4-1. 2024-2 심화 스터디/클라우드 보안

[7주차] CLOUD LOCK - 클라우드 보안

yenilin 2024. 11. 16. 13:19

[취약점 분석 이해]

인프라들이 내부 영역에 준비 - 가상 라우터 - 인터넷 게이트웨이를 통해 접근 가능 : 인프라

외부 모의해킹 : 포트를 통해 DMZ구간인 내부 퍼블릭 대역에 공개되어 있는 것들에 대해 중점적 분석 실행

내부 모의해킹 : 내부의 칼리 리눅스가 비치되어 내부 점검 pc를 모의해킹 관점으로 인프라 진단

 

  • 인프라별 진단 (서버, 네트워크, 데이터베이스, WAS, 컨테이너 환경[쿠버네티스] 등) : 관리자 관점에서 보안 설정들이 어떻게 되어 있는가?
  • 웹 애플리케이션 취약점 진단
  • 모바일 서비스 취약점 진단 - (웹 app)기존 모의해킹 진단. 비인가 접근으로부터 발생한 취약점 진단
  • API 서비스 취약점 진단 : 모바일과 웹 둘다 해당. rest api, ramda 등 api 방식으로 취약점을 진단 (+활용)

[상위 3 항목은 공격자 입장에서 어디까지 정보가 노출되어 있는지, 시스템 침투가 가능한지 살펴볼 수 있는 진단 방법]

  • 애플리케이션 소스코드 진단 (시큐어코딩) : 개발 과정(디자인 및 기획) 중간에 소스코드 분석 → 취약점 진단. sparrow나 fortify등의 솔루션 활용

[모의 해킹 방법론과 체크리스트 이해]

인프라가 가상으로 구성되어 있고, 그 내의 인프라 서버들이 도커, 쿠버네티스 환경 등 여러가지로 구성되어 있다.

모의해킹 방법론

  • 외부 모의 해킹 : 기본적으로 외부에서 침투한 것 - 접근할 수 있는 포트의 개수가 적은 상황에서 (방화벽 등의 차단 상황 존재) 모바일 혹은 웹 서비스를 바라보는 관점으로 침투 진행. 취약점 발견 - 백도어 심기 혹은 파일 업로드 취약점
  • 내부 모의 해킹 : 외부 모의 해킹이 성공해 내부에 침입한 시점의 상황. 내부에서 모든 인프라를 접근하기 위해
  1. 포트 점검
  2. 버전 점검
  3. 취약점 점검

을 진행하나, 외부 에서 의 포트와 내부 에서 의 포트 정보는 다르다. 내부의 서버와 db 가 연결되어 있을 때는 해당 관련 포트가 열려있는 상태 → 해당 상황에서 접근 가능. 내부에서 모의 해킹을 진행할 때는 방화벽 설정이 더 유연하거나, 다양한 포트에 접근이 가능. = 내부 모의 해킹 시 변수와 마주할 가능성이 높기 때문. 외 내부 관점을 구별해 점검 하는 것이 중요

 

해외 모의 해킹 방법론

  1. Penetration Testing Framework : 침투 테스트 프레임워크로 매우 포괄적인 실전 침투 테스트 가이드를 제공, 또한 각 테스트 범주에서 사용하는 도구들의 사용법을 나열
  2. OSSTMM(Open Source Security Methodology Manual) : 안전한 시스템 운영을 위해 검증된 사실로부터 결과를 도출하기 위한 표준 테스트 방법론을 제공. 정보와 데이터 제어 평가, 사내 직원의 보안 수준 평가, 사기와 같은 사회 공학 기법 평가, 컴퓨터와 원격 통신 네트워크, 무선 및 휴대 장치 평가, 물리적 접근 제어 및 보안 절차 평가
  3. PTES(Penetration Testing Execution Standard) : 단계별로 모의 해킹을 정의하고 평가할 수 있는 표준안을 제공. 기술적인 가이드라인과 함께 표준 침투 테스트 실행 방법을 제공. 각 단계별로 7가지 카테고리로 침투 테스트 절차를 정의

4. ISSAF(Information Systems Security Assessment Framework) : 정보 시스템 보안 평가 프레임워크로 침투 테스트 기술 지침을 제공

5. PCI(Penetration Testing Guide) : 지불 카드 산업 데이터 표준 요구 사항에 대한 침투 테스트 기법을 정의 PCI DSS Penetration Testing guidance, PCI DSS Penetration Testing Requirements

6. NIST 800-115(National Institute of Standards Technology Guide to Security Testing and Assessment) : 기술적인 보안 평가를 수행할 때의 가이드라인이 기술. 정보 보안 평가를 수행할 때 사용해야 할 기술과 방법론들을 제공

 

[칼리리눅스와 모의 해킹 방법론 연관성]

칼리 리눅스를 왜 사용하는가?

: debian 기반 리눅스일 뿐이나 여러가지 모의 해킹 도구들이 설치된 해커 친화적 리눅스이기 때문

  • Information Gathering : 여러가지의 정보(ip, 도메인 주소, 고객 정보 등)를 수집하기 위한 도구들이 존재
  • Vulnerability Analysis : 취약점 분석 위한 도구들 존재. 버전 혹은 포트 관련해 웹해킹 정보 수집 가능
  • Web Application Analysis : 수집된 정보들을 활용해 웹 서버 장악하기 위한 도구들 존재(burpsuite 등)
  • Database Assessment : db 침투시 사용하는 도구들
  • Password Attacks : db관련 정보 모두 취득 시 password 크랙 위해 활용하는 도구들
  • Exploitation Tools : 공격시 사용하게 되는 코드 프로그램들 존재(metasploit framework 등 공격 모듈 도구들)
  • Post Exploitation : 시스템 침투 후 내부 서버 등의 추가 접근 필요 시 추가 침투를 위한 정보 획들 툴들 존재
  • etc 순서대로 진행… (wireless Attacks / Reverse Engineering / sniiffing & Spoofing / forensics / Reporting Tools 등의 툴들 모의해킹 방법론 순서와의 연관성 존재…)