IT정보보안

Passive Sniffing

공격자가 어떠한 설정을 하지 않아도 Siniffing을 진행 할 수 있는 환경에 있을때

Active Sniffing

-sniffing을 하기 위해 어떠한 작업을 한다.

스니핑 -> 냄새를 맡다.

스쿠핑 적절히 사용-> 속이다.

XP의 모습

백트랙의 와이샤크의 모습니다.

-공격자에서 패킷을 잡을 수 없다.

XP와 backtrack mac주소 확인

Xp :   00-0C-29-83-1E-7F

Server: 00-0C-29-A6-45-FC

Backtrack: 00:0c:29:4c:9b:51

-arp 테이블 확인 ( 시간이지나면 없어진다.)

이제 Backtrack를 server처럼 속여 볼것이다.

10.10.10.1 로 위장

Arp가 계속적으로 broadcast로 전달되고 있는걸 확인할수 있다.

-맥주소 바뀌고 통신 X

포워딩 작업을 해줘야 됩니다.

? 포워딩 작업 후 Ping 통신 Ok

*정보보안(Security)과 정보보호(Protection)의 차이

-정보보안이란? (Security)

 Security refers to all the measures that are taken to protect a place, or to

 ensure that people with permission enter it or leave it

-정보 보호란?(Protection)

 To protection against something unpleasant means to prevent people or things

 from being harmed or damaged by it

> 정보 보호가 정보보안 안에 들어가 있습니다. (security 와 protect의 차이)

*Security 3 Factor(정보보안의 3요소)

-정보에 대한 승인 받지 않은 접근, 이용, 노출, 변조 등으로부터 보호하는 것

-본질적으로 Data와 System을 공격자로부터 안전하게 보호하는 것

-기밀성 : 암호화 신경 ***필수

*Sniffing 공격의 이해

-수동적(Passive) 공격이라고도 합니다.

-스니핑 공격의 유형

 드라마에서 주인공이 문 앞에서 다른 이의 대화를 엿듣는 것 (예)

 도청(Eavesdropping)

 전화선이나 UTP(Unshielded Twisted Pair)에 태핑(Tapping)을 해서 전기적인 신호를 분석하여 정보를 찾아내는것

전기적인 신호에 따라 정보를 알아내는것*

-네트워크를 통해 전송되는 Data를 엿드는 일종의 도청 행위

-보안의 3요소 중 기밀성을 침해하는 공격기법

 TCP/IP Protocol은 Internet이 시작되기 전에 설계되었기 때문에 Packet에 대한

암호화, 인증 등을 고려하지 않아 Data에 대한 C,I, A를 보장할 수 없다.

* Scan

- Scan은 서비스를 제공하는 서버를 대상으로 서비스 작동여부와 제공하고 있는 서비스 정보를 확인

- TCP 기반의 Protocol 질의(Request0 응답(Response ) 매커니즘

-열려있는 Port, 제공하는 서비스, 동작중인 데몬의 버전, 운영체제 버전 등 다양한 정보획득이 가능

-일반적으로 Nmap을 많이 사용함

*Ping & ICMP Scan

- Ping은 네트워크와 시스템이 정상적으로 동작하는지 확인하는 유틸

- ICMP(Internet Control Messaging Protocol)를 사용

*TCP Open Scan

-Port가 닫혀 있으면 'RST' Packet Response

*STealth Scan > TCP Half Open Scan

- Port가 열려 있으면 RST Packet을 전송하여 연결을 종료

절만만 확인 해보겠습니다.

백트랙에서

fping -q -a -s -g 10.10.10.10/24

Nmap

Nmap -sT 192.168.0.20 (서버를 대상으로 )

TCP open scan

TCP

Port바꿔가면서 Scan

-> 3way handshaking

*Stealth Scan >FIN, Xmas, Null Scan

-Port가 닫혀 있으면 RST Packet Response

-Pdf랑 다르다. 그런데 Pdf가 맞다(?)

-열려 있는 경우 응답이 원래 없습니다.

Shodan 무료/유료 버전 이나뉩니다.

webcam을 검색할시 IP주소는 물론 어디가 취약한지 알려주는 웹사이트 인데요

-webcam에 취약한 경우

-ID와 PW 없이 접속 가능한 사이트이기때문입니다.

-로그인해서 진행합니다.

-webcam 보안 취약한곳 보이시나요?

