IT 관리자가알아야할보안키포인트 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 오늘과내일 /

Similar documents
Network seminar.key

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

KISA-GD

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - ch13.ppt

bn2019_2

제20회_해킹방지워크샵_(이재석)

1217 WebTrafMon II

UDP Flooding Attack 공격과 방어

TCP.IP.ppt

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

hd1300_k_v1r2_Final_.PDF

PowerPoint 프레젠테이션

Microsoft Word - NAT_1_.doc

Subnet Address Internet Network G Network Network class B networ

Microsoft Word Question.doc

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

untitled

6강.hwp

Microsoft Word - access-list.doc

chapter4

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

운영체제실습_명령어

Microsoft PowerPoint - ch15.ppt

슬라이드 1

자바-11장N'1-502

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ARMBOOT 1

SMB_ICMP_UDP(huichang).PDF

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

Assign an IP Address and Access the Video Stream - Installation Guide

PowerPoint 프레젠테이션

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

*****

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로

歯Cablexpert제안서.PDF

Remote UI Guide


PowerPoint 프레젠테이션

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

침입방지솔루션도입검토보고서

PowerPoint 프레젠테이션

Chapter11OSPF

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

untitled

Microsoft Word doc

2-11Àå

Microsoft PowerPoint - ch07.ppt

VZ94-한글매뉴얼

<B6F3BFECC5CDB8A620C8B0BFEBC7D120B3D7C6AEBFF6C5A920BAB8BEC8BCB3C1A42E687770>

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

슬라이드 제목 없음

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

Sena Device Server Serial/IP TM Version

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

Microsoft PowerPoint - IRC_User_Manual.ppt

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트


Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

*

歯김병철.PDF

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

PowerPoint 프레젠테이션

Interstage5 SOAP서비스 설정 가이드

방화벽 설정 - iptables

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

DNS Áø´Üµµ±¸ - dig È°¿ë¹æ¹ý °¡À̵å(U0625).hwp

DocsPin_Korean.pages

Secure Programming Lecture1 : Introduction

PCServerMgmt7

H.I.S.L 스니핑동작원리및공격방법 작성자 : 한서대학교 H.I.S.L 동아리전정수 본보고서의전부나일부를인용시반드시 [ 자료 : 한서대학교정보보호동아리 (H.I.S.L)] 를명시하여주시기바랍니다

Analyst Briefing

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

정보보안 개론과 실습:네트워크

untitled

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

슬라이드 1

2009년 상반기 사업계획

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Solaris System Administration

클라우드컴퓨팅이란? WHAT IS CLOUD COMPUTING? 2

SRC PLUS 제어기 MANUAL

10X56_NWG_KOR.indd

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우

PPP over Ethernet 개요 김학용 World Class Value Provider on the Net contents Ⅰ. PPP 개요 Ⅱ. PPPoE 개요및실험 Ⅲ. 요약및맺음말

arp_sniffing.hwp

Transcription:

IT 관리자가알아야할보안키포인트 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 오늘과내일 / 과장홍석범!antihong@tt.co.kr

발표순서 1. 스니핑등네트워크기반공격의이해 기본전제 : 네트워크는원래 (!) 취약하다. 2. 라우터, 스위치보안 3. 서버보안 -. 메일서버보안 -. DNS 서버보안 -. 웹서버, ftp 서버보안 4. 사무실에서의보안 -. 공유차단 -. 사설네트워크구현 -. p2p 프로그램차단 네트워크의미래를제시하는세미나 NetFocus 2003 2

네트워크구성의전형 라우터 메인스위치 PC / 서버군 네트워크의미래를제시하는세미나 NetFocus 2003 3

네트워크기반공격의이해 (1) -. LAN 구간의통신 : ARP 의 Broadcast 가선행. Windows 의경우 IP 충돌을검사하기위해부팅시 arp 를 broadcast -. ARP(Address Resolution Protocol) IP --> MAC(Media Access Control) -. 로컬구간에서 TCP 접속시 ARP 교환후 3 Way-Handshake 시작. (tcpdump or windump 로확인 ) Windump : http://windump.polito.it/ 네트워크의미래를제시하는세미나 NetFocus 2003 4

