26일차(3.21) 커널이나 시스템 정보를 알려주는 배너(banner) 파일 관리하기 가상 파일시스템인 /proc 파일 조정하기 Telnet, FTP나 SSH, HTTP 서비스와 열린 포트 등 조절하기 SYN Flooding 공격 막기

그리고 다음도 중요한 보안상 설정이다. 몇 가지를 알아보자.
1-1. 기본 컴파일러 gcc/c++를 root만 사용하도록 퍼미션 변경하기
1-2. 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기
▪ 중요한 명령어가 들어있는 /usr/bin 디렉터리
▪ 시스템 설정 명령어가 들어있는 /usr/sbin, 
▪ 각종 설정파일들이 들어있는 /etc/, 
▪ 부팅과 관련된 /boot, 그리고 
▪ Linux 운영체제가 들어있는 하드디스크인 /dev/sda2(이것은 lsblk 해보면 확인할 수 있다)를 다른 디스크에 백업해두는 것이 좋다.  
1-3. chkconfig로 시작 서비스를 런레벨 별로 제한하기
1-4. xinetd 슈퍼 데몬에 관한 보안도 주의한다. 
1-5. SSH 등 원격연결을 사용자와 포트로 제한하기

=========================================================여기부터 수업
1-6. 패스워드와 root 로그인 콘솔에 관한 보안도 주의한다.
=>외부에서 ssh나 telnet, ftp 등으로 접속하면 접속한 사용자의 홈 디렉터리로 가게 되고 콘솔은 /dev/pts/1, 2, ...를 받게 되어 있다. root의 접속을 막기 위해서는 /etc/securetty 파일에서 규제를 하면 된다.
==>접속 후 '!명령어'는 현재 호스트에서 작업하는 것이고, 그냥 '명령어'는 연결된 타겟 머신에서 작업하는 것이다.
1-7. su와 sudo 사용자 제한하기
=>root 관리자로 작업을 오래하면 해커에게 root의 패스워드나 root 권한의 파일 등이 노출될 수 있어서 위험하기 때문에 보통은 일반 사용자로 작업하다가 root 권한이 필요한 작업을 수행해야 할 때 su -c '명령어'나 sudo '명령어'를 사용해서 일시적으로 root 권한을 얻는다. 특히 root가 작업하는 세션을 가로채서 외부에서 root 권한을 얻을 수도 있다. sudo 권한은 /etc/sudoers 파일에서 일반 사용자를 권한을 주어서 넣어주거나 %wheel(Ubuntu에서는 %sudo) 그룹에 넣을 수도 있다.

(https://heroineyen.tistory.com/79 13번)

1-8. 사용자 패스워드 관리하기
 chage centos식으로 해서 centos 사용자의 최소 패스워드 기간, 최대 패스워드 기간, 마지막 패스워드 변경(계정 유효기간) 등을 지정할 수 있다.
1-9. 중요 명령어를 root만 실행시키기
=>해당 파일에 대한 속성 변경을 막아야 하는데 'chattr +i 대상_파일'식으로 해주면 된다. 
1-10. 커널이나 시스템 정보를 알려주는 배너(banner) 파일 관리하기
=>배너를 관리해야 하는 이유는 시스템에서 실행되고 있는 서버 서비스 데몬의 정보를 외부로 노출하지 않기 위해서이다.
Linux 설치 시 일반 사용자 권한으로
▸ cat /etc/issue(콘솔 로그인 메시지), 
▸ cat /etc/issue.net(원격 로그인 메시지), 
▸ cat /etc/redhat-release(원격 로그인 Linux 정보 메시지)에서 시스템의 버전 정보를 보이고, <=uname -a
▸ cat /etc/motd에서 Telnet이나 ssh 로그인 시 성공 메시지 등이 보이므로 이들을 다른 문자로 채워 넣거나 비워두는 것이 좋다. 
  또 SSH(openssh-server), vsFTP(vsftpd), HTTP(httpd) 서버를 설치한 뒤  
▸ SSH 서버의 배너정보(/etc/ssh/sshd_config:129줄-Banner none), 
▸ vsFTP 서버의 배너정보(/etc/vsftpd/vsftpd.conf:85줄-ftpd_banner=Welcome ~ ),  
▸ HTTP 서버의 배너정보(/etc/httpd/conf/httpd.conf:44줄-ServerTokens OS, 그리고 536줄-ServerSignature on) 등도 주석#처리해서 감추거나 다른 문자열로 대체해서 보이지 않게 해두어야 한다. 
=>Linux에서는 방화벽 설정에서 
CLI로 firewall-cmd ......
        iptables ...............와 
GUI로 firewall-config 해서 각각 들어가서 방화벽을 조절할 수 있다!!!
=>이전부터 Linux에서는 firewall-cmd ~와 iptables ~ 설정한 것이 잘 실행되지 않을     때 매우 많다!!! 따라서 GUI 화면에서 설정하는 것이 확실하다!!!
    firewall-cmd ~ > iptables ~ > firewall-config 순서로 잘 적용된다.

