IT정보보안

SNMP (Simple Network Management Protocol)

-네트워크 관리를 위한 프로토콜

-Manager 와 Agent의 구조로 이루어져 있따.

-Manager : Agent로부터 정보를 제공 받는다

-Agent : Agent가 설치된 시스템의 정보나 네트워크 정보등을 수집하여 MIB형태로 보관

SNMP 데이터 수집 방법

->네트워크를 관리하기 위한 프로토콜이다.

SNMP Version 

->버전의 취약점을 이용한다.

NMS (Network Managemenet System)

-네트워크 상의 자원들을 모니터링하고 제어하기 위한 시스템으로 일반적으로 스위치나 라우터 같은 네트워크 장비들을 관리

-Agent들과 Manager간 정보 교환을 위해 표준화 된 프로토콜인 SNMP나 CMIP등을 사용한다

CMIP (Common Management Information Protocol)

-SNMP와 같은 네트워크 관리 프로토콜

-SNMP보다 시스템 리소르를 많이 소모하는 단점이 있으나, 보안성이 우수하고 능률적으로 네트워크를 관리할 수 있다.

-구조가 너무 복잡해서 사용되지 않는다.

->트리구조로 되어 있다.

SNMP 서비스 탐지

-UDP Port Scanning

nmap -sU -p 161 <IP address>

UDP Scanning의 경우 방홥화벽에 차단되거나 패킷이 유실될 수 있으므로 100% 신뢰할 수 없다.

-SNMP Get Message를 보내는 툴 이용 

cisco -torch.pl -u 192.168.3.254

-community string을 public으로 설정해서 요청하므로 public이 아닌 경우에는 알아낼 수 없다.

Community String 획득

-Community String 획득

-SNMP를 잉이용하여 정보를 수집하거나 설정 값을 변경하기 위위해서는 인증에 설공해야 한다.

-SNMPv1 과 SNMPv2c는 Community String을 이용하여 인증을 수행하므로 Community String을 획득 해야 한다.

-Community String 획득 방법

-Default Community String

-Brute Forcing / Dictionary Attack

-Sniffing

->암호화가 되어 있찌 않으므로 

-net-snmp를 이용하여 시스템의 정보를 수집

snmpwalk -v 2c -c <community> <ip> system

snmpwalk -v 2c -c <community> <ip> interface

snmpwalk -v 2c -c <community> <ip> at

snmpwalk -v 2c -c <community> <ip> ip

snmpwalk -v 2c -c <community> <ip> icmp

snmpwalk -v 2c -c <community> <ip> tcp

snmpwalk -v 2c -c <community> <ip> udp

snmpwalk -v 2c -c <community> <ip> 1.3.6.1.2.1.1.2

etc..

window XP : 10.10.10.10
web server : 10.10.10.20
ssh server : 10.10.10.22
Attacker : 10.10.10.30
GW : 10.10.10.1

Sniffing을 사용하기위한 선행작업
------------------------------------------------------------------
Router Nat 설정
내부IP : 10.10.10.x // 255.255.255.0
외부IP : DHCP
conf t
access-list 1 permit 10.10.10.0 0.0.0.255
!
ip nat inside source list 1 int f0/1 overload
!
int f0/0
ip nat inside
!
int f0/1
ip nat outside
!
end
------------------------------------------------------------------
icmpush -vv -red -sp [GW] -gw [redi-GW] -dest [Destination] -c host [victime]
ex ) icmpush -vv -red -sp 10.10.10.1 -gw 10.10.10.30 -dest 100.100.100.0 -c host 10.10.10.10
칼리 리눅스는 안되서 hping3으로 대체해야함
ec ) hping3 -1 --icmptype 5 --icmpcode 1 -a 10.10.10.1 --icmp-ipdst 100.100.100.100 icmp-gw 10.10.10.30 --icmp-ipsrc 10.10.10.10
------------------------------------------------------------------
macof ( swich jamming 공격 ) : 스위치를 바쁘게 하여 허브처럼 동작을 하게 만드는 방법 ( 패킷이 가끔 공격자에게 넘어온다 )
------------------------------------------------------------------
victim : 10.10.10.10
GW : 10.10.10.1
attacker : 10.10.10.30
arpspoof -i eth0 -t 10.10.10.10 10.10.10.1 (arp 속이기)
 : 패킷은 보내지지만 도착하지 않기 떄문에 forwarding 필요
echo 1 > /proc/sys/net/ipv4/ip_forward
 : tracert로 확인하면 10.10.10.30을 거쳐가는것이 보임