ARP 작동방식 네트워크의미래를제시하는세미나 NetFocus 2003 5

실시간 ARP 작동예 네트워크의미래를제시하는세미나 NetFocus 2003 6

Arp 작동방식 arp who-has has 192.168.1.192 tell 192.168.1.1! 192.168.1.1 이 192.168.1.192 의 MAC 주소를알기위해브로드캐스트질의 arp reply 192.168.1.192 0:50:8b:9a:2e:a8! 192.168.1.192 의 MAC 주소가 (0:50:8b:9a:2e:a8) 임을응답함 -. arp cache arp cache timeout: 서버 :60s, 라우터 4h 네트워크의미래를제시하는세미나 NetFocus 2003 7

스위치및허브의차이 ( 스위치 ) 네트워크의미래를제시하는세미나 NetFocus 2003 8

스위치및허브의차이 ( 허브 ) 네트워크의미래를제시하는세미나 NetFocus 2003 9

스위치 / 허브에서의 arp Dummy 환경 (1) arp 요청 (2) arp 응답 (3) tcp 3 way handshake (4) 데이터교환모두 broadcast Switch 환경 (1) arp 요청만이 broadcast (2) arp 응답 (3) tcp 3 way handshake (4) 데이터교환모두 unicast 로작동 네트워크의미래를제시하는세미나 NetFocus 2003 10

스위치환경에서다른 IP 가보이는경우 (1) 미러링 (span) 포트인경우 (2) 스위치가어떤포트로패킷을포워딩해줘야할지모르는경우 (3) 스위치의각포트별 IP:MAC 정보메모리가 Full 일경우 (4) 기본적으로모든스위치는완전히모든패킷을정확히필터링하지않음. 특히스위치가 busy 할경우. 네트워크의미래를제시하는세미나 NetFocus 2003 11

Sniffing 가능한이유 (1) Plain text 전송 (2) broadcast Dummy허브대신스위치사용? Arp 위조를이용한스니퍼프로그램 http://www.arp arp-sk sk.org/ http://monkey.org/~dugsong dugsong/dsniff dsniff/ http://www.securiteam securiteam.com/tools/5zp0d1f2kq.html Gratuitous Arp gratuitous_arp arp -i i eth0 192.168.1.3 00D0B788E08F 192.168.1.255 ffffffffffff 네트워크의미래를제시하는세미나 NetFocus 2003 12

ARP 를이용한 sniffing Switch Jam(MAC Flooding) 위조된 MAC을지속적으로발생시켜스위치의 ARP 테이블을 Flood 시킨다.! dsniff 의경우분당 155,000 개 MAC 정보발생 ARP Redirect 자신이마치 Gateway 인것처럼위조된 MAC 을 Broadcast 하여모든트래픽이통과하게한다. ARP Spoofing 양서버사이에서스니핑하고자하는서버인것처럼 MAC 을위조하여트래픽을포워딩한다. MAC Duplicating 스니핑하고자하는서버의 MAC 주소와같은 MAC 주소를설정하는방법. 네트워크의미래를제시하는세미나 NetFocus 2003 13

