SNMP 스캔 & IP 주소추적

1. SNMP 스캔 & IP주소추적 조 원 : 노 태 경 (20052218) 손 건 익 (20052227) 발표일 : 2011년 3월 30일(수요일) 담당교수 : 김 현 성 교수님

2. SNMP 2 인터넷보안

3. contents • SNMP의정의 • SNMP의 등장배경 • SNMP의 버전 • SNMP의구조 • SNMP의 취약점 & 대응방안 • Q&A 3 3 인터넷보안 인터넷보안

4. SNMP의 정의 • SNMP 란? • 간단한 네트워크 관리를 위한 규칙,Simple Network Management Protocol의 약자 입니다 • 네트워크 장비를 관리 감시하기 위한 목적으로 UDP 상에 정의된 응용 계층 표준 프로토콜입니다. • 네트워크의 중앙 집중화된 관리를 위해 만들어졌습니다. • 지금까지 1,2,3까지 세 가지 버전이 있으며 그 기능의 차이는 대부분 보안상의 문제에 관한 것 입니다. 4 인터넷보안

5. SNMP의 등장배경 • TCP/ IP 초기 네트워크 관리 환경에서는 ICMP를 이용하여 우리가 주로 쓰는 PING를 통해 종단간 장비간의 연결상태 등을 파악 • 인터넷에 접속되는 호스트가 증가, 네트워크 구성의 복잡/다양화, 네트워크 관리의 필요성과 중요성 대두 • 88년 초 IAB에서 표준화 작업 그 중 SGMP를 발전 시켜SNMP를 표준으로 채택 5 인터넷보안

6. SNMP의 버전 • 1988년 에 IAB에서 표준화 작업을 거쳐 SGMP를 발전시켜 만들어진 버전 1이 탄생하였습니다. • 1993년 버전1의 문제점을 해결 하기 위해 PDU타입을 정의할 수 있는 기능과 DES와 MD5의 보안기능을 추가하여 버전2가 탄생하였습니다. • 1999년 버전2에서 인증기능을 더하여 버전3을 만들었습니다. 6 인터넷보안

7. SNMP의 구조(1) • SNMP망의 관리 시스템 • Manager System = 관리 에이전트 • Agent = 관리대상 7 인터넷보안

8. SNMP의 구조(2) • 관리 대상 구성 요소 • SNMP(Simple Network Management Protocol)- 전송 프로토콜 • MIB(Management Information Base)- 관리되어야 할 객체들의 집합 • SMI(Structure of Management Information)- 관리 방법 인터넷보안

9. SNMP의 구조(3) • SNMP 사용에 대한 제약 조건 • 버전: 관리 시스템과 에이전트간 SNMP 버전이 일치해야 합니다. • 커뮤니티: 서로 설정한 커뮤니티가 일치 해야 합니다. • PDU : 통신을 위한 패 킷별 해당 값으로 0~4까지 있습니다. 9 인터넷보안

10. SNMP의 구조(4) • Get Request : 관리 시스템이 특정 변수 • 값을 읽음 • Get Next Request : 관리 시스템이 이미 • 요청한 변수 다음의 변수 값을 요청 • Set Request : 관리 시스템이 특정 변수 • 값의 변경을 요청 • Get Response : Agent가 관리 시스템에게 • 해당 변수 값을 전송 • Trap : Agent의 특정 상황을 관리 시스템 • 에게 알림 10 인터넷보안

11. SNMP의 구조(5) • MIB • 관리자가 조회하거나 설정할 수 있는 객체들의 데이터베이스 • 각 객체 별로 트리 형식의 구조 • MIB 객체의 종류 : SNMP, System, Interface, AT, IP,ICMP, TCP, UDP, EGP, Transmission • SMI • 관리 정보 구조라고 해석 • MIB를 정의하고 구성하는 툴이며 데이터 타입, 자원을 표현, 자원의 명명 하는 방식 • 즉 표준에 적합한 MIB를 생성하는 관리기준 • MIB를생성하려면 OID를 지정 받아야 함 11 인터넷보안

12. SNMP의 구조(6) OID는고유하고 특정한 숫자의 연속으로 표현됩니다. 위의 계층을 차례대로 따라 내려온 것이 고유한 OID가 되며, IANA에서 이를 관리하고 있습니다.자신의 특정 객체에 대한 OID를 얻고 싶다면, 등록하여 부여 받을 수 있습니다. system의 경우 OID는 1.3.6.1.2.1.1임을 알 수 있다. 12 인터넷보안

