네트워크 보안 오답노트

1. 데이터링크 계층

  - Frame(단위) 사이의 구분을 위해 FLAG 삽입 -> 송수신의 동기를 맞추기 위함

  - 흐름제어, 에러제어

  - 데이터 링크 제어 / 매체 접근 제어로 구성

  - 비트/바이트 스터핑

  - link to link

 

2. 전송 계층

  - End to End

  - 프로세스에서 다른 프로세스로 메시지 전달하는 책임

  - 

 

3. Well-Known Port

  - 0 ~ 1023, 서버측 응용에 배정

 

4. ARP

  - 송신자는 목적지 물리 주소가 필요하므로, 물리주소 요청을 위한 ARP요청 패킷을 브로드캐스트(FF-FF-FF-FF-FF-FF)로 전송(주소를 모르니 모두에게..)

  - 모든 호스트와 라우터는 ARP 메시지 수신

  - 해당되는 수신자만 자신의 IP, MAC을 유니캐스트로 회신(Cache에 저장)

  - MAC주소가 파악되지 않은 시스템이 다른 네트워크에 연결되어 있는 경우 ARP Request 메시지는 디폴트 게이트웨이에 의해 처리

 

5. ICMP

  - ping(8-0), Routing Table 변경 요청(Redirection 메시지, 5-3)

 

6. IGMP

  - Multi-casting 제어

 

7. 인터넷 전송 방식

  - 브로드캐스트 : 꼭 필요하긴 하지만 부하때문에 최소화 필요

  - 멀티캐스트 : 지원하면 자원 낭비 최소화 가능

 

8. 3-way handshacking

  - 데이터를 전달하지는 않음

  - SYN ,SYN+ACK 는 seqnum 1개 소모 / Ack 는 0개 소모

 

9. 혼잡

  - 혼잡 회피 : 느린시작의 기하급수적인 기법보다 더 느리고 더 조심스럽게 혼잡윈도우의 크기를 확대시킬 필요가 있을 때 호출, 중복된 확인 메시지를 통해 네트워크 혼잡이 감지되거나 수신 확인 타이머가 만료된 경우에 복구 절차의 일부분으로 요구

  - 충돌 감지 : 충돌이 일어나면 cwnd가 줄어들며 이때 slow start threshold값도 반으로 줄인다

  - 교착 상태 : 둘 이상의 프로세스가 서로 남이 가진 자원을 요구하며 대기상태로 놓여지는 상태

  - Slow-start 알고리즘 : 연결초기에는 cwnd 1로 설정하고 Ack를 받기 전까지는 1개 패킷만 송신 가능 그러다가 cwnd 값을 2, 4,8 .. 로 기하급수적으로 증가시키고 재존성이 발생되면 cwnd를 반으로 줄여, Congestion Avoidance Algorithm을 실행시킨다

 

10. Dijkstra algorithm - 링크상태 라우팅

 

11. 거리벡터 라우팅 - 변경 사항 있을 때 인접 노드들과 테이블 공유

 

12. 라우터를 활용한 보안 설정

  - 재부팅 가능 모드 : Priviledged EXEC 모드

  - SNMP의 community 문자열은 기본 제공되는 public이나 private 사용 금지

  - 라우터의 HTTP 서비스는 웹을 통해 조정 가능하므로 중지

  - ICMP서비스는 DOS에 취약하고 라우터가 외부에 노출되므로 중지

 

13. NIC

  - PC혹은 네트워크에서 전달되어오는 정보를 상호 교환할 수 있도록 만들어주는 역할

  - PC에서 전송 요구 발생 시 일단 버퍼에 저장

  - 빠른 전송을 위해 데이터를 코딩하고 압축

  - 네트워크로 정보 전송을 위해 병렬 -> 직렬 전환

 

14. VLAN

  - 하나의 스위치에 여러개의 가상 랜 생성 가능

  - MAC 기반 VLAN 각 호스트의 MAC주소를 VLAN에 등록하여 같은 VLAN에 속한 MAC 주소간에만 통신이 되도록 하는 방식, MAC주소를 전부 등록해야해서 자주 사용되지는 않는다.

  - 네트워크 주소 기반으로 사용 시 ip의 프리픽스를 사용

  - 프로토콜 기반

 

15. 802.11 무선 표준

  - Intrastructure 모드 - 무선 AP와 단말기로 구성 / Ad Hoc 모드 - 단말기 끼리 직접 통신

 

16. 무선랜 환경에서의 디바이스 인증

  - 가장 확실한 것은 MAC(Medium Access Control)

  - 위조(spoofing) 공격 종류 : de-authentication, disassociation, power-saving, AP위장, 단말 위장

  - 802.11 환경에서는 MAC주소를 암묵적으로 신뢰함, 검증 메커니즘 제공 X

 

