#

BIND(Berkeley Internet Name Domain) : DNS를 구현한 s/w 중 하나다. 거의 모든 플랫폼에 포팅되었고 가장 널리 사용된다.

 

UDP Flooding 공격 대안

 : IP BroadCast 패킷 차단, 리눅스인 경우 echo, chargen 서비스 중지, 사용하지 않는 UDP 서비스 중지

 

ICMP 이용한 거부 공격 : smurf, ping of death

 

DDoS에 해당하는 공격 유형들 : Trinoo, TFN, TFN2K

Stacheldraht : 트리누와 TFN을 참고해 제작된 도구로 통신 암호화 기능

 

Targa : 여러 종류의 DDoS를 실행할 수 있도록 만든 공격 도구로 bonk, land, nestea, newtear, syndrop..

 

스니핑 대응 방안 : ssl, IPsec, PGP 등 암호화 프로토콜, VPN

1. 핑을 이용한 방법 - 의심가는 호스트에 ping을 보낼 때  icmp echo reply를 받으면 스니핑 당하는 중

2. ARP를 이용한 방법 - 위조된 arp request를 보냈을 때 response가 오면 프로미스큐어스 모드임

3. DNS 방법 - ping sweep을 보내고 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지한다.

4. 유인 방법 - 가짜 계정과 비밀번호를 뿌려  이 계정으로 로그인되면 걸린것

5. ARP Watch - 초기 MAC 주소와 IP 주소으 ㅣ매칭 값을 저장 후 모니터링

 

스위칭 환경에서 스니핑 기법 :

• Switch jamming
• arp redirect
• arp spoofing
• icmp redirect
• 스위치의 span/port mirroring을 이용한 스니핑

 

IP 스푸핑 공격공격 

• 순서제어 번호 추측
• half-open 공격
• 접속 가로채기 세션 하이재칭
• rst 접속끊기
• FIN 접속 끊기
• SYN/RST 패킷 생성 공격
• 네트워크 데몬 정지
• TCP 윈도우 위장

dsniff : 스니핑 s/w

hunt : 세션 하이재킹 공격

 

tCP 세션 하이재킹 대응

• 비동기화 상태 탐지 : 서버와 시퀸스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는 것 탐지
• ACK Storm 탐지 : 세션 하이재킹 공격시 발생하는 무한 ACK
• 패킷의 유실과 재전송 증가를 탐지
• 기대하지 않은 접속의 리셋 - 접속 초기 예상치 못한 세션의 리셋을 경험할 수 있다.

 

NIDS가 탐지하기 유리한 공격

 - DDoS, 내부망 구성을 파악하기 위한 스캐닝 행위 탐지, SYN Flooding 공격 탐지

 

전문가 시스템을 이용한 IDS 탐지기법 - 침입 또는 오용 패턴을 실시간으로 입력되는 감사 정보와 비교하여 침입을 탐지하는 방법으로 [if-the-rule]에서 공격 패턴을 비교.

 

오용탐지(misuse detection) = 지식기반 = 규칙 기반

전문가 시스템

시그니처 분석

상태 전이 분석

페트리넷(petrinet) : 정보 흐름의 표현을 극도로 간소화한 병렬 가동 시스템 표현법. 두형태의 노드를 위치와 전이라고 한다. 완전한 탐색을 해야 하기 때문에 비효율적이며 시간적 비용과 저장용량이 많이 필요하다.

 

비정상 행위 기반 탐지(anomaly based detection) = 행위기반

통계적 방법

데이터 마이닝 : 대규모로 저장된 데이터 안에서 체계적이고 자동적으로 통계적규칙이나 짜임을 분석하여 가치있는 정보를 빼내는 과정

 

부정적 미탐 긍적적 탐지 이딴 어려운말 말고 간단하게 좀

	Positive = 맞다고 판단	Negative = 틀리다고 판단
true = 실제 맞음	True Positive(정탐)	False Negative(미탐)
false = 실제로 틀림	False Positive(오탐)	True Negative(정탐)

 

예시) 스팸메일을 탐지하는 경우	컴퓨터의 판단 Positive(스팸메일이다)	컴퓨터의 판단 Negative(스팸메일 아니네= 정상메일이다)
True(실제 스팸메일이다)	True Positive(스팸메일을 잘 탐지했다)	True Negative(스팸메일인데 아니라고 잘못 판단)
False(실제 스팸메일이 아니다=정상 메일)	False Positive(정상메일인데 스팸메일이라고 잘못 판단)	False Negative(정상메일인 것을 잘 판단했다)

 

정탐[True Positive, True Negative]

[TP]True Positive - 맞는걸 맞다고 판단 - 정확히 탐지한것

[FN]False Negative - 틀린걸 틀렸다고 판단 - 정확히 탐지한것

 

미탐[False Negative]

[TN]False Negative - 틀렸는데 맞다고 판단 - 탐지를 못한것(미탐)

 

오탐[False Positive]

[FP]Frue Positive - 맞는데 틀렸다고 판단 - 잘못 탐지한것(오탐)

 

