[Skimming] 2. 네트워크 보안
이론
NAC (Network Access Control)
네트워크에 접근하는 장치들의 식별 및 보안 정책 준수 여부 평가 등을 통해 네트워크 통제 강화 및 접근 제어
SMTP - EHLO(Extended Hello)
SMTP 세션을 시작할 때 클라이언트가 서버에 자신의 신원을 알리고 서버의 기능을 확인하는데 사용함.
Enhanced Open Wirless Encryption
개인용 무선 네트워크에서 사용되며 기존 WPA2/WPA3와 다르게 PSK 혹은 패스프레이즈 없이 개인용 무선 네트워크를 암호화 한다.
FIDO (Fast IDentity Online)
모바일 앱에서 생체인증, 보안키, 인증 어플등을 통해 ID/PW를 대신하는 FIDO1.0을 웹으로 확장하기 위해 고안된 무선통신 암호화 기술을 FIDO2라고 부른다. 참고로 FIDO 인증을 사용할 수 있도록 브라우저 및 관련 웹 플랫폼에 내장할 수 있는 표준 웹 API를 WebAuthn이라고 부른다.
VMPS (VLAN Management Policy Server)
VMPS는 MAC주소를 확인하고 해당 MAC주소에 해당하는 VLAN을 찾아주는 역할을 하는데 MAC 주소 위조 공격에 매우 취약하다.
VPN 명칭
- GRE Tunnel 사용 > PPTP (Point-to-Point Tunneling Protocol)
- L2 VPN (IKE & ESP) 보통 IPSec이랑 같이 씀 > L2TP (L2 Tunneling Protocol)
- IPSec 사용 안하고 SSL/TLS 기반 암호화 > SSTP (Secure Socket Tunneling Protocol)
IDS/IPS & WAF
ModSecurity
- SecAuditEngine On | Off | DetectionOnly (보안 정책 효과를 확인하고 테스트)
- SecRuleEngine On | Off | RelevantOnly (로그를 간소화하여 중요 정보에 집중)
Snort
| alert tcp any any -> any 80 | tcp 80으로 들어올 경우 alert 발생 |
| msg:"HTTP Get Flooding Detect"; | 해당 메세지 생성 |
| content: "GET/HTTP1"; | 패킷의 내용이 GET/HTTP1을 포함하는지 검사 |
| depth:13; | 패킷의 처음 13 Bytes 내에서 문자열 검색 (검색 성능 향상) |
| nocase; | 대소문자 구분하지 않음 |
| threshold; | 중복적으로 발생하는 로그 정리 |
| type threshold, track by src, count 10, seconds 1; | 1초안에 10번 카운트시 로그 발생 |
| sid:1000001 | sid 1000001 부여 |
윈도우
시스템 서비스 포트 및 프로토콜
- NetBios 데이터그램 서비스 | UDP 138
- NetBios 세션 서비스 | TCP 139
- NetBios POP3 | TCP 110
- IMAP | TCP 143
공격기법
Port Mirroring
실제 데이터가 오고가는 포트의 정보를 그대로 복제하여 쓰지 않은 포트에 복제하여 다른 포트로 전송하는 것을 말한다. 주로 TX, RX 값을 확인하는 것을 말한다.
Switch Jamming
스위치를 무력화시켜 더미 허브처럼 작동하게 하여 패킷을 모든 포트에 전달하게 되고 공격자가 이 패킷을 가로채는 공격을 말한다.
도구
Debugger
가장 널리 사용되는 리버스 엔지니어링 소프트웨어 도구이다. 프로그램 실행 중에 코드를 단계별로 분석하고 변수 값, 레지스터 상태, 메모리 내용 등을 확인하여 프로그램 동작을 이해하고 수정하는 도구이다.
ex) OllyDbg, IDA Pro, x64dbg, WinDbg
Decompiler
컴파일된 바이너리 코드를 원래 소스코드로 변환하는 도구.
ex) Ghidra, IDA Pro, RetDec, Reflector
Static Analysis Tools
프로그램의 바이너리 코드를 분석하여 구조, 제어 흐름, 데이터 흐름을 이해하고 프로그램 동작을 추적하는 도구.
ex) IDA Pro, Ghidra, Binary Ninja, Radare2
Cryptography Tools
프로그램 내에서 사용된 암호화 데이터를 해독하고 분석하는 도구.
ex) Cryptool, OpenSSL
Packing and Unpacking Tools
프로그램의 실행 파일을 압축하거나 암호화하여 분석을 어렵게 만드는 기법을 사용하는 프로그램을 분석하는 도구
ex) UPX, PEiD, Exeinfo PE
Monitoring Tools
프로그램 실행 중에 API 호출, 파일 I/O, 네트워크 트래픽 등을 모니터링 하고 분석하는 도구
ex) Process Monitor, Wireshark, Filemonitor, API Monitor, Procexp
Hex Editor
파일을 16진수 형태로 열어 바이너리 데이터를 직접 수정하거나 분석하는 도구
ex) HxD, 010 Editor
악성코드
Nimda
2001년 9월에 확산된 컴퓨터 바이러스
Mirai
2016년에 발견된 IP 카메라 혹은 가정용 라우터와 같은 IoT 장치를 공격하는 DDoS 공격용 붓넷.
Stuxnet
산업시설을 감시하고 파괴하는 웜 바이러스
SQL Slammer
마이크로소프트 SQL 서버의 버퍼 오버플로 버그를 이용하여 감염시키는 웜 바이러스