Sniffing 에대한대처방법 (1) IP Flitering 각각의스위치포트에서오가는트래픽을필터링 (2) Port security 각각의포트에물리적인 MAC 주소를정적 (Static) 으로설정 (3) 라우터등에서 static 설정 Router# conf t Router(conf)# arp 1.1.1.1 00d0.b789.d700 (4) 암호화전송프로토콜사용 네트워크의미래를제시하는세미나 NetFocus 2003 14

icmp 기반의 DDoS 공격 네트워크의미래를제시하는세미나 NetFocus 2003 15

icmp 기반의 DDoS 공격 -. 외부에서의 broadcast 요청에응답하는경우 # ping 202.102.233.255 PING 202.102.233.255 (202.102.233.255) from 211.0.0.1 : 56(84) bytes of data. 64 bytes from 202.102.233.207: icmp_seq=0 ttl=126 time=3345.4 ms 64 bytes from 202.102.233.194: icmp_seq=0 ttl=126 time=3542.7 ms (DUP!) 64 bytes from 202.102.233.193: icmp_seq=0 ttl=126 time=3738.8 ms (DUP!) 64 bytes from 202.102.233.214: icmp_seq=0 ttl=126 time=4053.1 ms (DUP!) 64 bytes from 202.102.233.207: icmp_seq=1 ttl=126 time=3316.3 ms 64 bytes from 202.102.233.194: icmp_seq=1 ttl=126 time=3541.0 ms (DUP!) -. 열려있는 IP 대역 : http://www.netscan.org/ -. 공격자가되지않기위해 -- egress filtering -. 희생자가되지않기위해 -- icmp echo reply 에대한 rate-limit(qos) 네트워크의미래를제시하는세미나 NetFocus 2003 16

icmp 기반의 DDoS 공격 -. 증폭기 (amplifier) 로악용되지않기위해 (1) no ip directed-broadcast Router(config)# interface serial 2/0 Router(config-if)# no ip directed-broadcast (2) access-list Router(config)# access-list 110 deny ip any host 14.2.6.255 Router(config)# access-list 110 deny ip any host 14.2.6.0 Router(config)# interface interface serial 2/0 Router(config-if)# ip access-group 110 in 네트워크의미래를제시하는세미나 NetFocus 2003 17

TCP 기반의 DoS 공격 -.SYN_Flooding Attack 3 way handshake 네트워크의미래를제시하는세미나 NetFocus 2003 18

TCP 기반의 DoS 공격 -.SYN_Flooding Attack 에대한대비방법 1. 시스템의백로그큐 (Backlog Queue) 크기를늘려준다. 2. 리눅스계열 : syncookies Windows 계열 : 레지스트리변경 3. 라우터나파이어월의방어솔루션을이용한다. tcp intercept ( 실제적용시주의 ) -. Intercept mode -. watch mode 네트워크의미래를제시하는세미나 NetFocus 2003 19

라우터보안 -. 라우터자체보안 -. 라우터를통한네트워크보안 1. 라우터에 password 설정하기 2. telnet 접근제한하기 3. SNMP 설정하기 4. 불필요한서비스 disable 5. 패킷필터링 6. 네트워크모니터링 네트워크의미래를제시하는세미나 NetFocus 2003 20

라우터에 password 설정하기 Console Password (Console 접속시사용 ) Router#configure terminal Router(configure)#line console 0 Router(configure-line)#password router Terminal Password (Telnet 접속시사용 ) Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#password router Enable Password Router#configure terminal Router(config)enable enable password 12345 Enable Secret Router#configure terminal Router(config)enable enable secret 12345 네트워크의미래를제시하는세미나 NetFocus 2003 21

라우터에 password 설정하기 typ 0 : cleartext typ 5 : one way md5 hash nonreversible typ 7 : reversible Hash function Reverse function Cisco --------------! 02050D480809 -------------! Cisco 네트워크의미래를제시하는세미나 NetFocus 2003 22

telnet 접근제한 (1/2) Access-list 를이용한접근제어 access-list 10 permit host 211.1.2.3 access-list 10 permit host 211.1.2.4 access-list 10 deny any line vty 0 4 access-class 10 in exec-timeout 5 0 password 7 09581B031200032F064G173W2E25 login local * access-class 대신각각의인터페이스에 access-list 이용도가능 네트워크의미래를제시하는세미나 NetFocus 2003 23

telnet 접근제한 (2/2) -. 라우터의 telnet listener 를 disable line vty 0 4 transport input none -. console 에암호설정 line con 0 login local exec-timeout 2 0 // console로접근시암호설정 // 2분동안키입력없을시종료 // 0은무제한 네트워크의미래를제시하는세미나 NetFocus 2003 24

