Linux Security (스캐너) 네트워크 실험실 김 윤 수 2018-12-03 #

Slides:



Advertisements
Similar presentations
충북대 네트워크 보안 연구실 [ gmail.com ] 정보 보호 응용 11. 해킹기술 (3) 11. 해킹기술 (3) - hacking & security -
Advertisements

제 4 장 인터넷 창병모 네트워크 구성 2 LAN(Local Area Network) LAN  근거리 통신망으로 집, 사무실, 학교 등의 건물과 같이  가까운 지역을 한데 묶는 컴퓨터 네트워크 이더넷 (Ethernet)  제록스 PARC.
Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
8 스니핑.
10 터널링.
네트워크해킹 분석 및 대응 한국정보보호교육센터 서 광 석 원장.
HACKING 김진수 소준형 유병화.
임베디드 시스템 개발 환경 (1) Lecture #3.
시작부터 끝까지 진지한 궁서체로 진행하는 완벽한 주입식의 하드코어한 리눅스/장난감 세미나
1. 스푸핑 공격 - 스푸핑(Spoofing): ‘속이다’ 의 의미.
Kali Linux Kali Linux tool 사용법
FTP 09 SPARCS 박철웅 [dothack].
Linux University of Seoul Computer Science Park Jong wook
운영체제 설정과 취약점 인터넷공학/컴퓨터공학 이수백/허성욱.
제6장 FUSING.
크로스 컴파일 환경 구축.
Kernel Porting Lecture #7.
Chapter 02. 시스템 보안 : 건강한 시스템이 챙겨야 할 기본
제4장 Cross Compiler 설치.
정보 보안 개론과 실습 시스템 해킹과 보안 √ 원리를 알면 IT가 맛있다 ehanbit.net.
Network 네트워크 이론 및 실습 TCP / IP 4장.
Introduction to Networking
Minicom,tftp,nfs설정,vnc설정
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
강 명 수 소프트웨어 관리 강 명 수
Tftp, nfs, samba 실습 임베디드 시스템 I.
LINUX SECURITY - 메일 보안 - 네트워크 실험실 김 윤 수 #
DPC 1190 FS Scan & FAX Manual.
목차 커널의 개념 및 기능 커널 포팅 램디스크.
FTP 중앙대학교 안 봉 현
그린 마일리지(상벌점제) 디지털시스템 활용 방안 광주광역시 교육청.
◎ 취약점 분석 대상 ◎ 취약점 분석 도구 ◎ IPCAM 의 주소 스캔
Intrusion Detection System (IDS) 실습
Development Environment of Embedded System : part 1
NAC Test 시나리오 내부단말 통제 보안 BMT 시나리오
Chapter 06 스니핑.
11. 해킹기술 (2) - hacking & security -
리눅스 명령어 실습 임베디드 시스템 I.
Processing resulting output
Chapter 05 목록화.
Network Security Footprint & Scan.
시스템 보안 백 도 어 학번: 이름: 김 준 일.
5. 네트워킹 사용자 표시 : users/ rusers/who/w users 지역 호스트 상에 있는 사용자의 간단한 목록 표시
정보보호 실습 #2 네트워크 스캐닝 Choong Seon Hong Networking Lab.
세미나.. NETWORK??!! 저자 : 장경칩 도전하라 창조의 세계로(SINCE 1992) - 장경칩.
11 세션 하이재킹.
Access Control Lists Access Control List
3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔
시스템 보안 정보 보안 개론 9장.
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
LINUX SECURITY - web서버보안 -
PHP 설치.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
Packet Analyzer V (주) 이네스 닷컴.
Part 04-3 Windows 2000 Server IIS Outlook Express 도메인 사용 관리자
1 학습 목표 네트워크의 기초 네트워크 관련 기초 용어를 익힌다.
인터넷보안 실습 2012년 1학기.
Linux/UNIX Programming
GoAhead Web Server.
8 네트워크 계층 프로토콜 학습 목표 IPv6의 필요성과 헤더 구조를 이해한다. 이동 IP 프로토콜의 터널링 원리를 이해한다.
실전 프로젝트: 홈페이지 구축 시트콤 프렌즈 팬 사이트 구축하기.
Linux Security (리눅스 소개)
Telnet 을 활용한 Linux 메뉴얼 오두환.
국제물류.
Internet 유선 랜카드 A 회사 네트워크 장비 (인터넷 공유 기능 활성화)
Execution with Unnecessary Privileges
Information Security - Network Scanning.
임베디드 리눅스 설치 및 동작 Lecture #5.
한국 휴렛팩커드/고객지원사업본부/IT 기술사업부 박기영
Presentation transcript:

