Transcript 최신해킹 기술 및 방어 시연

최신 기술 및 방어 시연 - 보안스위치
(KT SMB 진단컨설팅 심화교육)
2014. 02.
㈜파이오링크
영업본부 / BS사업팀
목 차
1. 내부 네트워크 보안
2. 유해트래픽의 분류
3. 공격 별 데모 시연
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
2
내부 네트워크 보안
• 최근 보안의 이슈는 USB, 노트북, 스마트폰 등의 모바일장비의 보급으로 인해
외부에서의 해킹보다 내부에 이미 감염된 호스트로 인하여 네트워크 품질저하
및 장애를 방지하고, 해킹으로 인한 정보유출 방지가 필요합니다.
• 사용자 기술의 진보와 해킹툴의 보편화로 내부 보안의 이슈가 급증하고 있어
보안기능에 특화된 고성능 스위치가 수요가 증가하여 보안스위치를 활용한
대응 안을 시연을 통해 설명 드리겠습니다.
• 주요 취약 고객
 전문 관리자가 없는 SMB기업 고객군, 지점 네트워크 (프랜차이즈 기업,
유통업, 식음료, 제과제빵, SSM 등)
 개방형 네트워크 서비스를 제공해야 하는 대학교, 초.중고교, 아파트, 게임방,
숙박업(모텔, 고시텔) 등
 업무에 IT인프라의 비중이 높거나 정보보안이 중요한 일반기업, 제조, 연구소
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
3
유해트래픽의 유형
시스템 공격
Infrastructure 공격
서비스 공격
DDoS
공격자 지식
파
Code Red Nimda
력
Stuxnet
Increase in Worm
Slamer
괴
APT
DoS
Nest Super Worm
ARP Spoofing
IP Spoofing
CIH Virus
Sniffer
1990
공격자 지식
Hijacking
2000
2010
Figure 1. 보안위협요소의 진보 [IDC 발췌]
관리설정
유해트래픽 (웜,바이러스 등)
74%
장비
전원
14%
3%
전용선로
4%
5%
Figure 2. 유형별 장애현황 [출처: ISP A사의 년간 인터넷 서비스 장애분석]
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
4
유해트래픽의 유형
대역폭 잠식
Scan Attack
네트워크
품질저하
네트워크장애
중요 정보유출
IPT 도.감청
해커의 기술력
Flooding
Attack
피해 규모
Protocol
Anomaly
DoS Attack
DDoS Attack
ARP Spoofing
APT Attack
Hacking
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
5
3. 공격 별 데모 시연
순서
공격명
분류
1
SCAN
SCAN
2
SYN Flooding
3
UDP Flooding
4
MAC Flooding
5
LAND
6
SMURF
7
ARP Spoofing (WireTap,Telesecurity)
8
ARP Spoofing (Data Sniffing)
9
NAT 차단
Hacking
10
APT 솔루션 연동
APT
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
Flooding
Protocol Anomaly
6
Spoofing
3. 공격 별 데모 시연
1. SCAN 공격
- SCAN은 공격이라기 보다는 공격에 필요한 정수보수 (Foot-Printing)
- IP-SCAN을 통해 네트워크에 연결된 호스트 정보를 확인해 공격 대상 선정
- TCP/UDP SCAN을 통해 공격 대상의 서비스 포트 확인
SCAN
정보수집
보안취약점
취약시스템
발견
공격
[일반적인 해킹(웜바이러스의 공격)시 시나리오]
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
7
3. 공격 별 데모 시연
시연 구성안
TiFRONT (보안스위치)
TiManager
10.1.1.200
SCAN
Attacker
10.1.1.11
Victim (Server)
10.1.1.100
1.
Attacker PC가 네트웍크의 호스트를 확인하기 위해 IP-SCAN 실행
2.
IP-SCAN정보를 확인해 공격 대상 호스트를 서비스 PORT 확인을 위해 TCP/UDP-SCAN 실행
3.
Attacker PC에서 SCAN 정보 출력 확인
4.
TiFRONT 에서 보안정책 설정 후 SCAN 공격 실행
5.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
8
3. 공격 별 데모 시연
2. SYN Flooding 공격
- 일반적으로 서버를 공격대상으로 지정하며, 대량의 TCP SYN 패킷을 전송
- 공격대상은 SYN Fooding 공격을 처리하며 모든 리소스를 소모, 서비스 불가
- 대량의 패킷 유발로 네트워크 자원 및 공격대상의 리소스 고갈이 목적
초고속 인터넷보급
초기 대응장비
후 잦은 장애발생
개발 보급
• 게임방, 초중고 등의
회선에서 원인불명의
서비스 장애 발생
• 보안 대응책으로 SMB
전용 QoS장비 도입
• 임계치 우회와 신종 공
격에는 대응 불가
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
9
새로운 대안 필요
• 기존 대안이 장애포인
트가 됨.
