Cisco Device Hardening Mitigating Network Attacks.
-
date post
18-Dec-2015 -
Category
Documents
-
view
229 -
download
4
Transcript of Cisco Device Hardening Mitigating Network Attacks.
Cisco Self-Defending Network
• Cisco 는 외부의 위협을 식별하고 방지하여 조직의 네트워크 자원을 보다 효율적으로 활용할 수 있도록 하여 비즈니스 프로세스를 향상시키고 비용을 절감시키는 3 가지 카테고리를 갖고 있다 .
• There are three categories:
– 보안연결 :
• VPN solutions 의 적용– 위협방어 :
• Cisco IOS-based firewalls
– 신뢰와 식별 :
• Cisco Secure ACS
Types of Network Attacks
목표 네트워크에 대한 적은 정보만으로 가능한 공격 : • Reconnaissance - 정찰• Access attacks – 잘 알려진 서비스 (web, ftp, telnet) 등의 취약점을 공격• DoS and distributed DoS - 서비스 거부 공격
Types of Network Attacks (Cont.)
많은 지식과 내부 접속 정보를 필요로 하는 공격 :• Worms, viruses, and Trojan horses
• Application layer attacks
• Threats to management protocols
Reconnaissance Attacks and Mitigation
• 사전조사는 공격 대상의 사용 가능한 정보와 응용프로그램에 대한 정보를 수집하는 단계이다 .
• 사전조사 유형 :
– Packet sniffers
– Port scans
– Ping sweeps
– Internet information queries
Packet Sniffers
• A packet sniffer 는 network adapter card 로 유입되는 모든 packets 을 capture하는 프로그램이다 .
• Packet sniffers:
– 평문을 전송하는 protocol 에서 중요 정보를 습득한다 .(Telnet, FTP, SNMP, POP, and HTTP)
– 같은 Broadcast Domain 에 있어야 한다 .
– 합법적으로 사용되거나 공격을 위해 사용될 수 있다 .
Packet Sniffer Mitigation
Packet Sniffer 공격을 차단하기 위한 기술과 도구 :• Authentication
• Cryptography
• Antisniffer tools
Port Scans and Ping Sweeps
Port scans 과 ping sweeps 은 다음을 확인하기 위해 사용된다 .• All services
• All hosts and devices
• The operating systems
• Vulnerabilities
Internet Information Queries
Sample IP address query
• 공격자는 “ WHOIS” 와 같은 Internet tool 을 이용할 수 있다 .
Access Attacks
• 침입자는 다음의 이유로 Network 또는 System 에 Access Attack 을 시도한다 .
– Data 검색– Access 권한 획득– Access 권한 확대
• Access attacks include:
– Password attacks
– Trust exploitation
– Port redirection
– Man-in-the-middle attacks
– Buffer overflow
Password Attacks
Hackers 는 Password Attacks 을 위하여 다음의 방법을 사용한다 .
• Brute-force attacks
• Trojan horse programs
• IP spoofing
• Packet sniffers
Password Attack Example
• L0phtCrack 는 Registry 에 있는 hash 를 찾아 인증 passwords 를 평문으로 생성한다 .
• Passwords 는 2가지 방법 중 하나를 선택하여 해독된다 .
– Dictionary cracking
– Brute-force computation
Password Attack Mitigation
Password 공격을 방어하기 위한 기술 :• 사용자가 다수의 시스템을 이용할 경우 동일한 암호를 사용하지
못하도록 한다 .
• 로그인 실패 횟수 제한을 설정한다 .
• 평문 패스워드를 사용하지 않는다 .
• 강력한 암호를 사용한다 . (Use “mY8!Rthd8y” rather than “mybirthday”)
Trust Exploitation
• 해커는 기존 신뢰 관계를 이용한다 .
• Several trust models exist:
– Windows:
• Domains
• Active directory
– Linux and UNIX:
• NIS
• NIS+
Man-in-the-Middle Attacksand Their Mitigation
• 네트워크를 통과하는 패킷을 가로채 정상적인 접근으로 위장하여 공격하는 기법이다 .
• A man-in-the-middle attack 은 다음 사항을 이용한다 .– Routing and transport protocols– Packet Sniffers
• Man-in-the-middle attack 은 데이터 암호화를 통해 피해를 최소화 할 수 있다 .
DoS Attacks and Mitigation
• A DoS Attack 은 computer system 을 손상시키거나 시스템 성능을 저하시키며 서비스의 접근거부를 유발한다 .
• Distributed DoS(DDoS) 는 분산된 Source 로 부터 공격을 동시에 수행한다 .
• DoS and Distributed DoS attacks 은 IP spoofing 을 사용한다 .
Distributed DoS Attacks
• DoS and distributed DoS attacks 은 일반적으로 Service 를 사용할 수 없도록 공격하는 것을 목적으로 한다 .
• DoS and distributed DoS attacks 은 다음의 특성을 갖는다 .
– 일반적으로 network 또는 network 정보에 접근을 목표로 하지 않는다 .
– 공격을 위해 많은 노력이 필요하지 않다 .
– 방어가 어렵다 . 그러나 피해를 최소화 할 수 있다 .
