[이제 시작이야! 디지털 포렌식] Chapter 9 네트워크 포렌식

 

 

 

해커들은 수많은 방법으로 네트워크를 공격할 수 있다.

 

 

 

---

- 사회공학기법

• 인증된 사용자가 인증되지 않은 사용자에게 민감한 정보를 누설하게 만든다. 

1. 네트워크 기초

• 물리적(이더넷 케이블) 혹은 무선으로 연결
• 서로 합의한 통신 규약인 프로토콜, 네트워크 프로토콜 두 가지
• 1. TCP/IP(Transmission Control Protocol/Internet Protocol) , 인터넷에서 사용함
• -> 가장 흔한 네트워크 종류는 클라이언트/서버 네트워크
• 2. P2P(Peer-to-Peer) , 파일 공유 프로그램에서 많이 사용함
• -> 네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 두 역할 모두 수행 가능

- 네트워크 종류

• 근거리 통신망(Local Area Network, LAN)은 작은 사무실에서 사용
• 광역 통신망(Wide Area Network, WAN)은 다른 위치에 있는 여러 개의 LAN으로 구성
• MAN(Mettropolitan Area Network), PAN(Personal Area Networks), CAN, GAN 등
• 인터넷 vs 인트라넷-> TCP/IP 프로토콜 사용하며 비공개, 접근 제한적, 파일 공유 및 통신에 사용
• 고유의 식별번호 IP 주소, 2 가지 버전
• 1. IPv4 : 더 이상 할당할 주소 없음, 40억개의 IP주소 
• -> 198.122.55.16 / 각 숫자는 8비트로 0~255 값을 가짐
• 2. IPv6 : 거의 무한한 숫자의 주소 할당 가능
• -> 2008:0eb3:29a2:0000:0000:8c1d:0967:7256
• 정적 IP 주소는 고정이지만, 동적 IP 주소는 주기적으로 변함
• 패킷 스위칭 : 데이터를 패킷이라 부르는 작은 조각으로 만듦
• 패킷 스위칭 이후 IP 주소를 이용해 최종 도착지로 전송
• 각 패킷은 헤더(송수신자의 정보 및 패킷 정보) + 페이로드 + 푸터(패킷 확인용) + CRC(순환 중복 검사)
• 만약 CRC가 일치하지 않는다면 데이터 재요청
• 게이트웨이 : 또 다른 네트워크로의 출입구 역할을 하는 네트워크 지점
• 브리지 : 동일한 프로토콜을 사용하는 두 개의 네트워크를 연결하는데 사용
• 라우터 : IP 주소를 사용하여 네트워크에 있는 데이터를 최종 도착지로 전송

---

2. 네트워크 보안 툴

• "언제 침해가 발생할 것인가" 생각하고 준비하자.
• 방화벽 : 네트워크의 게이트웨이 서버에 위치해서 송수신되는 네트워크 트래픽을 필터링
• 침입 탐지 시스템 : 네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터
• 스노트(snort)는 오픈소스 네트워크 침임 탐지 시스템으로, 네트워크를 스니핑하여 모니터하다 경고함

---

3. 네트워크 공격

• 분산 서비스 거부 공격(Distributed Denial of Service, DDos) : 공격하는 컴퓨터 "봇넷(botnet)"은 "좀비(zomebies)"라 불리는 여러 대의 침해된 컴퓨터로 이루어져 엄청난 양의 메세지와 요청으로 공격
• IP 스푸핑(spoofing) : 알려진 IP 주소를 위조하거나 스푸핑
• 중간자 공격(Man-In-The-Middle-Attack) : 사용자간의 통신 컴퓨터 사이에 삽입해 통신 조작
• 사회공각기법 : 가장 효과적인 공격이며, 인간과의 상호작용으로 보안 절차를 따르지 않도록 속이는 것

침해사고에서 가장 많이 사용된 해킹 기법 -> 1. 백도어나 명령/통제 채널 공격     2. 디폴트 또는 추측할 수 있는 인증 공격     3. 무차별대입 공격과 딕셔너리 공격     4. 풋프린팅 및 핑거프린팅     5. 타라취한 로그인 인증정보 사용

 