fragrouter -B1
 : tracert로 확인하면 10.10.10.30을 거쳐가는것이 보이지 않음

[실습] GW와 Host간 전달되는 모든 Packet을 Sniffing 해보고, Sniffing이 가능하지 않게 적절히 방어하세요.
 - 공격 arpspoof -i eth0 -t 10.10.10.10 10.10.10.1
 arpspoof -i eht0 -t 10.10.10.1 10.10.10.10
 fragrouter -B1
 - 방어 arp -s 10.10.10.1 c2-01-21-70-00-00 (host)
 arp 10.10.10.10 000c.2992.f49f arpa (router)

arp를 static으로 설정해도 reboot후 지워진다.
arp static cmd command 를 bat파일로 만든후 시작프로그램에 등록하면된다.
------------------------------------------------------------------
sterm : IP를 속여서 telnet접근을 하는것.
------------------------------------------------------------------
linux에서 설정이 잘 되지 않을때
vi /etc/udev/rules.d/70-persistent-net.rules
------------------------------------------------------------------
가상인터페이스를 만들어서 ssh 접근하기 ( ssh서버는 10.10.10.22 )
ifconfig eth0:0 100.100.100.100 netmask 255.255.255.0 up
ssh -b 100.100.100.100 10.10.10.22

ssh 서버에서 100.100.100.100의 위치를 모르기 때문에
attacker에서 ssh서버의 GW를 자신으로 arpspoof를 하면 된다.
arpspoof -i eth0 -t 10.10.10.22 10.10.10.1
fragrouter -B1
------------------------------------------------------------------
linux에서 통신 통제 ( TCP Wrapper )
/etc/hosts.allow
/etc/hosts.deny
바로 위 처럼 arpspoof를 통해 다른 IP로 ssh접근하는것을 막기위해서는
vi /etc/hosts.deny 로 들어가서
sshd : 100.100.100.100
sshd : 10.10.10.30
을 추가해주면 100.100.100.100 과 10.10.10.30 은 ssh접근이 막힌다.
만약 거부한IP에서 접근을 했을때 tail /var/log/secure 을 보게되면 refused로 거부됐다는것이 기록되어있다.
이것은 다른 IP로 우회할수 있기 때문에 deny보다는 allow에 설정한 후 deny에 모두 차단하는것이 좋다.
allow가 deny보다 우선순위가 높기 때문이다.
모두 선택하려면 all [ ex ) all : all ]
------------------------------------------------------------------
[실습] 위협을 느낀 SSH 서버 관리자가 자신의 IP주소만 접속 할 수 있도록 필터링 정책을 적용했다.
WinXP에서 SSH 서버에 접속하고 적업 중이라 가정한다.
공격자에서 접근 허용되어 있는 IP주소를 알아내고 알아 낸 IP 주소를 이용해 SSH 서버에 접속 가능한지 확인하세요.
현 상황에서의 적절한 방어대책을 수립하세요.
 - 공격 : nmap으로 스캔후 활성화 되어있는 IP로 차례대로 접근해본다. ( nmap -sP 10.10.10.0/24 )
 - 접근방법
1. Attacker에서 가상인터페이스를 만든다. ( ifconfig eth0:0 10.10.10.10 netmask 255.255.255.0 up )
2. arpspoof로 ssh서버의 10.10.10.10 arp를 수정 ( arpspoof -i eth0 -t 10.10.10.22 10.10.10.10 )
3. 접근 ( ssh -b 10.10.10.10 10.10.10.22 )
------------------------------------------------------------------
Window XP : 10.10.10.10/24 || GW : 10.10.10.1
Attacker : 20.20.20.20/24 || GW : 20.20.20.1
hping3 -S 10.10.10.1 -a 192.168.100.1
패킷의 source addr이 192.168.100.1로 변경된 상태에서 10.10.10.1로 전송됨
Router에서 Attacker쪽 포트에 ip verify unicast reverse-path 를 입력
똑같이 hping3을 이용하여 패킷을 보냈을때 Window XP에 패킷이 오지 않음.
------------------------------------------------------------------
Window XP : DHCP
Attacker : 10.10.10.30
Web Server : 10.10.10.20
DNS Server : 10.10.10.22

