일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- CTF-D
- 실기
- memory
- 생활코딩 html
- ftz
- blkls
- Window process
- 디지털포렌식
- 2022시작
- html
- 는 하지마...
- 24시간의 전사
- Multimedia
- 정보처리기사 필기 합격
- 디지털포렌식 with CTF
- 네트워크관리사2급
- 윈도우 프로세스
- vinetto
- network
- Multimeida
- 포렌식
- 슬퍼유
- ZIP 파일구조
- 윈도우 프로세스 종류
- 생활코딩
- disk
- slack space
- 네트워크 보안
- N0Named
- pythonchallenge
Archives
- Today
- Total
ssoL2 TISTORY
[이제 시작이야! 디지털 포렌식] Chapter 9 네트워크 포렌식 본문
해커들은 수많은 방법으로 네트워크를 공격할 수 있다.
- 사회공학기법
- 인증된 사용자가 인증되지 않은 사용자에게 민감한 정보를 누설하게 만든다.
1. 네트워크 기초
- 물리적(이더넷 케이블) 혹은 무선으로 연결
- 서로 합의한 통신 규약인 프로토콜, 네트워크 프로토콜 두 가지
- 1. TCP/IP(Transmission Control Protocol/Internet Protocol) , 인터넷에서 사용함
- -> 가장 흔한 네트워크 종류는 클라이언트/서버 네트워크
- 2. P2P(Peer-to-Peer) , 파일 공유 프로그램에서 많이 사용함
- -> 네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 두 역할 모두 수행 가능
- 네트워크 종류
- 근거리 통신망(Local Area Network, LAN)은 작은 사무실에서 사용
- 광역 통신망(Wide Area Network, WAN)은 다른 위치에 있는 여러 개의 LAN으로 구성
- MAN(Mettropolitan Area Network), PAN(Personal Area Networks), CAN, GAN 등
- 인터넷 vs 인트라넷-> TCP/IP 프로토콜 사용하며 비공개, 접근 제한적, 파일 공유 및 통신에 사용
- 고유의 식별번호 IP 주소, 2 가지 버전
- 1. IPv4 : 더 이상 할당할 주소 없음, 40억개의 IP주소
- -> 198.122.55.16 / 각 숫자는 8비트로 0~255 값을 가짐
- 2. IPv6 : 거의 무한한 숫자의 주소 할당 가능
- -> 2008:0eb3:29a2:0000:0000:8c1d:0967:7256
- 정적 IP 주소는 고정이지만, 동적 IP 주소는 주기적으로 변함
- 패킷 스위칭 : 데이터를 패킷이라 부르는 작은 조각으로 만듦
- 패킷 스위칭 이후 IP 주소를 이용해 최종 도착지로 전송
- 각 패킷은 헤더(송수신자의 정보 및 패킷 정보) + 페이로드 + 푸터(패킷 확인용) + CRC(순환 중복 검사)
- 만약 CRC가 일치하지 않는다면 데이터 재요청
- 게이트웨이 : 또 다른 네트워크로의 출입구 역할을 하는 네트워크 지점
- 브리지 : 동일한 프로토콜을 사용하는 두 개의 네트워크를 연결하는데 사용
- 라우터 : IP 주소를 사용하여 네트워크에 있는 데이터를 최종 도착지로 전송
2. 네트워크 보안 툴
- "언제 침해가 발생할 것인가" 생각하고 준비하자.
- 방화벽 : 네트워크의 게이트웨이 서버에 위치해서 송수신되는 네트워크 트래픽을 필터링
- 침입 탐지 시스템 : 네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터
- 스노트(snort)는 오픈소스 네트워크 침임 탐지 시스템으로, 네트워크를 스니핑하여 모니터하다 경고함
3. 네트워크 공격
- 분산 서비스 거부 공격(Distributed Denial of Service, DDos) : 공격하는 컴퓨터 "봇넷(botnet)"은 "좀비(zomebies)"라 불리는 여러 대의 침해된 컴퓨터로 이루어져 엄청난 양의 메세지와 요청으로 공격
- IP 스푸핑(spoofing) : 알려진 IP 주소를 위조하거나 스푸핑
- 중간자 공격(Man-In-The-Middle-Attack) : 사용자간의 통신 컴퓨터 사이에 삽입해 통신 조작
- 사회공각기법 : 가장 효과적인 공격이며, 인간과의 상호작용으로 보안 절차를 따르지 않도록 속이는 것