보시기와 같이 키 공유도 가능합니다.

-report-> 로그인에 사용된 메일로 report 전송

-database 확인도 가능합니다.

위 그림을 보시면 View All.. < 유료버전이라 설정되있는곳

특정위치에 보안설정이 안되어 있습니다.

Kali로 돌아와 Shodan 을 설치해 보겠습니다.

위 그림은 shodan을 설치한뒤 shodan을 kali 터미널에 치시면

되는 내용인데요.

여러가지 옵션이 있습니다.

shodan 홈페이지에서 로그인한후 키공유로 kali에 가져온 뒤

특정한 shodan host를 검색

shodan conunt mysql

shodan count tomcat 5.5

shodan search --fields ip_str,port,org,hostnames tomcat 5.5

이렇게 하시면 shodan의 취약한 부분이 다나옵니다.

자세한 내용은 댓글로 주세요 ~

Kali Linux 64 bit VMware VM | Offensive Security Download Page 클릭

두번째인 Kali Linux Vm 64 Bit Ova 설치하면 된다.

->현재 Nat 환경에서 사용하고 있는 IP확인

ICMP로 확인 가능하다.

본격적으로 칼리 recon-ng 사용하기

터미널 #recon-ng

[recon-ng][default] > 라고 나오면 help 명령어를 치면 21가지 명령어가 나온다.

workspaces add google.com

workspaces list

add domains google.com

add companies

google

google

use recon/domains-hosts/google_site_web

run

이렇게 명령어를 입력해주면 호스트 정보를 알려준다. ( summary로 알아온 host 갯수 )

이쪽가면 정확히 자세히 볼수 있습니다.

총 6개월 과정의 NCS (오픈소스 기반 보안 취약점 분석 실무자 양성)

국비지원 과정입니다.

NW운영관리

프로그래밍언어 (C언어)

===========================

네트워크 프로그래밍 언어(프로그래밍언어 통신)

HW운영관리(운영체제)

===========================

HW운영관리

시스템보안구축(운영체제 취약점)

SW개발 보안구축(웹)

===========================

SW개발 보안구축

DB보안 구축(웹)

네트워크 보안 구축

===========================

보안위협 관리통제(방화벽)

물리적보안 구축(CCTV 등)

취약점분석(프로그램들의 취약점)

===========================

취약점분석

프로젝트(포토폴리오)

===========================

VMware 컴퓨터 가상화

GNS        네트워크 가상화

EVE-NG   "

OSI Layer vs. TCP/IP Model Layer

1.Physical    기계적인장치 = HUB(정기적인 신호만 인식 전체적으로 분산)1계층 장비

2.Network Interface - Ethernet  하드웨어 인식, 주소 확인 SWITCH

3.Internet - IP                 논리적인 주소 확인

4.(Host-to-Host)Transport- UDP,TCP 포트

 Application - 어플리케이션 ( 볼필요가없다)

인켑슐레이션  붙이는작업    

 Network Interface - MAC(주소)

Internet - IP (주소)

(Host-to-Host)Transport -

Application - ?

TFTP - 신속성

FTP -  안정성

Data encapsulation & de-encapsulation

PDU (protoco1 Date Unit)

Header (어디에서 출발 햇는지, 어디에 도착 했는지)

 (회사)  (제조번호)

MAC - Ethernet Header(Destination, Source)  예: 00:08:9F:28:76:1E <16진수

<16진수 : 0123456789ABCDEF >

IP - (Source IP Address, Dest, IP Address) 예 : 192.168.50.122(논리적)

0.0.0.0 ~ 255.255.255.255

공인(중복X, 통신업체),사설(중복O)

PORT - (Source Port, Destination Port) 논리적인 주소체개

1/8 속도계산

데이터 표현 : bit        (전기적인 신호가 잇거나 없는것) 0,1 (2진수)

8bit = 1byte , 1024byte = 1KB , 1024KB = 1MB, 1024MB = 1GB, 1024GB = 1TB, 1024TB = 1PB