13. SNMP의 취약점 & 대응방안(1) • SNMP의 취약점 • 외부 네트워크에서 SNMP프로토콜을 이용하여 해당 장비의설정을 변경하거나 필요이상의 많은 정보가 노출 • SNMPv1의 경우 모든 메시지들이 평문으로 전달되므로스니퍼링으로 인한 문제 • 악의적인 의도를 가진 사용자로부터 비정상적인 메시지가 수신될 경우 시스템이 다운되거나 재 부팅되는 문제 13 인터넷보안

14. SNMP의 취약점 & 대응방안(2) • SNMP의 대응방안 • SNMP 서비스 중지 • Community string의 변경 • SNMP 서비스 관련포트의 필터링 • 인증되지 않은 내부 서버로부터의 SNMP 트래픽을 차단 • 내부 네트워크으로의 SNMP 트래픽 분리하기 • 외부 네트워크로의 트래픽 필터링 14 인터넷보안

15. SNMP 취약점을 이용한 공격 15 인터넷보안

16. 실습환경 • OS : Windows XP • 공격 툴 : • Solarwinds Engineer’s Tool • SNMP 서비스 실행의 확인 16 인터넷보안

17. 공격툴 • 저희는 Solarwinds Engineer’s Tool을 이용하여 SNMP 서비스의 취약점을 이용한 공격을 하였습니다. • 이 툴은 네트워크 전문 관리자를 위한 유료 툴로써 트래픽, 라우터, E-Mail 감시 등 네트워크에서 펼쳐지는 모든일들을 확인하고 제어하는 프로그램입니다. • www.Solarwinds.com에서 성능 제약이 있는 프로그램을 무료로 다운로드 할 수 있습니다. 17 인터넷보안

18. 공격준비(1) • 우선 공격에서 앞서 윈도우XP 서비스팩 3이상의 윈도우 버전에서는 SNMP 서비스가 자동적으로 실행이 되고 있습니다. • 실습을 통해서 이 서비스가 실행이 되고 있는지 확인 해봅시다. • 시작 > 실행 > Services.msc 입력 Enter 18 인터넷보안

19. 공격준비(2) • 이와 같은 화면이 나오게 됩니다. • 여기서 스크롤을 내려 보시면 ‘SNMP Service’라는 항목이 자동으로 시작 되어 있다는 것을 확인 할 수 있습니다. • 저는 상위버전인 윈도우7을 사용하고 있으며 이 서비스가 자동으로 실행이 되고 있음을 확인 하였습니다. 19 인터넷보안

20. 공격방법(1) • Solarwinds Engineer’s Tool을 실행하면 Network Discovery 부분의 IP Network Browser를 이용하여 공격을 시도 할 것 입니다. 20 인터넷보안

21. 공격방법(2) • IP Network Browser을 실행하면 이와 같은 화면이 나오며 우리는 공격지의 서브넷 주소와 IP주소를 알고 있는 상태로 가정하여 공격을 하겠습니다. • 우선 Subnet Address 부분에 공격지의 서브넷 주소를 입력하고 스캔을 합니다. 21 인터넷보안

22. 공격방법(3) • Subnet Address를 통한 스캔이 완료가 되면 해당 서브넷에소속되어있는 SNMP 서비스가 실행되고 모든 IP주소가 나오게 됩니다. 22 인터넷보안

23. 공격방법(4) • 공격지의 IP를 확인하고 위의 결과 물을 얻을 수 있습니다. • 검색된 결과물의 각 항목의 내용은 다음과 같습니다. 23 인터넷보안

24. 공격방법(5) 1 2 3 4 운영체제의 종류와 관리자의 계정을 확인 할 수 있습니다. 커뮤니티가 Public으로 설정되어 있습니다. 시스템 MIB정보가 나와 있으며 다른 특별한 정보를 입력하지 않았기 때문에 하드웨어 사양과 마지막 부팅 시간 등을 알 수 있습니다. 인터페이스가 두 개 임을 알 수 있습니다. 하나는 논리적인 인터페이스인 루프백이며 다른 하나는 실제 인터페이스 입니다. 스위치의 경우에는 많은 수의 인터페이스에 대한 사항을 하나씩 모두 확인 할 수 있습니다. 24 인터넷보안