DoS and Distributed DoS Attack Mitigation
DoS attacks 을 줄이기 위한 방법 :• Anti-spoof 기능의 routers and firewalls
• Anti-DoS 기능의 routers and firewalls
• ISP level 에서의 Traffic 제한
IP Spoofing in DoS and Distributed DoS
• TCP/IP 의 취약점을 이용한 공격이며 자신의 IP 를 신뢰할 수 있는 Host 의 주소로 위장하여 공격한다 .
• IP Spoofing 을 사용하는 이유 :
– 기존 Data Stream 에 악의가 있는 Data 또는 Command 를 삽입
– 공격대상의 Routing Table 을 변경하여 해커가 Network의 모든 패킷을 받아볼 수 있도록 한다 .
• IP spoofing 은 더 큰 공격의 처음 단계일 수 있다 .
IP Spoofing Attack Mitigation
IP spoofing 공격은 제거할 수 없지만 다음 방법으로 줄일 수 있다 .• Access control configuration
• Encryption
• RFC 3704 filtering
• 인증정책 :
– Cryptographic (recommended)
– Strong, two-factor, one-time passwords
Worm, Virus, and Trojan HorseAttacks and Mitigation
일반적으로 컴퓨터 사용자는 다음 사항에 취약하다 .• Worms
• Viruses
• Trojan horse attacks
Virus and Trojan Horse Attack Mitigation
Viruses and Trojan horses can be contained by:• antivirus software 의 효율적인 사용으로 공격을 줄일 수
있다 .
• antivirus software 와 application 을 최신버전으로 유지한다 .
• Host 기반 Intrusion prevention systems 을 구현한다 .(IPS)
Mitigating Worm Attacks
Four steps to mitigate worm attacks:
1. Contain( 억제 )
2. Inoculate( 예방 )
3. Quarantine( 격리 )
4. Treat( 처리 )
Application Layer Attacks
Application layer 공격은 다음 특징을 갖는다 :• application 또는 system 의 잘
알려진 취약점을 이용한다 . (sendmail, HTTP, and FTP)
• 방화벽에 허용되어 있는 포트를 사용한다 .(TCP port 80 를 사용하는 web server)
• 새로운 취약점은 항상 발견되기 때문에 결코 완전히 공격을 제거할 수 없다 .
Netcat
• Netcat 은 어떠한 TCP/UDP 접속에도 읽기 또는 Data 쓰기가 가능한 도구이며 TCP/UDP server 의 역할을 할 수 있다 .
#nc -hconnect to somewhere: nc [-options] hostname port[s] [ports] ...listen for inbound: nc -l -p port [-options] [hostname] [port]options: -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -u UDP mode -v verbose [use twice to be more verbose]port numbers can be individual or ranges: lo-hi [inclusive]
Mitigation of Application Layer Attacks
Application 공격 위험을 줄일 수 있는 조치 :• Operating system 과 network 로그 파일을 읽거나 분석
프로그램에 의해 분석하도록 한다 .
• 취약점을 알리는 Mailing List 를 구독한다 .
• Operating system 과 Application 에 대한 패치과 업데이트 .
• IDS/IPS 이용하여 알려진 공격을 감지하고 모니터링 및 로깅을 수행하여 공격을 예방할 수 있다 .
Configuration Management
• Configuration management protocols 은 SSH, SSL, and Telnet 을 포함한다 .
• Telnet 의 특징 :
– Telnet session 의 데이터는 평문으로 전송된다 .
– Data 는 중요한 정보를 포함할 수도 있다 .
Configuration Management Recommendations
Configuration management protocols 실행 시 추천사항 :• IPSec, SSH, SSL 등의 인증된 전송을 사용한다 .
• 관리서버 또는 장치에 ACL 을 사용하여 승인된 접속만 허용하고 허용되지 않은 모든 IP addresse 는 거부되어야 하며 log 로 기록한다 .
• 관리호스트로 위장하여 외부에서 수행되는 Spoofing 공격을 완화하기 위하여 RFC 3704 filtering 을 사용한다 .
Management Protocols
These management protocols can be compromised:• SNMP: Community string 을 통한 단순한 인증을 평문으로
전송한다 .
• syslog: Managed device 와 Management host 사이에 데이터는 평문으로 전송된다 .
• TFTP: Host 와 TFTP server 사이의 데이터는 평문으로 전송된다 .
• NTP: 많은 NTP server 는 peer 의 인증을 필요로 하지 않는다 .
Management Protocol Best Practices
Management Protocol Recommendations
SNMP • read-only community strings 으로 구성한다 .
• 관리를 위한 device 를 접근 제어 설정 한다 .
• SNMP version 3 를 사용한다 .
Syslog • IPsec tunnel 을 사용하여 syslog 트래픽을 암호화 한다 .
• RFC 3704 filtering 을 구현한다 .
• 접근 제어 설정을 한다 .
TFTP • IPsec tunnel 을 이용하여 트래픽을 암호화 한다 .
NTP • 자신을 위한 master clock 을 구현한다 .
• NTP version 3 를 사용한다 .
• 접근 제어 설정을 한다 .
Determining Vulnerabilities and Threats
네트워크 취약점 점검 Tools:• Blue’s PortScanner
• Ethereal
• Microsoft Baseline Security Analyzer
• Nmap