Linux Security (스캐너) 네트워크 실험실 김 윤 수 2018-12-03 #

목 차 스캐너란 무엇인가? 스캐너의 기본 구조와 발전과정 보안 유지를 위해 스캐너를 사용하는 방법 다양한 스캐너 도구들 스캐너 공격 방어 2018-12-03 #

스캐너란 무엇인가? 시스템 스캐너 부주의나 실수로 설정된 보안상의 결점 파악하기 위한 로컬 호스트 검사 네트워크 스캐너 - 네트워크연결에 대한 문제점 테스트 - 이용 가능한 서비스 포트를 조사하여 원격 공격자들이 이용할 수 있는 결함 파악 2018-12-03 #

애플리캐이션 : Dan Farmer 의 COPS 필요조건 : C, Perl(V 3.44+)과 cracklib COPS(The Computer Oracle and Password System) 애플리캐이션 : Dan Farmer 의 COPS 필요조건 : C, Perl(V 3.44+)과 cracklib 설정파일 : is_able.lst , crc_lst 위치: http://metalab.unc.edu/pub/Linux/system/security/cops_104_linux.tgz 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-03 #

COPS의 분석 규칙 COPS(The Computer Oracle and Password System) 효력이 없거나 잘못된 파일, 디렉토리, 장치퍼미션 잘못된 패스워드 패스워드와 그룹파일에 잘못 적용된 퍼미션 파일의 SUID/SGID 비트의 부적절한 설정 파일 체크섬에 의심을 이루는 변화 단순, 객체지향적, 분산환경의 응용에 적합, 인터프리터, 안전, 구조중립, 이식성, 높은 성능, 다중 쓰레드, 동적 견고(포인터X, garbage Collection, 엄격한 형검사, 실시간 에러 처리) 컴파일에 의해 바이트 코드로 변환되고 실행시에 인터프리터에 의해 해석되어 처리. 2018-12-03 #

COPS의 설치및 실행 COPS(The Computer Oracle and Password System) $ gunzip cops_104_linux.tgz $ tar –xvf cops_104_linux.tar $ ./reconfig $ make $ ./cops –v –s . –b coops.err 바이트 코드는 클래스 로더에 의해 로드되며, 바이트 코드 검증기는 프로그램이 수행되기 전에 부적절한 클래스 접근이나 스택의 오버 플로우, 부적절한 형변환을 검사한다. 2018-12-03 #

COPS(The Computer Oracle and Password System) 2018-12-03 #

ISS (Internet Security Scanner) 애플리케이션 : Christopher의 ISS 필요조건 : C와 IP header 설정파일 : 없음 위치: http://www.atomicfrog.com/archives/crack-scan/iss.tar.gz 주의사항 : 상업용 ISS와 다름 2018-12-03 #

$ gunzip iss_tar.gz $ tar –xvf iss_tar $ make $ iss ISS (Internet Security Scanner) 설치 과정 $ gunzip iss_tar.gz $ tar –xvf iss_tar $ make $ iss $ iss –p 172.16.0.2 컨텐트(Content) 핸들러: 새로운 형식의 파일들을 전송 받을때 사용 내용에 관한 정보(MIME형식) plain/text, text/html.. 프로토콜 핸들러:기존의 프로토콜 이외의 프로토콜을 처리 가능 2018-12-03 #

ISS (Internet Security Scanner) Directory 구조 [root@yskim iss]# ls -al total 80 drwx------ 2 102 ftp 4096 Jun 11 19:28 ./ drwxrwxr-x 12 yskim yskim 4096 Jun 11 21:13 ../ -rw------- 1 102 ftp 157 Apr 6 1995 Bugs -rw------- 1 102 ftp 2028 Apr 6 1995 Changes -rw------- 1 102 ftp 64 Apr 6 1995 Makefile -rw------- 1 102 ftp 9446 Apr 6 1995 iss.1 -rw------- 1 102 ftp 20292 Apr 6 1995 iss.c -rw------- 1 102 ftp 8971 Apr 6 1995 readme.iss -rw------- 1 102 ftp 10035 Apr 6 1995 telnet.h -rw------- 1 102 ftp 676 Apr 6 1995 todo [root@yskim iss]# 2018-12-03 #

ISS (Internet Security Scanner) - do_log(s) 호스트와 대상호스트간의 텔넷 세션 기록 - domainguess() 대상 호스트의 NIS 도메인 이름 추정 - checksmtp() sendmail 문제점 테스트 - checkfto() FTP Directory permission 확인 2018-12-03 #