• 유해트래픽의 선별적 차
단으로 무중단 서비스
3. 공격 별 데모 시연
시연 구성안
TiFRONT (보안스위치)
Attacker
10.1.1.11
SYN Flooding
1.
Attacker에서 Victim Server로 다량의 TCP SYC 전송
2.
Victim Server에서 CPU사용률과 Ping Delay Time을 통해 서비스 지연 확인
3.
TiFRONT 에서 보안정책 설정 후 SYN Flooding 공격 실행
4.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
10
TiManager
10.1.1.200
Victim (Server)
10.1.1.100
3. 공격 별 데모 시연
3. UDP Flooding 공격
- DoS (Denial of Service) 공격의 일종
- 공격자가 대량의 UDP 패킷을 이용하여 공격 대상 호스트의 리소스 소모
- 네트워크의 리소스를 소모시켜 네트워크 마비를 유발시키는 공격
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
11
3. 공격 별 데모 시연
시연 구성안
TiManager
10.1.1.200
TiFRONT (보안스위치)
File Download
Attacker
10.1.1.11
UDP Flooding
1.
Attacker에서 Victim Server로 대량의 UDP Flooding 전송
2.
TiManager를 Client로 이용해 Victim서버에 있는 자료를 FTP를 이용해 다운로드
3.
공격 중 FTP 전송속도 지연 등 서비스 지연현상 확인
4.
TiFRONT 에서 보안정책 설정 후 UDP Flooding 공격 실행
5.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
12
Victim (Server)
10.1.1.100
4. 공격 별 데모 시연
4. MAC Flooding 공격
- 네트워크 장비를 대상으로 하는 공격
- MAC 주소를 위조한 패킷을 대량으로 전송
- 네트워크 장비의 MAC 테이블을 포화 상태로 만들어 정상적인 서비스를 제공
하지 못하도록 하는 공격
• 웜바이러스가 자가 복제 후 확산의 과정에 발생시키는 경우 흔히
발생하여 방치 시 전체 네트워크에 웜바이러스 확산과 트로이목마 감염.
• 최근 DDoS의 지능형 공격인 APT 악성코드의 공격.확산 시나리오로
사용되는 추세로 원천 차단이 필요함.
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
13
4. 공격 별 데모 시연
시연 구성안
TiFRONT (보안스위치)
Attacker
10.1.1.11
MAC Flooding
1.
Attacker는 대량의 위조된 MAC 주소를 네트워크 장비로 전송
2.
네트워크 장비에 접속해 위조된 MAC Table 상태 확인
3.
TiFRONT 에서 보안정책 설정 후 SCAN 공격 실행
4.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
14
TiManager
10.1.1.200
Victim (Server)
10.1.1.100
3. 공격 별 데모 시연
5. Land 공격
- SIP와 DIP를 모두 공격 대상 호스트의 IP 주소로 설정한 패킷을 전송
- 패킷을 수신한 공격 대상 호스트는 자신에게 패킷을 계속 전송하여 시스템 과
부하가 발생
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
15
3. 공격 별 데모 시연
시연 구성안
TiManager
10.1.1.200
TiFRONT (보안스위치)
Land 공격
Attacker
10.1.1.11
Victim (Server)
10.1.1.100
1.
Attacker에서 SIP와 DIP를 Victim Server IP로 변조한 패킷을 전송
2.
Victim Server에서는 DIP가 자기 자신인 변조된 패킷을 처리하며 CPU사용률 증가
3.
TiFRONT 에서 보안정책 설정 후 Land 공격 실행
4.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
16
3. 공격 별 데모 시연
6. SMURF 공격
- 네트워크에 연결된 호스트 IP로 SIP를 변경한 후 DIP를 공격 대상 호스트로 조
작하여 ICMP Request 패킷 전송
- 공격 대상 호스트는 ICMP Reply 패킷을 네트워크에 연결된 호스트로 전송
- 공격 대상 호스트와 네트워크에 연결된 호스트를 모두 공격
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
17
3. 공격 별 데모 시연
시연 구성안
TiManager
10.1.1.200
TiFRONT (보안스위치)
공격
SMURF 공격
Attacker
10.1.1.11
Victim (Server)
10.1.1.100
1.
Attacker에서 Victim서버로 SIP를 10.1.1.200으로 위조하여 대량의 ICMP Request 패킷 전송
2.
위조된 ICMP 패킷을 받은 Victim서버는 10.1.1.200 호스트로 대량의 ICMP Reply 전송
3.
TiManager를 Client로 이용해 Victim서버에 있는 자료를 FTP를 이용해 다운로드
4.
공격 중 FTP 전송속도 지연 등 서비스 지연현상 확인
5.