 

(무지막지하지만 화이팅!!!!)
1-11. 가상 파일시스템인 /proc 파일 조정하기 
=> /proc를 통한 시스템 설정과 외부 공격 막기
  Linux 시스템은 시스템이 부팅할 때 하드디스크에 저장된 /etc/sysctl.conf 파일에 설정된 커널 값을 사용한다. 하지만 시스템은(쉽게 말해 CPU는) 하드디스크에서 정보를 읽는 것보다 메모리에서 정보를 읽는 것이 1,000배는 빠르므로 하드디스크 /etc/sysctl.conf 파일에 설정된 커널 값을 메모리의 /proc 디렉터리에 올려두고 사용한다. 메모리에 있는 /proc 파일시스템은 하드디스크에 있는 /etc/sysctl.conf 파일의 복사본이라고 볼 수 있다. 커널에 대한 modular 방식(HDD에서 정보를 읽어 옴: 큰 용량의 프로그램)과 monolithic 방식(HDD의 정보를 RAM으로 옮긴 뒤 RAM에서 정보를 읽어 옴: 작은 용량의 프로그램)의 차이와 유사한 개념으로 볼 수 있다.

 

  /etc/sysctl.conf는 Windows에서의 레지스트리와 유사한 개념으로 여기서 설정한 대로 머신이 실행된다. HDD의 /etc/sysctl.conf 파일에서 커널의 설정 값을 변경하면 -> RAM의 /proc 파일시스템에 바로 변경이 반영된다. 따라서 시스템 설정파일 /etc/sysctl.conf에서의 각 설정값과 가상 파일시스템 /proc 디렉터리의 각 파일에서의 설정 값은 같다. 하지만 머신이 꺼지면 메모리의 정보가 휘발성(volatile)이어서 모두 없어지므로 /proc의 내용이 모두 없어지고 하드디스크에 있는 /etc/sysctl.conf 파일의 설정만 존재하게 된다.  

  예를 들어서 시스템 사용 중에 보안에 대한 SELinux를 setenforce 0 해서 일시적으로 Permissive로 해두는데, 이는 메모리의 /proc에서의 설정이기 때문에 현재 실행되는 시스템에서 일시적으로 적용되는 설정이고 머신이 리부팅되면 메모리에서 이 정보는 사라지고 원래 HDD의 /etc/selinux/config 에서의 설정이 적용되어 다시 Enforcing이 되는 것을 생각해보면 이해가 될 것이다. 

 

참고로 D RAM과 S RAM이 있다.

D RAM은 전기가 있을 때 메모리가 저장된다. 용량이 크다. S RAM은 전기가 없어도 데이터가 저장된다. 용량이 작다. CPU에 L1 캐시 메모리, 마더보드에 L2 캐시 메모리가 있다. 그래픽에 L3 캐시 메모리가 있다. CPU+L1 캐시 메모리가 전통적으로 S RAM인데 대신 속도가 느리다. 용량이 작다. 16기가는 D RAM 덕분에 가능하다. SD 카드는 S RAM 카드다. 근데 전기가 없으면 저장이 안된다. 하드 말고 SD 카드 같은 데 게임을 저장하면 속도가 빠르다.  하드보다는 메모리가 빠르니깐.

  /proc 파일시스템은 메모리상에서 실행되고 있는 모든 Linux 커널 자원들에 대한 정보를 PID로 구별해서 보관하고 있다. 하지만 이 /proc 파일의 값은 물리적으로 존재하는 것이 아니라 머신이 실행되는 동안만 메모리에 일시적으로 존재하기 때문에 /proc를 '가상 파일 시스템'으로 부른다. 따라서 /proc 파일시스템에서 중요한 설정을 변경하고 재부팅 후에도 계속 그 설정이 적용되게 하려면 하드디스크에 있는 /etc/sysctl.conf 파일에 설정을 저장해 두어야 한다. 

=>보안측면에서 보면 외부에서 DDoS와 같은 공격이 있을 때 
HDD로 들어가서 /etc/sysctl.conf  파일을 열고 설정을 변경해서 저장하는 작업보다 현재 실행되고 있는 RAM에서 설정을 변경하면 바로 적용될 수 있기 때문에 /proc 가상 파일시스템을 사용하는 것이 매우 효과가 좋다!!!
a) sysctl -a 해서 HDD에 저장된 모든 설정을 보고 
b) sysctl -w net.ipv4.ip_forward=0 해서 원하는 항목의 설정을 변경한 뒤
c) sysctl -a |grep "ip_forward" 해서 확인하고
d) cat /proc/sys/net/ipv4/ip_forward 해서 파일시스템에서도 변경을 확인할 수 있다. 

