440 likes | 677 Views
NAC BMT Scenario. 시험 목차. Pre-Connect NAC 테스트 Post-Connect NAC 테스트 Switch 기본 기능 및 보안기능 테스트 IPS 기능 테스트. 1. Pre-Connect NAC 구현 테스트. 1.1. 네트워크 사용자 인증 (802.1x). 항목. 1.1 네트워크 사용자 인증. 세부항목. 사용자 인증을 통한 네트워크 접근 제어. 테스트 목적. 사용자 인증을 위한 IEEE802.1x 프로토콜을 지원하여 사용자의 접근을 제어할 수 있는 지를 확인.
E N D
시험 목차 • Pre-Connect NAC 테스트 • Post-Connect NAC 테스트 • Switch 기본기능 및 보안기능 테스트 • IPS 기능 테스트
1.1. 네트워크 사용자 인증(802.1x) 항목 1.1 네트워크 사용자 인증 세부항목 사용자 인증을 통한 네트워크 접근 제어 테스트 목적 사용자 인증을 위한 IEEE802.1x 프로토콜을 지원하여 사용자의 접근을 제어할 수 있는 지를 확인 구성도 시행 절차 • DS1 에 IEEE802.1x 인증 프로토콜을 enable한다. • PC1에서 IEEE802.1x PEAP 패스워드 인증을 시도한다. • PC2로 ping을 수행하면서 인증을 통해 네트워크 접속이 제어되는 것을 확인한다. • NMS를 통해 사용자 인증 상태 확인 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • 표준 IEEE802.1x 사용자 인증 지원 여부 • 인증을 통한 접근 제어 지원 여부 • NMS를 통해 인증된 사용자 확인 여부 사용자 인증(IEEE802.1x)을 거치지 않은 사용자에 대해 접근을 불가 DS1 PC1 IEEE802.1x 사용자 인증 비고
1.2. 네트워크 인증(MAC) 항목 1.2 네트워크 인증 세부항목 인증을 통한 네트워크 접근 제어 테스트 목적 프린터 또는 IPPhone 인증을 위한 MAC인증 지원 여부를 확인 구성도 시행 절차 • DS1 에 MAC 인증을 enable한다. • Radius 서버에 PC1의 MAC을 등록한다 • PC2로 ping을 수행하면서 MAC인증을 통해 네트워크 접속이 제어되는 것을 확인한다. • NMS를 통해 MAC 인증 상태 확인 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • MAC address를 통한 인증 지원 여부 • NMS를 통해 인증된 사용자 확인 여부 DS1 Mac 인증 PC1 비고
1.3. 네트워크 인증(WEB) 항목 1.3 네트워크 인증 세부항목 인증을 통한 네트워크 접근 제어 테스트 목적 인증이 지원되지 않는 PC(windows 98등)를 위한 WEB을 통한 인증 여부 확인 구성도 시행 절차 • DS1 에 WEB 인증을 enable한다. • PC1에서 PC2로 ping을 수행한다 • PC1에서 PC2로 WEB 엑세스를 시도한다 • PC1의 WEB시도를 가로채어 인증 WEB창이 PC1 스크린에 팝업된다 • 사용자 계정 입력을 통해 인증을 성공한후 ping이 정상적으로 수행됨을 확인 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • WEB를 통한 인증 지원 여부 DS1 WEB 인증 PC1 비고
1.4. 게스트 네트워크 기능 항목 1.4 게스트 네트워크 기능 세부항목 게스트 네트워크 기능 지원 여부 테스트 목적 인증을 거치지 않은 사용자에게 최소한의 서비스를 가능하게 하는 기능이 있는지 확인 구성도 시행 절차 • DS1 에 802.1x인증을 enable한다. • PC1에서 PC2로 ping을 수행한다 • PC1에서 PC2로 WEB 엑세스를 시도한다 • PC1에서 PC2로 FTP접속을 시도한다 • PC1이 인증을 수행하지 않은 상태에서 ping과 FTP접속은 차단되지만 WEB 엑세스는 가능하다 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • 인증사용자에 등록되지 않은 게스트 사용자에 대해 최소한의 서비스를 허용할 수 있는 기능이 있는지를 확인 DS1 Guest 사용자 PC1 비고
