BigNetwork

Port-Security란?

: 특정 포트에 학습할 수 있는 MAC주소의 수를 제한하여 허가된 Mac만 접속 가능하도록 설정하는 것.

원래 스위치는 하나의 포트에서 여러 Mac주소를 학습할 수 있도록 되어있고 그 수가 제한적이지 않다. 

이러한 특성을 이용하여 랜덤하게 생성된 Mac주소를 출발지로 하여 수 많은 Frame을 스위치로 전달하게되면, 스위치는 모든 주소를 학습하여 결국엔 Mac-address-table이 가득차게 된다. 더 이상 Mac주소를 학습할 수 없게 된 스위치는 그 뒤에 들어오는 모든 Frame을 Flooding 시켜서 마치 허브처럼 동작될 수 있다.

위와 같이 공격하는 기법을 Mac Flooding Attack 이라고 한다.

Port security를 설정하면 하나의 포트에 학습할 Mac주소의 수를 제한할 수 있기 때문에 이런 공격을 방어할 수 있다.

또한, 내부 네트워크까지 침입한 공격자는 Sniffing 환경을 구성하기 위해 위 방법 외에 중간자공격(Man in The Middle)을 실행할 수도 있다. 이런 공격으로 대표적인 것은 Mac주소를 변경하여 다른 디바이스 통신 사이에 끼어드는 ARP Spoofing이 있는데 이는 가장 기본적인 공격이며 눈치채기도 어렵다.  

Port security 설정은 관리자가 통신을 허용할 장비의 Mac주소를 수동으로 지정할 수도 있기 때문에 이러한 공격이 무용지물이 될 수 있다.

Port-Security 설정

설정 조건

- Dynamic Port 설정 불가(Trunk, Access 포트만 설정 가능)

- Span의 목적지 포트에는 적용 불가

- etherchannel에 설정 불가

- 가능한 엑세스에 설정을 권장함

학습가능한 최대 Mac주소 개수 설정과 Port-security 활성화

Mac-address 학습 방식지정 3가지

Static : 수동으로 학습을 원하는 Mac-address를 지정해준다. NVram에 저장할 수 있다.

Dynamic : 따로 명령어를 사용하지 않고 스위치가 Mac-address를 동적으로 학습되도록 놔둔다. 

               스위치에 의해 자동으로 학습된 주소는 NVram에 저장할 수 없다.

Sticky : 스위치가 Mac-address를 동적으로 학습되도록하며, 저장된 주소를 저장할 수 있다.

Violation Mode 3가지

: 설정조건을 위반하는 경우에 어떻게 대응할 것인지 지정

protect : 위반한 장비 통신 차단, 허용된 호스트는 통신가능

restrict : protect + log발생

shutdown : 위반시 포트 자체를 닫아버림. 가장 강경대응방법이다.

Port security 정책 위반에 의해서 차단이 일어난 경우, 인터페이스 설정을 확인해보면 'err-disabled' 로 표시된다.

이렇게 인터페이스의 에러가 생긴 경우에는 원인을 확인하고 다시 복구시켜주어야 한다.

구글 해킹이란?

구글 해킹이란 웹사이트가 사용하는 구성과 컴퓨터 코드에 보안 구멍을 찾기 위해 구글 검색 및 기타 응용프로그램을 사용하는 컴퓨터 해킹 기술이다. 구글에는 굉장히 방대한 자료들이 저장되어 있으며, 구글봇이 수집하는 데이터를 서버에 캐시상태로 저장하기 때문에 해당 사이트가 삭제되어도 이전 페이지의 내용을 확인할 수 있다.

검색이라는 방식을 사용하지만 개인정보나 공격 대상에 대한 취약점에 대해 내용을 수집하는 경우에는 범죄 행위에 해당된다. 

구글 해킹에 사용되는 옵션들

따옴표 (“ “) : 따옴표를 이용하면 여러 개의 단어를 묶어서 검색할 수 있다.

filetype : filetype을 이용하면 특정 파일타입만 검색할 수 있다. 특정한 파일을 찾을때 유용하다.

예를들어 wikipedia filetype:pdf라고 검색을 하면 wikipedia를 담은 pdf 파일만 구글에 검색된다.

site : site를 이용하면 특정 사이트 내에서만 검색할 수 있다. 