① Telnet, FTP나 SSH, HTTP 서비스와 열린 포트 등 조절하기 
=>nano /proc/sys/net/ipv4/ip_local_port_range 해서 파일을 열고 
30000 35000식으로 수정해서 이 포트 이외의 포트가 연결되면 관리자가 알아차리기 쉽게 설정해서 저장한다. 
② SYN Flooding 공격 막기
SYN Flooding 공격은 두 노드 간 TCP 연결인 3-way handshakes를 이용한 일종의 DoS (Deny of Service) 공격이다. 일반적으로 TCP에서의 3-way handshakes 연결은 클라이언트가 먼저 서버에게 SYN를 보내서 서버에게 연결을 요청하면 >서버는 SYN+ACK를 클라이언트에게 보내서 연결을 기다리고 >그러면 이제 클라이언트가 ACK를 서버로 보내서 서로 연결되는 과정을 가진다. 
=>하지만 클라이언트(해커)는 이런 연결을 교묘하게 속여서 침투하는데
a. 클라이언트가 서버에게 SYN1를 보내고,
b. 서버가 SYN1+ACK1을 보내오면, 
c. 원래대로라면 클라이언트가 ACK1을 응답으로 보내서 연결해야 하는데 ACK1을 보내지 않고 또 다른 SYN2를 보낸다.
c. 이제 서버가 SYN2+ACK2를 보내면, 
d. ACK2를 응답으로 보내지 않고, 또 SYN3를 보내고,...하는 식으로 계속 SYN만 보내고 실제 연결을 맺지 않는 공격이다. 
e. 그러면 서버는 각각의 연결요청 SYN1, SYN2, SYN3, ...를 로그에 파일로 저장해 두고 포트를 열어두고(이를 half-open 상태로 부름) 각각의 ACK를 클라이언트로부터 기다린다. 계속된 SYN 요청으로 인해 연결 설정의 정보를 저장해두는 로그파일(Backlog Queue라고 함)의 용량이 다 차면 서버가 서비스 불능이 되게 된다. 
=>이런 syn_flooding 공격을 막으려면 서버의 로그가 저장되는 이 backlog queue 용량을 늘려서 syn_flooding 공격을 견뎌낼 동안 관리자가 조치를 취해서 막으면 된다. 
=>iptables에서 --J drop과 --J reject가 있는데 모두 연결을 거부하는 것이지만 drop은 로그파일을 남기지 않고 거부하며, reject는 로그파일로 기록을 남기고 거부한다.
③ Smurf / Land 공격 막기  
∎ 스머프 공격은 해커가 무수한 출발지 주소가 가짜인 사설 IP 패킷으로 서버에게 SYN로 보내면 서버는 클라이언트에게 SYN+ACK를 보내야 하는데 클라이언트 주소가 가짜이므로 SYN+ACK를 보내도 결국 서버는 클라이언트로부터 ACK를 받지 못하고 연결 대기 타임아웃에 걸릴 때까지 계속 포트를 열어놓고(half-open 상태) 기다리는 상태가 되므로 위험하다. 
=>이런 smurf 공격을 예방하려면 TCP 연결을 초기화하는 tcp_syncookies 값을 1로 만들어서 온전한 패킷만 받게 해두면 된다. 사설 IP 등은 정식 인터넷에서 작동되지 못하기 때문에 인터넷 연결 활동을 기록하는 cookies에 들어갈 수 없기 때문에 이 기법으로 출발지 주소를 속이는 가짜 사설 IP를 걸러낸다고 봐도 된다.
∎ 랜드 공격은 해커가 출발지 주소와 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 하는 패킷을 보낸다. 이렇게 하면 서버는 자기 자신과 연결을 맺음으로써 실행 속도가 느려지고 동작이 마비된다. 
=>패킷 헤더를 검사하는 알고리즘을 넣어서 출발지와 목적지가 동일한 주소를 가진 패킷을 막게 해야 한다. 
④ ICMP Redirect 막기  
로컬에서 타겟을 찾을 때 ping으로 찾는데 이 ping에서 사용하는 ICMP 프로토콜을 악용한 ICMP Redirect 공격은 해커가 자신의 MAC 주소를 ARP Spoofing 기법 등으로 로컬에 있는 주로 라우터(게이트웨이)의 MAC 주소를 자신의 MAC 주소와 같게 속여서(MAC cloned) 로컬 호스트들의 라우터로 가는 패킷이 해커 머신에도 경과하도록 경로 변경을 해서 이들의 모든 정보를 보게하는 공격이다.
=>이런 icmp redirect에서 사용하는 경로 변경을 막아주면 된다.
⑤ Reverse Path Filtering으로 DDoS(IP spoofing) 막기
해커는 임의의 가짜 IP 주소를 무제한으로 생성해서 타겟 서버에 특정 서비스를 요청하는 SYN를 보내는 Smurf 공격과 유사한 DDoS(Distributed DoS) 공격을 수행하기도 한다. 
=>이를 막기 위해서는 들어오는 패킷의 헤더를 보거나 역으로 추적해서 사설 IP 주소이거나 출발지 주소가 불분명한 패킷을 막으면 된다.  
⑥ Faked(Rogue) IP Filtering 하기
⑦ Source Route 패킷 전송 막기
⑧ ping이나 tracert에 응답하지 않기 
  
  일반적인 외부공격에 대비하기
1. Buffer Overflow 공격 
2 각종 오류를 이용한 공격
① 서버 프로그램 설정상 오류를 이용한 공격
② 초기 패스워드 계속 사용을 이용한 공격
③ API(어플리케이션) 오류를 통한 공격
④ Server 오염 공격(XSS, CSRF)
⑤ Session Hijacking 공격
⑥ SQL Injection 공격
⑦ OS Injection 공격
⑧ Directory Traverse 공격

 

실습

1-8. 사용자 패스워드 관리하기
 chage centos식으로 해서 centos 사용자의 최소 패스워드 기간, 최대 패스워드 기간, 마지막 패스워드 변경(계정 유효기간) 등을 지정할 수 있다.

