공부

이번 카테고리에서는 "주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2021.3.)" 를 기준으로 시스템 보안 실습을 하겠습니다. 실습 환경은 Windows 11 개발환경(WinDev2208Eval)으로, 가상 머신은 VMware를 사용하겠습니다. [ 1) 계정관리 ] 1.2) 불필요한 계정 제거 취약점 개요 { 점검 내용 } > 시스템 내 불필요한 계정 및 의심스러운 계정의 존재 여부 점검 { 점검 목적 } > 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정 및 의심스러운 계정을 삭제하여, 일반적으로 로그인이 필요치 않은 해당 계정들을 통한 로그인을 차단하고, 계정의 패스워드 추측 공격 시도를 차단하고자 함 { 보안 위협 } > 관리되지 않은 불필요한 계정은..

[ 1) E-Mail 스푸핑에 대한 이해 ] { E-Mail 스푸핑 } > 실제 E-Mail을 사칭해 정보를 획득하는 공격 > E-Mail의 도메인 주소는 임의의 시스템에서 임의로 설정할 수 있으며, 계정 역시 해당 시스템에서 임의로 생성할 수 있음 ( 따라서 수신된 메일 계정 정보는 인증된 정보가 아닌 참조 정보로 이해해야 함 ) { sendmail 정의 } > SMTP 프로토콜을 통해 메일 서비스 가능 ( 메일 서버간에 메일을 주고 받는 역할 ) > sendmail 관련 주요 파일 중 " /etc/mail/access "파일은 특정 호스트나 도메인의 메일 RELAY의 허용 및 거부를 제어하는 파일로, 스팸 메일을 방지할 수 있다. ( 제어 옵션 : RELAY, REJECT, DISCARD, OK, 5..

[ 1) DNS 스푸핑에 대한 이해 ] { DNS 스푸핑 } > 웹(Web) 스푸핑과 비슷 > 인터넷 익스플로러 주소창에 원하는 사이트 이름을 입력 후 키를 눌렀는데, 엉뚱한 사이트로 연결되는 것과 같다 { 정상적인 DNS 서비스 } 1) Client가 DNS Server에 DNS Query 패킷을 보내 접속하고자 하는 IP 주소를 물어본다. 2) DNS Server가 해당 Domain Name에 대한 IP 주소를 Client에 보내준다. 3) Client는 DNS Server에서 받은 IP 주소를 바탕으로 Web Server를 찾아간다. { DNS 스푸핑에서의 DNS 서비스 } 1) Client가 DNS Server로 DNS Query 패킷을 보내는 것을 확인한다. (스위칭 환경에서는 Client가 D..

[ 1) IP 스푸핑에 대한 이해 ] { IP 스푸핑 } > IP 주소를 속이는 것 > 1995년 케빈 미트닉의 공격을 일컫는 것이 정석이나, 최근 일부에서는 TCP 세션 하이재킹을 IP 스푸핑이라고 부르기도 함 > 시스템 간의 트러스트(Trust) 관계를 이용한 공격 { 트러스트( Trust ) } > 시스템에 접속할 때 자신의 IP 주소로 인증하면 로그인 없이도 접속이 가능하게 만든 것 ( 스니핑을 막을 수는 있지만, IP만 일치하면 인증 우회가 가능 ) ++ SSO ( Single Sign On ) : 트러스트(Trust)에 대한 약점이 알려지면서 개발됨 ( 대표적인 예시로는 커버로스(Kerberos)를 쓰는 Windows의 Active Directory, Sun Microsystems의 NIS+ ..

[ 1) ARP 스푸핑에 대한 이해 ] { ARP 스푸핑 } > ARP는 IP 주소값으로 MAC 주소값을 알아내는 프로토콜 > MAC 주소를 속이는 것 ( 2계층에서 작동하기 때문에 공격 대상이 같은 LAN 안에 있어야 함. ) > ARP 스푸핑은 스니핑의 또 다른 기법으로 볼 수 있음 *( 스니핑과 스푸핑은 엄연히 다른 공격이지만, 결과가 같음. ) ++ 스니핑과 스푸핑의 구별? > 스니핑은 프러미스큐어스 모드여야만 공격이 가능하지만, 스푸핑은 프러미스큐어스 모드가 아니어도 공격이 가능. { ARP 스푸핑의 개념 } > 공격은 2계층에서 이루어지므로, 공격자의 IP 주소 (3계층)는 의미가 없다. > 공격자 (A)가 공격 대상 (B, C)에게 ARP 스푸핑 공격을 할 때, B와 C의 패킷을 모두 받아야..

