Plummmm♪

블로그 이사도 했고, Cloud Network, 특히 AWS에 대해서 포스팅을 하려 합니다. (3, 4년 전 블로그 작성을 멈춘 뒤로 자기개발을 거의 중단했는데 다시 함 해보려고 해요. 힘힘@@) 1. 개요 클라우드 서비스는 이제 선택의 영역에서 필수불가결한 영역으로 넘어가고 있다. 클라우드 환경의 서비스 운영은 너무나도 유연하고 가격면에서 합리적이기 때문에, 사용 안하는게 이상할 정도임 SOC 업무를 하고 있는 현재 나도 다수의 클라우드 환경 고객사에 대한 보안장비 운영과 기술지원을 하고 있다. 환경적인 면에서 기존 On-premise 와 다른 점이 많아, 공부를 반드시 해야겠다는 필요성을 느끼고 있었지만 이제서야 시작하네 조금 늦은 감이 있긴하지만, 이론적인 부분은 부족해도.. 그 동안 업무 중에 습..

IDS/IPS에 대해 알아보자. 이름 그대로 외부의 침입을 탐지하거나 차단하는 시스템이다. KISA에서는 IDS/IPS를 이렇게 정의한다. 사용자 및 외부침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 또는 내부사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 최소화하는 시스템. 라고 한다.. 보통은 방화벽과 함께 사용한다. 방화벽과의 가장 큰 차이점은, 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고 IDS는 직접 차단하는 기능이 없고 탐지하여 경고를 해주는 기능을 한다. IPS 같은 경우는 차단을 하지만 L7까지 볼 수 있다. IPS는 능동적인 기능을 많이 탑재한 IDS라고 볼 수 있다. 구성을 어떻게 하냐, 기능을 쓰냐 안..

스위치 재밍은 간단하게 얘기해 스위치를 마비시키는 공격이다. jamming 이란게 원래 뜻이 전파교란 이런뜻임. MACOF 라고도 한다 스위치에는 MAC 어드레스를 저장하는 테이블이 있는건 알것이다. 이 MAC 테이블은 가득차면 모든 네트워크 세그먼트에 브로드캐스트로 패킷을 날린다. 스위치 재밍은 이 MAC 테이블에 마구잡이로 MAC이 위조된 패킷을 날려서 테이블이 오버플로우 되도록한다. 이렇게 되면 스위치는 전체 세그먼트로 브로드캐스팅을 하게 되고, 더미 허브와 다를바가 없어진다. 그럼 공격자는 다른 네트워크 세그먼트의 데이터를 스니핑할 수 있게 되는 것임. 더미 허브와 다를바가 없으니, 모드 패킷을 엿볼 수 있겠지요

SET 프로토콜에 먼저 대해 알아보자. SET (Secure Electronic Transactions) SET은 한국말로 하면 "안전한 전자 거래" 를 뜻한다. 신용카드를 이용한 인터넷 거래에서 암호화, 보안을 위해 VISA/MasterCard 사가 1996년에 공동 제작한 카드 결제 전용 보안 프로토콜이다. X.509v3 인증서를 기반으로한 신뢰 모델이고 프라이버시를 반드시 보장한다. SET 프로토콜의 몇가지 특징이 있다. 1. 정보의 기밀성 : DES 암호를 사용하고 카드 소지자의 신용카드 번호를 판매자가 알지 못하도록 한다. 2. 데이터의 무결성 : 디지털 서명을 이용하여 무결성을 보장한다. 3. 카드소지자의 계좌 인증 : RSA 서명된 X.509v3 인증서에 기반한 인증을 한다. 4. 판매자 인..

DOS ATTACK이 무엇인지 한번 알아봅시다. DOS란, Denial of Service의 약자로, 한국말로 하면 서비스 거부 공격이다. 서비스를 거부한다? 영어에서 한글로 번역하는 과정에서 일어난 대표적인 오역이라고 생각은 들지만.. 이미 서비스 거부 공격이라는 말은 표준어처럼 널리 퍼졌음 말 그대로 서비스를 못하게, 사용자가 해당 시스템을 의도대로 사용할 수 없도록 만드는 공격이다. 네트워크 해킹 공격의 대표적인 공격이라고 할 수 있고.. 일반 사람들이 가장 잘 알고 있는 공격이기도 하다. ( e.g. 디도스) US CERT에서는 다음과 같은 항목을 DOS 공격을 받았다고 의심할 수 있다고 했다. * 비정상적으로 네트워크 성능 저하 * 모든/특정 웹사이트 접근 불가 * 비정상적으로 급증하는 전자우편..