1) chage 명령어

 [1] change age의 약자로 계정의 패스워드 변경에 대한 정책을 세우는 명령어이다.

 [2] Minimum Password Age

  - 패스워드 최소사용기간으로 패스워드를 변경 후 7일 동안 패스워드 변경이 불가능하다.

 [3] Maximum Password Age

  - 패스워드 변경 후 60일 내에 다른 패스워드로 변경하여야 한다.

 [4] Last Password Change

  - 마지막으로 패스워드를 변경한 날짜이다.

  - 이 날짜부터 Maximum Password Age 까지가 패스워드를 사용할 수 있는 기간이다.

 [5] Password Expiration Warning

  - 패스워드 만료 이 기간(3일) 전부터 경고메세지를 표시한다.

 [6] Password Inactive

  - 패스워드 만료 후 이 기간(1일) 후 계정을 잠근다.

 [7] Account Expiration Date

  - 계정의 유효기간을 말한다.

  - 이 기간이 지나면 사용이 불가능하다

(출처: https://ccurity.tistory.com/155)

 

chage -l centos로 확인할 수 있다. 

1-10. 커널이나 시스템 정보를 알려주는 배너(banner) 파일 관리하기

/etc/motd

센토스2에서 SSH로 접속했더니 배너가 뜬다

 

vsftp 데몬 설치

yum -y install vsftpd

nano -c /etc/vsftpd/vsftpd.conf

설정파일.구성파일을 본다. (https://heroineyen.tistory.com/82에서 동글뱅이 2번)

이렇게 주석처리를 풀면 외부에서 변경된 배너를 볼 수 있다. 

 

방화벽 열고 ftp 체크, systemctl start vsftpd, enable 까지 해주고 LISTEN 체크 해보면 잘 열려 있다. 

 

setenforce 0도 해준다.

 

BT에서 접속했을 때 배너가 성공적으로 뜬다.

 

centos2에서 접속했을 때도 똑같이 뜬다. 

 

=>Linux에서는 방화벽 설정에서 
CLI로 firewall-cmd ......
        iptables ...............와 
GUI로 firewall-config 해서 각각 들어가서 방화벽을 조절할 수 있다!!!
=>이전부터 Linux에서는 firewall-cmd ~와 iptables ~ 설정한 것이 잘 실행되지 않을 때가 매우 많다!!! 따라서 GUI 화면에서 설정하는 것이 확실하다!!!

iptables -A INPUT -p tcp --dport=21 -j ACCEPT
service iptables reload

이런 명령어도 있다. 

 

참고로 알아둘 것

==>접속 후 '!명령어'는 현재 호스트에서 작업하는 것이고, 그냥 '명령어'는 연결된 타겟 머신에서 작업하는 것이다.

!ls 현재 목록 보여줘, ls 타겟 머신 보여줘

!pwd와 pwd의 차이

 

bt 텍스트 파일 만들어서 전송

와 있다

mkdir CENT도 가능하다.

파일 읽거나 uname-a는 안먹히는 걸 보면 파일 만들고 송수신 정도만 되는 모양.

 

uname -a

[root@localhost centos1]# uname -a
Linux localhost.localdomain 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

 

 

1-11. 가상 파일시스템인 /proc 파일 조정하기 
=> /proc를 통한 시스템 설정과 외부 공격 막기
  Linux 시스템은 시스템이 부팅할 때 하드디스크에 저장된 /etc/sysctl.conf 파일에 설정된 커널 값을 사용한다. 하지만 시스템은(쉽게 말해 CPU는) 하드디스크에서 정보를 읽는 것보다 메모리에서 정보를 읽는 것이 1,000배는 빠르므로 하드디스크 /etc/sysctl.conf 파일에 설정된 커널 값을 메모리의 /proc 디렉터리에 올려두고 사용한다. 메모리에 있는 /proc 파일시스템은 하드디스크에 있는 /etc/sysctl.conf 파일의 복사본이라고 볼 수 있다. 커널에 대한 modular 방식(HDD에서 정보를 읽어 옴: 큰 용량의 프로그램)과 monolithic 방식(HDD의 정보를 RAM으로 옮긴 뒤 RAM에서 정보를 읽어 옴: 작은 용량의 프로그램)의 차이와 유사한 개념으로 볼 수 있다.

 

  /etc/sysctl.conf는 Windows에서의 레지스트리와 유사한 개념으로 여기서 설정한 대로 머신이 실행된다. HDD의 /etc/sysctl.conf 파일에서 커널의 설정 값을 변경하면 -> RAM의 /proc 파일시스템에 바로 변경이 반영된다. 따라서 시스템 설정파일 /etc/sysctl.conf에서의 각 설정값과 가상 파일시스템 /proc 디렉터리의 각 파일에서의 설정 값은 같다. 하지만 머신이 꺼지면 메모리의 정보가 휘발성(volatile)이어서 모두 없어지므로 /proc의 내용이 모두 없어지고 하드디스크에 있는 /etc/sysctl.conf 파일의 설정만 존재하게 된다.  