25. 공격방법(6) 5 5. 스캔한 시스템에서 운용되고 있는 서비스에 대한 목록입니다. 25 인터넷보안

26. 공격방법(7) 6 7 8 6. 사용되고 있는 계정을 확인할 수 있습니다. 7. 공유자원을 확인 할 수 있습니다. 8. 연결되어 있는 네트워크 목록을 확인 할 수 있습니다. 26 인터넷보안

27. 공격방법(8) 9 10 11 9. 시스템 라우팅 테이블을 확인 할 수 있습니다. 10. 제공하고 있는 UDP 서비스를 확인 할 수 있습니다. 11. 스캔한 시스템의 현재 TCP 세션과 열린 포트를 확인 할 수 있습니다. 27 인터넷보안

28. 대응방법 1. 인터넷을 하지 않는다 > 실생활에서 꼭 필요한 인터넷을 하지 않는 것은 불가능 2. 서비스 목록에서 SNMP 서비스 실행 중지를 통한 가장 최소한의 최선의 방법으로 공격을 막는다 28 인터넷보안

29. Q & A 29 인터넷보안

30. IP 주소 추적 30 인터넷보안

31. contents IP주소 추적이란? Mail을 이용하는 방법 웹 게시판을 이용하는 방법 Traceroute를 이용하는 방법 P2P서비스를 이용하는 방법-메신저 Q&A 31 31 인터넷보안 인터넷보안

32. IP주소 추적이란? • IP주소 추적의 정의 • IP 주소는 전 세계에 펼쳐진 네트워크에 해당 패킷을 전달하는 역할을 하는데, 모든 패킷에는 출발지와 목적지가 존재 • IP 주소 추적의 기본은 출발지 IP 주소를 확인하는 것 • IP주소 추적을 하는 이유는 특정인의 정보를 IP주소로 통해 알아내기 위한 것입니다. 32 인터넷보안

33. Mail을 이용하는 방법(1)-(GMail) 원본보기에 클릭을 하면 메일헤더를 볼 수 있습니다. 메일헤더란? 여러 가지 제어 정보가 기록된 e-mail의 앞부분입니다.즉, 본문 앞에 기입된 정보로 송신자와 수신자 이름, e-mail주소,제목, 송신 일시, 첨부파일의 마지막 코드 방식 등이 기입되어있는 부분입니다. 33 인터넷보안

34. Mail을 이용하는 방법(2)-(GMail) • Received : 편지가 배달되는 경로를 말합니다. • Message-Id : 편지에 지정된 식별 번호. • From : 보내는 사람 주소 • To : 받는 사람 주소 • Reply-to : 수신자가 회신을 했을때, 누구에게 발송될지를 지정. • Date : 편지가 보내진 날짜 • X-maile : 보내는 사람이 사용한 메일 프로그램 34 인터넷보안

35. 웹 게시판을 이용하는 방법(1) • 웹 게시판에 글을 쓸 때는 글쓴이의 IP 주소가 기록되고, 웹 서버의 로그에서도 IP 주소가 저장됩니다. • 웹 해킹 등의 공격 흔적은 로그 파일 분석을 통해 확인이 가능합니다. • FTP나 Telnet 같은 서비스도 로그를 분석하여 해커의 IP 주소를확인 가능합니다. 35 인터넷보안

36. 웹 게시판을 이용하는 방법(2) 1. 웹 서비스 활성화 : setup→ System services 선택 → httpd 설정 2. 방화벽 룰셋 조정 : Firewall configuration-Customize선택 → WWW (HTTP)설정 36 인터넷보안

37. 웹 게시판을 이용하는 방법(3) 3. 서비스 시작: httpd 서비스 시작 service httpd start 4. 클라이언트 접속 : 웹 브라우저를 통해 해당 웹 서버에 접속 37 인터넷보안

38. 웹 게시판을 이용하는 방법(4) 5. 웹 서버 로그 확인 : /etc/httpd/logs/access_log-[날짜]파일에서 웹 서버에 접속한 로그 확인 38 인터넷보안

