(2021.02.02)
| 네트워크 기초
1. 컴퓨터나 장비 사이를 연결 (물리적 or 무선)
2. 통신규약이 있어야 함 (프로토콜) : TCP/IP 는 매우 널리 사용되는 네트워크 프로토콜임
네트워크 종류
1. 클라이언트/서버 환경
--> 클라이언트/서버 네트워크에 있는 각 컴퓨터는 두 가지 역할 중에 하나를 수행함
클라이언트: 최종 사용자가 사용하는 컴퓨터
--> 파일, 서비스, 정보 등을 서버로부터 요청함
서버: 특정한 기능 하나만을 수행함, 네트워크를 더 많이 통제할 수 있음
--> 파일, 서비스, 정보를 여러 클라이언트에 제공함
2. P2P(Peer-to-peer)
네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 역할을 모두 수행할 수 있음
--> 파일 공유 프로그램에서 가장 많이 사용됨
3. 근거리 통신망(LAN)
일반적으로 작은 사무실에서 사용하는 네트워크임
LAN은 하나의 사무실이나 빌딩에 있는 컴퓨터와 기기들로 구성되어있음
4. 광역 통신망(WAN)
LAN 보다 규모가 크다.
WAN 은 다른 위치에 있는 여러 개의 LAN으로 구성되어있음
5. 그외 (MAN,PAN, CAN, GAN 등
인트라넷
인터넷 <------> 인트라넷
인트라넷은 공개되어 있지 않으며, 접근이 제한적임
파일 공유, 통신 등에 사용됨
웹브라우저를 사용하여 접속하고, 인터넷과 동일한 프로토콜인 TCP/IP 를 사용함
TCP/IP
TCP/IP 프로토콜을 사용하는 네트워크에서는 네트워크에 연결되어 있는 각 컴퓨터나 기기 마다 IP 주소를 가지고 있음
== 고유의 식별번호
IP 주소는 정적 또는 동적이 될 수 있음
정적 주소는 고정되어있고, 변하지 않음
동적주소는 주기적으로 변함
패킷 스위칭
데이터를 패킷이라고 부르는 작은 조각으로 만듬
패킷은 IP 주소를 사용하여 최종 도착지로 전송됨
패킷은 헤더, 페이로드, 푸터 세부분으로 구성되어있음
헤더는 송수신자의 IP 주소가 담겨 있고, 주소 정보를 저장하고 있음
푸터는 수신자에게 해당 패킷이 마지막 패킷이라는 것을 알려줌
게이트웨이는 또 다른 네트워크로의 출입구 역할을 하는 네트워크 지점임
브리지는 동일한 프로토콜을 사용하는 두 개의 네트워크를 연결하는데 사용됨
라우터는 IP 주소를 사용하여 네트워크에 있는 데이터를 최종 도착지로 전송함
| 네트워크 보안 툴
방화벽
연관된 프로그램의 세트로 네트워크의 게이트웨이 서버에 위치하여 있으며 다른 네트워크의 사용자로부터 사설 네트워크의 자원을 보호한다.
침입 탐지 시스템
침입 탐지 시스템의 목적은 기업내부의 공격을 탐지하는 것임
일반적으로 침입 탐지 시스템은 네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터함
ex) 스노트(snort) 는 잘 알려진 오픈소스 네트워크 침입탐지시스템이다.
---> 네트워크를 스니핑하며 실시간으로 네트워크를 모니토하고 있다가 잠재적 문제가 식별되면 경고를 보냄
| 네트워크 공격
분산 서비스 거부 공격(DDoS)
침해된 수많은 컴퓨터를 사용하여 단 하나의 시스템을 공격하는 데 사용함
공격하는 컴퓨터들은 엄청난 양의 메시지와 요청으로 공격대상 컴퓨터를 압도함
공격하는 컴퓨터를 봇넷이라고 부르고, 봇넷은 좀비라고 부르는 여러대의 침해된 컴퓨터로 이루어져있음
IP 스푸핑
공격자는 공격대상 네트워크에 접근하기 위해 유호하거나 알려진 IP 주소를 위조하거나 스푸핑 할 수 있음
중간자 공격
중간자 공격을 할 때 해커는 특정 사용자와 그 사용자가 통신하는 컴퓨터 사이에 자신을 삽입힘
사용자가 하는 통신을 모니터, 변경, 삭제할 수 있고, 사용자 행세를 할 수 있음
사회공학기법
해커들이 사용할 수 있는 공격 중에서 가장 효과적인 공격 중 하나임
- 백도어나 명령/통제 채널 공격
- 디폴트 또는 추측할 수 있는 인증 공격
- 무차별대입 공격과 딕셔너리 공격
- 풋프린팅 및 핑거프린팅
- 탈취한 로그인 인증정보 사용
풋프린팅이나 핑거프린팅은 공격자가 열려있는 포트나 서비스를 스캔하는 자동화 작업임
| 침해 대응
준비 > 탐지 및 분석 > 봉쇄, 박멸 및 복구 > 사후활동
준비
네트워크의 방어 수준을 정기적으로 평가하고 테스트하여 취약점을 식별해야함
패치 시스템, 네트워크 보안, 사용자 인식 개선 및 교육 등의 예방책이 있음
탐지 및 분석
백신 프로그래밍의 경고, 비정상적으로 느려진 인터넷. 비정상적인 네트워크 트래픽 등의 공격 징후가 있음
네트워크 보안 인력의 많은 노력이 필요함
봉쇄, 박멸 및 복구
침해 당한 컴퓨터의 시스템 전원 끄기, 네트워크 연결 차단, 장비의 일부 기능 비활성화 등이 있음
사후 활동
매우 중요한 단계
침해사고 후 검토하고 개선할 부분을 찾아야함
| 네트워크 증거와 수사
로그파일
네트워크에 있는 많은 기기와 컴퓨터는 이벤트와 활동 로그를 생성함
--> 인증, 프로그램, 운영체제, 방화벽 로그
인증 로그 는 특정 이벤트와 연관 있는 계정을 식별함
프로그램 로그는 날짜, 시간, 프로그램 식별자를 기록함
운영체제 로그는 시스템 재부팅, 어떤 기기를 사용했는지 추적, 네트워크 활동 패턴과 비정상 활동 인지
|
요청된 URL |
라우터에서 증거를 수집하려고 할 떄에는 최대한 라우터에 영향을 주지 않는 것이 중요함
--> 네트워크에서 라우터에 접속하는 대신에 라우터의 콘솔에 직접 접속하는 것이 좋음!!
configuration 명령어는 반드시 피해야함
show 명령어가 나음
네트워크 조사 툴
네트워크에서 돌아다니는 트래픽(패킷)에 중요한 단서가 있을 수 있음
|
Wireshark |
참고도서: 이제시작이야! 디지털 포렌식
'Security > Digital Forensic' 카테고리의 다른 글
| [포렌식] 6주차 - 휴대기기 포렌식 (0) | 2021.02.08 |
|---|---|
| [포렌식] 4주차 - 안티 포렌식 (0) | 2021.01.29 |
| [포렌식] 3주차 - 인터넷과 이메일 (0) | 2021.01.26 |
| [포렌식] 3주차 - 윈도우 시스템에서의 증거 수집 (0) | 2021.01.26 |
| [포렌식] VeraCrypt 설치하기 + 사용법 (0) | 2021.01.25 |