CatOS 기반스위치접근제한 -. telnet 접근제어 Switch>(enable)set ip permit enable Switch>(enable)set ip permit 211.1.1.1 telnet -. Snmp 접근제어 Switch>(enable)set ip permit 211.1.1.1 snmp -. 모든 service 를허용 Switch>(enable)set ip permit 211.1.1.1 all 네트워크의미래를제시하는세미나 NetFocus 2003 25

SNMP 설정 1. Default community string 변경예 : Public! x27swf3 2. SNMP 접근통제 (udp/161) snmp-server community x27swf3 ro 11 snmp-server contact antihong@tt.co.kr access-list 11 permit host 211.1.2.5 access-list 11 deny any 3. 사용하지않는다면 SNMP 를 disable 한다. no snmp-server 4. 암호화가지원되는 v3 지원여부 (mrtg 지원 X) 네트워크의미래를제시하는세미나 NetFocus 2003 26

SNMP 제어설정 com2sec mynetwork 211.0.0.1 x27swf3 *NIX 계열 snmpd.conf 파일 Windows 계열 SNMP 설정 SNMP 를통해얻을수있는정보 Snmp brute force 공격 네트워크의미래를제시하는세미나 NetFocus 2003 27

불필요한서비스 disable # conf t (config)# no service udp-small-servers (config)# no service tcp-small-servers (config)# no service finger (config)# no service pad! x.25 프로토콜에서사용 (config)# no ip bootp server! 이라우터를통해부팅가능 ( 네트워크부팅 ) (config)# no ip http server (config)# no tftp-server (config)# no ip source-route! ip spoofing 을막기위해 source-route disable (config)# no c 에 run # set cdp disable! CatOS 경우 네트워크의미래를제시하는세미나 NetFocus 2003 28

불필요한서비스 disable Interface 에설정. (config)# int serial0 (config-if)# no ip redirects (config-if)# no ip directed-broadcast (config-if)# no ip proxy-arp # 양 LAN 세그먼트를연결해주는브리지로사용시에만필요 (config-if)# no ip unreachables 사용하지않는 interface 는반드시 shutdown!! (config)# interface eth0/3 (config-if)# shutdown 네트워크의미래를제시하는세미나 NetFocus 2003 29

Ingress filtering interface Serial0 ip access-group 101 in access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.0.2.0 0.0.0.255 any access-list 101 deny ip 169.254.0.0 0.0.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 240.0.0.0 15.255.255.255 any access-list 101 deny udp any any eq 1433 access-list 101 deny ip 211.1.1.0 0.0.0.255 any access-list 101 deny ip 211.1.2.0 0.0.0.255 any access-list 101 permit ip any any 라우터내부로 inbound 되는패킷의소스 IP 를체크해필터링 최근의 IP 할당내역 : http://www.iana.org/assignments/ipv4-address-space 네트워크의미래를제시하는세미나 NetFocus 2003 30

egress filtering interface Serial0 ip access-group 110 out access-list 110 permit ip 211.1.1.0 0.0.0.255 any access-list 110 permit ip 211.1.2.0 0.0.0.255 any access-list 110 deny ip any any log * log : 매칭되는패킷을로그에남김 * log-input : 인터페이스정보도함께남김 (increase some CPU load) SLOT 5:*May 17 20:06:46: %SEC-6-IPACCESSLOGDP: list 110 denied icmp 10.1.1.2 (GigabitEthernet0 ) -> 61.182.3.158 (0/0), 2 packets 라우터외부로 outgoing 되는패킷의소스 IP를체크해필터링 네트워크의미래를제시하는세미나 NetFocus 2003 31

