네트워크 포렌식

해커들이 네트워크를 공격할 때 일부 공격은 취약점을 공격함

이러한 취약점에 대한 해결책은 주로 패치의 형태로 배포됨

 

· 사회공학기법 공격 : 인증된 사용자가 인증X 사용자에게 민감한 정보를 누설하도록 만듬

공격자가 직원, 고객, 보안 컨설턴트 등의 행세를 함

☞ 기술과 사람의 취약점 모두 활용한 혼합공격

 

 

◆ 네트워크 기초

 

네트워크를 구성하기 위해서는

1. 컴퓨터나 장비 사이를 (물리적 or 무선)연결해야 함

2. 사전에 서로 합의한 통신 규약(프로토콜)이 있어야 함

   - TCP/IP(Transmission Control Protocol/Internet Protocol) : 널리 사용되는 네트워크 프로토콜, 인터넷에서 사용

 

· 네트워크 구성

- 클라이언트/서버 네트워크 : 각 컴퓨터는 두 가지 역할 中 하나의 역할 수행

   - 클라이언트 : 최종 사용자가 사용하는 컴퓨터

                      파일, 서비스, 정보 등을 서버로부터 요청

   - 서버 : 파일, 서비스, 정보를 여러 클라이언트에게 제공함

             네트워크를 더 많이 통제할 수 있음

             보통 특정한 기능 하나만 수행  ex) 프린트 서버, 파일 서버, 이메일 서버

  => 하나의 서버가 수백 대의 클라이언트와 파일을 공유할 수 있음 

 

- P2P (Peer-to-Peer) : 네트워크에 있는 모든 컴퓨터가 클라이언트 & 서버 역할 모두 수행

파일 공유 프로그램에서 가장 많이 사용 / 기업에서 사용 X

  → 불법 공유에 사용되어 문제 발생

 

· 네트워크 종류

- 근거리 통신망 (Local Area Network, LAN) : 일반적으로 작은 사무실에서 사용하는 네트워크

  하나의 사무실or빌딩에 있는 컴퓨터와 기기들로 구성됨

- 광역 통신망(Wide Area Network, WAN) : 규모 大

  다른 위치에 있는 여러 개의 LAN으로 구성됨

  지정학적으로 매우 넓은 범위 포함 가능

 

이밖에도 

MAN(Metropolitan Area Network), PAN(Personal Area Network),

CAN(Campus Area Network), GAN(Global Area Network) 등이 존재

 

· 인트라넷 : 단체의 직원만 접근 가능한 사설망

                ↔ 인터넷

                파일 공유, 통신 등에 사용됨

                인터넷과 비슷하게 작동 - 웹 브라우저 사용·접속, 동일 프로토콜인 TCP/IP 사용

 

· IP 주소 : TCP/IP 프로토콜 사용하는 네트워크에서 네트워크에 연결된 각 컴퓨터 or 기기마다 존재하는 고유의 식별번호

  메시지와 데이터를 정확히 도착지에 전달하는 데 사용됨

  - 버전 4(IPv4)와 버전 6(IPv6)이 있는데 현재 IPv4에서 IPv6으로 교체되고 있음

 

- IPv4 주소 : '.' 으로 분리된 4개의 숫자로 구성됨

  각각의 숫자는 8비트 -> 0~255까지의 값 가짐

   ex) 198.122.55.16

- IPv6 주소 ex) 2008:0eb3:29a2:0000:0000:8cld:0967:7256

 

 

- 정적주소 : 고정되어 변하지 X

- 동적주소 : 주기적으로 변함

 

 

· 네트워크에 있는 데이터 전송 방법

 - 패킷 스위칭 : 데이터를 패킷이라 부르는 작은 조각으로 만듬 -> IP주소를 사용해 최종 도착지로 전송

 

· 패킷 구성 : 헤더, 페이로드, 푸터

 - 헤더 : 송수신자의 IP 주소가 담김 , 주소 정보 저장

            패킷의 양과 순서를 저장함

 - 페이로드

 - 푸터 : 수신자에게 해당 패킷이 마지막 패킷임을 알려줌

            CRC(cyclical redundancy check, 순환 중복 검사)를 함(패킷에 있는 모든 1의 합)

    ☞ 패킷의 무결성을 검증하는 데 사용

 

+ 추가 설명 : nicejoo.blogspot.com/2012/02/tcpip.html

TCP/IP의 패킷구조와 역할

 

- 게이트웨이 : 또 다른 네트워크로의 출입구 역할을 하는 네트워크 지점

출처 : https://brownbears.tistory.com/195

- 브리지 : 동일한 프로토콜을 사용하는 두 개의 네트워크를 연결하는 데 사용

- 라우터 : IP 주소를 사용해 네트워크에 있는 데이터를 최종 도착지로 전송

 

 

◆ 네트워크 보안 툴

 

'만약 침해가 발생한다면' X

'언제 침해가 발생할 것인가' O -> 생각하고 준비하기

 