  예를 들어서 시스템 사용 중에 보안에 대한 SELinux를 setenforce 0 해서 일시적으로 Permissive로 해두는데, 이는 메모리의 /proc에서의 설정이기 때문에 현재 실행되는 시스템에서 일시적으로 적용되는 설정이고 머신이 리부팅되면 메모리에서 이 정보는 사라지고 원래 HDD의 /etc/selinux/config 에서의 설정이 적용되어 다시 Enforcing이 되는 것을 생각해보면 이해가 될 것이다. 

 

참고로 D RAM과 S RAM이 있다.

D RAM은 전기가 있을 때 메모리가 저장된다. 용량이 크다. S RAM은 전기가 없어도 데이터가 저장된다. 용량이 작다. CPU에 L1 캐시 메모리, 마더보드에 L2 캐시 메모리가 있다. 그래픽에 L3 캐시 메모리가 있다. CPU+L1 캐시 메모리가 전통적으로 S RAM인데 대신 속도가 느리다. 용량이 작다. 16기가는 D RAM 덕분에 가능하다. SD 카드는 S RAM 카드다. 근데 전기가 없으면 저장이 안된다. 하드 말고 SD 카드 같은 데 게임을 저장하면 속도가 빠르다.  하드보다는 메모리가 빠르니깐.

  /proc 파일시스템은 메모리상에서 실행되고 있는 모든 Linux 커널 자원들에 대한 정보를 PID로 구별해서 보관하고 있다. 하지만 이 /proc 파일의 값은 물리적으로 존재하는 것이 아니라 머신이 실행되는 동안만 메모리에 일시적으로 존재하기 때문에 /proc를 '가상 파일 시스템'으로 부른다. 따라서 /proc 파일시스템에서 중요한 설정을 변경하고 재부팅 후에도 계속 그 설정이 적용되게 하려면 하드디스크에 있는 /etc/sysctl.conf 파일에 설정을 저장해 두어야 한다. 

메모리에 있는 가상 파일 시스템

컴퓨터가 실행되고 있는 동안에 가지고 있는 정보

 

ls /proc/sys/net/ipv4

설정값들을 메모리에 올려두고 읽어서 대응을 해주는 것

센토스의 하드웨어 설정값은 여기에 있다. 

읽으려면 이렇게 해줘라. 

강사님 꺼엔  00으로 시작하는 저 파일까지 나와 있었음

[root@localhost ~]# cat /usr/lib/sysctl.d/00-system.conf 
# Kernel sysctl configuration file
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Disable netfilter on bridges.
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

 

껐다 켜면 나는 기본 설정인 0으로 다시 변경되어 있을 것이다. proc 가상메모리에서 작업했으니까. 

설정을 바꾸려면 이름을 집어넣어.

ㅇㅋ

센토스 7에서는 다음처럼 필요한 내용을 설정해둘 수 있다.

nano /etc/sysctl.conf 하면 /usr/lib/sysctl.d/00-system.conf 파일에 설정이 있고, 이 설정을 덮어쓰려면 /etc/sysctl.conf 파일에 적어서 /etc/sysctl.d/<name>.conf 해주면 된다고 보인다.

echo "net.ipv4.ip_local_port_range=32768 40000" >> /etc/sysctl.conf

vm.swappiness=20 등등

 

sysctl -p 해서 설정을 본다.

 

sysctl -a

바꿨다.

바뀌어있다.

 

=>보안측면에서 보면 외부에서 DDoS와 같은 공격이 있을 때 
HDD로 들어가서 /etc/sysctl.conf  파일을 열고 설정을 변경해서 저장하는 작업보다 현재 실행되고 있는 RAM에서 설정을 변경하면 바로 적용될 수 있기 때문에 /proc 가상 파일시스템을 사용하는 것이 매우 효과가 좋다!!!

 

/proc 설정법

a) sysctl -a 해서 HDD에 저장된 모든 설정을 보고 
b) sysctl -w net.ipv4.ip_forward=0 해서 원하는 항목의 설정을 변경한 뒤
c) sysctl -a |grep "ip_forward" 해서 확인하고
d) cat /proc/sys/net/ipv4/ip_forward 해서 파일시스템에서도 변경을 확인할 수 있다. 

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
1

 

하드웨어 설정법 마지막줄

① Telnet, FTP나 SSH, HTTP 서비스와 열린 포트 등 조절하기 

접속시간 조절

 

=>nano /proc/sys/net/ipv4/ip_local_port_range 해서 파일을 열고 
30000 35000식으로 수정해서 이 포트 이외의 포트가 연결되면 관리자가 알아차리기 쉽게 설정해서 저장한다. 