1.5. 인증 사용자별 차별화된 정책 적용 항목 1.5 인증 사용자별 차별화된 정책 적용 세부항목 사용자별 서비스 부여 기능 테스트 목적 사용자 인증을 통해 네트워크 접근을 제어하고 레벨에 따라 서비스(접근 제어, QoS 제어, Rate Limit등)가 차별화 되는 것을 확인한다. 구성도 시행 절차 • DS1 에 IEEE802.1x 인증 프로토콜을 enable한다. • 인증서버에 서로 다른 레벨(admin과 user 레벨로 구분)의 계정을 생성하고, • 각각의 계정으로 네트워크에 logon하여 각 레벨에 맞는 접근 권한과 QoS 정책이 부여되는 지를 확인한다.- admin: 모든 서비스 제공- user: telnet 사용 불가, Ratelimit적용 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • 사용자 인증을 통해 사용자 레벨에 맞는 서비스가 제공될 수 있는 지를 확인한다. • 인증을 통해 Access 권한이 제어되는 것을 확인한다. • 인증을 통해 Rate Limit와 같은 QoS 정책이 제어되는 것을 확인한다. 사용자 인증후 해당 사용자에 맞는 서비스 (Access제어, QoS, RateLimit)적용 DS1 PC3 PC1 IEEE802.1x 사용자 인증을 통한 사용자별 서비스 제공 비고
1.6. 멀티 사용자 인증 기능 항목 1.6 멀티 사용자 인증 기능 세부항목 멀티 사용자 인증 기능 지원 확인 테스트 목적 스위치 하단에 인증을 지원하지 않는 스위치를 통한 사용자에 대해 각각 인증을 하도록 하는 기능이 있는지를 확인 구성도 시행 절차 • DS1 에 IEEE802.1x 멀티 인증 을 enable한다 • PC1과 PC3에서 PC2로 Ping을 수행한다 • PC1에서 admin으로 인증을 시도한다. • PC1은 Ping이 전달됨을 확인하고 PC3는 Ping이 전달되지 않음을 확인한다. • PC3에서 user로 인증을 시도한다. • PC3에서 Ping정상적으로 수행됨을 확인한다. • NMS에서 스위치 하단의 사용자가 서로 다른 계정으로 상단 스위치의 한포트에 인증을 통해 연결되어 있음을 확인한다 PC2(내부 서버) FTP,Web 평가 내역 Radius 서버 • 스위치 하단에 인증을 지원하지 않는 스위치가 연결되었을시에서 각각의 사용자에 대해 인증을 거쳐야지만 네트워크 사용이 가능하도록 하는 기능이 있는지 확인 인증을 지원하지 않는 스위치 또는 허브(스위치일 경우 EAP Thru기능이 필요) DS1 PC1 PC3 IEEE802.1x 멀티 사용자 인증 비고
2.1. 네트워크에서 공격자 완전 차단 기능 항목 2.1 네트워크에서 공격자 완전 차단 기능 세부항목 IPS와 연동하여 공격자의 스위치 포트 완전 차단 테스트 목적 IPS에서 감지,차단한 공격자의 위치를 추적하여 해당 스위치 포트를 완전 차단함으로서 네트워크 내부에 전파되지 않도록 구현 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • Attacker에서 Victim으로 SQL Injection 공격 시도 • IPS에서 차단로그 확인 • NMS에서 Attack 정보 및 Attacker 위치 확인 • Attacker에서 Victim,PC2 양쪽으로 Ping이 단절됨을 확인 Victim IPS에서 1차 차단 예상 결과 • IPS와 스위치 연동을 통한 공격자 네트워크 상에서 완전 차단 PC2 평가 내역 SQL Injecting 공격시도 • IPS 차단 여부 확인 • 스위치에서 차단 여부 확인 DS1 2차 스위치 포트 차단 PC1 Attacker 비고 • Attacker : SQL Injection Text 수행 • Victim : SQL Injection에 대한 취약점이 있는 서버