[ 1) 스푸핑 공격에 대한 이해 ] { 스푸핑(Spoofing) } > ' 속이다 '라는 의미를 지님 > 인터넷이나 로컬에서 존재하는 모든 연결에 스푸핑 가능 > 정보를 얻어내기 위한 중간 단계의 기술로 사용하는 것 외에 시스템을 마비시키는 데 사용할 수도 있음 { 스푸핑 공격 대비책 } > 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어둠 > Broadcast ping을 Network에 뿌려 그에 답하는 모든 시스템에 대한 MAC Address값을 시스템 캐시에 기록함. > arp -a로 현재 IP 주소값과 MAC 주소의 대칭 값을 비교하여 엉뚱한 MAC 주소로 맵핑되어 있는 항목을 확인 [ 실습 - 시스템의 IP, MAC Address 수집하기 ] > 실습 환경 : - 공격자 : Kali ..

[ 1) 스니핑 대응책 ] { 능동적 대응책 : 스니퍼 탐지 } > ping을 이용한 탐지 : - 의심이 가는 host에 ping을 보낼 때 네트워크가 존재하지 않는 MAC 주소를 위장하여 보냄 - 만약 ICMP Echo Reply를 받으면 해당 host가 스니핑을 하고 있는 것 > ARP를 이용한 탐지 : - 위조된 ARP Request를 Sniffer임을 확인하고자 하는 시스템에 전송 - 대상 시스템이 ARP Response(응답)를 보내면 이를 통해 프러미스큐어스 모드로 동작중인 스니퍼임을 확인 > DNS를 이용한 탐지 : - 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시 > 유인(Decoy)을 이용한 탐지 : - 가짜 계정과 패스워드를 뿌려,..

[ 3) ICMP 리다이렉트 ] > 공격 대상에게 패킷을 보낸 후 다시 라우터 A에 다시 릴레이시켜 스니핑 > 3계층에서 패킷을 주고받기 때문에 랜이 아니더라도 공격이 가능 > 최근에는 OS에서 ICMP 리다이렉트를 기본적으로 차단 [ 4) 스위치 재밍 ] > 스위치를 직접 공격 > MAC 테이블을 위한 캐시 공간에 *버퍼 오버플로우 공격을 실시 ( *버퍼 오버플로우 : 버퍼를 공격하여 시스템을 다운시키거나, 오작동을 유발시키는 공격 ) > 스위치는 Fail Close 기능이 적용되지 않음 ( *Fail Close; 페일 클로즈 : 시스템이 오작동을 하게 되면 모든 기능을 차단하는 개념 ) > 일부 고가의 스위치는 MAC 테이블의 캐시와 연산 장치가 사용하는 캐시가 독립적으로 나뉘어 있어 스위치 재밍 공..

이번 카테고리에서는 "주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2021.3.)" 를 기준으로 시스템 보안 실습을 하겠습니다. 실습 환경은 Windows 11 개발환경(WinDev2208Eval)으로, 가상 머신은 VMware를 사용하겠습니다. [ 1) 계정관리 ] 1.2) Guest 계정 비활성화 취약점 개요 { 점검 내용 } > Guest 계정 비활성화 여부 점검 { 점검 목적 } > Guest 계정을 비활성화 하여 불특정 다수의 임시적인 시스템 접근을 차단하기 위함 { 보안 위협 } > Guest 계정은 시스템에 임시로 액세스해야 하는 사용자용 계정으로, 이 계정을 사용하여 권한 없는 사용자가 시스템에 익명으로 액세스할 수 있으므로 비인가자 접근, 정보 유출 등 보안 위험이 따를..

이번 카테고리에서는 "주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2021.3.)" 를 기준으로 시스템 보안 실습을 하겠습니다. 실습 환경은 Windows 11 개발환경(WinDev2208Eval)으로, 가상 머신은 VMware를 사용하겠습니다. [ 1) 계정관리 ] 1.1) Administrator 계정 이름 변경 또는 보안성 강화 취약점 개요 { 점검 내용 } > 윈도우즈 최상위 관리자 계정인 Administrator의 계정명 변경 또는 보 안을 고려한 비밀번호 설정 여부 점검 { 점검 목적 } > 윈도우즈 기본 관리자 계정인 Administrator의 이름을 변경 또는 보안 을 고려한, 잘 알려진 계정을 통한 악의적인 패스워드 추측 공격을 차단하고자 함 { 보안 위협 } > 일반적..