② SYN Flooding 공격 막기
SYN Flooding 공격은 두 노드 간 TCP 연결인 3-way handshakes를 이용한 일종의 DoS (Deny of Service) 공격이다. 일반적으로 TCP에서의 3-way handshakes 연결은 클라이언트가 먼저 서버에게 SYN를 보내서 서버에게 연결을 요청하면 >서버는 SYN+ACK를 클라이언트에게 보내서 연결을 기다리고 >그러면 이제 클라이언트가 ACK를 서버로 보내서 서로 연결되는 과정을 가진다. 
=>하지만 클라이언트(해커)는 이런 연결을 교묘하게 속여서 침투하는데
a. 클라이언트가 서버에게 SYN1를 보내고,
b. 서버가 SYN1+ACK1을 보내오면, 
c. 원래대로라면 클라이언트가 ACK1을 응답으로 보내서 연결해야 하는데 ACK1을 보내지 않고 또 다른 SYN2를 보낸다.
c. 이제 서버가 SYN2+ACK2를 보내면, 
d. ACK2를 응답으로 보내지 않고, 또 SYN3를 보내고,...하는 식으로 계속 SYN만 보내고 실제 연결을 맺지 않는 공격이다. 
e. 그러면 서버는 각각의 연결요청 SYN1, SYN2, SYN3, ...를 로그에 파일로 저장해 두고 포트를 열어두고(이를 half-open 상태로 부름) 각각의 ACK를 클라이언트로부터 기다린다. 계속된 SYN 요청으로 인해 연결 설정의 정보를 저장해두는 로그파일(Backlog Queue라고 함)의 용량이 다 차면 서버가 서비스 불능이 되게 된다. 
=>이런 syn_flooding 공격을 막으려면 서버의 로그가 저장되는 이 backlog queue 용량을 늘려서 syn_flooding 공격을 견뎌낼 동안 관리자가 조치를 취해서 막으면 된다. 
=>iptables에서 --J drop과 --J reject가 있는데 모두 연결을 거부하는 것이지만 drop은 로그파일을 남기지 않고 거부하며, reject는 로그파일로 기록을 남기고 거부한다.

 

...라는데.. 이해 되나요????? 전 이해가 안돼서 긁어 왔습니다.

 

1. "3-way-handshake"을 알아야, SYN Flooding 공격을 이해할 수 있다.

TCP는 세 차례의 패킷들을 주고받는 과정을 거쳐야만 TCP 연결(connection)이 성립(establish)됩니다. 패킷을 주고 받는 내용들은 아래와 같습니다.

① Client는 SYN 패킷(sequence number 포함)을 생성해서, Server에게 전달합니다. 일종의, "포트 열려있나요?" 라고 문을 두드리는 과정이라고 보면 됩니다.

② Server는 SYN 패킷(sequence number 포함)과 받은 SYN의 대답 격인 ACK 패킷(acknowledgement number 포함)을 Client에게 전달합니다. 그리고 Server는 Client의 접속을 받아들이기 위해, RAM(메모리)에 일정 공간을 확보해둡니다.

일종의, "네, 열려있습니다." 라고 대답하는 과정이라고 보면 되며, acknowledgement number의 값은, 방금 받은 SYN 패킷의 sequence number 값에 일정 값을 증가시켜서 보냅니다.

③ 그리고 다시 Client는 방금 받은 SYN의 대답 격인 ACK 패킷(acknowledgement number 포함)을 Server에게 전달합니다. 일종의, "그럼 들어가겠습니다~" 라고 대답하는 과정이라고 보시면 됩니다. 여기서도 마찬가지로 acknowledgement number의 값은, 방금 받은 SYN 패킷의 sequence number 값에 일정 값을 증가시켜서 보냅니다.

 

이렇게 Client는 Server에 Established 상태로 연결이 됩니다.

위 세 차례의 패킷을 주고 받는 과정은 일련의 협상을 타결하여 악수하는 모습과 같아서, 3-way-handshake(악수) 라는 이름을 사용하고 있습니다.

*참고 : 연결을 끊을 때에는 4-way-handshake 라는 방식으로 끊습니다.

 

2. SYN Flooding 공격은 무엇인가?

SYN Flooding은, 위 3-way-handshake의 ②번 과정에서 언급했던 내용에 집중하셔야 합니다.

"② Server는 SYN 패킷과 ACK 패킷을 Client에게 전달합니다. 그리고 Server는 Client의 접속을 받아들이기 위해, RAM(메모리)에 일정 공간을 확보해둡니다."

Client가 ①SYN 패킷만을 계속적으로 보내고 ③ACK 패킷을 안보내게 되면, Server는 Client의 연결을 받아들이기 위해 RAM(메모리) 공간을 점점 더 많이 확보해둔 상태에서 대기합니다.

그리고 Server의 RAM이 꽉 차게 되면 더이상 연결을 받아들일 수 없게되고, Server는 서비스를 서비스를 계속할 수가 없게 되죠.

