58일차 - 정보 보안

=======

asp.dll 은 <% 을 보면 출동 asp.dll은 html쪽을보지 않고 <% %> 안에 있는 내용들만 본다

스위치 에서의 5가지 ING , VLAN 개념
( forwarding, filtering, flooding, aging, learning )

=======

Sniffing(스니핑)

- 사전적 의미 : 코를 훌쩍이는 , 킁킁거리며 냄새를 맡는
- 통신 경로상에서 정보를 엿듣거나 훔쳐보는 행위 = 도청(eavedrop, wiretapping, tempest)
도청(eavesdrop) : 타인의 통신 내용을 동의 없이 청취, 녹음하는 행위 
와어어테핑(wiretapping) : 기계적인 방법을 이용하여 데이터를 도청하는 행위
템페스트 : 하드웨어에서 발생하는 미세한 전자파를 이용하는 도청 행위

네트워크에서 데이터를 가로채고 모니터링하여 민감한 정보를 탈취하는 기법

Sniffing 공격 조건
- Media 공유
  - 정보를 가지고 있는 신호가 공격자의 시스템에 도착해야 함
  - HUB 환경 -> 피해자와 공격자가 같은 Collision Domain에 위치해야 함
  - SWITCH 환경 -> 피해자의 전기적인 신호를 유도할 수 있는 추가 공격이 필요함

스위치 재밍 공격 -> 스위치를 Dos공격해 허브화 시킨다. 출발지 맥 어드레스를 계속 바꿔치기한다
Single Pointer Of Failer - 실패의 단일 지점 - SPOF

- 공격자 시스템의 NIC가 Promiscuous 모드로 동작해야 함
Promiscuous - 목적지 맥 어드레스와 상관없이 상위 계층으로 캡슐화해서 올려라
  - Frame이 NIC에서 Filtering 되는 것을 방지 해야 함

- 공격자 시스템에서 Sniffer 프로개름을 사용해야 함
  - NIC에서 Frame을 받아들여도 상위 계층(IP)에서 Filtering 하기 때문에 Data Link InterFace를 이용하여 Frame을 복제하야 처리해야 함 -> Application 계층까지 데이거 도달해야 함

NIC(Network Interface Card)의 Mode
- Bypass mod
  - 일반적인 NIC의 기본 동작 모드
  - Filtering 동작하는 모드 -> 목적지 주소가 자신 또는 Broadcast인 데이터만 받아들이는 모드

Promiscuous mode
- Filtering 해제 모드 -> 목적지 주소와 상관없이 NIC에 도달한 모든 데이터를 받아들이는 모드
- Software를 이용하여 Promiscuous Mode를 활성화 함
  - Windows : winpcap, Linux : libpcap, ifconfig
- promiscuous 모드를 사용하려면 root 권한이 필요함
- 리눅스에서 promis 모드 설정 / 해제 하기
  - 설정 : ifconfig eth0 promisc , 해제 : ifconfig eth0 -promisc

Sniffer
- 네트워크 트래픽을 감시하고 분석하는 프로그램

Sniffer 종류
- Sniffing 공격 수행 Tools
  - apr spoof, ettercap, Hunt, dsniff, Cain & Able ...
- Sniffing 된 데이터 확인 Tools
  - WireShark, tshak, tcpdump, Snoop, MS network monitor, ngrep . . . .

