YEJIN LEE

“Keep turnin’ the pages”

2 minute read

4일차 - Azure를 이용한 웹 서비스 서버 구축/모의해킹

public 클라우드 : AWS, Azure, GCP 등 공개적으로 클라우드를 제공하는 CSP private 클라우드 : 조직 내부에 자체적으로 서버를 구축하는 경우

Azure를 이용한 웹 서비스 서버 구축

  • <실습> Azure 클라우드를 사용하여 서버에 가상머신을 만들고 그 위에 리눅스를 올려 원격으로 웹 서비스를 실행해보기

모의 해킹

모의해킹: 실제 해커가 사용하는 해킹 도구와 기법을 이용해 시스템으로 침투 가능성을 진단하는 선의의 해킹.

수행 단계

1. 대상 선정
2. 정보 수집
3. 위협 모델링
4. 취약점 분석
5. 침투 테스트
6. 후속 침투 테스트
7. 대응 방안 수립

1. 대상 선정(Pre-engagement Interactions)

  • 모의해킹을 실시할 대상 및 범위를 선정
  • 대상의 종류 : 운영체제(LINUX, UNIX, WINDOWS 등), 웹 어플리케이션, DBMS, 응용S/W, 네트워크장비, 보안장비 등
  • 대분류의 응용S/W를 선정하여 연관성 있는 대상을 그룹화하여 대상 선정
  • 의뢰하는 조직에서 모의 해킹을 실시할 대상 및 범위를 선정해준다. 전달받은 대상에 한하여 모의해킹을 실시해야하고 그렇지 못한 경우 법적 처벌이 가능하다. 대부분 응용 소프트웨어를 선정하여 연관성있는 대상을 선정하는데, 예를 들어 숙명여대 포털, 학사시스템, 대표 홈페이지라는 대분류를 잡으면 이와 관련된 서버들과 이 서버들과 연결된 네트워크망 등을 협의하여 그룹화하며 대상을 선정한다.

2. 정보 수집(Intelligence Gathering)

  • 선정된 모의해킹 대상에 대해 침투 가능성이 있는 정보 수집
  • 구글 등 검색포털을 이용한 정보수집, 서버를 대상으로 열려있는 port 및 서비스 탐색 등 footprinting을 통해 대상서버에 대한 정보 수집
  • 화이트박스/블랙박스 테스트 여부에 따라 침입 흔적(로그)을 남기지 않도록 유의할 필요 있음
  • 블랙 박스 테스트는 윗선에서 명령이 떨어진 경우 실제 상황처럼 해킹을 시도하는 테스트.

3. 위협 모델링(Threat Modeling)

  • 정보수집 단계에서 파악된 정보를 적절한 기준을 세워 분류하고, 이를 이 용해 대상 시스템에 존재하는 취약점 식별
  • 수집한 정보들을 적절한 기준을 세워 분류, 효과적/효율적인 방법을 찾아 공격방식 결정
  • 어느 부문이 취약하고, 왜 취약점 부문을 공격해야 하는지에 대한 판단과 선택 필요

4. 취약점 분석(Vulnerability Analysis)

  • 위협 모델링 단계에서 식별한 취약점 중 가장 적합한 공격방법을 통해 실 제로 어떻게 대상에 접근할 것인지 고려
  • 획득한 정보를 통합, 이를 이용해 실행 가능한 공격 방법이 무엇인지 구체 적으로 분석

5. 침투 테스트(Exploitation)

  • 구체적인 모의해킹 실시
  • 침투의 정확도를 높이기보다는 대상 시스템의 빈 틈을 찾는 것 자체에 집 중하여 실시

6. 후속 침투 테스트(Post Exploitation)

  • 침투 테스트 단계에서 성공한 침투 방법을 통해 내부 시스템의 다양한 정 보를 수집하고, 정보유출, 파괴, 서비스거부 등 후속 치명타를 수행할 수 있 는 단계

7. 대응방안 수립(Reporting)

  • 앞의 단계를 거쳐 도출된 취약점에 대한 보고서 작성
  • 모의해킹의 가장 중요한 단계로서, 취약점을 보완할 수 있는 방안에 대해 조치할 수 있는 대응책 제시

지속적인 모의해킹이 필요한 이유는 IT산업에서 보안보다 우선시 되는 기능 구현으로 인해 SW가 계속 업데이트 되는데 그에 따라 취약한 부분이 생기기 때문에 이를 보완하기 위해 주기적인 모의 해킹과 취약점 진단이 필요하다.

NETWORK PORT SCANNING

  • DNS: IP주소를 알기 쉬운 영문으로 표현해 이를 변환해주는 시스템

  • netstat: 리눅스/윈도우에서 port open 상태, session connect 정보, process id 정보 등 확인할 수 있는 명령어

보통 “여기 인터넷 돼?” 하면 cmd에서 ping 8.8.8.8을 입력하여 연결을 확인한다. 8.8.8.8은 구글에서 제공하는 DNS변환 ip이다.

You may also enjoy