 

(출처: https://sata.kr/entry/DOSDDOS-SYN-Flooding-%EA%B3%B5%EA%B2%A9%EC%97%90-%EB%8C%80%ED%95%B4%EC%84%9C-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90)

 

실습

SYN flooding 막기- 백로그 큐 늘리기, 방화벽에 차단 정책 추가하기

[root@localhost centos1]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog 
128 #용량이 128K
[root@localhost centos1]# sysctl -w net.ipv4.tcp_max_syn_backlog=10240
net.ipv4.tcp_max_syn_backlog = 10240 #10메가로 늘려준다. 
[root@localhost centos1]# iptables -I INPUT 1 -p tcp --dport 22 -j REJECT #REJECT는 로그파일로 기록을 남기고 거부한다. 그리고 원인도 알 수 있다. 
[root@localhost centos1]# iptables -I INPUT 1 -p tcp --dport 22 -m recent --update --seconds 1 --hitcount 10 --name SSH -j DROP #DROP은 로그파일을 남기지 않고 거부한다. 원인도 알 수 없다. 

DROP과 REJECT
REJECT는 로그파일로 기록을 남기고 거부한다. 그리고 원인도 알 수 있다. 
DROP은 로그파일을 남기지 않고 거부한다. 원인도 알 수 없다. 

신쿠키 1로 설정하기

[root@localhost centos1]# sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1
[root@localhost centos1]# cat /proc/sys/net/ipv4/tcp_syncookies 
1

③ Smurf / Land 공격 막기  
∎ 스머프 공격은 해커가 무수한 출발지 주소가 가짜인 사설 IP 패킷으로 서버에게 SYN로 보내면 서버는 클라이언트에게 SYN+ACK를 보내야 하는데 클라이언트 주소가 가짜이므로 SYN+ACK를 보내도 결국 서버는 클라이언트로부터 ACK를 받지 못하고 연결 대기 타임아웃에 걸릴 때까지 계속 포트를 열어놓고(half-open 상태) 기다리는 상태가 되므로 위험하다. 
=>이런 smurf 공격을 예방하려면 TCP 연결을 초기화하는 tcp_syncookies 값을 1로 만들어서 온전한 패킷만 받게 해두면 된다. 사설 IP 등은 정식 인터넷에서 작동되지 못하기 때문에 인터넷 연결 활동을 기록하는 cookies에 들어갈 수 없기 때문에 이 기법으로 출발지 주소를 속이는 가짜 사설 IP를 걸러낸다고 봐도 된다.

 

학원에서 이렇게 배웠는데 오개념이었다. 

 

스머프 공격은 SYN 및 ACK 패킷을 보내지 않습니다. 스머프 공격은 브로드캐스트 주소로 많은 수의 인터넷 제어 메시지 프로토콜 (ICMP) 패킷을 보내는 분산 서비스 거부 (DDoS) 공격 유형입니다. 패킷은 대상인 공격의 위조된 소스 IP 주소로 보내집니다. 스머프 공격의 목표는 피해자의 네트워크를 트래픽으로 과부하시키고, 합법적인 사용자가 접근할 수 없게 만드는 것입니다.
SYN 및 ACK 패킷은 다른 유형의 DDoS 공격인 SYN 플러드 공격에서 사용됩니다. 이는 대상 서버에 대량의 SYN 패킷을 보내서 모든 가능한 리소스를 소비하고, 합법적인 트래픽 처리를 방해하는 것이 목표입니다.

스머프 공격(Smurf attack)은 희생자의 스푸핑된 원본 IP를 가진 수많은 인터넷 제어 메시지 프로토콜(ICMP)패킷들이
IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는 분산 서비스 거부 공격이다.
                                                                                                                                                                          chatGPT

 

네트워크의 대부분의 장치들은 기본적으로 원본 IP 주소에 응답을 보냄으로써 이에 응답한다. 이 패킷에 응답하고 패킷을 수신하는 네트워크의 기계 수가 매우 많다면 희생자의 컴퓨터는 트래픽으로 넘쳐나게 된다. 이로 인해 희생자의 컴퓨터는 동작이 불가능해질 정도로 느려지게 될 수 있다.

                                                                                                                                                            - 출처는, Wikipedia

 

여러 호스트가 공격 대상에게 많은 양의 ICMP Echo Request를 보내게 하여 공격 대상이 마비됩니다.

공격 플로우를 한 번 살펴 볼까요!?

공격자가 공격대상이 속해있는 네트워크에 ping을 보낼 때

  출발지 ip를 공격 대상의 ip로 변조해서 보내게 됩니다!

공격 대상이 속해있는 네트워크 상의 모든 호스트들에게 ICMP Echo Request가 전달됩니다!

 

 

ICMP Echo Request를 받은 모든 호스트들이 공격 대상에게 응답 패킷을 날립니다!

아아.. 이렇게 님은 가셨습니다.... ㄸㄹㄹ...

여기서 끝나면 아니되죠~

SMURF 대응 방안 나가십니다!

 

1. 다른 네트워크로부터 자신의 네트워크로 들어오는 IP broadcast 패킷을 막으면 됩니다!

그렇다면, 누가 막을 수 있을까요!?

우리의 너굴맨이 해결해 주었네요!!

정답은 바로 라우터! 네트워크의 경계를 담당하는 라우터에 IP broadcast 패킷에 대한 설정을 해주면 됩니다.

 

2. 호스트들은 IP broadcast 주소로 전송된 ICMP 패킷에 대하여 응답하지 않도록 설정!