Passive Sniffing
- (공격자가) 수동적으로 공격
- 공격자 시스템에 전달되는 전기적인 신호를 Sniffer를 이용하여 획득하는 공격
- HUB 환경과 같이 모든 노드에 동일한 전기적 신호가 복제되는 경우 수행되는 Sniffing 공격
  - 단순히 Sniffer만 동작시켜 지나가는 Packet을 확인

Active Sniffing
- (공격자가) 능동적으로 공격
- 일반적인 상황에서는 전기적인 신호가 전달되지 않는 환경에서 추가 공격을 통해 데이터의 전달 흐름을 변경하여 공격자 시스템으로 전달되도록 유도하여 수행되는 Sniffing 공격
- SWITCH 환경에서 수행되는 Sniffing 공격
  - 2계층(MAC) -> Switch Jamming(=MAC Flooding), ARP Spoofing(=ARP cache Poisoning)
  - 3계층(IP) -> ICMP Redirect, DHCP Spoofing ...
- MITM 공격 형태가 될 수 있음

중간자 공격 ,MITM(Man In The Middle) 공격 
- 중간에서 공격하는 유형을 모두 MITM이라 부름 (ARP 스푸핑, 인증서 바꿔치기)
- 중간자 공격, Victim 시스템간의 주고받는 내용을
- 중간에서 개입해서 조작하는것
- 공격자가 통신 경로의 중간에 끼어드는 공격 형태
- 공격 목적
  - Sniffing, Filtering, Injection, Dos, Spoofing . . . 
- 방식
  - Transparent Type, Proxy Type 

Transparent MITM
- 통신 경로 사이에서 공격자가 노출되지 않고 MITM 공격을 수행하는 방식
- 데이터는 공격자를 경유하지만 데이터의 IP주소는 변경되지 않음

Proxy MITM
- 통신 경로 사이에서 공격자가 노출되면서 MITM 공격을 수행하는 방식
- IP주소를 변조하여 통신의 흐름을 공격자로 변경되게 함

Proxy는 경유지로 쓰인다. 3 way handshake 한다.

Spoofing(스푸핑)
- 사전적 의미 -> 속이다
- 침입, 공격의 목적으로 데이터를 위조, 변조하는 모든 행위
- 속임을 이용한 공격을 총칭
- 변조하는 데이터 종류
  - MAC주소, IP주소, Port주소, 다양한 프로토콜의 필드 값 . . . 

Spoofing 공격 종류
- ARP Spoofing(ARP Cache Poisoning)
- IP Spoofing
- DNS Spoofing ( DNS QUERY는 UDP 이기 때문에 스푸핑이 되는것 )
- DHCP Spoofing
- . . . . (속이는 공격의 모든것)


ARP Spoofing(= ARP Cache Poisoning)
- Host의 ARP Cache의 IP에 해당하는 MAC주소를 변조하여 데이터의 흐름을 공격자로 유도하는 공격
- 공격 형태
  - 변조한 ARP를 이용하여 공격함
  - ARP Spoofing : Host <-> Host 공격
  - ARP Redirect : Host <-> Router 공격
- 공격 목적
  - Sniffing → 피해자의 데이터 획득 및 통신 경로 변경
- MAC주소를 이용하여 흐름을 변경 → Layer 2 Sniffing
- 차후 진행될 공격의 사전 공격으로 활용됨
-특징
  - ARP Cache의 재 변경을 막기 위해 공격을 수행하는 동안 변조된 ARP를 지속적으로 전송함
    ＞ARP Storm 현상


공격에 이용되는 취약점
- ARP의 인증부재 → ARP의 메커니즘에 인증 기능이 없음
- ARP Cache Table은 최신 정보를 실시간 업데이트 함
 
한계
- Local Network에서만 공격이 가능 함 → 공격자와 피해자가 같은 네트워크에 위치 해야함

Tools
- arpspoof, ettercap, Cain & Abel ...

