Cisco Device Hardening

Mitigating Network Attacks

Cisco Self-Defending Network

Cisco Self-Defending Network

• Cisco 는 외부의 위협을 식별하고 방지하여 조직의 네트워크 자원을 보다 효율적으로 활용할 수 있도록 하여 비즈니스 프로세스를 향상시키고 비용을 절감시키는 3 가지 카테고리를 갖고 있다 .

• There are three categories:

– 보안연결 :

• VPN solutions 의 적용– 위협방어 :

• Cisco IOS-based firewalls

– 신뢰와 식별 :

• Cisco Secure ACS

Types of Network Attacks

Types of Network Attacks

목표 네트워크에 대한 적은 정보만으로 가능한 공격 : • Reconnaissance - 정찰• Access attacks – 잘 알려진 서비스 (web, ftp, telnet) 등의 취약점을 공격• DoS and distributed DoS - 서비스 거부 공격

Types of Network Attacks (Cont.)

많은 지식과 내부 접속 정보를 필요로 하는 공격 :• Worms, viruses, and Trojan horses

• Application layer attacks

• Threats to management protocols

Reconnaissance Attacks and Mitigation

Reconnaissance Attacks and Mitigation

• 사전조사는 공격 대상의 사용 가능한 정보와 응용프로그램에 대한 정보를 수집하는 단계이다 .

• 사전조사 유형 :

– Packet sniffers

– Port scans

– Ping sweeps

– Internet information queries

Packet Sniffers

• A packet sniffer 는 network adapter card 로 유입되는 모든 packets 을 capture하는 프로그램이다 .

• Packet sniffers:

– 평문을 전송하는 protocol 에서 중요 정보를 습득한다 .(Telnet, FTP, SNMP, POP, and HTTP)

– 같은 Broadcast Domain 에 있어야 한다 .

– 합법적으로 사용되거나 공격을 위해 사용될 수 있다 .

Packet Sniffer Mitigation

Packet Sniffer 공격을 차단하기 위한 기술과 도구 :• Authentication

• Cryptography

• Antisniffer tools

Port Scans and Ping Sweeps

Port scans 과 ping sweeps 은 다음을 확인하기 위해 사용된다 .• All services

• All hosts and devices

• The operating systems

• Vulnerabilities

Internet Information Queries

Sample IP address query

• 공격자는 “ WHOIS” 와 같은 Internet tool 을 이용할 수 있다 .

Access Attacks and Mitigation

Access Attacks

• 침입자는 다음의 이유로 Network 또는 System 에 Access Attack 을 시도한다 .

– Data 검색– Access 권한 획득– Access 권한 확대

• Access attacks include:

– Password attacks

– Trust exploitation

– Port redirection

– Man-in-the-middle attacks

– Buffer overflow

Password Attacks

Hackers 는 Password Attacks 을 위하여 다음의 방법을 사용한다 .

• Brute-force attacks

• Trojan horse programs

• IP spoofing

• Packet sniffers

Password Attack Example

• L0phtCrack 는 Registry 에 있는 hash 를 찾아 인증 passwords 를 평문으로 생성한다 .

• Passwords 는 2가지 방법 중 하나를 선택하여 해독된다 .

– Dictionary cracking

– Brute-force computation

Password Attack Mitigation

Password 공격을 방어하기 위한 기술 :• 사용자가 다수의 시스템을 이용할 경우 동일한 암호를 사용하지

못하도록 한다 .

• 로그인 실패 횟수 제한을 설정한다 .

• 평문 패스워드를 사용하지 않는다 .

• 강력한 암호를 사용한다 . (Use “mY8!Rthd8y” rather than “mybirthday”)

Trust Exploitation

• 해커는 기존 신뢰 관계를 이용한다 .

• Several trust models exist:

– Windows:

• Domains

• Active directory

– Linux and UNIX:

• NIS

• NIS+

Trust Exploitation Attack Mitigation

Port Redirection

Man-in-the-Middle Attacksand Their Mitigation

• 네트워크를 통과하는 패킷을 가로채 정상적인 접근으로 위장하여 공격하는 기법이다 .

• A man-in-the-middle attack 은 다음 사항을 이용한다 .– Routing and transport protocols– Packet Sniffers

• Man-in-the-middle attack 은 데이터 암호화를 통해 피해를 최소화 할 수 있다 .

DoS Attacks and Mitigation

DoS Attacks and Mitigation

• A DoS Attack 은 computer system 을 손상시키거나 시스템 성능을 저하시키며 서비스의 접근거부를 유발한다 .

• Distributed DoS(DDoS) 는 분산된 Source 로 부터 공격을 동시에 수행한다 .

• DoS and Distributed DoS attacks 은 IP spoofing 을 사용한다 .

Distributed DoS Attacks

• DoS and distributed DoS attacks 은 일반적으로 Service 를 사용할 수 없도록 공격하는 것을 목적으로 한다 .

• DoS and distributed DoS attacks 은 다음의 특성을 갖는다 .

– 일반적으로 network 또는 network 정보에 접근을 목표로 하지 않는다 .

– 공격을 위해 많은 노력이 필요하지 않다 .

– 방어가 어렵다 . 그러나 피해를 최소화 할 수 있다 .

Distributed DoS Example

DoS and Distributed DoS Attack Mitigation

DoS attacks 을 줄이기 위한 방법 :• Anti-spoof 기능의 routers and firewalls

• Anti-DoS 기능의 routers and firewalls

• ISP level 에서의 Traffic 제한

IP Spoofing in DoS and Distributed DoS

• TCP/IP 의 취약점을 이용한 공격이며 자신의 IP 를 신뢰할 수 있는 Host 의 주소로 위장하여 공격한다 .