- 방화벽 : 연관된 프로그램의 세트로, 네트워크의 게이트웨이 서버에 위치해 있으며 다른 네트워크의 사용자로부터 사설 네트워크의 자원을 보호함

  송수신되는 네트워크 트래픽을 필터링하는 역할

  네트워크 패킷을 유심히 조사한 후 다음 트래픽 허용/비허용 결정

- 침입 탐지 시스템 : 기업 내부&외부의 공격을 탐지하기 위함

                           네트워크에서 공격 패턴이나 일상적 X 시스템 or 사용자 활동을 모니터함

  ex) 스노트(Snort) : 잘 알려진 오픈소스 네트워크 침입 탐지 시스템

      네트워크를 스니핑(네트워크 상에 지나다니는 패킷들을 캡쳐해 그 안에 있는 내용 들여다보는 기술)해

      실시간으로   네트워크를 모니터하고 있다가 잠재적 문제 식별되면 경고를 보냄

 

 

◆ 네트워크 공격

 

- 분산 서비스 거부 공격(Distributed Denial of Service, DDoS) : 침해된 수많은 컴퓨터(봇넷, bortnet : 좀비라고 불리는 여러 대의 침해된 컴퓨터로 이뤄짐)를 사용해 단 하나의 시스템을 공격하는 데 사용

공격하는 컴퓨터들은 엄청난 양의 메시지, 요청으로 공격대상 컴퓨터를 압도함 -> 공격대상 시스템 마비

- IP 스누핑(snoofing) : 공격자는 공격대상 네트워크에 접근하기 위해 유효하거나 알려진 IP 주소를 위조, 스누핑 함

 

- 중간자 공격 (Man-In-The-Middle-Attack) : 특정 사용자와 그 사용자가 통신하는 컴퓨터 사이에 해커 자신을 삽입

      -> 사용자가 하는 통신을 모니터, 변경, 삭제하고 사용자 행세 가능

 

- 사회공학기법 : 보호되어 있는 정보를 속임수나 사기로 획득하는 것

                      해커들이 사용할 수 있는 공격 中 가장 효과적인 공격

 

 

네트워크 보안은 방화벽 외부 & 내부에 발생하는 위협 모두에 관심 가져야 함

 

 

◆ 침해대응

 

- 준비 : 네트워크의 방어 수준을 정기적으로 평가, 테스트해 취약점을 식별

          예방책 - 패치 시스템, 호스트 보안, 네트워크 보안, 사용자 인식 개선 및 교육 등 포함

- 탐지·분석 : 공격 징후를 잘 파악 ( 백신 프로그램의 경고, 비정상적으로 느려진 인터넷, 비정상적인 네트워크 트래킹 )

- 봉쇄, 박멸, 복구 : 침해를 봉쇄(통제)해야 함

                         -> 침해 당한 시스템의 전원 끄기, 네트워크 연결 차단, 장비의 일부 기능 비활성화

- 사후활동 : 침해사고 후 사고에 대해 검토하여 개선해야 할 부분 찾기

 

 

◆ 네트워크 증거 수사

 

· 라우터 ☞ 증거가 저장되어 있을 가능성 있을 뿐만 아니라 해커들의 공격대상

  : 네트워크에서 핵심적인 구성요소임

  증거로 사용할 때 휘발성 때문에 문제 -> 라이브 포렌식 해야 함

  -> 최대한 라우터에 영향 주지 않고 증거 수집하기 위해서는

  네트워크에서 라우터에 접속하는 대신 라우터의 콘솔에 직접 접속하는 것이 더 좋음

 

※ 데이터를 잠재적으로 변조시킬 수 있는 명령어 피해야 함 !

  ex) configuration 명령어 X -> show 명령어 사용 

  > (router name)#show clock detail - 시스템 시간 표시

  > (router name)#show users - 라우터에 접근권한이 있는 사용자 표시

 

· 로그 파일

: 네트워크에 있는 많은 기기와 컴퓨터는 이벤트와 활동 로그를 생성함

- 로그파일의 종류 

  - 인증로그 : 특정 이벤트와 연관 있는 계정을 식별

  - 프로그램 로그 : 날짜, 시간, 프로그램 식별자 기록

  - 운영체제 로그 : 시스템 재부팅, 어떤 기기 사용했는지 추적함

 

☞ 라우터 로그에 들어있는 유용한 정보 : 요청한 URL, 서버 이름, 서버 IP주소,

    클라이언트의 URL, 클라이언트의 IP 주소, 로그인 기록

 

※ 로그 파일은 매우 빠르게 변화하고 사라진다는 점 명심해야 함

 

· 네트워크 조사 툴

- 스니퍼 : 네트워크 트래픽(패킷)을 캡쳐, 분석할 수 있는 툴

  ☞ 어떤 파일이 도난 당했는지, 어떤 명령어가 실행되었는지, 어떤 악의적인 페이로드가 전송되었는지 판단 가능

  ex) Wireshark, NetIntercept, Netwitness Investigator, Snort