침해사고에서 가장 많이 사용된 해킹 기법 -> 1. 백도어나 명령/통제 채널 공격 2. 디폴트 또는 추측할 수 있는 인증 공격 3. 무차별대입 공격과 딕셔너리 공격 4. 풋프린팅 및 핑거프린팅 5. 타라취한 로그인 인증정보 사용 |
- 1. 백도어나 명령 및 통제 채널 공격은 공격자가 보안 대응책을 우회할 수 있도록 함
- 4. 풋프린팅이나 핑거프린팅은 공격자가 열려있는 포트나 서비스를 스캔하는 자동화 작업
- 네트워크 보안은 외부뿐만 아니라 내부 위협도 중요
4. 침해대응
- 툴, 인력 그리고 계획이 있으면 피해 최소화 GOOD
- 침해대응 단계
- 1. 준비 : 네트워크 방어 수준 정기 테스트하여 취약점 식별
- 혹은 예방책 활용 (패치 시스템, 호스트 보안, 네트워크 보안, 사용자 인식 개선 및 교육 등)
- 2. 탐지 및 분석 : 의심스러운 활동을 잘 식별하기 위해서 "일상적인" 네트워크 데이터나 활동을 파악해야 함
- 공격 징후로는 백신 프로그램의 징후, 비정상적으로 느려진 인터넷, 비정상적인 네트워크 트래픽 등
- 3. 봉쇄, 박멸 및 복구 : 침해 피해 최소화를 위해 반드시 통제 필요
- 일부 봉쇄 방안으로는 침해 당한 컴퓨터 끄기, 네트워크 연결 차단, 장비 비활성화 등
- 4. 사후활동 : 검토 및 개선 필요
- 잘한 점, 미흡한 점, 정책 및 절차가 충분했는지, 어떻게 발전시킬 수 있을지 등
- 침해대응 팀을 구성하고 디지털 포렌식 능력자 필요
5. 네트워크 증거와 수사
- 네트워크 경로에 있는 장비 수사
- 라우터나 서버는 매우 중요한 정보 저장 가능
- 라우터는 네트워크에서 핵심적인 구성요소이기에 해커들의 공격 목표
- 그러나, 라우터는 휘발성이 강하기에 전원 끄면 증거 날아가므로 라이브 포렌식해야함
- 로그 파일
- 네트워크 조사에 있어 로그 파일에 주로 증거가 생김
- 인증, 프로그램, 운영체제, 방화벽 로그
- 인증 로그(그리고 IP주소)는 특정 이벤트와 연관 있는 계정을 식별함
- 프로그램 로그는 날짜와 시간 그리고 프로그램 식별자도 기록함
- 운영체제 로그는 시스템 재부팅뿐만 아니라 어떤 기기 사용했는지 추척
- -> 네트워크의 활동 패턴과 비정상 활동을 인지하는 데 유용
- 로그 파일은 빠르게 변화하고 사라지므로 수집과정 중요
라우터 로그에 있는 유용한 정보 -> 요청된 URL 서버 이름 서버 IP 주소 클라이언트의 URL 클라이언트의 IP 주소 누가 언제 로그인했는지에 대한 기록 |
- 라우터에서 증거 수집시 최대한 라우터에 영향 가지 않도록 해야함
- -> 네트워크로 접속하는 것보다 콘솔에 직접 접속하는게 훨씬 좋음
- 명령어도 신중히 써야함, "configuration"은 피해야 하며 "show"를 사용
- 네트워크 조사 툴
- 현재 네트워크에 돌아다니는 트래픽(패킷)에 중요 단서 가능성
- 스니퍼 : 네트워크 트래픽을 캡쳐하고 분석할 수 있는 툴
- Wireshark, NetIntercept, Netwitness Investigator, Snort
- 어떤 파일이 도난 당했고, 어떤 명령어를 사용했고 어떤 악의적인 페이로드를 전송했는지 파악 가능
- 네트워크 조사의 문제점
- 실제 IP 주소를 스푸핑하여 수사를 어렵게 만듦
- 로그 기능도 비활성화 해놓으면 완전 도루묵
- 침해가 너무 늦게 발견되도 로그 날라가기에 수사 방해
- 특히 흔적은 국경을 넘나들기 때문에 국제적인 법적 관할권도 문제임
6. 요약
- 네트워크 보안은 매우 중요한 부분
- 각각의 네트워크는 그 크기와 복잡성 면에서 매우 다름
- 방화벽 및 침해탐지시스템과 같이 핵심 네트워크 인프라 보호 툴이 많이 있다.
- 침해 대응에 사전 계획하여 효과적 대응하도록 합시다.
< 책 출처 >
이제 시작이야! 디지털 포렌식 - 존 새몬스 지음
'read > 이제 시작이야! 디지털 포렌식' 카테고리의 다른 글
[이제 시작이야! 디지털 포렌식] Chapter 10 휴대기기 포렌식 (0) | 2021.01.31 |
---|---|
[이제 시작이야! 디지털 포렌식] Chapter 6 안티포렌식 (0) | 2021.01.27 |
[이제 시작이야! 디지털 포렌식] Chapter 8 인터넷과 이메일 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 5 윈도우 시스템에서의 증거 수집 (0) | 2021.01.24 |
[이제 시작이야! 디지털 포렌식] Chapter 4 증거 수집 (0) | 2021.01.18 |
Comments