2.2. 관리자 확인 후 공격자 차단 기능 항목 2.2 관리자 확인 후 공격자 차단 기능 세부항목 오탐방지 및 업무 중요도에 따라 관리자 확인후 차단 테스트 목적 공격자 정보를 관리자가 확인한 후에 네트워크에서 차단하는 기능 확인 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • Attacker에서 Victim으로 SQL Injection 공격 시도 • IPS에서 차단로그 확인 • NMS에서 Attack 정보 및 Attacker 위치 확인 • Attacker에서 Victim으로 Ping이 단절됨을 확인 • 관리자 화면에서 관리자 확인 후 PC2로의 Ping이 단절됨을 확인 Victim IPS에서 1차 차단 예상 결과 • 관리자 확인후 네트워크에서 완전 차단 PC2 평가 내역 SQL Injecting 공격시도 • IPS 차단 여부 확인 • 관리자 확인후 차단하는 기능 확인 DS1 2차 관리자 확인 후 스위치 포트 차단 PC1 Attacker 비고 • Attacker : SQL Injection Text 수행 • Victim : SQL Injection에 대한 취약점이 있는 서버
2.3. 관리자 확인 후 네트워크 재사용 설정 기능 확인 항목 2.3 관리자 확인 후 네트워크 재사용 설정 기능 세부항목 업무 중요도에 따라 관리자 확인후 재사용 설정 테스트 목적 공격자 정보를 관리자가 확인한 후에 네트워크에서 차단된 사용자를 재사용 할 수 있도록 허용하는 기능 설정 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • Attacker에서 Victim으로 SQL Injection 공격 시도 • IPS에서 차단로그 확인 • NMS에서 Attack 정보 및 Attacker 위치 확인 • Attacker에서 Victim,PC2 양쪽으로 Ping이 단절됨을 확인 • 재사용 설정후 PC2로 Ping이 복구됨을 확인 Victim IPS에서 1차 차단 예상 결과 • 차단된 사용자의 서비스 재사용 허용 PC2 평가 내역 SQL Injecting 공격시도 • 네트워크에서 차단된 사용자를 재사용 할 수 있도록 할 수 있는 체계가 간편하게 구성되어 있는지 확인 DS1 차단된 사용자 네트워크 재사용 허용 PC1 Attacker 비고 • Attacker : SQL Injection Text 수행 • Victim : SQL Injection에 대한 취약점이 있는 서버
2.4. 네트워크에서 공격자 서비스 제한 기능 항목 2.4 네트워크에서 공격자 서비스 제한 기능 세부항목 IPS와 연동하여 공격자의 서비스 제한 기능 테스트 목적 IPS에서 감지,차단한 공격자의 위치를 추적하여 해당 스위치 포트의 서비스를 일부 제한함으로서 내부 네트워크 전파 방지 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • Attacker에서 Victim으로 Zotob worm 공격 시도 • IPS에서 차단로그 확인 • NMS에서 Attack 정보 및 Attacker 위치 확인 • Attacker에서 Victim,PC2 양쪽으로 Ping이 단절됨을 확인 • PC1은 내부서버에 Web접속은 가능하지만, FTP서비스는 차단됨을 확인 Victim IPS에서 1차 차단 PC2(내부 서버) FTP,Web 예상 결과 • IPS와 스위치 연동을 통한 공격자 네트워크 상에서 제한된 서비스 허용 평가 내역 • IPS 차단 여부 확인 • 스위치에서 내부 서버에 대한 제한된 서비스만 허용 Zotob worm 공격시도 DS1 2차 스위치 포트 차단 PC1 Attacker 비고 • Attacker : www.xxx.xxx/admin.dll접속 시도
2.5. 타벤더 스위치와 연동 기능 항목 2.5 타벤더 스위치와 연동 차단 기능 세부항목 타벤더 스위치와 연동하여 공격자 차단 테스트 목적 IPS와 스위치 연동 솔루션이 타벤더 스위치와도 연동이 되는지의 여부 확인 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • Attacker에서 Victim으로 Zotob worm 공격 시도 • IPS에서 차단로그 확인 • NMS에서 Attack 정보 및 Attacker 위치 확인 • Attacker에서 Victim,PC2 양쪽으로 Ping이 단절됨을 확인 Victim IPS에서 1차 차단 PC2(내부 서버) FTP,Web 예상 결과 • IPS와 스위치 연동을 통한 타벤더 스위치 하단의 공격자의 Mac address에 대하여 차단 또는 제한된 서비스만 허용 평가 내역 • 타벤더 스위치와 연동하여 포트가 아닌 특정 공격자 Mac address만 차단 할 수 있는 기능이 있는지 확인 Zotob worm 공격시도 DS1 2차 스위치 포트상의 공격자 MAC만 차단 PC1 Attacker 비고 • Attacker : www.xxx.xxx/admin.dll접속 시도