Black Hole Filtering 형식 ) interface Null0 no ip unreachables! ip route <dest to drop> <mask> Null0 예 ) interface Null0 no ip unreachables! ip route 211.1.1.1 255.255.255.255 Null0 해당패킷은라우터내부로들어올수는있지만나갈수는없다.! ACL에비해맞은 cpu 부하율 네트워크의미래를제시하는세미나 NetFocus 2003 32

Switch Filtering CatOS> (enable) set port security 3/1 enable CatOS> (enable) set port security 3/1 enable 01-02-03-04-05-06 CatOS> (enable) set port security 3/21 enable age 10 maximum 5 violation shutdown 로그 : 2003 May 03 15:40:32 %SECURITY-1-PORTSHUTDOWN: Port 3/21 shutdown due to no space CatOS> (enable) set cam static filter 00-02-03-04-05-06 1 소스나목적지에특정한 MAC 주소를포함한트래픽을필터링 CatOS> (enable) set port broadcast <mod/port> 0.01% 특정포트의 broadcast 양을제한하여 broadcast storm 을방지 port broadcast <mod/port> 0.01% 방지 set 네트워크의미래를제시하는세미나 NetFocus 2003 33

IP accounting IP Accounting : 특정회선트래픽의소스, 목적지 IP, 패킷수, 바이트등을보여줌 performance impact 주의!!! ROUTER# conf t ROUTER(config)# int serial0 ROUTER(config-if)# ip accounting ROUTER(config-if)# exit ROUTER# sh ip accounting Source Destination Packets Bytes 192.168.65.75 210.145.255.74 1 75 192.168.65.103 66.77.73.150 7 6136 192.168.66.35 210.196.133.2 1 109 참고 : http://cipaf.sourceforge.net/ CIPAF 네트워크의미래를제시하는세미나 NetFocus 2003 34

NetFlow NetFlow ROUTER# conf t ROUTER(config)# ip flow-export version 5 peer-as ROUTER(config)# ip flow-export destination 211.0.0.1 2055 ROUTER(config)# int serial0 ROUTER(config-if)# ip route-cache flow ROUTER(config-if)# exit ROUTER# sh ip cache flow Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-WWW 716 0.0 9 84 0.1 4.1 2.1 TCP-SMTP 71 0.0 30 996 0.0 8.0 3.2 TCP-other 37 0.0 4 70 0.0 3.0 3.8 UDP-DNS 118 0.0 1 63 0.0 1.2 10.1 UDP-other 68 0.0 1 173 0.0 0.3 10.8 ICMP 5 0.0 1 67 0.0 0.0 11.9 Total: 1015 0.0 9 294 0.2 3.7 3.8 네트워크의미래를제시하는세미나 NetFocus 2003 35

NetFlow src dest pr src port des port 203.254.149.28 134.111.200.231 06 0401 0089 203.254.149.28 134.111.200.232 06 0402 0089 203.254.149.28 134.111.200.233 06 0403 0089 203.254.149.28 134.111.200.234 06 0404 0089 Protocol : 06 = 0*16^1 + 6*16^0 = 6 (tcp) 목적지포트 : 0089 = 16^3*0 + 16^2*0+16^1*8+16^0*9 = 137 # show ip cache flow include 0089 # 포트가 137 을포함한패킷리스팅 네트워크의미래를제시하는세미나 NetFocus 2003 36

NetFlow 를이용한 Flowscan http://moran.kaist.ac.kr/ 서비스별트래픽 프로토콜별트래픽 네트워크의미래를제시하는세미나 NetFocus 2003 37

