network 보안 18

Wireshark 필터

eth.addr == 00:30:f9:00:00:01 출발지나 목적지 MAC 주소로 검색 eth.src == 00:30:f9:00:00:01 출발지 MAC주소 검색 eth.dst == 00:30:f9:00:00:01 목적지 MAC주소 검색 ip.addr == 10.1.0.1 출발지나 목적지 IP주소로 검색 ip.src == 10.1.0.1 출발지 IP주소로 검색 tcp.port == 1470 TCP 출발지나 목적지 포트 번호로 검색 tcp.dstport == 1470 TCP 포트 목적지 포트 번호로 검색 tcp.srcport == 1470 TCP 포트 출발지 포트 번호로 검색 udp.port == 2000 UDP 출발지나 포트 목적지 포트 번호로 검색 udp.dstport == 2000 UDP 포트 목적..

AAA 인증

aaa authentication login VTY_AUTH group tacacs+ local : aaa VTY 인증은 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 처리 aaa authentication login CON_AUTH local : aaa console에 대한 인증은 local로 처리한다. aaa authorization exec VTY_PRI group tacacs+ local : aaa vty에 대한 권한은 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 한다. aaa authorization commands 15 VTY_PRI group tacacs+ local : aaa vty에 대한 관리자 명령어 권한에서 tacacs 인증 서버에서 먼저 처리하고 안되면..

ARP Spoofing

- ARP Spooging 실습 - cain을 이용한 모의해킹 ▲ cain & abel 실행 ▲ 스니핑 시작 ▲ Sniffer 탭을 누른다. ▲ + 버튼을 클릭한다. ▲ 바로 OK를 누릅니다. ▲ OK를 누르면 자동으로 현재 동일 네트워망에 연결된 기기들을 스캔합니다. ▲ 스캔이 끝났으면 ARP탭을 누릅니다. ▲ + 버튼을 누른다. ▲ 왼쪽에는 상대방의 아이피, 오른쪽에는 공유기의 게이트웨이 ( 보통 끝이 1로 끝난다) ▲ 스푸핑 버튼을 클릭합니다. ▲ 위와같이 뜬다면 스푸핑에 성공 ▲ 보고자하는 주소를 선택하고 오른쪽 클릭 -> View를 누릅니다. ▲ 파일들이 나오는데 열어서 보면 갖가지 정보가 담겨있다. 타인이 로그인한 네이버 아이디의 쿠키값이 있네요. 복사한다. 자신의 아이디로 로그인 ▲ 쿡시툴바..

network 보안 2018.06.06

GRE over IPSec VPN 및 이중화

conf t int tunnel 1 tunnel mode gre ip ip add 10.100.1.1 255.255.255.252 tunnel source fastethernet 0/1 tunnel destination 1.1.100.6 keepalive 10 3 -> 10초마다 살아있는지 확인,3번 반복할때 1번도 답변이 오지 않으면 keepalive가 된 것이다. exit int tunnel 2 tunnel mode gre ip ip add 10.100.1.5 255.255.255.252 tunnel source fastethernet 0/1 tunnel destination 1.1.100.10 keepalive 10 3 exit router ospf 1 net 10.100.1.1 0.0.0.0 ar..

network 보안 2016.09.05

Cisco ASA Firewall

- Cisco ASA Firewall - Firewall 모드는 크게 다음과 같이 구분된다. 1) Router 모드 (L3 방화벽) 2) Transparent 모드 (L2 방화벽) - 'Router 모드'에서 [firewall transparent] 명령어를 사용하면 L2 방화벽인 'Transparent 모드'로 변경되고 다시 [no firewall transparent] 명령어를 사용하면 L3 방화벽으로 변경된다. - ASA의 경우 기본적인 MPF(Modular Policy Framework)가 설정되어 있다. 만약 기본적인 MPF가 [show running-config] 명령어로 확인되지 않을 때 장비를 reload하고, [clear configure all] 명령어를 여러번 입력하면 확인이 가능하다..