3.1. Link Fail-over Test(STP) 항목 3.1. Link Fail-over Test 대상 장비 분산스위치와 백본스위치 테스트 목적 동일 VLAN내에서 Spanning Tree에 Layer 2 회선복구 기능 및 복구 시간을 확인 구성도 시행 절차 1.모든 스위치를 L2로 구성하고 Spanning Tree를 설정한다. 2.DS1이 Spanning Tree root bridge임을 확인하고 DS2와 WS1구간이 Blocking임을 확인한다. 3.PC2에서 PC1으로 Ping을 수행한다. 4.DS1 과 DS2구간의 Link를 절체한후 Ping손실상태를 확인 5.DS1 과 DS2구간의 Link를 복구한후 Ping손실상태를 확인 6.DS2 와 WS1구간의 Link를 절체한후 Ping손실상태를 확인 7.DS2 와 WS1구간의 Link를 복구한후 Ping손실상태를 확인 PC1 DS1 DS2 예상 결과 • 802.1D적용시 : 30~50초 이내로 fail-over 수행 • 802.1w적용시: 1~2초 이내로 fail-over수행 평가 결과 WS1 PC2 비고 • DS1 : 층간 스위치(벤더 준비) • DS2 : 백본 스위치(Cisco 3750) • WS : 워크그룹 스위치
3.2. Link Fail-over Test(VRRP) 항목 3.2. Link Fail-over Test 대상 장비 분산스위치와 기존 워크그룹 스위치 테스트 목적 VRRP에 의한 Fail-over 테스트 구성도 시행 절차 1.DS1과 DS2구간을 OSPF라우팅을 구성한다 2.DS1과 DS2,WS1 구간을 VRRP로 구성한다 3.DS1과 DS2,WS2 구간을 VRRP로 구성한다 4.DS1이 VRRP Master,DS2가 VRRP Backup임을 확인한 후 PC2에서 PC1 으로 Ping을 수행한다. 5.DS1과 WS1구간의 Link를 절체한후 Ping손실상태 확인 6.DS1과 WS2구간의 Link를 절체한후 Ping손실상태 확인 WS2 PC1 VRRP 구간 VRRP Master VRRP Backup 예상 결과 라우팅(OSPF) DS1 DS2 • VRRP는 기본적으로 3.6초 이내에 복원된다. 평가 결과 Ping 복원 시간 VRRP구간 WS1 PC2 비고 • DS1 : 층간 스위치(벤더 준비) • DS2 : 백본 스위치(Cisco 3750) • WS : 워크그룹 스위치
3.3. Link Aggregation Test 항목 3.3. Link Aggregation Test 대상 장비 분산스위치 테스트 목적 물리적인 2개 이상의 Link를 논리적인 하나의 Link로 구성하여 대역폭 증대 및 장애시 복구 능력 테스트 구성도 시행 절차 1.DS1과 DS2구간에 2개의 Link를 연결후 Link Aggregation을 구성한다. 2.PC1과 PC2간에 정상적인 Ping 수행되는 지 확인한다. 3.DS1과 DS2구간의 Link중 하나를 절체한후 Ping 손실 상태를 확인 4.Link를 복구한후 Ping손실상태 확인 5.DS1과 DS2구간의 Link중 다른 하나를 절체한 후 Ping손실 상태 확인 PC1 Link Aggregation 예상 결과 DS1 DS2 • Link aggregation group내의 회선 복구는 모두 1-2초 이내에 복원된다. PC2 평가 결과 Ping 복원 시간 비고 • DS1 : 층간 스위치(벤더 준비) • DS2 : 백본 스위치(Cisco 3750) • WS : 워크그룹 스위치