• IP Spoofing 을 사용하는 이유 :

– 기존 Data Stream 에 악의가 있는 Data 또는 Command 를 삽입

– 공격대상의 Routing Table 을 변경하여 해커가 Network의 모든 패킷을 받아볼 수 있도록 한다 .

• IP spoofing 은 더 큰 공격의 처음 단계일 수 있다 .

IP Spoofing Attack Mitigation

IP spoofing 공격은 제거할 수 없지만 다음 방법으로 줄일 수 있다 .• Access control configuration

• Encryption

• RFC 3704 filtering

• 인증정책 :

– Cryptographic (recommended)

– Strong, two-factor, one-time passwords

Worm, Virus, and Trojan Horse Attacks and Mitigation

Worm, Virus, and Trojan HorseAttacks and Mitigation

일반적으로 컴퓨터 사용자는 다음 사항에 취약하다 .• Worms

• Viruses

• Trojan horse attacks

Virus and Trojan Horse Attack Mitigation

Viruses and Trojan horses can be contained by:• antivirus software 의 효율적인 사용으로 공격을 줄일 수

있다 .

• antivirus software 와 application 을 최신버전으로 유지한다 .

• Host 기반 Intrusion prevention systems 을 구현한다 .(IPS)

The Anatomy of a Worm Attack

1. The enabling vulnerability

2. Propagation mechanism

3. Payload

Mitigating Worm Attacks

Four steps to mitigate worm attacks:

1. Contain( 억제 )

2. Inoculate( 예방 )

3. Quarantine( 격리 )

4. Treat( 처리 )

Application Layer Attacks and Mitigation

Application Layer Attacks

Application layer 공격은 다음 특징을 갖는다 :• application 또는 system 의 잘

알려진 취약점을 이용한다 . (sendmail, HTTP, and FTP)

• 방화벽에 허용되어 있는 포트를 사용한다 .(TCP port 80 를 사용하는 web server)

• 새로운 취약점은 항상 발견되기 때문에 결코 완전히 공격을 제거할 수 없다 .

Netcat

• Netcat 은 어떠한 TCP/UDP 접속에도 읽기 또는 Data 쓰기가 가능한 도구이며 TCP/UDP server 의 역할을 할 수 있다 .

#nc -hconnect to somewhere: nc [-options] hostname port[s] [ports] ...listen for inbound: nc -l -p port [-options] [hostname] [port]options: -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -u UDP mode -v verbose [use twice to be more verbose]port numbers can be individual or ranges: lo-hi [inclusive]

Netcat Example

Mitigation of Application Layer Attacks

Application 공격 위험을 줄일 수 있는 조치 :• Operating system 과 network 로그 파일을 읽거나 분석

프로그램에 의해 분석하도록 한다 .

• 취약점을 알리는 Mailing List 를 구독한다 .

• Operating system 과 Application 에 대한 패치과 업데이트 .

• IDS/IPS 이용하여 알려진 공격을 감지하고 모니터링 및 로깅을 수행하여 공격을 예방할 수 있다 .

Management Protocols and Vulnerabilities

Configuration Management

• Configuration management protocols 은 SSH, SSL, and Telnet 을 포함한다 .

• Telnet 의 특징 :

– Telnet session 의 데이터는 평문으로 전송된다 .

– Data 는 중요한 정보를 포함할 수도 있다 .

Configuration Management Recommendations

Configuration management protocols 실행 시 추천사항 :• IPSec, SSH, SSL 등의 인증된 전송을 사용한다 .

• 관리서버 또는 장치에 ACL 을 사용하여 승인된 접속만 허용하고 허용되지 않은 모든 IP addresse 는 거부되어야 하며 log 로 기록한다 .

• 관리호스트로 위장하여 외부에서 수행되는 Spoofing 공격을 완화하기 위하여 RFC 3704 filtering 을 사용한다 .

Management Protocols

These management protocols can be compromised:• SNMP: Community string 을 통한 단순한 인증을 평문으로

전송한다 .

• syslog: Managed device 와 Management host 사이에 데이터는 평문으로 전송된다 .

• TFTP: Host 와 TFTP server 사이의 데이터는 평문으로 전송된다 .

• NTP: 많은 NTP server 는 peer 의 인증을 필요로 하지 않는다 .

Management Protocol Best Practices

Management Protocol Recommendations

SNMP • read-only community strings 으로 구성한다 .

• 관리를 위한 device 를 접근 제어 설정 한다 .

• SNMP version 3 를 사용한다 .

Syslog • IPsec tunnel 을 사용하여 syslog 트래픽을 암호화 한다 .

• RFC 3704 filtering 을 구현한다 .

• 접근 제어 설정을 한다 .

TFTP • IPsec tunnel 을 이용하여 트래픽을 암호화 한다 .

NTP • 자신을 위한 master clock 을 구현한다 .

• NTP version 3 를 사용한다 .

• 접근 제어 설정을 한다 .

Determining Vulnerabilities and Threats

Determining Vulnerabilities and Threats

네트워크 취약점 점검 Tools:• Blue’s PortScanner

• Ethereal

• Microsoft Baseline Security Analyzer

• Nmap

Blue’s Port Scanner and Ethereal

Blue’s PortScanner

Ethereal

Microsoft Baseline Security Analyzer