CoPP (Control Plane Policing)

- CoPP (Control Plane Policing) - Server가 아닌 Network Device를 대상으로 수행되는 DoS 공격을 방어할 수 있다. - 만약 공격자가 Network Device에 대한 DoS 공격을 수행할 경우 정상적인 Routing 및 기타 작업들이 처리되지 않기 때문에 서비스 제공에 문제가 발생 - Control Plane에 대한 부하가 심할 경우 Console 접근 등의 Management Plane 부분도 문제가 발생하여 정상적인 접근이 힘들다. - 때문에 Data Plane에서 Control Plane으로 이동하는 경로를 하나의 가상 interface처럼 지정하여 QoS를 적용시키는 개념이다. QoS Policing : 초당 정해진 8000bps 미만이면 버린다. sh..

network 보안 2016.09.03

TCP Intercept

- TCP Intercept - Server 앞에 위치한 Network Device(ex. Router, Firewall..)에서 SYN Flooding 공격을 방어할 수 있는 방법 중간에 위치한 Network Device가 Clinet와 Server가 교환하는 3-way handshakes 과정을 중간에서 가로챈 다음 자신인 Server인 척 Client 대신 Connecton을 맺는다. 만약 Client에게 최종 ACK를 30초 동안 수신하지 못할 경우에는 해당 연결을 차단 정상적으로 최종 ACK를 수신하게 되면 해당 Connection 정보를 Server에게 전달한다. - TCP Intercept 모드는 다음과 같다. 1) Intercept 모드 -> Default (기본) 모드, 위의 설명처럼 중..

network 보안 2016.09.03

IP Spooping Attack 방어

- IP Spoofing Attack 방어 - IP Spoofing 공격을 출발지 IP 주소를 변조하여 공격을 수행한다. IP Spoofing 공격의 목적은 Local Network 안에서 IP 주소로 맺어진 Trust Relationship을 우회하기 위한 것일 수도 있고 혹은 다른 공격 진행 시 역추적을 피하기 위한 목적일 수도 있다. - IP 주소를 변조시 실제 공인 IP 주소를 사용하는 것보다 도달성이 없는 사설 IP, Class E 대역 등을 사용하는 것이 더 효과적인 공격이다. - IP Spoofing 공격을 방허할 수 있는 방법은 다음과 같다. Bogon-list를 사용한 Filtering 정책 -> 고객 측의 Firewall과 같은 경계 장비에 적용되는 정책 -> 실제 INTERNET 라우..

network 보안 2016.09.02

IPSec VPN

- IPSec VPN - IPSec은 Public Network에서 IP 패킷을 안전하게 전송하기 위한 IETF 표준 VPN 기술 - Public Network를 통해서 Data가 안전하게 전송되기 위해서는 다음과 같은 사항들이 보장되어야 한다. 1) 기밀성 (암호화 - DES/3DES/AES) - 암호화 키와 복호화 키가 같은 대칭키를 사용한다. 2) 무결성 (MD5-HMAC/SHA-HMAC) 3) 인증 (Pre-shared key/인증서) 4) 재생 방지 (순서 번호) - VPN은 구현 프로토콜에 따라 다음과 같이 분류가 가능하다. -> IPSec / SSL / PPTP / L2TP / MPLS - VPN 구성에 따른 분류는 다음과 같다. 1) Site-to-Site(LAN-to-LAN) VPN - ..

network 보안 2016.09.01

IEEE 802.1X 인증(= dot1x 인증)

- IEEE 802.1X 인증(= dot1x 인증) - 유선 / 무선 환경에서 End Device가 네트워크에 접속하려는 경우 사용자 인증에 따라서 접근을 허락할지 혹은 차단할지를 결정할 수 있는 방식 - dot1x 인증은 EAP(Extensible Authentication Protocol)라는 인증 프로토콜이 사용된다. 'dot1x 프로토콜'은 종단 장치와 Switch(혹은 무선 AP) 사이에서 EAP 메시지가 전송될 수 있는 프레임과 절차를 정의한 것이다. -> 이를 EAPoL(EAP over LAN)이라고 표현한다. 사용자가 입력한 계정 정보는 EAP 메시지 안에 들어가고 종단 장치에서 Switch(혹은 AP)까지는 EAPoL에 의해 전송된다. 그 후 Switch는 EAP 메시지를 Radius 방..

network 보안 2016.09.01