3.4. OSPF TEST 항목 3.4. OSPF Test 대상 장비 분산스위치 테스트 목적 대표적인 다이나믹 라우팅 프로토콜인 OSPF 작동 확인 테스트 구성도 시행 절차 1.DS1과 DS2구간에 OSPF를 구성한다. 2.PC1과 PC2간에 정상적인 Ping 수행되는 지 확인한다. 3.DS1과 DS2 각각에 Loopback 인터페이스를 10개씩 생성한다 4.Loopback 네트웍에 대해 OSPF 네트워크 선언 또는 Redistribution을 설 정한후 DS1과 DS2각각에서 상태 장비의 네트웍이 정상적으로 업데이 트 되는지의 여부를 확인한다. Loopback 인터페이스 10개 생성 PC1 OSPF 예상 결과 DS1 DS2 • Loopback 네트웍이 정상적으로 라우팅 테이블에 등록됨 평가 결과 PC2 정상적인 라우팅 테이블 등록 확인 Loopback 인터페이스 10개 생성 비고 • DS1 : 층간 스위치(벤더 준비) • DS2 : 백본 스위치(Cisco 3750) • WS : 워크그룹 스위치
3.5. Port MirroringTEST 항목 3.5. Port Mirroring TEST 대상 장비 분산스위치 테스트 목적 해당 포트로 지나가는 트래픽을 모니터링하기위한 Port Mirroring기능 확인 구성도 시행 절차 1.DS1에 Port Mirroring 설정을 한다 2.PC1과 PC2간에 정상적인 Ping 수행되는 지 확인한다. 3.PC1에서 PC2로 HTTP접속을 수행한다 4.PC1과 PC2간의 Ping수행 내역 및 HTTP접속 내역이 패킷 캡쳐 PC로 정상적으로 캡쳐되는 지 확인한다. Snifer or Ethereal DS1 예상 결과 • 포트 미러링을 통해 유니 캐스트 트래픽을 모니터링 할 수 있다. PC1 PC2 평가 결과 정상적인 캡쳐 여부 확인 비고 • DS : 분산 스위치 • WS : 기존 워크그룹 스위치
3.6. IP Spoofing 차단 Test 항목 3.6. IP Spoofing 차단 TEST 대상 장비 분산스위치 테스트 목적 Spoofing된 IP 차단 기능 확인 구성도 시행 절차 • PC1에서 인가되지 않은 IP address로 source IP를 변경하여 PC2로 UDP packet을 전송한다. • PC2에서는 패킷 분석기를 통해 source ip가 spoofing된 트래픽이 전송되고 있음을 확인한다. • DS1에서 Spoofing 차단 정책을 설정한다. • 내부서버의 패킷 분석기를 통해 source ip 가 spoofing된 트래픽이 차단 되었음을 확인한다. Net1 PC2 인가되지 않은 Source IP로 변경하여 내부 서버에 패킷을 전송 예상 결과 DS1 • 비인가 source ip로 spoofing된 트래픽을 차단 평가 결과 Net2 IP Spoofing차단 여부 확인 PC1 Attacker 비고 • DS : 분산 스위치 • Attacker : Knoffix Linux Attack tool
3.7 분산 방화벽 기능 항목 3.7 분산 방화벽 기능 세부항목 DoS attack 방어 기능 테스트 목적 DoS attack 방어 기능 구성도 시행 절차 • PC1에서 Source IP를 지속적으로 바꾸면서 PC2의 특정 UDP포트로 공격시도 • 문제를 발생시키는 호스트를 탐지하고 해당 트래픽을 차단 • NMS를 통해 문제를 발생시키는 트래픽을 억세스스위치에서 신속 제어하여 DoS 공격이 다른 네트워크 뿐 아니라 동일 VLAN내에서도 차단. Net1 PC2 Souce IP를 계속 변경하면서 특정 UDP포트로 공격시도 DS1 예상 결과 • DOS 공격 차단 평가 내역 Net2 • 공격 패킷 캡쳐기능 제공 및 공격 호스트 격리 기능 제공 여부 PC1 Attacker 비고
3.8. Mac flooding 방어 기능 및 구현 방안 항목 3.8 MAC flooding 방어 기능 및 구현 방안 세부항목 MAC Flooding 방어 기능 및 구현 방안 테스트 목적 MAC flooding 방어 기능 확인 구성도 시행 절차 • PC1에서 MAC address를 지속적으로 변경시키면서 PC2로 패킷을 전송한다. • 내부 서버에서 패킷 분석기를 통해 트래픽이 PC1에서 전송되고 있음을 확인한다. • DS1에서 포트별 MAC address를 제한하여 인가된 수 이외의 MAC address를 사용하는 트래픽을 차단한다. • 내부서버에서 PC1로부터의 트래픽이 차단되었음을 확인한다. Net1 PC2 MAC address를 지속하면서 내부서버로 패킷 전송 시도 DS1 예상 결과 • MAC Address 제한을 통해 MAC flooding이 방지된다. 평가 내역 Net2 • NMS에서 사용가능한 MAC address를 손쉽게 제한할 수 있는 지 여부 • MAC flooding 방지 여부 PC1 Attacker 비고 • DS : 분산 스위치 • Attacker : Knoffix Linux Attack tool
