Network - 02. 보안위협탐지준비

1. subnet

   • 클래스 단위의 네트워크를 관리/보안적 측면에서 나누는 작업.
   • 관리적 위치에서 관리의 부담감 감소
   • 보안적 위치에서 네트워크 분리에 따른 접근제어

   -> 기존 A 클래스 네트워크에서 netmask 값을 변경하여 B또는 C 클래스로 클래스를 하향 시킴.
   -> 기존 B 클래스에서 C 클래스로 네트워크를 하향 시킴.
   -> 기존 C 클래스에서 네트워크의 호스트 수를 줄임.

    2.0.0.0 / 255.0.0.0  ----->  B 클래스화 2.0.0.0 / 255.255.0.0
                                                                  2.1.0.0 / 255.255.0.0
                                                 C 클래스화 2.2.0.0 / 255.255.255.0
                                                                  2.2.1.0 / 255.255.255.0

   175.2.0.0 / 255.255.0.0 ---> C 클래스화 175.2.0.0 / 255.255.255.0

   192.168.0.0 /255.255.255.0 --> 네트워크 분할 192.168.0.0 / 255.255.255.128

 

 

2. IP 프로토콜 분석

  • Version  :  IP 프로그램의 버전 정보. 현재 사용되고 있는 버전은 IP 4버전 사용.  IP 6버전도 사용을 위한 테스트 중.
  • Header length : 헤더의 크기 정보. 20바이트 정도 차지.
  • TOS : 라우터 장비에서 사용되는 영역으로 일반 데이터 통신에서 사용자가 쓸 수 없음. 통신의 우선 순위 설정 시 사용.
  • Total length : 전체 데이터 크기. 대부분 1500byte(MTU)보다 적은 데이터.
  • ID : 데이터 분할 시 데이터 확인을 위해 사용 됨.
  • Flags : 데이터의 상태 정보, 데이터 분할여부 확인
  • offset : 데이터의 순서 번호
  • Time to Live : 생존 시간. 인터넷 구간을 돌아다니는 데이터가 일정 시간 경과 시 폐기되어 인터넷 구간의 데이터 흐름을 원활하게 하기 위해 사용.
  • protocol : 상위에 전달해야 할 프로토콜 명칭
  • Source/Destination Address : 전달자, 목적지의 주소 표시
  • option : IP 영역에서 데이터가 최소값(64byte 미만) 보다 작을 경우 효율성을 위해 임의적인 값 정보를 삽입.

 

 

3. ARP (Address Resolution Protocol)

  • ARP 프로토콜은 MAC 주소와 IP 주소를 매칭시키기 위해 사용되는 프로토콜
  • ARP 관리(도스창을 이용하여 확인)

    c:\> arp  -a                                            :  현재 설정되어 있는 ARP Cache table 확인
    c:\> arp  -d  IP_Address                         : 테이블에 등록 된 arp cache 삭제
    c:\> arp  -s  IP_Address  MAC_Address  : arp table에 정적(강제적) 등록

    * arp는 broadcast 통신 방법을 사용하기 때문에 네트워크에 시스템이 많을 경우 네트워크 부하를 유발시킴.
    * 네트워크 부하를 줄이기 위한 방법으로 정적 등록 방법을 사용.
    * 정적 등록 방법 사용 시 arp table에 계속 등록되어 있어 broadcast를 통한 arp가 발생하지 않음.
    * 동적 등록 된 arp table은 약 5분간 유지되며, 이 시간동안 한번도 통신 시도를 하지 않은 경우 리스트에서 삭제된다.

   [실습]

    C:\> arp -a
    C:\> arp -d  222.116.158.156
    C:\> arp -a  222.116.158.156  (특정 시스템 등록 사항 확인)
    C:\> arp -s  222.116.158.156 80-ee-73-1a-f1-ab
    C:\> arp -a  222.116.158.156  (정적 등록)
     * arp broadcast가 발생되지 않음.

  • wireshark를 이용한 arp 모니터링

           -> 패킷 캡쳐 전 option 창에서 "Capture filter" 영역에 잡아들일 필터를 설정

      i) 프로토콜 이름 (예: arp, ip등)
      ii) 특정한 시스템 (예: host IP주소, src IP주소, dst IP주소, src IP주소 and dst IP주소)

      ** arp and dst IP, arp and host IP

   [실습]

    1) wireshark 필터 설정

       arp and host 222.116.158.xxx --> start 버튼

    2) 명령창(관리자 모드)

       C:\> arp -a
       C:\> arp -d 222.116.158.xxx
       C:\> ping 222.116.158.xxx
      

    ===> arp request/reply 데이터 갭쳐가 가능.

 

 

4. ICMP(Internet Control Message Protocol)

  - 네트워크 상에서 시스템의 상태를 확인할 수 있도록 메시지가 수록되어 있는 프로토콜
  - 임의적으로 목적지로 가는 경로상의 데이터가 폐기 될 경우 폐기된 데이터에 대한 정보는 route가 ICMP 메시지를 만들어 전송 시스템으로 반송.
 
  * router 간에 위치에 대한 확인 및 위치 변경을 해야할 경우 ICMP 메시지를 만들어 상대 router에게 전송하고, 위치를 변경.

  * 데이터에 대한 시간 확인 메시지 발송 시 ICMP 사용.

  [실습]

   C:\> ping 168.126.63.1
   C:\> tracert 168.126.63.1

   * wireshark filter 설정 시 icmp 사용
 
  [ping 명령의 활용]
  ** 네트워크 상에 통신할 시스템의 온라인 상태를 점검.
  ** 해당 시스템의 네트워크 선로 점검.
  ** Application 영역까지 점검은 불가능.(통신 가능 여부 판단 x)

  [tracert 명령의 활용]
  ** 네트워크를 통해 목적 시스템에 접속할 때 지나치는 router에 대한 정보 확인
  ** Application 영역까지 점검은 불가능.(통신 가능 여부 판단 x)

  *** 연결 가능이 있음/없음.

  [실습]

   C:\> ping www.naver.com  (보안 설정이 된 경우 응답하지 않음)
   C:\> ping 168.126.63.1
   C:\> tracert www.naver.com
   C:\> tracert 168.126.63.1   (중간 경우지 router의 보안 설정이 된 경우 응답 없음.)
   C:\> nslookup
   > www.naver.com       (인터넷 구간 접근 가능성 판단.)

   * ICMP 확장

   C:\> ping  -s (or -t) 168.126.63.1  : 통신 회선 점검
   C:\> ping -c (or -n) 2 222.116.158.124
   C:\> ping 222.116.158.124