• 1. 백도어나 명령 및 통제 채널 공격은 공격자가 보안 대응책을 우회할 수 있도록 함
• 4. 풋프린팅이나 핑거프린팅은 공격자가 열려있는 포트나 서비스를 스캔하는 자동화 작업
• 네트워크 보안은 외부뿐만 아니라 내부 위협도 중요

---

4. 침해대응

• 툴, 인력 그리고 계획이 있으면 피해 최소화 GOOD
• 침해대응 단계
• 1. 준비 : 네트워크 방어 수준 정기 테스트하여 취약점 식별
• 혹은 예방책 활용 (패치 시스템, 호스트 보안, 네트워크 보안, 사용자 인식 개선 및 교육 등)
• 2. 탐지 및 분석 : 의심스러운 활동을 잘 식별하기 위해서 "일상적인" 네트워크 데이터나 활동을 파악해야 함
• 공격 징후로는 백신 프로그램의 징후, 비정상적으로 느려진 인터넷, 비정상적인 네트워크 트래픽 등
• 3. 봉쇄, 박멸 및 복구 : 침해 피해 최소화를 위해 반드시 통제 필요
• 일부 봉쇄 방안으로는 침해 당한 컴퓨터 끄기, 네트워크 연결 차단, 장비 비활성화 등
• 4. 사후활동 : 검토 및 개선 필요
• 잘한 점, 미흡한 점, 정책 및 절차가 충분했는지, 어떻게 발전시킬 수 있을지 등
• 침해대응 팀을 구성하고 디지털 포렌식 능력자 필요

---

5. 네트워크 증거와 수사

• 네트워크 경로에 있는 장비 수사
• 라우터나 서버는 매우 중요한 정보 저장 가능
• 라우터는 네트워크에서 핵심적인 구성요소이기에 해커들의 공격 목표
• 그러나, 라우터는 휘발성이 강하기에 전원 끄면 증거 날아가므로 라이브 포렌식해야함

- 로그 파일

• 네트워크 조사에 있어 로그 파일에 주로 증거가 생김
• 인증, 프로그램, 운영체제, 방화벽 로그 
• 인증 로그(그리고 IP주소)는 특정 이벤트와 연관 있는 계정을 식별함
• 프로그램 로그는 날짜와 시간 그리고 프로그램 식별자도 기록함
• 운영체제 로그는 시스템 재부팅뿐만 아니라 어떤 기기 사용했는지 추척
• -> 네트워크의 활동 패턴과 비정상 활동을 인지하는 데 유용
• 로그 파일은 빠르게 변화하고 사라지므로 수집과정 중요

라우터 로그에 있는 유용한 정보 -> 요청된 URL     서버 이름     서버 IP 주소     클라이언트의 URL     클라이언트의 IP 주소     누가 언제 로그인했는지에 대한 기록

 

• 라우터에서 증거 수집시 최대한 라우터에 영향 가지 않도록 해야함
• -> 네트워크로 접속하는 것보다 콘솔에 직접 접속하는게 훨씬 좋음
• 명령어도 신중히 써야함, "configuration"은 피해야 하며 "show"를 사용

- 네트워크 조사 툴

• 현재 네트워크에 돌아다니는 트래픽(패킷)에 중요 단서 가능성
• 스니퍼 : 네트워크 트래픽을 캡쳐하고 분석할 수 있는 툴
• Wireshark, NetIntercept, Netwitness Investigator, Snort
• 어떤 파일이 도난 당했고, 어떤 명령어를 사용했고 어떤 악의적인 페이로드를 전송했는지 파악 가능

- 네트워크 조사의 문제점

• 실제 IP 주소를 스푸핑하여 수사를 어렵게 만듦
• 로그 기능도 비활성화 해놓으면 완전 도루묵
• 침해가 너무 늦게 발견되도 로그 날라가기에 수사 방해
• 특히 흔적은 국경을 넘나들기 때문에 국제적인 법적 관할권도 문제임

---

6. 요약

• 네트워크 보안은 매우 중요한 부분
• 각각의 네트워크는 그 크기와 복잡성 면에서 매우 다름
• 방화벽 및 침해탐지시스템과 같이 핵심 네트워크 인프라 보호 툴이 많이 있다.
• 침해 대응에 사전 계획하여 효과적 대응하도록 합시다.

 

 

 

< 책 출처 > 

이제 시작이야! 디지털 포렌식 - 존 새몬스 지음