17. NAC(Network Access Control) - 802.1x 방식의 구성 요소

  - 인증자(브리지 혹은 AP), 서플리컨트(인증받고자 하는 개체, 사용자 단말), 인증 서버(RADIUS 서버)

 

18. 기기 인증

  - 보안성

  - 경제성 : 일관된 보안정책 및 안정성을 마련함으로서 구축 및 운영비용 절감

  - 상호연동성 :

  * 책임추적성 X

 

19. BYOD (Bring Your Own Device)

  - 개인 소유 단말기를 업무환경처리하여 사용

  * 주요 기술

    - 모바일 가상화 : 하나의 기기에 동일 OS의 다중 인스턴스 제공하는 SW기반 기술. 업무용, 개인용 지원

    - 컨테이너화 : 애플리케이션 데이터를 기업용, 개인용 구분하여 패키징

    - 하드웨어 가상화 : VDI Citrix VMware

    - MDM(Mobile Device Management) : 모바일 컴퓨팅 기기 혹은 통신 플랫폼의 관리 정책 및 기기 환경 설정 등을 위한 도구. 원격제어, 보안이벤트모니터링, 기기환경설정, 사용자인증, SW업데이트, 버전관리, 모니터링, 자산정보관리 등

 

20. traceroute

  - icmp protocol

  - 목적지까지의 데이터 도달 여부를 확인

  - 네트워크와 라우팅의 문제점을 찾아낼 목적으로 사용되는 도구

  - 결과값이 * 로 표시되는 경우 침입차단시스템 등의 접근통제장치에 의해 UDP 패킷이 차단되었음을 확인 할 수 있다.

  - 시간 초과(time exceeded) TTL 값을 1씩 늘려가면서 UDP 패킷을 보내는데(echo), 이의 만기로 돌아오는 ICMP time exceed 메시지를 이용한다.

  - 우연히 도달하는 것을 방지하기 위해 세 번 시도

  * 컴퓨터 자신의 내부 네트워크 상태를 다양하게 보여주는 명령어는 아니다 ( = netstat)

 

21. netstat

  * state 값

     - LISTENING : 연결 요청 기다리는 중

     - SYN-SENT : 클라이언트 프로그램이 원격 호스트에 연결 요청한 상태

     - SYN-RECV : 서버가 연결 요청에 대해 응답했으나 아직 클라이언트의 확인메시지는 받지 못함

     - ESTABLISHED : 연결된 상태

     - CLOSE-WAIT : 연결 종료 메시지를 수신하고 그에대한 확인 메시지를 보낸 상태

 

22. Tcpdump

  - 네트워크 인터페이스를 거치는 패킷의 내용을 출력해주는 프로그램

  - 스니핑 도구의 일종

  - 모든 트래픽을 모니터링 하기 위해서는 이더넷 스위치에 포트 미러링 필요

  - 이더넷 모드를 무차별모드(Promisciuous Mode) 로 변경하여야 들어온 패킷을 운영체제에서 확인 가능

 

23. ICMP와 Smurf 공격

  - ICMP : IP 프로토콜이 갖지 못하는 오류 알림 및 정정 기능을 수행하고, 특정 호스트 및 장비에 대한 관리용 질의 기능을 수행하기 위해서 사용되는 프로토콜

  - Smurf 공격 : IP 위장과 ICMP의 특징을 이용한 DoS공격, directed broadcast 이용 ( = 255.255.255.255 X 이는 limited broad cast)

  * ICMP Echo Request에 대해서 ICMP Echo Reply 가 일어나는데 출발지 주소를 위조하여 ICMP Echo Request를 많이 보내면 많은 Reply를 통해 DoS가 일어남

  * PC 관리자는 자신의 PC가 Smurf에 악용되지 않도록 방화벽에서 ICMP Echo Request를 차단하도록 변경

  * 네트워크 관리자는 Smurf에 악용되지 않도록 패킷의 목적지가 브로드캐스트 주소로 설정된 패킷을 처리하지 않도록설정

 

24. TearDrop

  - 헤더가 조작된 IP 패킷 조각들을 전송함으로써, 공격자는 데이터의 일부가 겹치거나 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패킷 재조합 시 공격대상에서 부하를 발생시키는 공격

 

25. Bonk / Boink

  * Bonk는 모든 패킷의 순서번호를 1로

  * Boink는 처음 패킷을 1번으로 보낸 후 정상적으로 보내다가 중간에 패킷 시퀀스 번호를 비정상적인 상태로 전송하는 공격

 

26. DoS DDos ??

  - DoS : UDP Flooding, Smurf Attack, Land Attack, Syn Flooding Attack

  - DDoS : Trinoo Attack, TFN Attack, TFN2K Attack, Stacheldraht

 

27. 포트 스캔 종류

  - Sweeps : ICMP, TCP, UDP Sweeps

  - Open Scan : TCP Scan, UDP Scan (UDP 스캔이 더 느리므로 적절한 옵션 필요)

  - Stealth Scan : FIN, XMAS(패킷에 FIN, PSH, URG 플래그를 넣음), NULL, ACK(해당 포트에 대한 필터링 여부), Fragment

  - Security Scan : OS/System, Network Device, Application

 

28. 원격지 OS 탐지 방법

  - telnet ip port 명령어 사용하여 배너 정보 검토

  - TCP 초기 시퀀스 넘버 확인

  - HTTP GET 명령어와 SERVER 키워드를 grep

  - Nmap -O 명령어 ( -o는 스캔결과 파일로 저장하는..)