예를들어 구글해킹 site:wikipedia.org라고 검색하면 wikipedia.org내의 구글해킹만 검색결과로 나온다.

intitle : intitle을 이용한 공격중에 가장 흔한 공격은, 디렉토리 리스팅인데 intitle:"index of"라고 검색하면 디렉토리 리스팅 취약점이 있는 사이트가 뜬다

inurl : inurl은 url에 키워드가 존재하는 사이트 내에서의 검색결과만을 보여준다.

intext : intext:키워드 를 입력하면 본문에 키워드가 존재하는 사이트를 검색하여 보여준다.

검색기법 정리

○ intitle:[Searchword] : 타이틀 바에 검색어가 포함된 내용 검색

○ intext:[Searchword] : 본문에 검색어가 포함된 내용 검색

○ inurl:[Searchword] : URL에 검색어가 포함된 내용 검색

○ site:[Domain] : 해당 Site로 검색 범위를 제한

○ filetype:[filetype] : 지정한 확장자로 끝나는 파일을 검색

○ link:[URL or Domain] : 해당 주소가 링크된 페이지를 검색

와이어샤크란?

통신으로 주고받는 패킷을 잡아 분석할 수 있도록 도와주는 패킷분석프로그램이다. 

전문가 못지않게 상세한 분석을 돕는 여러가지 툴들을 제공하며, 무료로 배포되고 있는 유명한 프로그램이다. 

와이어샤크를 실행시키면 위 사진과 같은 화면이 보여진다. 여기서 Capture 부분이 패킷 캡쳐를 위해 랜카드를 선택하는 곳이다.

목록에서 패킷을 캡쳐하고 싶은 랜카드를 선택한 후, Start 버튼을 누르면 캡쳐링이 시작된다.

와이어샤크에서 캡쳐된 패킷 확인하기

중간에 여러가지 색으로 표시되어 있는 부분이 캡쳐된 패킷이다. 

와이어샤크는 패킷분석이 건초더미에서 바늘찾기만큼 어려워지지 않도록 패킷의 종류에 따라서 색을 달리해 표시해주고 있다.

컬러링 규칙은 사용자가 원하는대로 변경이 가능하다.

캡쳐된 패킷을 더블클릭하면 해당 패킷의 상세한 내용을 팝업창으로 확인할 수 있고,

위 사진에서 보이는 것처럼 아래부분에서 패킷의 상세내용을 확인해볼 수도 있다.

패킷 필터링하기

수 많은 패킷을 잡아서 보여주고 있기 때문에 원하는 통신내용을 확인하는 것이 어려울 수 있다.

이럴 경우에는 원하는 트래픽만 골라내어 확인할 수 있도록 필터링을 해주어야 한다.

필터링을 상세하게 설정할수록 패킷 분석을 빠르고 정확하게 할 수 있다.

위 사진처럼 Filter 라고 적힌 칸에 내가 원하는 필터링 문구를 넣어 사용한다.

필터링 문구는 'arp' 처럼 간단하게 프로토콜 명칭을 넣거나 다양한 옵션을 넣어서 상세하게 설정하기도 한다.

단순하게 패킷의 내용을 가지고 필터링을 해서 개별적인 패킷만 볼 것이 아니라, 조각내서 보내지고 있는 정보들을 세션별로 조립하여 내용을 확인해볼 수도 있다. 이를 Stream이라고 한다.

위 그림처럼 TCP Stream을 선택하면 TCP로 통신되고 있는 패킷들을 조립하여 어떤 통신을 하고 있었는지 내용을 확인할 수 있다.

아래 그림이 TCP Stram으로 HTTP 통신의 내용을 조립하여 확인한 것이다.

와이어샤크에서 유용하게 사용될 수 있는 여러가지의 필터식

Kali Linux 시스템 설정

apt-get update

백트랙과 다르게 Kali는 위 명령어를 사용하여 버전 업데이트가 가능하다.

하지만, 간혹 업데이트가 되면서 기존에 있던 설정이 빠지는 경우도 있으니 주의하자.

apt-get install open-vm-toolbox

Kali에서 VMtool을 설치하는 명령어이다.

