http://www.yes24.com/Product/Goods/7526115
이제 시작이야! 디지털 포렌식
디지털 포렌식 입문을 위한 첫걸음 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서다. 디지털 포렌식이 무엇인지, 어떠한 방법론이 사용되는지, 핵심적인
www.yes24.com
9. 네트워크 포렌식
네트워크를 조사할 때, 많은 어려움이 발생한다.
독립형 컴퓨터와는 다르게 네트워크 컴퓨터의 데이터(증거)는 여러 대의 컴퓨터나 기기에 여러 조각으로 저장되어 있을 수도 있다.
해커들은 취약점을 공격하는데, 기술적 취약점을 노릴 수 있다. 공격코드를 개발하여 공격을 시도하는데, 이러한 취약점에 대한 해결책은 주로 패치의 형태로 배포된다. 또한 인간의 취약성이 해커 공격에도 취약한데, 사회공학기법에 쉽게 당할 수 있다.
사회공학기법
* 인증된 사용자가 인증되지 않은 사용자에게 민감한 정보를 누설하도록 만든다.
* 일반적으로 공격을 할 때 공격자는 직원, 고객 또는 보안 컨설턴트 등의 행세를 한다.
* 기술과 사람의 취약점 모두 활용하여 혼합 공격을 할 수 있다.
[네트워크 기초]
네트워크를 구성하기 위해서 규모와 목적에 상관없이 반드시 필요한 기본적인 사항들이 있다.
먼저 컴퓨터나 장비 사이를 연결해야 하는데, 물리적(이더넷 케이블)으로 연결할 수도 있고 무선으로 연결할 수 있다.
다음으로 사전에 서로 합의한 통신 규약이 있어야 한다. 이러한 통신 수단을 프로토콜이라고 한다.
TCP/IP(Transmission Control Protocol/Internet Protocol)는 매우 널리 사용되는 네트워크 프로토콜이다.
*클라이언트/서버
- 클라이언트
최종 사용자가 사용하는 컴퓨터로, 우리가 직접 사용하는 PC를 뜻한다.
파일, 서비스 그리고 정보 등을 서버로부터 요청한다.
- 서버
파일, 서비스, 정보를 여러 클라이언트에 제공한다.
하나의 서버가 수백 대의 클라이언트와 파일을 공유할 수 있는데, 네트워크를 많이 통제할 수 있다.
서버들은 보통 특정한 기능 하나만 수행한다. 예를 들어 파일 서버, 이메일 서버, 프린트 서버가 있다.
네트워크 종류
* 근거리 통신망(Local Area Network, LAN) : 일반적으로 작은 사무실에서 사용하는 네트워크
* 광역 통신망(Wide Area Network, WAN) : LAN보다 규모가 훨씬 크고, 다른 위치에 있는 여러 개의 LAN으로 구성되어 있다.
* MAN(Metropolitan Area Network), PAN(Personal Area Networks), CAN(Campus Area Network), GAN(Global Area Networks) 등이 있다.
* 인트라넷
인터넷과 비슷하게 작동하는데, 공개되어 있지 않으며 접근에 제한적이다. 파일 공유, 통신 등에 사용된다. 웹 브라우저를 사용하여 접속하고 인터넷과 동일한 프로토콜인 TCP/IP를 사용한다.
* IP 주소
실제 주소와 같이 메시지와 데이터를 정확히 도착지에 전달하는 데 사용된다.
정적 주소와 동적 주소가 있는데, 동적 주소는 주기적으로 변한다.
- 버전 4 : 인터넷이 있는 기기와 컴퓨터의 숫자에 비해 IPv4의 주소는 매우 적어서 단계적으로 사라지고 있다.
- 버전 6 : IPv6는 거의 무한한 숫자의 주소를 할당할 수 있다.
* 패킷
헤더, 페이로드, 푸터 세 부분으로 구성되어 있다.
- 헤더
송수신자의 IP 주소가 담겨 있으며, 주소 정보를 저장한다. 다음으로 얼마나 많은 패킷이 있으며, 그 중에서 해당 패킷은 몇 번째 패킷인지 알려준다.