TiFRONT 에서 보안정책 설정 후 SMURF 공격 실행
6.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
18
3. 공격 별 데모 시연
7. ARP Spoofing 공격
- 네트워크 상에 존재하는 Client 나 Gateway 의 MAC 주소를 자신의 것으로 변
경하여 알려줌으로써, 둘 간의 통신을 감청 /변조하는 공격
- IPT환경에서 도청 및 개인정보 유출이 가능한 공격
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
19
3. 공격 별 데모 시연
시연 구성안_도.감청
Attacker
10.1.1.11
TiFRONT (보안스위치)
통화
TiManager
10.1.1.200
Phone#1
10.1.1.1
Phone#2
10.1.1.2
1.
Phone#1에서 Phone#2로 전화 통화 시도
2.
Attacker PC에서 각각의 전화기에 ARP Spoofing공격을 통해 공격자의 ARP정보 업데이트
3.
Attacker PC에서 Cain&Abel 프로그램을 통해 도청된 통화내용 확인
4.
TiFRONT 에서 보안정책 설정 후 ARP Spoofing 공격 실행
5.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
20
3. 공격 별 데모 시연
시연 구성안_개인정보 탈취
Attacker
10.1.1.11
TiFRONT (보안스위치)
로그인
TiManager
Victim
10.1.1.200
Server
10.1.1.100
1.
Victim에서 Server로 접속 후 로그인 시도
2.
Attacker PC에서 각각의 PC로 ARP Spoofing공격을 통해 공격자의 ARP정보 업데이트
3.
Attacker PC에서 Cain&Abel 프로그램을 통해 도청된 통화내용 확인
4.
TiFRONT 에서 보안정책 설정 후 ARP Spoofing 공격 실행
5.
TiManager 에서 차단 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
21
3. 공격 별 데모 시연
8. 공유 차단
- 네트워크 상에 NETBIOS 포트를 이용해 파일 공유
- 내부 정보 유출, 웜바이러스 확산에도 NETBIOS 포트 사용
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
3. 공격 별 데모 시연
시연 구성안_네트워크 공유차단
TiFRONT (보안스위치)
PC 1
(10.1.1.11)
1.
PC#1에서 PC#2 NETBIOS 포트를 이용해 파일공유 확인
2.
보안스위치에서 NETBIOS 차단 정책 적용
3.
파일공유 불가 상태 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
23
PC 2
(10.1.1.100)
3. 공격 별 데모 시연
9. 비인가 공유기 탐지
- 비인가 공유기에서 사용하는 DHCP와 내부 사내망 DHCP서버와 충돌로 네트
워크 마비
- 잘못된 케이블 구성으로 Loop 발생으로 네트워크 다운 발생
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
3. 공격 별 데모 시연
시연 구성안_비인가 공유기탐지
TiFRONT (보안스위치)
공유기 (DHCP)
1.
비 인가된 공유기에 두 대의 PC를 연결한 후 공유기 사설 IP로 통신 상태 확인
2.
보안스위치에서 공유기 탐지 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
25
3. 공격 별 데모 시연
10. Self-loop 기능
- 네트워크 Loop는 네트워크 자원을 한순간에 고갈시키는 장애
- 내부 사용자의 케이블 구성 실수로 발생
• 비 인가된 허브, 공유기를 통해 자주 발생
• IPT가 보급되고 구성이 복잡해지며 최근 자주 발생
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
3. 공격 별 데모 시연
시연 구성안_Self-loop
TiManager
Victim
10.1.1.200
TiFRONT (보안스위치)
허브
1.
UTP 케이블을 이용해 Loop 구성
2.
보안스위치에서 Self-loop 기능에 의해 차단된 로그 확인
3.
공유기에서 UTP 케이블을 이용해 Loop 구성
4.
보안스위치에서 Self-loop 기능에 의해 차단된 로그 확인
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
27
3. 공격 별 데모 시연
APT 공격
- 최근 가장 진화된 공격 방법으로 인터넷 상에 유포된 악성코드를 통해 감염
- 감염된 PC는 좀비가 되어 설정된 사이트를 공격
- 사용자의 개인정보 유출
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
28
3. 공격 별 데모 시연
시연 구성안_APT 공격 확산방지
Server
10.1.1.100
TiFRONT (보안스위치)
APT탐지
(Antibot,Fireeye등)
Attacker
10.1.1.11
TiManager
10.1.1.200
1.
Attacker에서 악성코드가 유포된 웹사이트에 접속하여 악성코드가 감염된 파일 실행
2.
악성코드를 다운로그 함과 동시에 ATP탐지 솔루션으로 미러된 패킷 전달
3.
APT솔루션은 악성코드가 감염된 파일을 탐지한 후 보안스위치에 차단 명령 전달
4.
보안스위치는 악성코드를 다운받은 Attack PC를 격리
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
29
Q&A
© PIOLINK, Inc. Optimizing Your Cloud Data Center.
30
감사합니다.
㈜파이오링크
서울시 금천구 가산디지털2로 98
(가산동 550-1) IT캐슬 1동 401호
TEL: 02-2025-6900
FAX: 02-2025-6901
www.PIOLINK.com
31