OS 설치 시 기본적으로 탑재되어 실행 되는 서비스 중에는 보안에 취약한 서비스들이 있다. 그러한 서비스를 중지하는 것만으로도 어느 정도 방어가 가능하다. 1. 네트워크 장비에 의한 필터링Router/Switch에서 ACL을 이용하여 허용하지 않은 사용자의 네트워크 접근 차단 2. 서버에서 실행중인 불필요한 서비스 중지불필요한 Port 닫기 3. 침입 탐지 시스템(IDS) 및 침입 차단 시스템(IPS) 연동syslog를 점검하더라도 스캔이 끝난 상황이라면 대응이 늦어질 수 있음침입 탐지 시스템을 이용하여 침입자를 감지하고 침입 차단 시스템에서 공격자의 IP를 차단
![[Network Security] hping3 명령을 통한 SYN 스캔, UDP 스캔, ICMP 스캔](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fde0zgs%2FbtsHBttevXx%2FqCDKOqIdRTxE01NO83VlNk%2Fimg.png)
홈페이지의 경우 보안상의 이유로 ICMP 패킷을 차단하는 경우도 존재한다. 이러한 경우 서버가 구동이 되고 있는지 확인하기 위해서는 활성화 된 서비스가 있는 포트를 대상으로 서버가 존재하고 실행되고 있는지 스캔할 수 있다. 예를 들면 웹 서버에 HTTP 패킷을 보내 확인하는 방법이 있다. 1. SYN 스캔1) wireshark를 통한 스캔 결과 확인Half Open 방식(SYN -> SYN/ACK -> RST)더보기hping3 -S 192.168.0.18 -p 80 -c 2 2) hping -8 옵션으로 각 포트번호를 늘려가며 스캔지정한 20-25번 포트를 하나씩 스캔더보기hping3 -8 20-25 -S 192.168.0.18 22번 포트만 활성화 되어 있기 때문에 22번으로만 RST 응답을 보냄, 나..
![[Network Security] 배너그래빙(Banner Grabbing)(+기본 hping3 명령)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FOaV5U%2FbtsHCz6LSaw%2FonwDqWxSsizmCVE1XVfOK0%2Fimg.png)
Telnet과 같이 원격지의 시스템에 로그인을 시도하였을 때 나타나는 안내문을 배너(Banner)라고 한다. 이러한 배너는 기본적으로 애플리케이션의 버전 등을 나타내기 때문에 이를 통해 기본적인 정보 수집이 가능하다. 80, 25, 3306 포트를 통해 각 서버의 정보 확인 가능(21, 23, 25, 110, 143 포트에서도 가능) 1. 운영체제 버전과 커널 버전 확인 가능1) CentOS 7.6 웹 서버 설정httpd 설치 방화벽 밀어버리기 데몬 재실행 2) 웹 서버 접속으로 배너 그래빙운영체제와 웹 서버의 종류 확인 가능 3) hping3 명령으로 기본 네트워크 정보 수집(ping 명령과 유사)네트워크 패킷 생성 및 분석 도구로, 주로 네트워크 테스트, 방화벽 규칙 검증, 포트 스캔 및 네트워크 공..
![[Network Security] Nmap을 활용한 네트워크 스캐닝](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FERjCN%2FbtsHy9BJpdC%2FDdPKgGPzgI6R3YS3yejRA1%2Fimg.png)
1. nmap을 활용한 활성화 된 Host 스캔Nmap Option-sTconnect() 함수를 이용한 Open 스캔(오픈)-PSTCP SYN 패킷 만을 보내 시스템 활성화 여부 검사-sS세션을 성립시키지 않는 SYN 스캔(하프오픈)-PI시스템 활성화 여부를 ICMP로 검사-sFFIN 패킷을 이용한 스캔-PBTCP와 ICMP 둘 다 사용하여 HOST 활성화 여부 검사-sNNULL 패킷을 이용한 스캔-O시스템 운영체제 수정-sXX-MAS 패킷을 이용한 스캔-IIdent 프로토콜(RFC1413)을 사용해 열려있는 프로세스가 어떤 사용자에 의한 것인지 검사-sPping을 이용한 HOST 활성화 여부 확인-nDNS Lookup을 하지 않음-sUUDP 포트 스캔-RDNS Lookup을 함-sRRPC 포트 스캔-P..
![[Network Security] 네트워크 스캐닝 공격](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbuiAtE%2FbtsHyE91iVy%2FlNzjXaFdb2mFWmFLgyYRK1%2Fimg.png)
스캔을 통해 서비스를 제공하는 서버의 작동 여부와 제공하고 있는 서비스를 확인할 수 있다. 스캐닝에 사용하는 프로토콜은 ICMP(3계층), TCP(4계층), UDP(4계층)로 나눌 수 있다. 1. 네트워크 스캐닝 개요개요스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보 등을 알아내는 것을 의미TCP 기반의 프로토콜의 질의(Request) 응답(Response) 메커니즘대표적인 스캔 프로그램으로는 nmap목적열려 있는 포트 확인제공하는 서비스 확인동작 중인 Daemon의 버전운영체제 종류 및 버전취약점★ 인터넷을 하기 위해서는 MAC 주소, IP 주소, Port 주소를 알아야 통신이 가능함MAC(하드웨어 주소) : 이더넷으로 물리적으로 내장되어 있는 고유한 주소 -> 2계층IP(논리적..
![[Network Security] 실습 환경 준비(feat. Start-Up K-Shield Jr.)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FFVDdm%2FbtsHy6EUgju%2FAv7d9nU53v760mdRUAU5Kk%2Fimg.png)
1. 압축 파일 해제해당 파일들이 192.168.0.x 대역으로 설정되어 있기 때문에 VMware도 192.168.0.x 대역으로 맞춰줘야 한다.VMware Player는 해당 기능이 없으니 vmnetcfg.exe 파일을 C:\Program Files (x86)\VMware\VMware Workstation 경로에 복사 해서 설정(VMware Workstation Pro를 사용하는 경우는 Edit 탭 - Virtual Network Editor로 설정하면 됨) 2. VMware NIC 설정 및 가상 머신 실행192.168.0.0 대역으로 설정 VMware가 가상 머신의 위치 변경을 감지 했을 때 나타나는 메시지I Moved It : VMware는 가상 머신이 다른 위치로 이동되었다고 가정하고, 가상..
1. 용어 정리의 필요성정보보안 관리 지침 및 절차에 걸쳐 명확하고 통일성을 갖춘 용어를 사용하여 오해와 오역을 예방하고 이견과 분쟁을 원활하게 해결하는 기준으로 활용 2. 자산의 관점에서의 보안 요소보안의 3요소 : 기밀성(Confidentiality), 무결성(Intergrity), 가용성(Availability)기밀성(Confidentiality) : 허가 받지 않은 사람에게 노출되지 않음무결성(Intergrity) : 데이터 흐름 중에 완전성과 정확성을 유지가용성(Availability) : 자산의 계속적 이용을 가능하게 하는 것 → 기. 무. 가 / C.I.A자산(Asset) : 회사가 보유한 가치를 지닌 것영향(Impact) : 보안 사고로 발생할 수 있는 정보자산에 대한 위협 및 비용위협(T..