Forwarding → MITM 형태의 공격
- Sniffing한 데이터를 본래의 목적지로 재전송함
- 공격자는 정상 통신 경로의 중간에서 데이터를 획득함 → 사용자는 정상 통신 수행
- Forwarding을 수행하지 않으면 Dos 공격이 됨

Software Forwarding
- Forwarding 동작을 수행할 수 있는 프로그램을 이용하여 재전송 함
- 프로그램에 의한 Forwarding 동작이므로 오작동 할 확률이높음
- # fragrouter <option>
- # fragrouter-B1 (Base-1 : 일반 Forwarding)

Kernel Forwarding
- 시스템 Kernel의 Routing 기능을 활성화 하여 재전송 함
- 하드웨어 적인 Forwarding 동작이므로 오작동 할 확률이낮음

- Linux Kernel Forwarding
  /proc/sys/net/ipv4/ip_forward값을 1로 설정 
    ＞# echo 1 > /proc/sys/net/ipv4/ip_forward
    ＞# sysctl net.ipv4.ip_forward=1

- Windows Kernel Forwarding
  Registry 변경 또는 Routing 서비스 활성화
       ＞실행→ regedit → \HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter 값을 1로 설정


ARP Redirect 공격
- 외부로 전송 되는 데이터 전체를Sniffing 함
- Host와 Gateway 통신을 Sniffing 공격


Sniffing 탐지
- 네트워크 트래픽 모니터링 → ARP Storm 확인
- Decoy
  유인 → 가짜 계정을 네트워크 상으로 흘려서 이를 사용하는 시스템을 탐지함
- Promiscuous Mode로 동작하는 시스템 탐지
  Tool → Promiscan → http://www.securityfriday.com/products/promiscan.html
     ＞Unknown Unicast, Broadcast에 가짜 MAC주소를 D MAC으로 설정하여 ARP request 또는 ICMP Echo Request를 전달 함
     ＞해당 요청에 응답을 보낸 시스템에서 Promiscuous Mode가 동작한다고판단함
     > Unknown Unicast에 응답하는 시스템이 Attack 시스템이다.
- 변조된 ARP 정보 확인
- 중요한 시스템들의 IP와 MAC Matching 리스트를 작성하고 변조 여부를 확인
- 관리 네트워크에서 변경되는 시스템의 정보를 모니터링 하는 도구
  Tool → Arpwatch, Xarp
  IP와 MAC 주소를 쌍을 Database로 등록해 놓고 신규로 생성 되거나 변경되는 이벤트가 발생하면 관리자에게 메일로 알림


Arpwatch
- 중요 시스템의 ARP Cache Table의 변경 유무를 모니터링하는 도구
- 정상적인 IP - MAC주소의 목록을등록(/var/arpwatch/arp.dat 파일)시켜 놓고 정보가 변경되거나 관련된 이벤트가 발생할 때 알림 → 관리자Email로통보됨
 
Arpwatch 설치 및 설정- # yum install arpwatch
- 설정파일: /etc/sysconfig/arpwatch
 -u : arpwatch 실행 사용자, -e : 메일주소, -s : 송신자, -n : 감시할 네트워크 대역
 예→ OPTIONS="-u arpwatch-e ‘ktest@kh.com' -s 'root(Arpwatch)' -n 172.16.10.0/24"- Arpwatch 실행 : #Service arpwatch start
 
장애통보메일항목
- New Station → arp.dat 파일에 새로운 호스트가 등록 됨
- Changed Ethernet Address → arp.dat 파일의 내용이 변경 됨
- Flip Flop → 중복된 MAC 주소 발생 → Sniffing 공격 탐지


IP Spoofing
- Source IP를 속여서 접속하는 공격
- 신뢰 받는 IP로 변경하여 접근 제어를 우회하는 공격기법
- 1985년 Robert Morris 논문에서 TCP Sequence Number 설계의 취약점이 소개되었고 1995년 Kevin Mitnick이 실제화하여 미국 국회의사당을공격함

IP Spoofing 목적
- Dos 공격에서 공격자를은닉하기위해Source IP를 변조 함
- 접근 제어 정책을 우회하기 위해 허용된 Source IP로 변조하여 통신함
- 보안정책우회, Trust Relationship 우회 ..

게이트웨이 인척 게이트웨이를 속여 게이트웨이로 가야하는정보를 해커에게 가게 한다.

탐지 - 아웃오브 밴드

Starvation = 굶주린다

=======