* 악의적인 연결에 대한 TCP 응답 대부분의 방화벽 혹은 IDS 에서는 악의적인 목적을 갖고 시스템에 연결을 시도하는 경우에 RST나 RST/ACK 메시지를 보내어 연결을 강제로 종료시킨다. 시스템에 어떤 패킷이 전송되는지, 패킷이 전송되는 상황이 어떠한지에 따라 RST 플래그 패킷이 전송될수도, RST/ACK 패킷이 전송될수도 있다. 각각의 경우를 아래 기술하였다. 1. 대부분의 경우 RST 패킷을 전송하여 연결을 강제 종료한다. RFC 793에 따르면, 몇가지 경우를 제외하고 대부분 ACK를 설정하지 않은 RST 패킷으로 연결 상태를 제어한다. 2. ACK 플래그와 RST 플래그 간은 서로 반대 관계 이다. 이말인 즉슨, 마지막에 전송된 패킷이 ACK 패킷이라면 RST 패킷은 ACK를 가질 수 없다..

1. 사전지식 SSH Brute force 란? 무차별적인 아이디와 패스워드 대입으로 SSH에 접근을 시도하는 공격이다. 키를 찾을때 까지 가능한 키를 모두 시도하는 방법으로, 1차원적이고 단순 대입 공격이지만 실질적으로 아주 강력하고 직관적인 침투 방법이라 할 수 있다. 유사한 방법으로 dictionary 파일에 있는 단어들을 사전식으로 대입하여 맞춰보는 Dictionary attack과 dictionary attack에서 단어에 숫자나 특수문자를 추가하여 대입하는 Hybrid attack이 있다. 2. 모의 시나리오 공격자 A는 피해자 B의 SSH서버에 원격으로 접속을 하려한다. 그리고 SSH서버에 로그인하기 위해 Brute force attack 방법으로 패스워드 크랙을 시도한다. 그러자 B는 SS..

1. 사전 지식 * UDP Flooding 이란? 서비스 거부 공격(DOS) 의 한 종류로, UDP 패킷을 다량으로 발생시켜 상대방이 정상적인 서비스를 이용하지 못하도록 대역폭을 소모시키는 공격이다 2. 공격 환경 * Sender : 192.168.0.22 (OS: Windows 7) * Reciever : 192.168.0.109(OS: Kali Linux) * Tool : LOIC, Wireshark, Iptables 3. 모의 시나리오 UDP Flooding을 발생시키는 모의 공격 툴인 LOIC을 이용하여 같은 네트워크 환경에 모의 공격을 실시한다. 그리고 iptables에 정책을 추가시켜 UDP Flooding의 방어가 가능한지 직접 테스트 해본다. 4. 테스트 과정 및 결과 4-1. LOIC을 ..

iptables 이란? iptables는 리눅스 커널 방화벽(netfilter 모듈)에 대한 제어를 사용자가 가능하도록 구현된 어플리케이션이다. 쉽게 얘기하여 netfilter 모듈을 사용하기 위한 User Interface 정도로 보면된다. iptables 정책 요구사항 - 몇 개의 클라이언트와 두 개의 서버로 구성된 네트워크에서 방화벽을 설치한다고 가정한다. 먼저 Iptables정책 요구사항으로 몇가지 경우가 있다. 1. 서버는 외부 네트워크에서 접근할 수 있어야 하고 내부 네트워크의 시스템은 방화벽을 통해 아래 몇가지 유형의 트래픽을 실행할 수 있어야 하고 밑에 트래픽 외에는 전부다 허용하지 말아야 한다. DNS 질의 FTP 전송 NTP(Network Time Protocol) SSH 세션 SMTP..

1. 방화벽의 개념 1-1. 방화벽 이란? 현실 세계에서 방화벽이란 말그대로 '불을 막는 벽', '화재가 났을때 다른 곳으로 불이 번지지 않게 하는 벽' 이란 뜻이다. 하지만 IT에서 말하는 방화벽은 다른 뜻이다. (컴퓨터에 불이 붙는 일이 거의 없으니..) 컴퓨터에서의 방화벽이란, 서로 다른 네트워크를 지나는 데이터를 허용 or 거부, 검열, 수정하는 하드웨어 혹은 소프트웨어 이다. 정의만 보면 데이터를 건드려서 무언갈 한다고 하는데.. 무슨 일을 하는 녀석인지 감이 오지 않는다. 하여, 방화벽의 역할에 대하여 알아볼 필요가 있는 것 같다. 1-2. 방화벽의 역할 방화벽은 기본적으로 불순한, 신뢰성이 낮은 데이터들의 유입을 막는 역할을 한다. 하지만 이런 단순한 기능부터, 해킹 공격 방법과 패턴의 수준..