flowscan 을이용한문제추적 # flowdumper s netflow_log_file 2003/04/22 06:25:47 211.47.x.x.27015 -> 213.23.164.95.3364 17 2 317 2003/04/22 06:25:50 211.47.x.x.27015 -> 209.196.48.26.27005 17 1 188 2003/04/22 06:25:55 211.47.x.x.27016 -> 24.175.50.21.1478 17 1 34 2003/04/22 06:25:55 211.47.x.x.27015 -> 68.67.72.151.2213 17 2 68 2003/04/22 06:26:00 211.47.x.x.27015 -> 81.224.104.44.1688 17 2 317 2003/04/22 06:26:02 211.47.x.x.27015 -> 64.81.178.54.27243 17 2 337 2003/04/22 06:26:04 211.47.x.x.27015 -> 24.42.191.135.36549 17 2 317 2003/04/22 06:26:04 211.47.x.x.27015 -> 24.94.62.14.2213 17 1 34 2003/04/22 06:26:07 211.47.x.x.27015 -> 24.226.82.215.1676 17 2 317 2003/04/22 06:26:09 211.47.x.x.27016 -> 80.186.65.119.3299 17 1 34 네트워크의미래를제시하는세미나 NetFocus 2003 38

flowscan+ (http://moran moran.kaist kaist.ac..ac.kr kr/) 네트워크의미래를제시하는세미나 NetFocus 2003 39

Rate-limit 를이용한트래픽제어 (CAR) ** rate-limit {input output} bps burst-normal burst-max conform-action action exceedaction action burst-normal : 초과허용대역폭 burst-max : 초과정책을적용할대역폭한계 conform-action : 한계를넘지않을때취할행동으로단순패킷전달 (transmit) exceed-action : 초과시취할행동, 패킷드롭 (drop) 통상적으로 burst-normal = (bps/8) * 1.5 burst-normal burst-max = (bps/8) * 2 ** 일반적인프로토콜별정상트래픽분포 > TCP : ~90 % (HTTP, FTP and P2P tools) > UDP : ~10 % (DNS, SNMP, streaming) > ICMP : <1 % 네트워크의미래를제시하는세미나 NetFocus 2003 40

Rate-limit 를이용한트래픽 (CAR) 적용예 int serial 0 rate-limit input access-group 150 2000000 250000 250000 conform-action transmit exceed-action drop rate-limit input access-group 160 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 150 2000000 250000 250000 conform-action transmit exceed-action drop rate-limit output access-group 151 1000000 250000 250000 conform-action transmit exceed-action drop rate-limit output 19000000 3562500 4750000 conform-action transmit exceed-action drop access-list 150 permit udp any any access-list 151 permit ip host 211.0.0.1 any access-list 160 permit icmp any any echo-reply 네트워크의미래를제시하는세미나 NetFocus 2003 41

효율적인 Logging 설정 제공되는로깅기법 (1) console logging (2) Terminal line logging (3) Buffered logging (4) snmp trap logging (5) ACL violation logging (6) syslog logging (best way!!) Router# config t (config)# logging trap information (config)# logging 14.2.9.6 (config)# logging facility local6 (config)# logging source-interface loopback0 /etc/syslog.conf (syslog 서버에서 udp 514 번 open)! udp 514 필터링주의!! local6.debug /var/log/routers.log 네트워크의미래를제시하는세미나 NetFocus 2003 42

적용시주의해야할기능 TCP intercept : SYN-Flooding 방어에효과적. Performance impact 주의 Unicast RPF(Reverse-Path Path Forwarding) : ip spoofing 에효과적, multi-homed 일때적용주의 NBAR (Network-Based Application Recognition) : 코드레드, 님다등의 Worm에효과적,Performance impact Debugging : 패킷분석, 문제해결에효과적, Performance impact. Ip accounting/netflow netflow : 대량의트래픽에서 Performance impact. SSH : key recovery, CRC32, timing analysis and attacks 등 SSH v1의취약성에노출, 최신의 IOS 를이용. 네트워크의미래를제시하는세미나 NetFocus 2003 43

라우터의보안사고를의심시 show clock detail show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all show ip sockets show ip cache flow show ip cef show snmp user show snmp group show clock detail 네트워크의미래를제시하는세미나 NetFocus 2003 44