3.9. 알려지지 않은 바이러스에 대한 방어 기능 항목 3.9 알려지지 않은 바이러스에 대한 방어 기능 세부항목 알려지지 않은 바이러스의 과도한 세션 설립 시도 방어 테스트 목적 과도한 세션 설립을 시도하는 알려지지 않은 바이러스에 대한 자동 차단 여부 확인 구성도 시행 절차 • PC1에서 Destination IP를 지속적으로 바꾸면서 를 공격 • 설정된 세션이상의 세션을 설립하는 공격자를 자동 차단 • NMS를 통해 문제를 발생시키는 공격자의 세션 설립 수 확인 및 자동 차단해제 Net1 PC2 DS1 예상 결과 • 공격자의 과도한 세션 설립 차단 공격 대상을 바꾸면서 과도한 TCP session설립을 시도 평가 내역 Net2 • 공격자의 세션 설립 시도 모니터링 여부 확인 • 세션 초과시 자동 차단 여부 확인 • 차단된 사용자의 차단 해제 기능 여부 확인 PC1 Attacker 비고
3.10. 공격자 IP,MAC 추적 기능 항목 3.10 공격자 IP,MAC address 추적 기능 세부항목 공격자의 IP,MAC address 추적 테스트 목적 공격자의 IP,MAC 어느 스위치의 어느 포트에 위치하고 있는지를 신속하게 확인하여 제어 구성도 시행 절차 • NMS에서 공격자의 IP 또는 Mac address를 통해 신속하게 공격자의 IP를 추적 Net1 PC2 DS1 예상 결과 • 공격자가 어느 스위치의 어느 포트에 위치하고 있는지 확인 평가 내역 Net2 • 공격자의 위치를 신속하게 추적할 수 있는지의 여부를 확인 PC1 Attacker 비고
기본 구성도 PC2 외부단 스위치 IPS 백본 스위치 DS1 층간스위치 워크그룹스위치(기존스위치) PC1
PC2 Victim DS1 Attacker PC1 4.1. Port Scan 탐지테스트 항목 4.1 Port Scan 탐지 테스트 세부항목 공격사전작업인 Port 스캔을 탐지 테스트 목적 해킹 혹은 크래킹에 대한 사전 작업을 감지 하고자 함. 구성도 시행 절차 • PC1에서 Victim 서버로 Super scan툴을 이용한Port Scan 수행 • IPS에서 port scan이벤트가 발생하는지 확인 • IP 대역별로 Scan 시도 후 이벤트 확인 IPS scan 탐지 예상 결과 • Attacker PC1의 아이피와 Port Scan이벤트발생 평가 내역 • Attacker의 Scan한 Port정보 • Attacker와 Victim에 대한 아이피 정보 Victim에 대한 Port scan 비고 • Attacker : Port Scan툴(슈퍼스캔)을 활용 • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.2. Windows 웹서버(IIS웹서버) 공격 차단 테스트 항목 4.2 Windows 웹서버(IIS웹서버) 공격 차단 테스트 세부항목 유니코드를 이용한 IIS웹 서버 공격 테스트 목적 IIS웹서버 공격에 대한 탐지와 자동 차단 구성도 시행 절차 • PC1에서 Victim 서버로 IIS Storm툴을 이용한공격수행 • IPS에서 이벤트가 발생하는지 확인 • IIS웹서버에 능동차단 되는지 확인 IPS 공격 탐지,차단 예상 결과 • Attacker PC1의 아이피와 IIS공격이벤트발생 • Attacker PC1의 능동적 차단 평가 내역 • Attacker의 공격이벤트탐지 • Attacker와 Victim에 대한 아이피 차단 Victim에 대한 IIS웹서버 공격 비고 • Attacker : IIS웹서버 공격툴 istorm활용 • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.3. Unix계열 웹서버(Apache웹서버) 공격 차단 테스트 항목 4.3 Unix계열 웹서버(Apache웹서버) 공격 차단 테스트 세부항목 테스트 목적 Apache웹서버 공격에 대한 탐지와 자동 차단 구성도 시행 절차 • PC1에서 Victim 서버로 passwd파일을 보는 링크 전송 • IPS에서 이벤트가 발생하는지 확인 • IIS웹서버에 능동차단 되는지 확인 IPS 공격 탐지,차단 예상 결과 • Attacker PC1의 아이피와 IIS공격이벤트발생 • Attacker PC1의 능동적 차단 평가 내역 • Attacker의 공격이벤트탐지 • Attacker와 Victim에 대한 아이피 차단 Victim에 대한 웹서버 공격 비고 • Attacker : http://victim/aaa.php?hack=cat%20/etc/passwd • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.4. Application 취약점 스캔 대응 항목 4.4 Application 취약점 스캔 대응 세부항목 테스트 목적 어플리케이션의 취약점 스캔에대한 방어 구성도 시행 절차 • PC1에서 Victim 서버로 취약점 scan을 감행 • IPS에서 이벤트가 발생하는지 확인 • Attacker IP가 차단되는지 확인 IPS 공격 탐지,차단 예상 결과 • Attacker PC1의 아이피와 WEB공격이벤트발생 • Attacker PC1의 능동적 차단 평가 내역 • Attacker의 공격이벤트탐지 • Attacker에 대한 아이피 차단 Victim에 대한 웹취약점스캔 비고 • Attacker : 웹취약점스캐너 활용(N-Stealth Free Edition) • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.5. 악성 봇에 대한 감지 및 차단 항목 4.5 악성봇에 대한 감지 및 차단 세부항목 IRC프로그램을 사용하는 좀비 차단 테스트 목적 악성봇에 감염된 좀비 클라이언트(PC1)의 보호 구성도 시행 절차 • PC1에서 Victim(IRC) 서버로 정상 접근 • IPS에서 이벤트가 발생하는지 확인 • Attacker IP가 차단되는지 확인 IPS 공격 탐지,차단 예상 결과 • Attacker PC1의 아이피와 IRC JOIN이벤트발생 • Attacker PC1의 능동적 차단 평가 내역 • Attacker의 공격이벤트탐지 • Attacker와 Victim에 대한 아이피 차단 외부 IRC서버로 접근 비고 • Attacker : IRC클라이언트활용 • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.6. Sweep 이벤트탐지와 세션재현 항목 4.6 Sweep 이벤트 탐지와 세션재현 세부항목 2차 공격대상 ip list를 확인할수있어야 한다 테스트 목적 Worm에 감염되었을때 2차 공격대상을 찾는 행위를 Sweep이라 하며 이를 탐지하고 분석하기 위함 구성도 시행 절차 • PC1에서 Sweep 이벤트 발생 시킴 • IPS에서 Sweep이벤트가 탐지 되는지 확인 • IPS에서 Sweep이벤트의 세션 재현 IPS 공격 탐지,차단 예상 결과 • IPS에 Sweep 이벤트 발생 • 세션 재현을 통해 공격대상 아이피 대역을 확인할수 있다 평가 내역 • Sweep정보에 80번 port 기술되는지 확인 • 2차 공격대상 네트웍 대역을 세션재현을 통해 확인 Victim으로 ping 비고 • Attacker : CodeRed Scanning 툴 • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.7. 웜바이러스의 감지 및 차단 항목 4.7 웜바이러스의 감지 및 차단 세부항목 테스트 목적 내외부로부터의 웜 침투및 전파을 막기위함 구성도 시행 절차 • Attacker PC1에서 웜 배포 • IPS에서 웜바이러스 탐지 및 차단 확인 IPS 공격 탐지,차단 예상 결과 • 웜을 배포하는 Attacker PC1 IP차단 평가 내역 • 웜을 배포하는 순간 자동으로 IP차단이 되어야 한다. • 일정시간이 지나면 자동 해체가 가능하여야 한다. Victim으로 ping 비고 • Attacker PC1 Worm 배포 • Victim :IPS외부에 있는 한노드