# Router에서 DHCP 서버 역할 하기
 - 제외할 IP 설정
R1(config)#ip dhcp excluded-address [IP]
 - DHCP 설정
R1(config)#ip dhcp pool [name]
R1(dhcp-config)#network [first_addr] [last_addr]
R1(dhcp-config)#dns-server [IP]
R1(dhcp-config)#default-router [Gateway IP]

ettercap -T -M dhcp:10.10.10.100-200/255.255.255.0/10.10.10.22
Discover패킷이 Broadcast로 전송
Offer패킷을 Attacker가 DHCP서버보다 빠르게 보냄
Request패킷 후 ACK패킷을 Attacker에서 보냄
 - DHCP 원리
1. Client에서 Discorver 패킷을 broadcast로 전송
2. 각 DHCP 서버에서 Offer 패킷을 broadcast로 전송
3. Client에서 Request 패킷을 broadcast로 전송
4. 각 DHCP 서버에서 ACK 패킷을 broadcast로 전송
5. ACK패킷중 제일 먼저 온 패킷을 사용 ( 제일 먼저 할당된 IP 사용 )

vim /usr/local/etc/etter.conf 에서 임대기간을 늘릴 수 있다.
 -> dhcp_lease_time을 늘려주면 된다.
------------------------------------------------------------------

ipsspoofing에서 했던 내용이다.

백트랙으로 가서

백트랙만 접속 가능하게 설정한뒤 단 XP에서는 접속이 안된다.

IP를 속여서 접속

라우터에서 Show user 로 사용자 IP 확인

패킷까지 확인해본다.

백트렉에서 SSH서버로 접근하는데 마치 외부에서 접근하는것 처럼 로그가 남게 접속 해보겠다.

우선 가상의 네트워크를 만들어준 다음

이 IP가 접근한 것 처럼

-b옵션을 써서 SA로 바꿔준다

->패킷이 가기만 가고 돌아오지는 않는다.

돌아오는 패킷을 잡아야하는데 arp를 spooping해줘야한다.

ssh서버에서 게이트웨이를 공격자로 인식하게 설정해야된다.

TCP Wrapper

ls -al /etc/hosts.allow

ls -al /etc/hosts.deny

sshd:100.100.100.100

sshd:10.10.10.30

? 아까와 같이 접속했음에도 불구하고 접속이 차단된다..

다른 IP로 우회 가능하다.

deny보단 allow로 설정

NIC(Network Interface Card) Promiscuous Mode

-네트워크 스니핑을 수행하는 공격자는 자신이 가지지 말아야 할 정보까지 모두 볼 수 있어야 하기 때문에

2계층과 3계층 정보를 이용한 필터링은 발해물이다.

-이럴 때 2, 3계층에서의 필터링을 해제하는 NIC의 모드를 말한다.