그동안 VMtool을 설치하느라 고생했다면 위 명령어를 사용하여 간단하게 설치해보자.

(Kali 2.0 부터는 지원되지 않는데, 그런 경우에는 수동으로 설정해주면 된다.)

화면설정과 같은 기타 여러 환경설정을 변경하고 싶다면 위 그림처럼 System setting으로 들어간다.

배경화면 사진 변경, 화면꺼짐 설정, Lock설정 등을 변경할 수 있다.

사용자의 편의대로 변경해 주면 된다.

Kali Linux IP설정

실습을 위해 인터페이스 설정을 해야 한다.

인터페이스 설정 편집 파일 : /etc/network/interfaces 

vi 편집기를 사용하여 그림에 나와있는 것처럼 설정한다.

iface eth0 inet dhcp → iface eth0 inet static

address, netmask, gateway 등은 사용하고자 하는 IP로 설정하면 된다.

DNS서버 설정을 해놓지 않으면 도메인명으로 인터넷을 할 수가 없으니 설정해둔다.

위에 나와있는 서버는 KT이고 이 외에 다른 서버의 주소를 사용해도 된다.

네임서버가 설정되는 파일 : /etc/resolv.conf

만약 설정을 변경한적이 없는데 자동으로 네임서버 설정이 변경된다면 

resolv.conf 파일이 변경되는 것을 막아주는 명령어로 설정해준다.

chattr +i /etc/resolv.conf

위 명령어 해제는 chattr -i /etc/resolv.conf

설정을 다했으면 네트워크 서비스를 재시작해야 한다.

/etc/init.d/network restart

위 명령어가 잘 안될경우에는 stop했다가 다시 start하면 된다.

/etc/init.d/network stop

/etc/init.d/network start

물리적 보안 설정의 중요성

보안이라고 하면 흔히 방화벽, IPS 등의 외부트래픽 필터링에 대해서만 생각하기 일수인데, 사실 물리적 보안을 염두해두지 않으면 논리적인 보안설정을 아무리 잘해두어도 소용이 없다. 

장비가 설치된 시설(물리적인 위치)은 대부분의 경우 침입자에 의해 맞닥드려지는 첫 번째이나 마지막 장애물이다. 물리적 보안은 장비들에 대해 손으로 만질 수 있는 물리적인 접근을 하지 못하게 막는다. 물리적 보안은 네트워크 보안보다 더 중요하지만 네트워크 관리자에 의해 자주 무시된다. 물리적 보안이 되어있지 않으면 모든 것을 내어주는 침해로 끝나게 되므로 인가자만 접근할 수 있는 물리적 보안시설을 갖고 있는 것이 절대적으로 중요하다.

※ 침해 순서

장비의 물리적인 무결성(초기침해) → 장비의 정적인 코어설정 → 장비의 동적인 설정과 성능 → 장비를 통과하는 네트워크 트래픽의 흐름 순으로 흘러간다. 

시스코에서 제공하는 세 가지 패스워드 보호방식

평문 패스워드

: 암호화가 안되는 가장 보안에 취약한 패스워드 설정.

(config)# enable password cisco

Type 7 패스워드 (패킷트레이서에서 명령어 실행이 안됨)

: 시스코 전용 암호화 알고리즘을 사용하며, 쉽게 복호화 할 수 있어 보안에 약하다.

  (검색창에 decrypt cisco type 7 password 라고 치면 복호화하는 사이트가 바로 뜬다.)

(config)# enable password 7 cisco

Type 5 패스워드

: MD5 해싱 알고리즘을 사용하여 Type 7보다 강력한 보안설정이 된다.

(config)# enable secret cisco

※ Type 7 설정 : enable password, username, line password 명령어에서 사용할 수 있다.

   Type 5 설정 : enable secret, username secret 명령어에서 사용할 수 있다.

그 외 패스워드 보안 설정 (GNS3에서 실습 됨)

security password min-length

최소한의 패스워드 길이를 구체적으로 명시하여 향상된 기능의 보안 접근을 제공한다.