메일서버보안 서버측면 : e-mail server scanner 이용 ( 바이러스차단 ) Inflex(http://pldaniels.com/inflex/) 등. 첨부파일이름 / 확장자 / 파일타입 /identity등으로필터링 필터링시발송자, 관리자에게메일로통보 클라이언트측면 : pop3 대신 pop3s 이용 smtp대신 smtps 이용 Sslwrap (http://www.quiltaholic.com/rickk/sslwrap/) 네트워크의미래를제시하는세미나 NetFocus 2003 45

메일서버보안 (relay) 릴레이허용방안 : (1) IP 대역을통한허용 (2) 사용자인증을통한허용 릴레이허용여부테스트 : http://www.whchang.com/netprg/is-relay.pl http://www.antispam-ufrj.pads.ufrj.br/test-relay.html 빠른 relaychecker: http://david.weekly.org/code/relaycheck.txt 네트워크의미래를제시하는세미나 NetFocus 2003 46

메일서버보안 ( 큐잉서버구성 ) # dig @ns1.tt.co.kr tt.co.kr mx tt.co.kr. 1D IN MX 10 mail-relay.tt.co.kr. tt.co.kr. 1D IN MX 20 mail-relay2.tt.co.kr. tt.co.kr. 1D IN MX 30 mail-relay3.tt.co.kr. tt.co.kr. 1D IN MX 0 www10.tt.co.kr. 1 차전송실패 복구되면메인서버로큐잉메일재전송 큐잉서버는해당도메인에대하여릴레이를허용하어야한다. 규잉서버로전송 네트워크의미래를제시하는세미나 NetFocus 2003 47

DNS 보안 ( 문제점 ) # dig @ns.domain.com domain.com axfr 10M IN A 61.33.xx.xx 10M IN A 210.207.xx.xx 10M IN A 61.33.xx.xx 1H IN MX 10 mail battle 1H IN A 61.33.xx.xx chaos 1H IN A 61.33.xx.xx conf 1H IN A 61.251.xx.xx hades 1H IN A 210.207.xx.xx hak 20M IN A 61.33.xx.xx joon 20M IN A 61.33.xx.xx # dig @ns.domain.com txt chaos version.bind grep VERSION VERSION.BIND. 0S CHAOS TXT "8.1.2-T3B" 네트워크의미래를제시하는세미나 NetFocus 2003 48

DNS 보안 (recursion) # nslookup zdnet.co..co.kr kr.. ns.dacom dacom.co..co.kr Server: ns.dacom dacom.co..co.kr Address: 164.124.101.2 Non-authoritative answer: Name: zdnet.co..co.kr Address: 211.111.220.200 # nslookup zdnet.co..co.kr kr. nis.dacom dacom.co..co.kr Server: nis.dacom dacom.co..co.kr Address: 164.124.101.31 Name: zdnet.co..co.kr Served by: - J.ROOT-SERVERS.NET 192.58.128.30 - K.ROOT-SERVERS.NET 193.0.14.129 - L.ROOT-SERVERS.NET 198.32.64.12 -M.ROOT M.ROOT-SERVERS.NET 202.12.27.33 - I.ROOT-SERVERS.NET 192.36.148.17 네트워크의미래를제시하는세미나 NetFocus 2003 49

DNS 보안 ( 해결안 ) options { directory "/var var/named"; version no version"; allow-transfer {localhost localhost; ; }; // Zone Transfer 를제한한다. allow-recursion {192.168.1.0/24; 192.168.3.4; }; // recursion 을제한 }; 참고 : udp,tcp 53 번의용도 udp 53 : 일반적인 DNS 질의, 전송 tcp 53 : (1) Zone transfer 와같이많은용량을전송시 (2) udp 53 의메시지사이즈가 484 byte 초과시 tcp 로재질의 네트워크의미래를제시하는세미나 NetFocus 2003 50