스캐너의 기본 구조와 발전과정 [일반적인 시스템 스캐너 처리 과정] 시 작 규칙 테스트 규칙 설정 다시시작 Stat($filename) 모든사람이 읽을수 있으면 경고 아니면 다음 파일로 모든 파일이 검사될때까지 계속됨 0400 perm = 위험 현재규칙 패스워드 없음 = 위험 추정가능한 패스워드 = 위험 $ filename은 모든 사람이 읽을수 있으므로 확인바람 2018-12-03 #

스캐너의 기본 구조와 발전과정 [일반적인 네트워크 스캐너 처리 과정] Target 규칙 테스트 규칙 설정 다시시작 공격당하기 쉬움이 발견되면 경고 아니면 새로운 문제점 확인 모든 문제점이 검사되면 다음 호스트에서 다시시작 sendmail bugs Exploit Database 현재문제점 FTP site exec FTP 바운스 공격 텔넷 enviro 옵션 SYN 플러드 이 호스트(172.16.0.1)은 허점이 있음 Target 2018-12-03 #

SATAN(Security Administrator’s Tool for Analyzing Netowrks) 애플리케이션 : DAN Farmer의 SATAN 필요조건 : C, IP header, BSD 4.4 호환 netinfo incldue파일, 리눅스 패치 tcp_scan.c.diff 설정파일 : http://www.fish.com/satan/ 보안사항 : 1. 트로이 목마 SATAN 1.0 배포 2. Bin/rex.satan의 경쟁 상태 2018-12-03 #

SATAN(Security Administrator’s Tool for Analyzing Netowrks) 파일 전송 프로토콜(FTP 네트워크 파일 시스템(NFS) 네트워크 정보시스템(NIS) 패스워드 원격 쉘(rsh)접근 Rexd 접근 sendmail 보안 허점 간단한 파일 전송 프로토콜 (TFTP) X 서버 보안과 접근 제어 2018-12-03 #

SATAN(Security Administrator’s Tool for Analyzing Netowrks) 기본적으로 유닉스 SunOS, 솔라리스, BSD, IRIX에 맞도록 작성하여 리눅스에서는 기본적을 동작하지 않음. PATCH된 리눅스 버전을 설치한다. 위치 : ftp://sunsite.unc.edu/pub/Linux/system/network/admin/satan-1.1.1.linux.fixed2.tgz 리눅스 커널 2.2.12에서 작동안함. 2018-12-03 #

SATAN(Security Administrator’s Tool for Analyzing Netowrks) $ gunzip satan-1.1.1.linux.fixed2.tgz $ tar –xvf satan-1.1.1.linux.fixed2 $ cd satan-1.1.1 $ perl reconfig $ make linux(solaris의 경우 make sunos5) $ ./satan 2018-12-03 #

SATAN(Security Administrator’s Tool for Analyzing Netowrks) 2018-12-03 #

SAINT(security Admimistrator’s Intergated Network Tool) 필요조건 : C, IP 헤더파일들, BSD 4.4-호환 netinfo include v파일들, tcp_scan.c.diff 설정파일 : config/saint.cf , paths.pl 위치: http://www.wwwdsi.com/saint/ 보안사항 : 없음 SATAN을 상당 부분 개선 2018-12-03 #

CGI 기반의 웹 공격 서비스 거부공격 POP 서버공격 SSH 허점 원격 버퍼 오버플로 SAINT(security Admimistrator’s Intergated Network Tool) CGI 기반의 웹 공격 서비스 거부공격 POP 서버공격 SSH 허점 원격 버퍼 오버플로 2018-12-03 #

SAINT(security Admimistrator’s Intergated Network Tool) 2018-12-03 #

SAINT(security Admimistrator’s Intergated Network Tool) 2018-12-03 #

SAINT(security Admimistrator’s Intergated Network Tool) 2018-12-03 #

애프리케이션 : internet security system 5.3.1 설정파일 : 없음 위치 : http://iss.net ISS(Internet Security Scanner) ISS의 설치와 실행 애프리케이션 : internet security system 5.3.1 설정파일 : 없음 위치 : http://iss.net 현재 NT 6.01version 판매중 2018-12-03 #

$ tar –xvf iss-Linux.tar $ iss/bin/xiss main console화면 출력 ISS(Internet Security Scanner) ISS의 설치와 실행 $ tar –xvf iss-Linux.tar $ iss/bin/xiss main console화면 출력 2018-12-03 #