1Gbps 

데이터 저장 : BYTE

DCE Interface에서 기준 Clock을 전송 (예) Clock rate 64000                 T = 100M  

★각 계층별 장비                                            UTP : 가장많이 사용하는 선      RJ45

1.Physical 기계적인장치 = HUB(정기적인 신호만 인식 전체적으로 분산)1계층 장비 설정X

2.Data Link  SWITCH = MAC를 보면서 흐름을 제어를 한다. 설정O 기본적인설정 설정필요X

3.Network =  ROUTER = 기본적인 설정이 없음, 관리자 세팅, 네트워크를 분리시킨다, 설정에 따라선 연결도 가능,

4.Transport L4 SWITCH = ROUTER 기능도 사용가능 

5.Session

6.Presentation        5~7

7.Application   컴퓨터             상위계층 장비들은 하위 계층 장비를 다사용 가능

 Single-Mode                Multimode

단일 경로                다중 경로

10미크론 이하                50~62.5 미크론

큰 정밀도                가격이 싸다

가격이 비싸다

50Gbps

 00000000(2)   = 0(10)

 11111111(2)   = 255(10)          

128 64 32 16 8 4 2 1                2진수        1Byte : 256

  6Bit : 16진수

 비트

 0000 = 0     = 0

 1111 = 15    = F

사용 가능한 IP (공인) : 철저하게 관리하에 진행 각 클래스별 용도가 틀림

예 : x.x.x.x (일반적으로 10진수로 표현) IP = 4Bit 로 구성  IP = 약 42억개 정도나옴

ipv4 : 0.0.0.0 ~ 255.255.255.255

A Class ~ C Class 일반적인 사용 용도를 가짐

D Class 멀티테스트 용도  멀티테스트? :

E Class 일반 사용자들한테 공개되지 않음 (학자들의 연구목적) 실제로 사용되지 않음

unicast : 1:1통신으로 하는 형태

multicast : 가입이 되어 있는 사용자만 사용하는 형태 주로(IP TV)

broadcast : 다중으로 통신 하는 형태(방송등.)

IP 주소의 첫번째 옥텟

옥텟이란 = IP의 한자리 IP란 총 4개의 옥텟이라 표현

Host ?

NETWorK ?

                                                        128 64 32 16 8 4 2 1

218.128.32.0/27

                                                       네트워크이름        브로드케스트

11011010.10000000.00100000.00000000   : 218.128.32.0         218.128.32.31

                                         00100000 : 218.128.32.32        218.128.32.63

                                         01000000 : 218.128.32.64        218.128.32.95

                                         011         : 218.128.32.96        218.128.32.127

                                         100         : 218.128.32.128      218.128.32.159

                                         101         : 218.128.32.160      218.128.32.191

                                         110         : 218.128.32.192      218.128.32.223

                                         111         : 218.128.32.224      218.128.32.255

218.128.32.0/24                         

11011010.10000000.00100000.00000000   : 218.128.32.0       218.128.32.31

11011010.10000000.00100000.01000000   : 218.128.32.64     218.128.32.63

11011010.10000000.00100000.10000000   : 218.128.32.128    218.128.32.159

11011010.10000000.00100000.11000000   : 218.128.32.192    218.128.32.223    

Host : 15 저장하는데 27Bit 사용

      네트워크이름      브로드케스트

11011010.10000000.00100000.00000000 : 0 ~ 31      

218.128.32.96/27              이름                     BC

                                    218..128.32.96        218.128.32.127

                                           Host

                                           218.128.32.97 ~ 126

       218.128.32.96/28             

Nnnnnnnn.nnnnnnnn.nnnnnnnn.nnnnHHHH          네트워크 이름     BC

11011010.1000000000.001000000.01100000          218.128.32.96     218.128.32.111

11011010.1000000000.001000000.01110000          218.128.32.112    218.128.32.127

VLSM은 가용 주소 공간을최적화 하는데 도움이 된다.

218.128.32.96/30

11011010.10000000.00100000.01100000      218.128.32.96          218.128.32.99

11011010.10000000.00100000.01100100      218.128.32.100        218.128.32.103

11011010.10000000.00100000.01101000      218.128.32.104        218.128.32.107

11011010.10000000.00100000.01101100      218.128.32.108        218.128.32.111

11011010.10000000.00100000.01110000      218.128.32.112        218.128.32.115

11011010.10000000.00100000.01110100      218.128.32.116        218.128.32.119

11011010.10000000.00100000.01111000      218.128.32.120        218.128.32.123

11011010.10000000.00100000.01111100      218.128.32.124        218.128.32.127

Cisco packet Tracer Student 사용

실제 네트워크 장비들이 어떻게 움직이는지,

네트워크확인 ping IP           arp -a  arp-b