이 명령어가 활성화 된 후에는 정해진 길이 보다 짧은 패스워드는 설정할 수 없지만, 이전에 설정한 패스워드는 계속 동작한다.

security authentication failure rate

로그인 실패 시 로그인의 시도 횟수를 정한다.

지정된 시도 횟수를 초과하는 경우 syslog 메시지를 발생시켜 브루트포스 공격과 같은 것을 막는다.

service password-encryption (PT에서도 실습 됨)

패스워드가 설정될 때, 패스워드가 type 7로 암호화된다.

평문으로 전송되는 Telnet 사용 시에도 암호화되어 보이지 않는다.

이전에 설정한 패스워드는 암호화되지 않으므로, 이 명령어 수행 후 다시 설정해야 한다.

Kali Linux 배포판을 인터넷에서 검색하여 다운로드

VMware에 Kali Linux 설치 준비

'Create a new Virtual machine'을 클릭하여 Custom으로 선택한다.

뒤에 VMware 버전을 선택하는 화면에서는 그냥 Next.

Install disk는 나중에 설정하도록 선택한 후 Next

Kali Linux는 데비안 계열이므로 그림과 같이 선택한 후 Next

설치할 가상머신의 이름을 설정하는데 원하는 이름으로 쓰면 된다.

위치(Location)는 D드라이브보다 C드라이브에 하는 것이 속도면에서 좋다.

RAM의 용량은 1GB로 한다.

빨간 박스안에 1024라고 적은 후 Next

그 뒤에 나오는 네트워크 설정은 NAT로 설정해두고,

디스크 관련 설정은 추천되어 있는 대로 선택하여 설정하면 된다.

하드디스크의 용량은 넉넉하게 20GB로 설정하고

이리저리 옮길것이 아니기 때문에 파일 저장형태는 Single file로 설정한다.

설정이 다 끝나면 위 사진과 같은 모습으로 가상머신이 보여진다. 

가상머신의 Power를 눌러 켜기전에, 설치할때 사용할 Kali ios를 CD에 집어넣어야 한다.

그림에 빨간박스로 표시된 부분을 마우스로 클릭하면 아래 화면같은 창이 뜬다.

'Use IOS image file'을 누르고 이미지파일이 있는 곳으로 가서 파일을 선택해준 뒤 OK를 누른다.

Kali Linux 설치하기

Kali를 켜주면 Install 화면이 뜨고, 그래픽 인스톨을 선택한다.

언어선택은 그냥 '영어'로 한다.

물론 한국어도 있기는 하지만 부분적으로 지원이 안되는 것도 있다.

언어선택과 나라 도시 선택들도 모두 선택되어있는대로 사용하기로 하고 그냥 Continue를 누른다.

호스트명을 입력해야 하는데 아무거나 사용하면 된다.

우리는 초기에 입력된 Kali를 그대로 사용하기로 한다.

Root계정의 비밀번호를 설정하는 내용이다.

설치가 다 끝난 후 로그인할 때 필요한 비밀번호이니 잘 기억해두어야 한다.

파티션에 대한 물음이 나오는데, 여기서는 그냥 'entire disk'를 선택한다.

지금까지 설정한 변경사항을 저장할거냐고 묻는 말이니 'Yes'를 선택해주면 된다.

패키지 매니저에 대한 질문이 나오는데 여기서 'Yes'를 해준다. 

만약 'No'를 누르면 어플리케이션 패키지가 저장된 저장소에 접근이 되지 않으니 주의한다.

이 뒤에 Proxy서버의 주소를 물어보는데 빈 칸으로 두고 넘어가면 된다.

마지막으로 GRUB을 설치할 것인지를 묻는데, GRUB 은 멀티 부팅을 위한 multi-bootloader 이다. 

쉽게 말하면 여러 가지 운영체제가하나의 컴퓨터에 설치 되어 있는 경우, 부팅시에 어떤 OS로 부팅할 것인지를 묻게 된다. 만약 설치된 OS 가 하나인 경우는 그냥 부팅을 진행하게 되므로 Yes 를 선택한다.   

설치를 완료하는 페이지가 나오고 Continue를 누르면 설치마무리를 하게 된다.

재부팅 후 로그인 화면에서 Other를 눌러 root를 입력하고 아까 설정했던 비밀번호를 입력하면 로그인이 된다.