FDS(Fraud Detection System) : 이상금융거래 탐지시스템은 전자금융거래에 사용되는 단말기 정보/접속정보/거래내용 등을 종합적으로 분석하여 의심거래를 탐지하고 이상금융 거래를 차단하는 시스템

 -> 탐지 통제

 

UTM(Unified Threat Management) : 다양한 보안 솔루션 기능을 하나로 통합한 보안 솔루션, ids, ips, vpn, db, 웹 .. 등

 

snort

룰 옵션 - msg, content, offset, depth, nocase, sid, flow, rev

 

방화벽의 기능

• 접근제어
• 로깅 및 감사 추적
• 무결성
• 인증
• 트래픽 암호화
• 트래픽 로그

 

메시지 전달 인터페이스 (MPI, Message Passing Interface ) : 분산 및 병렬 처리에서 정보의 교환에 대해 기술하는 표준이다.

(DPI, Deep Pachet Inspection) : 기본적으로 패킷 내부의 콘텐츠까지 파악하고 클라이언트 서버 간의 패킷 통신의 규약에 대한 정보까지 파악하여 규약대로 통신이 이뤄지고 있는지 아니면 비정상적인 통신 행태가 이뤄지고 있는지를 파악하는 기술이다.

 

Netcat(nc, Network connection) : raw-data read, write를 할 수 있는 유틸리티 프로그램이다.

 

iptable은 netfilter기능을 관리하기 위한 툴로, rule기반의 패킷 필터링 기능, connection tracking기능, NAT기능, 패킷레벨에서 로깅 기능, 확장모듈을 통한 다양한 기능 제공

 

VPN 터널링 프로토콜 - PPTP, L2F, IPSec, L2TP, MPSL, SSL, SOCK V5..

SOCKv5은 서버-클라이언트 간의 tcp와 udp 통신을 프락시 서버를 거쳐 진행하도록 해주는 프로토콜이다.

 

자원예약 프로토콜(RSVP(Resource Reservation Protocol)) : 단말이나 서버, 라우터 등이 협조 동작해서 단말 간 응용 시 필요로 하는 대역을 예약/확보하기 위해 인터넷 엔지니어링 태스크 포스에서 표준화한 프로토콜

 

S/KEY 인증

 : 벨 통신 연구소에서 개발한 OTP 생성 방식으로 유닉스 인증으로 사용. 해시체인기반

 

RADIOUS(Remote Authentication Dial-In User Services) - 원격

 : 원격지 이용자의 접속 요구 시 이용자 ID나 패스워드, IP 주소 등의 정보를 인증 서버에 보내어 이용자의 식별 및 인증을 실행하는 것

리빙스턴이 개발한 분산 보안 인증 시스템 ISP에서 사용하는 전화 등에 의한 원격 접속에 대한 인증용 서버 PAP, CHAP..

 

TMS(Threat Management System) : 전사적 IT 인프라의 위협정보를 수집/분석/경보/관리하는 정보보호  통합관리 시스템

NFS(Network  Management System) : 네트워크를 구성하는 모든 요소를 관리하는 시스템 - snmp

IMS(Information Management System) : IBM 360 기계를 위해 개발된 정보 관리의 체계

ESM(Enterprise Security Management) : 기업과 기관의 보안 정책을 반영, 다양한 보안 시스템을 관제/운영/관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템이다.

 -> 매니저, 콘솔, 에이전트로 구성

 

SIEM(Security information and Event Management) : 기업 내에서 발생하는 모든 자원의 정보 및 보안 이벤트를 통합관리한다.

ESM, TMS, RMS로 나뉘었으나 통합됨.

빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식기능을 제공해주는 지능적 위협에 대한 경고 모니터링 체계

 

 

 

#bounce attack : 제어채널과 데이터 채널을 다르게 사용하고 데이터 채널을 생성할 때 목적지를 확인하지 않는 ftp 설계의 구조적 취약점을 이용하는 공격.

 

특징

 ftp 서버가 데이터를 전송할 때 목적지를 검사하지 않는 문제점 이용

익명 ftp 서버를 이용해 그 FTP 서버를 경유해서 호스트를 스캔한다.

ftp 서버를 통해 임의의 네트워크 접속을 릴레이함으로써 수행한다.

네트워크 포트 스캐닝하는데 사용

spf 메일서버 등록제 dns

 

IPSEC - 네트워크 계층

SSL/TLS - 전송 계층

SET - 응용계층 

 

PCI DSS(Payment card industry data security standard)

국제적 결제카드 데이터 보안 기준

 

sni(server name indication) - ssl/tls 연결 시 웹서버 도메인 헤더 정보와 ssl 인증서 dns name 정보를 매칭

 

재전송 공격을 막는 방법

• 순서번호
• 타임스탬프 - 날짜와 시간
• 비표
• 시도응답 방법..

아파치 설정 - apache/conf/httpd.conf

 

SANS institute(SysAdmin, Aidit, Network and Security) - IT보안교육 목적 조직

미국에 있 sans top20이 있다.

ISACA(Information Systems Audit and Control Association) : 전자자료 처리 감사 요원의 기술 향상과 지위 확립 목적 조직

EDP=감사요원 미국에 있다.

BSI(영국 규격 협회)