 

29. Nmap 옵션

  * -o : 결과 파일로 저장(ex. -oX XML형식으로 저장)

  * -O : 운영체제 스캔 옵션

  * -T(0~5) : 타이밍옵션 0(아주느리게) ~ 5(아주빠르게)

  * -sU : 어떤 UDP 포트가 open되어있는지 결정

  * -sP : 네트워크의 어떤 호스트가 살아있는지 알고 싶을 떄

  * -sT : TCP Scanning의 가장 기초적인 형태로 connect() 함수를 사용해서 모든 포트에 대해 스캔

  * -sS : halp-open 스캐닝

  * -sF : Fin 패킷을 이용한 스캔

  * -f : 방화벽 통과를 위해 패킷을 분할

 

30. Switch jamming

  - 스위치의 MAC-Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법.

  - 스위치는 Fail Open 정책, 즉 실패시 모두 허용해주는 정책을 따르는 장비이므로 문제가 발생하면 Hub처럼 연결된 모든 노드에게 패킷 전송.

  - MAC Address Table을 채우기 위해 MAC 주소를 계속 변경하면서 ARP Reply 패킷을 지속적으로 전송

 

31. hunt - Session hijacking Tool

 

32. IDS 동작 순서

 - 데이터 수집 -> 데이터 가공 및 축약 -> 분석 및 침입탐지 -> 보고 및 대응

 

33. Stealth mode IDS

  - IDS 호스트에 네트워크 감시용과 일반용 2개의 네트워크 인터페이스를 두고, 네트워크 감시용 인터페이스는 외부로 어떠한 패킷도 내보내지 않는다.

  - ping test 등을 위한 포트 스캔 막을 수 있다

 

34. H-IDS, N-IDS

  - H-IDS는 HW추가 설치 없이 보호대상 시스템에 저장된 로그 분석을 통해 침입을 탐지할 수 있다는 장점

  - 암호화된 트래픽은 H-IDS가 유리

  - H-IDS는 시스템 내부에 설치되어 시스템 내부 사용자들의 활동을 감시하고 해킹 시도를 탐지

  - H-IDS는 각 시스템에 저장된 로그를 활용하므로 탐지율이 우수하다. 그러나 N-IDS는 H-IDS가 탐지 못하는 네트워크 스캐닝 공격을 탐지 할 수 있다.

 

  - N-IDS는 설치된 네트워크의 모든 호스트를 탐지 영역으로 하여 네트워크단에 설치한다.

  - N-IDS는 설치 위치에 따라 감시 대상 네트워크의 범위를 조절 할 수 있다. 별도의 서버를 스위치에 연결함으로써 침입을 탐지 할 수 있다.

 

35. NAT

  - 주소 고갈 문제에 대한 완화 정책

  - Layer 3 or ++

  - 사설 IP주소와 특정 포트를 더한 것이 하나의 공인 IP주소로 변하기도 한다. (PAT : 하나의 공인 IP를 다수의 사설 IP가 포트로 구분하여 주소 매핑)

  - NAT을 사용하면 IP주소를 Trace하기 어려워진다.

  - 고유한 사설망을 침입자들로부터 보호할 수 있다.

  * 종류

    - 동적 NAT 

    - 정적 NAT : 1 대 1로 변환

    - 폴리시 NAT : 출발지, 목적지 반영

 

36. VPN 구축 작업

 - ISAKMP 작성 ( VPN 장비간 사용할 인증 키, 암호화 방식 지정, 키 교환 방식, 무결성 확인 방식, 현재 정책 사용 기간)

-> IPSec SA 설정 및 ACL 작성 ( VPN으로 보호해야 할 트래픽 지정, 하나의 패킷에서 보호되는 데이터의 범위 및 방식, 데이터 암호화 방식, 데이터 무결성 방식)

-> 크립토 맵 작성 ( 위 두 단계 map으로 조합)

-> 인터페이스 적용

 

822. ESM( Enterprise Security Management) : FW, IDS, VPN 등에서의 발생 정보를 한군데에 모아서 관리

 

823. 통합 위협 관리(UTM, Unified Threat Management) :다양한 보안솔루션의 기능을 하나로

 

824. SIEM(Security Information and Event Management) with QRadar, SPLUNK, Arcsight