ICMP Redirect 개념

->라우터 A는 호스트 A에게 자신보다 라우터B가 더 효율적인것을 알려준다 (ICMP Redirect Packet)

-> (ICMP Redirect Packet)을 이용한 Sniffing

ICMP Redirect 공격

-공격자가 라우터 B가 되어 ICMP 리다이렉트 패킷도 공격 대상에게 보낸 후 라우터 A에게 다시 Relay 할 경우, 모든 패킷을 스니핑 할 수 있다.

백트랙에 apt-get install icmpush 설치

icmpush -vv red -sp [GW]  -gw [redi-GW] -dest [Destination] -c host [Victime]

 icmpush -vv red -sp 10.10.10.254 -gw 10.10.10.3 -dest 100.100.100.0 -c host 10.10.10.1

->방향전환 허용 체크해제 후 방화벽 활성화

->방어기법

->Windows Os기반에서만 사용가능하고 Linux기반의 OD에서는 사용안됨.

Switch Jamming(MACOF, Mac Overflow)

-스위치의 주소 테이블의 기능을 마비시키는 공격, MACOF 공격이라고도 한다.

-스위치에 랜덤한 형태로 생성한 MAC을 가진 패킷을 무한대로 보내면, 스위치의 MAC테이블은 자연스레 저장 용량을 넘게 되고,

이는 스위치의 원래 기능을 잃고 더미허브처럼 작동하게 된다.

SPAN(Switch Port Analyzer) Port tapping

-SPAN은 포트 미러링(Port Mirroring)을 이용한 것

-포트 미러링이란 각 포트에 전송되는 데이터를 미러링하고 있는 포트에도 똑같이 보내주는 것

-SPAN포트는 기본적으로 네트워크 장비에서의 하나의 설정 사항으로 이뤄지지만, 포트 태핑(Tapping)은 하드웨어적인 장비로 제공되고 이를 스플리터(Splitter)라고 부르기도 한다.

-라우터인테 스위치용으로 사용가능

-0/는 serial용이라 1/0부터 사용가능하다.

-idle-pc해준다.

-네트워크 환경

show mac-address-table 확인하면 나온다.

                                 count확인

1/8192 최대 보다 많으면 힘들어진다.

다시 백트랙으로

-macof 연결되어 있는 스위치에 임의의 mac 주소 보냄으로 스위치의 역할을 방해하게 된다.

결국 스위치는 기능을 상실하고 허브역할을 한다.(?)

-전부 스위치에 저장.

맥시멈이 넘어서면 저장은 안된다.

피해자는 Ping도 안된다.(때론 잘될수도 있다.)

결론 - 스위치가 역할을 못한다. 백트랙에서 XP가 보낸 Ping확인 할수도 있다.->공격자에게 패킷이 넘어감

->스위치버전마다 다르지만 시간이 어느정도 지나면 스스로 목록을 비움.

Passive Sniffing

공격자가 어떠한 설정을 하지 않아도 Siniffing을 진행 할 수 있는 환경에 있을때

Active Sniffing

-sniffing을 하기 위해 어떠한 작업을 한다.

스니핑 -> 냄새를 맡다.

스쿠핑 적절히 사용-> 속이다.

XP의 모습

백트랙의 와이샤크의 모습니다.

-공격자에서 패킷을 잡을 수 없다.

XP와 backtrack mac주소 확인

Xp :   00-0C-29-83-1E-7F

Server: 00-0C-29-A6-45-FC

Backtrack: 00:0c:29:4c:9b:51

-arp 테이블 확인 ( 시간이지나면 없어진다.)

이제 Backtrack를 server처럼 속여 볼것이다.

10.10.10.1 로 위장

Arp가 계속적으로 broadcast로 전달되고 있는걸 확인할수 있다.

-맥주소 바뀌고 통신 X

포워딩 작업을 해줘야 됩니다.