웹서버보안 관리자페이지재정리 -. id/pw 인증 http://www.xxx.com/admin/ http://admin.xxx.com/ -. 디렉토리목록리스팅주의 -. 관리사이트는 ip 대역으로인증 <Directory /home/admin/> Order deny, allow Deny from all Allow from 192.168.1 </Directory> -. Non-web file 주의 archive :.tar.gz,.tgz,.zip 등 backup :.bak,.old 등 include :.inc 등 <Files ~ "\.bak$"> Order allow,deny Deny from all </Files>!.bak 에대한접근금지설정 네트워크의미래를제시하는세미나 NetFocus 2003 51

웹서버가용성 DNS 기반의 Round-Robin Robin 방식의문제점 www.domain.com. 1M IN A 211.1.1.1 www.domain.com. 1M IN A 211.1.1.2 www.domain.com. 1M IN A 211.1.1.3 문제점 : 1. 서버다운에대한대책부재 2. 단순 Round Robin 으로인하여정확한부하분산의어려움 3. 짧은 Cache Time(TTL) 으로인한 DNS 부하및 DNS 다운시접속장애 네트워크의미래를제시하는세미나 NetFocus 2003 52

웹서버가용성 가용성 ( 로드밸런서도입 ) NAT 방식의로드발랜서 DR 방식의로드발랜서 네트워크의미래를제시하는세미나 NetFocus 2003 53

FTP 서버보안 1. 엄격한접근통제 (anonymous ftp 주의 ) 빠른 anonymous ftpchecker: http://david.weekly.org/code/ftpcheck.txt 2. SSL 이지원되는 FTP 이용 http://www.eftp.org/ http://www.ipswitch.com 평문전송예 암호화전송예 네트워크의미래를제시하는세미나 NetFocus 2003 54

FTP 서버보안 ftp://ftp.ssh.com/pub/ssh/sshsecureshellclient-3.2.0.exe -. 유닉스계열의경우 -. FTP 대신 SSH 사용 -. SSL/SSH 를지원하는 FTP 프로그램 http://download.zdnet.co.kr/pds/detail_view.html?id=7821 네트워크의미래를제시하는세미나 NetFocus 2003 55

사무실보안 1. 불필요한공유차단 (config)#access-list 101 deny tcp any any range 135 139 (config)#access-list 101 deny udp any any range 135 139 (config)#access-list 101 deny tcp any any eq 445 (config)#access-list 101 permit ip any any (config)#interface serial0 (config-if)#ip access-group 101 in 네트워크의미래를제시하는세미나 NetFocus 2003 56

사무실보안 2. 사설네트워크구성 echo 1 > /proc/sys/net/ipv4/ip ip_forward iptables -t nat -A POSTROUTING -o eth0 -j j SNAT --to 211.0.0.1 211.0.0.1 Bridge 방식파이어월구축 http://bridge.sourceforge sourceforge.net/ 192.168.1.1 Ip :192.168.1.2 Netmask : 255.255.255.0 Gw: 192.168.1.1 네트워크의미래를제시하는세미나 NetFocus 2003 57

사무실보안 3. P2P 프로그램차단방법 (1) 사용하는포트차단 msn : 1863 yahoo : 5050 icq : 5190 (2) 사용하는 IP 대역 ( 인증서버등 ) 차단 msn : 64.4.13.0/24 소리바다 : 211.233.14.151 (3) 문자열차단 analyzer, ethercap 등패킷분석프로그램을이용한분석 예 ) msn 차단예 iptables -A FORWARD -m string -- string "messenger.hotmail.com" -j DROP 예 ) nate on 과결합된 msn 차단예 iptables -A FORWARD -m string --string "<msn>" -j DROP 네트워크의미래를제시하는세미나 NetFocus 2003 58

감사합니다. Just because everything is working doesn t mean everything is ok. 질문 : 홍석범 (antihong antihong@tt tt.co..co.kr kr) 네트워크의미래를제시하는세미나 NetFocus 2003 59

2024 © docsplayer.org 개인정보보호 | 약관 | 지원