ISS(Internet Security Scanner) 2018-12-03 #

애플리케이션 : Renaud Deraison의 Nessus 필요조건 : C, IP헤더파일, GTK 위치 http://www.nessus.org/ 리눅스, WinNT, 그리고 다양한 유닉스에서 되는 SATAN과 같은 스캐너 TOOl. 2018-12-03 #

nmap – 네트워크 매퍼 애플리케이션 : nmap2.53 필요조건 : C/IP 헤더파일, lex, yacc 설정파일 : 없음 위치 : http://www.insecure.org/nmap/ gzip –cd nmap-253.tgz | tar xvf – ./configure make 2018-12-03 #

nmap – 네트워크 매퍼 2018-12-03 #

CGI scanner v1.0 2018-12-03 #

Courtney ICMPInfo scan-dector klaxon Psionic Portsentry 스캐너의 공격 방어 2018-12-03 #

courtnery( SATAN과 SAINT 탐지기) 애플리케이션 : Marvin J Christensen의 courtney 필요조건 : perl 5+ , tcpdump, libpcap-0.0 위치 : http://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.z 압축을 풀어 Coutney.pl을 실행하면 SAINT가 하는 일을 /var/log/messages에 기록 2018-12-03 #

IcmpInfo(ICMP 스캔/폭탄탐지기) 애플리케이션 : Laurent Demailly의 IcmpInfo 필요조건 : C, 네트워킹, net Incldue파일(/usr/include/netinet/) ftp://hplyot.obspm.fr/net/icmpinfo-1.11.tar.gz $ make $ icmpinfo –vvv icmpinfo는 내부로 들어오는 데이터와 외부로 나가는 데이터를 감시한다. 2018-12-03 #

IcmpInfo(ICMP 스캔/폭탄탐지기) 옵 션 목 적 -l 출력결과를 syslog를 통해 로그 파일에 기록 -n 이름 질의를 사용하지 않는다. -p [포트번호] 포트를 생략한다. -s 데이터를 수신한 인테페이스의 주소를 수집 여러 개의 네트워크 인터페이스가 있을때 유용 -v ping를 제외한 모든 ICMP 트래픽 수집 -vv ping를 포함한 모든 ICMP 트랙픽 수집 -vvv 모든 ICMP 트래픽과 ASCII와 Hex패킷 덤프수집 2018-12-03 #

scan-detector (일반적인 UDP 스캔 탐지기) 애플리케이션 : Christoph Schuba의 scan-detector 필요 조건 : Perl 5+, tcpdump, libpcap-0.0 위치 : ftp://coast.cs.purdue.edu/pub/COAST 주의사항 : scan-detector의 확장기능을 구해야 한다. ftp://coast.cs.purdue.edu/pub/COAST/SATAN_Extensions.tar.Z 2018-12-03 #

scan-detector (일반적인 UDP 스캔 탐지기) 옵션 목적 -c -d [포트들] 감시할 udp포트명시, 콤마로 구분, 와일드 카드지원 -e Syslog 대신에 표준 에러 출력(STDERR)으로 결과 출력 -l [호스트] 로그 호스트 명시 -m [바이트] UDP연결에 대햐여 얼마나 많은 바이트 검사할것인지 명시 -n [바이트] 각 패스마다 감시해야 할 바이트수 명시 -p [우선순위] Syslogd의 우선순위를 명시 -s [포트] 감시할 TCP포트명시. 코마(,)로 구분 명시, 와일드 카드지원 -t [타임아웃] 감시하고 잇는 연결에 대한 타임아웃 간격 명시. 2018-12-03 #

애플리케이션 : Doug Hughes의 klaxon 필요조건 : C, netinet 인클루드 파일 위치 : ftp://ftp.eng.auburn,edu/pub/doug/klaxon.tar.gz 2018-12-03 #

craig H.Rowland/Psionic의 PortSentry 필요조건: C/IP 인클루드파일 설정파일: portsentry_config.h, portsentry.conf 위치 http://www.psionic.com/tools/portsentry-0.90.tar.gz 2018-12-03 #

다중 소켓에 대하여 TCP와 UDP감시를 동시에 할 수 있다 Psionic PortSentry 스텔스 스캔을 발견해낼수 있다. 다중 소켓에 대하여 TCP와 UDP감시를 동시에 할 수 있다 잘못된 일을 행하고 있는 호스트를 TCP Wrapper 설정파일중에 deny항목에 추가함으로써 상태 정보를 유지한다. 2018-12-03 #