3. 기술적 보안

­3zu·2024년 5월 24일
0

산업보안관리사

목록 보기
2/5
post-thumbnail

Well-Known Port

TCP

  • 20, 21 - FTP
  • 22 - SSH
  • 23 - TELNET
  • 25 - SMTP
  • 53 - DNS
  • 80 - HTTP
  • 109 - POP2
  • 110 - POP3
  • 111 - RPC
  • 139 - NetBIOS
  • 443 - HTTPS

UDP

  • 53 - DNS
  • 67, 68 - DHCP
  • 69 - TFTP
  • 111 - RPC
  • 123 - NTP
  • 161, 162 - SNMP
  • 445 - SMB

네트워크 장비

리피터

불분명해진 신호 세기 다시 증가
물리계층

허브

= 더미 허브
가까운 거리의 LAN을 구성할 때 해당 장비들을 케이블로 연결해줌
물리계층

브리지

여러 네트워크를 연결하거나 큰 네트워크를 나눌 때 사용
네트워크 나누는 기준은 MAC 주소
데이터링크 계층

스위치

MAC 주소를 스위치 내부 테이블에 보관
수신된 프레임의 목적지 주소 확인해 해당 포트로만 데이터 전송
데이터링크 계층

라우터

IP주소 기반으로 패킷 전달
라우팅 테이블 구성
패킷을 목적지까지 가장 빠르게 전달
네트워크 계층

네트워크 기반 공격

스캐닝

목표 호스트의 동작 여부와 제공 서비스 확인
열려 있는 포트, 제공하는 서비스, 동작중인 데몬 정보, OS 버전, 취약점 같은 정보 획득 가능

주로 TCP 스캔을 사용
UDP 스캔의 경우 신뢰하기 어려움
포트 닫혀있으면 ICMP unreachable 패킷 줌

TCP Open Scan

TCP의 3-way handshaking 이용
포트 열려있으면 세션 성립
닫혀있으면 RST/ACK 전달
세션 성립이 되어버리기 때문에 접속 내역이 로그에 남음 그래서 스텔스 스캔 한다

TCP Half-Open Scan

스텔스 스캔
포트 열려 있으면 세션 성립이 되는게 아니라 SYN+ACK 를 받음
세션 성립하지 않고 RST로 종료
닫혀있으면 RST/ACK 전달

X-MAS Scan

스텔스 스캔
ACK, FIN, RST, SYN, URG 플래그 모두 설정해서 보냄
포트 열려있으면 응답 없음
포트 닫혀있으면 RST 반환

NULL Scan

스텔스 스캔
플래그 아예 설정 안하고 보냄
포트 열려있으면 응답 없음
포트 닫혀있으면 RST 반환

FIN Scan

스텔스 스캔
세션 성립 안해도 FIN 만 보냄
포트 열려있으면 응답 없음
포트 닫혀있으면 RST 반환

스니핑

수동적인 공격
네트워크 상에 돌아다니는 패킷을 몰래 뜯어봄
거기에서 정보를 주워감
Tcpdump, Dsniff, Wireshark 등이 있음

스위칭 환경에서는 스니핑 불가능함
스위치는 MAC 주소를 테이블에 적어두고 패킷 원래 목적지로만 패킷 던져버려서
이런거 스니핑 하려면 ARP redirect 나 ICMP redirect 병행하거나 스위치에 직접 재밍공격 수행

스푸핑

적극적인 공격
공격자가 정보 획득을 위해 자기 정보를 뻥카침
MAC 주소 속이는 ARP Spoofing, IP 주소 속이는 IP Spoofing 같은거 있음

DoS, DDoS

네트워크나 컴퓨터가 수용가능한 자원을 초과하게 만들어서 서비스를 못하게 만들어버림

Ping of Death

ICMP 패킷을 정상적인 크기보다 줠라 크게 만들어서 전송
그럼 라우팅 되면서 엄청 작은 조각으로 막 쪼개지는데
공격대상은 그 작은 패킷들을 전부 처리해야해서 과부하가 걸림

SYN Flooding

TCP 3-way handshaking 에서 half-open 연결 시도가 가능하다는 것 이용
공격자가 공격대상한테 SYN을 줠라많이보냄
공격대상은 그거 대답해주느라고 ACK/SYN 을 공격자한테 전달하는데
공격자가 ACK 로 대답을 안해주니까
공격대상이 순진하게 그거 대답해줄때까지 일정시간 기다림

Bonk, Boink, Teardrop

네트워크 통신 프로토콜에서 멀쩡한 통신인지 구분하려고 계속 확인하고
필요하면 반복적으로 다시 보내달라고 재요구를 함 << 이걸 이용
패킷을 계속 앞부분만 보내거나 중간만 보내거나 이런식으로 이상하게 보내서
공격대상이 계속 제대로 보내달라고 요청하게 만들어서 자원 고갈시킴

Land

출발지와 목적지 IP 주소를 공격대상 IP 주소로 만들어서 보냄
공격대상이 기껏 받은거 다 처리해서 보내려고 했더니 목적지가 자기 자신이라
루프 바지면서 장애발생

Smurf, Fraggle

적극적인 공격
ICMP 패킷 이용
출발지 주소를 공격대상으로 해서 ICMP Request 패킷을 아주 여러 곳으로 널리널리 broadcast
Request 를 받은 시스템에서 아주 고오맙게도 응답을 공격대상으로 보냄

Fraggle은 ICMP 대신 UDP를 사용한다는 것만 다름

라우터가 broadcast 할 수 있냐 없냐에 따라서 성공 여부가 많이 갈림

접근통제

강제적 접근통제 (MAC)

모든 객체들에 보안 라벨이 주어짐
주체가 갖는 권한에 근거하여 객체에 대한 접근을 제한
rule-based 접근통제
보안성 높음
조직 구성원 이직 없을때 적합

권한 할당을 정책과 규칙에 따라 강제
보안 정책에 따라 레이블 간의 비교를 통해 접근 권한 결정
시스템이 접근통제 권한을 지정

임의적 접근통제 (DAC)

데이터 소유자가 사용자나 사용자 그룹의 신분에 따라서 임의로 접근 제어
ACL 같은 것
유용하고 구현이 용이
융통성이 있어 상업 환경에서 널리 사용
subject, object, authorization

사용자가 자원에 대한 접근 권한을 결정
자원에 대한 소유자가 해당 자원에 대한 접근권한 설정 가능
소유자는 권한을 타인에게 부여하거나 취소할 수 있음

규칙기반 접근통제 (RBAC)

= 비임의적 접근통제
사용자의 역할을 기반으로 접근권한 제어
역할 role 을 정의하고 역할에 대해, 직업에 대해 권한 할당
사용자는 하나 이상의 역할을 가질 수 있음
조직 구성원 이직이 많을때 적합

사용권한 관리기술의 주요 요소

  • 콘텐츠 식별체계
  • 메타 데이터
  • 권리표현기술
profile
­3zu
이전 포스트

2. 물리적보안

다음 포스트

4. 보안사고대응

0개의 댓글