- 푸터
수신자에게 해당 패킷이 마지막 패킷이라는 것을 알려준다.
CRC(Cyclical Redundancy Check, 순환 중복 검사)도 하는데, CRC는 패킷에 있는 모든 1의 합이다. 만약에 숫자가 일치하지 않으면 데이터를 다시 요청하는데, CRC는 패킷의 무결성을 검증하는 데 사용된다.
* 패킷 스위칭
데이터를 패킷이라고 부르는 작은 조각으로 만든다. 이러한 패킷은 IP 주소를 사용하여 최종 도착지로 전송된다.
[네트워크 보안 툴]
* 방화벽
연관된 프로그램의 세트로 네트워크의 게이트웨이 서버에 위치한다. 다른 네트워크의 사용자로부터 사설 네트워크의 자원을 보호한다.
송수신되는 네트워크 트래픽을 필터링하는 역할을 하는데, 네트워크 패킷을 유심히 조사한 다음 트래픽을 허용할지 말지 결정한다.
* 침입 탐지 시스템
기업 내부와 외부의 공격을 탐지하는 것이 목적이다. 일반적으로 네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터한다.
스노트(Snott)는 잘 알려진 오픈소스 네트워크 침입 시스템인데, 네트워크를 스니핑하여 실시간으로 네트워크를 모니터하고 있다가 잠재적 문제가 식별되면 경고를 보낸다.
[네트워크 공격]
* 분산 서비스 거부 공격(Distributed Denial of Service, DDoS)
침해된 수많은 컴퓨터를 사용하여 단 하나의 시스템을 공격하는 데 사용한다. 공격하는 컴퓨터들은 엄청난 양의 메시지와 요청으로 공격대상 컴퓨터를 압도한다.
공격받은 컴퓨터는 많은 양의 트래픽을 처리하지 못하고 마비되는데, 이러한 공격을 하는 컴퓨터를 봇넷(botnet)이라고 부른다. 봇넷은 좀비(zombies)라고 불리는 여러 대의 침해된 컴퓨터로 이루어져 있다.
* IP 스푸핑(spoofing)
공격자는 공격대상 네트워크에 접근하기 위해 유효하거나 알려진 IP 주소를 위조하거나 스푸핑 할 수 있다.
* 중간자 공격(Man-In-The-Middle-Attack)
중간자 공격을 할 때 해커는 특정 사용자와 그 사용자가 통신하는 컴퓨터 사이에 자신을 삽입한다. 이를 통해 그 사용자가 하는 통신을 모니터, 변경 또는 삭제할 수 있으며 해당 사용자의 행세를 할 수 있다.
* 사회공학기법
보호되어 있는 정보를 속임수나 사기로 획득하는 것이다. 해커들이 사용할 수 있는 공격 중에서 가장 효과적인 공격 중 하나이다.
[네트워크 증거와 수사]
해커들은 보통 공격대상으로 이어지는 네트워크 경로를 거치거나 통과해야 한다. 그 경로에는 증거가 있을 가능성이 높고, 이 증거는 공격자를 추격하거나 식별하는 과정에서 매우 핵심적이다.
* 라우터나 서버같이 경로에 있는 장비는 매우 중요한 정보를 저장하고 있을 수 있으므로 중요하다.
라우터는 네트워크에서 핵심적인 구성요소이기 때문에 공격 목표로 자주 삼고 있다. 라우터는 증거가 저장되어 있을 가능성이 높고, 해커들의 공격대상이다.
* 로그 파일
네트워크에 있는 기기와 컴퓨터는 이벤트와 활동 로그를 생성하기 때문에 네트워크 조사에 있어 로그 파일에 주로 증거가 있다.
- 인증 로그(그리고 IP 주소)
특정 이벤트와 연관 있는 계정을 식별한다.
- 프로그램 로그
날짜와 시간뿐만 아니라 프로그램 식별자도 기록한다. 날짜/시간 정보는 프로그램이 언제 시작되었고 얼마나 사용되었는지 보여준다.
- 운영체제 로그
시스템 재부팅뿐만 아니라 어떤 기기를 사용했는지 추적한다. 네트워크의 활동 패턴과 비정상 활동을 인지하는 데 유용하다.