4.8. IPS Bypass 기능테스트 항목 4.8 IPS Bypss기능테스트 세부항목 IPS장비 결함 및 전기적인 결함테스트 테스트 목적 IPS운영중 자체 Fault로 인한 네트웍 단절에 대한 유연한 대처능력 테스트 구성도 시행 절차 • PC1에서 Victim 서버로 Ping 수행 • PC1에서 PC2로 Ping 수행 • 강제로 IPS장비 전원 차단 • PC1에서 Victim으로 Ping이 정상인지 확인 Victim 예상 결과 IPS 전원강제차단 • Ping이 몇초 단절 후 Bypass된다음 ping정상흐름 평가 내역 • Ping 단절시간 확인 • Bypass 확인 DS1 PC1 Ping test 비고 • PC1 : ping 수행 • Victim :IPS외부에 있는 한노드
PC2 Victim DS1 Attacker PC1 4.9. 특정조건에 의한 포렌식 항목 4.9 특정조건에 의한 포렌식 세부항목 특정시간별,특정아이피별 추적기능 테스트 목적 특정시간,특정 IP의 추적기능을 통한 공격자 행위 분석 구성도 시행 절차 • 특정 시간 조건을 주어 시간대 이벤트 확인 • 특정 아이피(Attacker PC1) 조건을 주어 행위분석 IPS 공격 탐지,차단 예상 결과 • 특정 조건에 대한 검색이 가능해야 한다. 평가 내역 • 세션 재현 데이터까지 확인 가능 하여야 한다. Victim으로 ping 비고 • Attacker PC1 • Victim :IPS외부에 있는 한노드
PC2 DS1 PC1 4.10. Signature 업데이트 방법 항목 4.10 Signature 업데이트 방법 세부항목 Signature 업데이트 방법 확인 테스트 목적 Signature 업데이트 방법 확인 구성도 시행 절차 • 시그너쳐 업데이트 방법 메뉴 육안 확인 Victim Signature 업데이트 방법 확인 예상 결과 • 자동 업데이트 방법 • 매뉴얼 업데이트 방법 평가 내역 • 자동 업데이트 방법 및 필요시 업데이트를 위한 매뉴얼 업데이트 방법이 지원하는지 확인 Attacker 비고
PC2 DS1 PC1 4.11. IPS 관리 리모트 엑세스 기능 항목 4.11 IPS 관리 리모트 엑세스 기능 세부항목 특정시간별,특정아이피별 추적기능 테스트 목적 특정시간,특정 IP의 추적기능을 통한 공격자 행위 분석 구성도 시행 절차 • 사용자별 접근 가능한 레벨을 지정할 수 있는 지 육안 확인 Victim Remote 엑세스 시도 예상 결과 • 접근 레벨을 조정할 수 있어야함 평가 내역 • 사용자별 IPS관리 및 설정시 접근할 수 있는 레벨을 지정할 수 있는지 확인한다. Attacker 비고 • Attacker PC1 • Victim :IPS외부에 있는 한노드
4.12. 관리자 Alert 기능 항목 4.12 관리자 Alert 기능 세부항목 IPS 차단 정보를 관리자에게 통보하는 기능 테스트 목적 IPS 차단 정보를 관리자에게 E-mail 을 통해 통보하는 기능이 있는지 확인 구성도 시행 절차 • PC1에서 Zotob work 공격 시도 • IPS에서 차단후 지정된 e-mail address로 통보 • 지정된 E-mail 에서 정보 확인 PC2 Victim IPS 차단 및 관리자에게 Email 전달 예상 결과 • 지정된 E-mail에서 통보확인 평가 내역 DS1 • E-mail 확인을 통해 공격 정보 확인 Zotob worm 공격시도 PC1 Attacker 비고 • 실제 E-mail 전달 확인을 위해 인터넷 연결 필요
PC2 Victim DS1 Attacker PC1 4.13. Black & White list 관리 및 차단 항목 4.13 black list 관리 및 차단 세부항목 불법사용자들의 ip를 원천 차단 테스트 목적 불법사용자의 체계적인 관리와 완벽한 차단 구성도 시행 절차 • IPS에 PC1을 Black list에 기술함 • PC1에서 victim으로 ping이 되는지 확인 • IPS에 PC1을 White list에 기술함 • PC1에서 Victim으로 공격을 했을때 차단이 안되는걸 확인 IPS 공격 탐지,차단 예상 결과 • Attacker PC1를 Black List관리시 Victim까지 ping이 안됨 • Attacker PC1을 White List관리시 공격을 하더라도 차단이 안됨 평가 내역 • Black&Whitelist 항목관리 및 ping 차단 테스트 Victim으로 ping 비고 • Attacker : ping test 및 공격 테스트(IIS-Storm) • Victim :IPS외부에 있는 한노드