? 포워딩 작업 후 Ping 통신 Ok

*정보보안(Security)과 정보보호(Protection)의 차이

-정보보안이란? (Security)

 Security refers to all the measures that are taken to protect a place, or to

 ensure that people with permission enter it or leave it

-정보 보호란?(Protection)

 To protection against something unpleasant means to prevent people or things

 from being harmed or damaged by it

> 정보 보호가 정보보안 안에 들어가 있습니다. (security 와 protect의 차이)

*Security 3 Factor(정보보안의 3요소)

-정보에 대한 승인 받지 않은 접근, 이용, 노출, 변조 등으로부터 보호하는 것

-본질적으로 Data와 System을 공격자로부터 안전하게 보호하는 것

-기밀성 : 암호화 신경 ***필수

*Sniffing 공격의 이해

-수동적(Passive) 공격이라고도 합니다.

-스니핑 공격의 유형

 드라마에서 주인공이 문 앞에서 다른 이의 대화를 엿듣는 것 (예)

 도청(Eavesdropping)

 전화선이나 UTP(Unshielded Twisted Pair)에 태핑(Tapping)을 해서 전기적인 신호를 분석하여 정보를 찾아내는것

전기적인 신호에 따라 정보를 알아내는것*

-네트워크를 통해 전송되는 Data를 엿드는 일종의 도청 행위

-보안의 3요소 중 기밀성을 침해하는 공격기법

 TCP/IP Protocol은 Internet이 시작되기 전에 설계되었기 때문에 Packet에 대한

암호화, 인증 등을 고려하지 않아 Data에 대한 C,I, A를 보장할 수 없다.

* Scan

- Scan은 서비스를 제공하는 서버를 대상으로 서비스 작동여부와 제공하고 있는 서비스 정보를 확인

- TCP 기반의 Protocol 질의(Request0 응답(Response ) 매커니즘

-열려있는 Port, 제공하는 서비스, 동작중인 데몬의 버전, 운영체제 버전 등 다양한 정보획득이 가능

-일반적으로 Nmap을 많이 사용함

*Ping & ICMP Scan

- Ping은 네트워크와 시스템이 정상적으로 동작하는지 확인하는 유틸

- ICMP(Internet Control Messaging Protocol)를 사용

*TCP Open Scan

-Port가 닫혀 있으면 'RST' Packet Response

*STealth Scan > TCP Half Open Scan

- Port가 열려 있으면 RST Packet을 전송하여 연결을 종료

절만만 확인 해보겠습니다.

백트랙에서

fping -q -a -s -g 10.10.10.10/24

Nmap

Nmap -sT 192.168.0.20 (서버를 대상으로 )

TCP open scan

TCP

Port바꿔가면서 Scan

-> 3way handshaking

*Stealth Scan >FIN, Xmas, Null Scan

-Port가 닫혀 있으면 RST Packet Response

-Pdf랑 다르다. 그런데 Pdf가 맞다(?)

-열려 있는 경우 응답이 원래 없습니다.

Shodan 무료/유료 버전 이나뉩니다.

webcam을 검색할시 IP주소는 물론 어디가 취약한지 알려주는 웹사이트 인데요

-webcam에 취약한 경우

-ID와 PW 없이 접속 가능한 사이트이기때문입니다.

-로그인해서 진행합니다.

-webcam 보안 취약한곳 보이시나요?

보시기와 같이 키 공유도 가능합니다.

-report-> 로그인에 사용된 메일로 report 전송

-database 확인도 가능합니다.

위 그림을 보시면 View All.. < 유료버전이라 설정되있는곳

특정위치에 보안설정이 안되어 있습니다.

Kali로 돌아와 Shodan 을 설치해 보겠습니다.

위 그림은 shodan을 설치한뒤 shodan을 kali 터미널에 치시면

되는 내용인데요.

여러가지 옵션이 있습니다.

shodan 홈페이지에서 로그인한후 키공유로 kali에 가져온 뒤

특정한 shodan host를 검색

shodan conunt mysql

shodan count tomcat 5.5

shodan search --fields ip_str,port,org,hostnames tomcat 5.5

이렇게 하시면 shodan의 취약한 부분이 다나옵니다.

자세한 내용은 댓글로 주세요 ~