인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷 망을 공격하는 행위. '스머핑'이라는 프로그램을 사용하여 네트워크를 공격하는데, 스머핑은 IP와 인터넷 제어 메시지 프로토콜(ICMP)의 특성을 이용한다고 알려져 있다. ICMP는 원래 네트워크 노드와 관리자들이 네트워크의 정보를 교환하기 위해 사용되는 프로토콜로서 운용 중인 노드들이 있는지 보기 위해 핑(ping) 명령을 사용하여 현재 동작 중인 노드가 에코 메시지를 보내게 한다. 스머핑 프로그램은 마치 다른 네트워크 주소(이것을 스머핑 주소라 함)로부터 생성된 것처럼 보이는 네트워크 패킷을 만들어 주어진 네트워크 내의 모든 IP 주소들, 즉 IP 브로드캐스트 주소로 ICMP 핑 메시지를 보낸다. 이 핑 메시지에 대한 응답은 스머핑 주소로 보내지는데, 엄청난 양의 핑과 그에 대응한 ㅇ네코 메시지로 인해 네트워크는 실시간 트래픽을 처리할 수 없을 만틈 많은 정보로 넘쳐 흐르게 된다. 

스머핑 공격을 무력화시키는 방법은 각 네트워크 라우터에서 IP 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것이다. 

(출처: https://yjshin.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B3%B4%EC%95%88-%EC%84%9C%EB%B9%84%EC%8A%A4%EA%B1%B0%EB%B6%80Dos-%EA%B3%B5%EA%B2%A9-Teardrop-Land-attack-Syn-Flooding-Smurf-attack)

∎ 랜드 공격은 해커가 출발지 주소와 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 하는 패킷을 보낸다. 이렇게 하면 서버는 자기 자신과 연결을 맺음으로써 실행 속도가 느려지고 동작이 마비된다. 
=>패킷 헤더를 검사하는 알고리즘을 넣어서 출발지와 목적지가 동일한 주소를 가진 패킷을 막게 해야 한다. 

(출처: https://m.blog.naver.com/brickbot/220416019291)

 Land 공격은 대상 컴퓨터로 위조된 TCP SYN 패킷을 보내는 거부 서비스 (DoS) 공격 유형 중 하나로, 소스 및 대상 IP 주소와 포트 번호가 동일한 패킷을 보냅니다. 이로 인해 대상 컴퓨터가 SYN-ACK 패킷을 보내고, 소스 IP 주소가 대상 IP 주소와 동일하기 때문에, 대상 컴퓨터가 자신에게 계속 SYN-ACK 패킷을 보내는 무한 루프에 빠질 수 있으며, 이는 시스템이 충돌하거나 응답하지 않게 만들 수 있습니다.

그러나, 스머프 공격과 달리, Land 공격은 현대적인 DDoS 공격에서 일반적으로 사용되지 않으며, 효과가 떨어지고 방어하기 쉬워서입니다. 현대적인 DDoS 공격은 보통 봇넷과 증폭 기술을 사용하여 대량의 트래픽을 생성하여 대상의 네트워크를 과부하시키는 것이 일반적입니다.

④ ICMP Redirect 막기  
로컬에서 타겟을 찾을 때 ping으로 찾는데 이 ping에서 사용하는 ICMP 프로토콜을 악용한 ICMP Redirect 공격은 해커가 자신의 MAC 주소를 ARP Spoofing 기법 등으로 로컬에 있는 주로 라우터(게이트웨이)의 MAC 주소를 자신의 MAC 주소와 같게 속여서(MAC cloned) 로컬 호스트들의 라우터로 가는 패킷이 해커 머신에도 경과하도록 경로 변경을 해서 이들의 모든 정보를 보게하는 공격이다.
=>이런 icmp redirect에서 사용하는 경로 변경을 막아주면 된다.

[root@localhost centos1]# cat /proc/sys/net/ipv4/conf/default/send_redirects 
1
[root@localhost centos1]# sysctl -w net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.default.send_redirects = 0
[root@localhost centos1]# cat /proc/sys/net/ipv4/conf/default/send_redirects 

⑤ Reverse Path Filtering으로 DDoS(IP spoofing) 막기
해커는 임의의 가짜 IP 주소를 무제한으로 생성해서 타겟 서버에 특정 서비스를 요청하는 SYN를 보내는 Smurf 공격과 유사한 DDoS(Distributed DoS) 공격을 수행하기도 한다. 
=>이를 막기 위해서는 들어오는 패킷의 헤더를 보거나 역으로 추적해서 사설 IP 주소이거나 출발지 주소가 불분명한 패킷을 막으면 된다.  

⑥ Faked(Rogue) IP Filtering 하기
⑦ Source Route 패킷 전송 막기
⑧ ping이나 tracert에 응답하지 않기 
  
  일반적인 외부공격에 대비하기
1. Buffer Overflow 공격 
2 각종 오류를 이용한 공격
① 서버 프로그램 설정상 오류를 이용한 공격
② 초기 패스워드 계속 사용을 이용한 공격
③ API(어플리케이션) 오류를 통한 공격
④ Server 오염 공격(XSS, CSRF)
⑤ Session Hijacking 공격
⑥ SQL Injection 공격
⑦ OS Injection 공격
⑧ Directory Traverse 공격