Scanning 공격 대응 방법

네트워크 스캔의 특성상 스캔 공격 자체를 원천적으로 차단하는 방법은 존재하지 않는다. 네트워크 스캔은 일정 시간동안 많은 포트를 순차적으로 접속하는 특성을 가지고 있으므로, 시스템 로그파일 분석 등을 통해 원격지에서의 스캔공격을 탐지할 수 있다.

네트워크 스캔에 의한 피해를 최소화하기 위해서는 다음과 같은 방법이 있다.

  • 지속적인 모니터링

    지속적인 모니터링 작업을 실시해, 스캔 공격 로그를 탐지한 후, 라우터나 IPS(침입 차단 시스템)에 적절한 ACL 정책을 구현한다.

  • 꾸준한 내부취약점 점검

    스캔 도구를 이용해 꾸준히 내부 취약점을 점검하고, 시스템에서 운용중인 불필요한 서비스를 중지함으로써, 원격지에서의 스캔 공격으로 인한 피해를 줄일 수 있다. 내부 자원을 점검할 시에는 모든 포트를 점검할 필요가 있으며, UDP 프로토콜을 기반으로 동작하는 프로그램 또한 존재하므로, TCP뿐만아니라 UDP포트도 점검할 필요가 있다.

ARP Spoofing 대응 방법

  • ARP Spoofing 탐지 방법

    ARP storm이 있는지 로그를 확인하거나 arpwatch나 arpalert와 같은 툴을 활용하여 ARP Broadcasting을 모니터링하여 ARP Spoofing 여부를 확인한다.

  • 서버 장비에서의 방어

    static arp table 수동 설정을 통해 ARP Cache Table의 변조를 막는다. 하지만 이중 게이트워이가 네트워크상에 존재할 시에는 사용할 수 없고, 네트워크 변경할 때마다 수동으로 바꿔주어야 한다.

    Router의 MAC주소 확인

    수동으로 static 설정

  • 네트워크 장비에서의 방어

    cisco 장비의 Port Security 기능을 사용하여 각 포트별로 MAC주소를 static으로 설정한다. 설정된 MAC주소만 해당 포트를 통해 통신을 허용하도록 하여, ARP spoofing을 방어할 수 있다.

    Switch Port e0/0에 연결되어있는 Centos의 MAC주소

    Port Security 설정

IP Spoofing 대응 방법

IP Spoofing을 원천적으로 막기 위해서는 ARP Spoofing을 막을 필요가 있다.

DNS Spoofing 대응 방법

IP Spoofing을 원천적으로 막기 위해서는 ARP Spoofing을 막을 필요가 있다.

DHCP Spoofing 대응 방법

IP Spoofing을 원천적으로 막기 위해서는 ARP Spoofing을 막을 필요가 있다.

ICMP Redirect 대응 방법

ICMP Redirect를 막기 위해서는 방향전환 옵션을 꺼주어야 한다.

SSH MITM 대응 방법

SSH v1과 달리 v2는 복호화가 아직 되지 않기 때문에, SSH v2를 사용하는것이 바람직하다.

SNMP 취약점 보완 방법

라우터에서 snmp설정을 rw가 아닌 ro(기본값)으로 설정하고 private,public등 알기 쉬운 community string이 아닌 별도의 community string을 설정해준다.

피싱 사이트 대응 방법

사이트가 평소와 다르다면, 클릭하거나, 로그인하지 않는 등의 미봉책만이 존재한다.