39. Traceroute를 이용하는 방법(1) traceroute는 패킷이 목적지까지 도달하는 동안 거치는 라우터의 IP 즉, 공격 대상의 IP가 어느 회사에 포함되고 어떤 ISP 업체을 지나는지 확인이 가능한 툴입니다. traceroute는 UDP와 ICMP, IP의 TTL 값을 이용합니다. a.a.a.a에서 b.b.b.b까지 traceroute했을 시동작 순서traceroute 툴이 TTL 값을 1로 설정하고 33435번 포트로 UDP 패킷을한 번에 세 개씩 보냅니다. 첫 번째 라우터는 1로 설정된 UDP 패킷의 TTL 값을 0으로 줄이고, 출발지 주소로 ICMP Time Exceeded 메시지(Type 11)를 보냅니다. a.a.a.a에서는 패킷을 통해 첫 번째 라우터까지의 시간을 알아낼 수 있다. 두 번째 라우터까지는 UDP 패킷의 TTL 값을 다시 2로 설정하여 보내면, 두 번째 라우터도 첫 번째 라우터와 같은 과정을 거친다. 앞의 과정을 반복해 목적지 시스템에 도달하면 출발지에 ICMP Port Unreachable(Type 3) 패킷이 돌아오고 모든 과정이 끝난다. 39 인터넷보안

40. Traceroute를 이용하는 방법(2) • traceroute 패킷 흐름 예      40 인터넷보안 traceroute 패킷 흐름 예

41. Traceroute를 이용하는 방법(3) • traceroute를 수행하는 데 사용하는 다른 툴로 Sam Spade가 있습니다. Sam Spade는 포트 스캔을 제외한 여러 가지 스캔을 빠른 시간 안에 효과적으로 할 수 있습니다. 41 인터넷보안 패킷 내용 확인 : tracert 명령 실행 tracert 168.126.63.1

42. Traceroute를 이용하는 방법(4) • Traceroute 이용시 주의사항 • Traceroute 결과가 실행할 때마다 다른 경우에는 그다지 큰 문제가 없으나 계속해서 똑같은 Route만을 지난다면 역 추적당하고 있을 수 도 있다는 것입니다 • 최근에는 ISP 업체들끼리 협약으로 특정구간에서 Traceroute 와 같이 의심되는 패킷에 대해서는 특정한 경로만 지나도록 고정하고 이를 역추적하는 경우가 있습니다. 42 인터넷보안

43. P2P서비스를 이용하는 방법(1)-메신저 • P2P 서비스 • Peer to Peer = PC to PC = Personal to Personal • 간단한 메시지를 주고받을 때는 P2P 서버를 이용하지만, 클라이언트 간에 파일을 주고받을 때는 세션을 직접 생성. 상대방의 IP 주소를 netstat이나 패킷 분석을 통해 확인 가능합니다 43 인터넷보안

44. P2P서비스를 이용하는 방법(2)-메신저 P2P 서비스를 이용한 텍스트와 파일 교환  서버를 통해 이루어지므로 IP 주소 노출X  상대방과 직접 주고받아 IP 주소 노출/획득 O 44 인터넷보안

45. P2P서비스를 이용하는 방법(3)-메신저 공격자는 IP를 알고 싶은 상대방에게 파일을 보냅니다. 공격자는 파일이 전송되는 동안 CMD 창을 열어 netstat –b 명령어를 입력합니다. 45 인터넷보안

46. P2P서비스를 이용하는 방법(4)-메신저 명령어 netstat –b를 입력하면1844포트에 연결된 192.168.107.220이라는 상대방 IP주소를 찾을 수 있습니다. 46 인터넷보안

47. P2P서비스를 이용하는 방법(4)-메신저 1 2 3 4 5 • 프로토콜 타입을 나타냅니다. • 자신의 주소, 포트를 나타냅니다. • 외부 상대의 IP주소, 포트를 나타냅니다. • 패킷 흐름의 상태를 나타냅니다. • 프로세서 ID를 나타내고 있습니다. 47 인터넷보안

48. P2P서비스를 이용하는 방법(5)-메신저 • 패킷 흐름 상태 표 48 인터넷보안

49. P2P서비스를 이용하는 방법(6)-메신저 인터넷을 하지 않는다 > 실생활에서 꼭 필요한 인터넷을 하지 않는 것은 불가능 사실 Nestat 명령을 중지 할 수 가 없기 때문에, 알약, V3 LITE 버전의 무료 백신 보다는 검증된 카스퍼스키,V3프리미엄등 유료 백신을 통하여 개인 방화벽을 활성화하여 외부 침입을 항시 감시 합니다. 그리고 메신저를 사용 할 때 검증 된 사용자가 자신에게 파일을 보내는지, 확인을 하고 난 후 파일을 전송 받고 사용자 본인의 주의가 요구 됩니다. 49 인터넷보안

50. Q & A 50 인터넷보안