS/RADIUS)를 통한 사용자기반의 인증 • SSH를 통한 보안 • SNMP, TELNET, SSH, HTTP의 접근 제어 • Logging 설정을 통한 보안 • 사용하지 않는 서비스 off • OOB(Out Of Band Management)

More Related