Time for Security

 오늘 교육을 끝으로 순수 교육 시간이 60일 남게 되었습니다.

 벌써 1/3의 교육 시간이 끝나고, 순수 2달 정도의 시간이 남게 되었습니다.

 아직 많이 배우지 못한 것 같은 데 1/3이 끝났다니 믿어지지 않네요... 

 남은 교육 시간은 더 분발하도록 해야겠습니다.

 오늘은 저번 주에 이어 네트워크 패킷을 분석하였습니다.

 이번 패킷 분석은 조금 특별했는데요.

 그 이유는 요즘 핫한 랜섬웨어에 대한 분석이었기 때문입니다. 

 저희가 분석을 한 상황은 이메일을 통해 zip파일을 받게 되고 그 안의 vbs파일을 이용해 랜섬웨어를 다운받아 실행시키는 방식이었습니다.

 네트워크 공격에 대해 아직 자세히 아는 것이 아니라 완전히 이해하는 것은 힘들었지만 어느 정도 진행 방식은 이해할 수 있었습니다.

 그리고 이 패킷 속에서 랜섬웨어를 추출해 가상머신에서 실행도 시켜보았는데요.

 말로만 듣고, 동영상으로만 봤었던 랜섬웨어를 실제로 접해볼 수 있어서 신기했습니다. 

 내일은 일단 마지막 패킷 분석 시간이 될 것 같습니다.

▶ 이 블로그의 [Wireshark] 사용자 편의를 위한 설정 보러가기

 Wireshark를 공부하게 된 지 3일 째 되는 33일차 교육이었습니다. 

 알면 알수록 다양한 기능이 있다고 느끼게 되는 Wireshark인데요.

 어제는 본격적으로 패킷을 분석하였습니다.

 주어진 에제 패킷을 Wireshark를 통해 분석해보는 시간을 가졌는데요.

 처음에는 어디서, 어떻게 시작해야하는 지 난감했었는데, 문제를 풀면 풀수록 그리고 강사님께서 한번씩 정리해주실수록 감이 잡혔습니다.

 감이 잡히긴 했지만 아직은 정확히 설명할 수는 없는 단계 같아요.

 공격자 호스트 IP, 대상 호스트 IP, 전송되고 있는 파일의 이름 등 주어진 패킷마다 풀어야할 문제가 주어졌습니다.

 긴가민가하며 문제를 기수들과 풀어나갔는데요.

 각자 생각하고, 의견을 공유하며 네트워크 패킷 분석을 익혀갔습니다.

 패킷 분석의 숨은 고수들을 많이 찾을 수 있었던 시간이었습니다. 

 하루가 짧게 느껴질 만큼 공부하는 양이 점점 많아지는 것 같아요.

 쳐지지 않도록 힘내봐야겠습니다. 

 오늘은 8월의 마지막 주이자 한 주의 첫 시작을 알리는 월요일입니다. 

 이번주 부터는 '네트워크 패킷 포렌식'을 진행하게 되는데요.

 벌써 교재로만 6번째 책이네요.

 원래대로라면 네트워크 공격에 대해 파악하고 포렌식을 나가는 방식이었지만 이번 과정부터는 포렌식이 잠깐 먼저 끼었다고 하네요.

 그래서인지 오늘은 기초적인 네트워크 패킷을 분석해보는 방법을 배웠습니다.

 와이어샤크라는 프로그램을 이용해서 말이죠.

 우선 이번에 사용하게 될 교재는 다음과 같습니다.

 리눅스와 윈도우가 끝나고 난 뒤 부터는 쉴틈없이 계속 이어지는 것 같네요.

 영화나 인터넷에서 말로만 듣던 포렌식에 드디어 한 발을 내딛게 되었습니다.

 오늘은 간단히 Wireshark를 다뤄보았습니다.

 미리 캡쳐된 ARP, DHCP, DNS, HTTP, FTP의 패킷을 Wireshark를 통해 간단히 분석해보았습니다.

 분석이라고 해봤자 아직 어느 곳을 봐야하는 지, 어디에 무엇이 있는 지 정도지만요.

 이 포렌식 강의는 토요일과 일요일을 제외하고 순수 7일동안 진도를 나가게 될 것 같습니다.

 이번 강의 역시 기초를 탄탄히 잡아가며 시작해야 겠습니다. 

 ▶ 이 블로그의 [기타] 스위치 환경에서의 스니핑 방법 보러가기

 안녕하세요!

 정말 오랜만의 보안 지식 창고 포스팅 이네요!

 요즘 머릿 속으로만 정리하는 데도 벅차 포스팅이 없었습니다...

 좀 더 부지런하게 작업해야겠어요!

 오늘은 패킷 트레이서 라는 프로그램의 기초 설정을 해보려고 합니다.

 그럼 여느 때 처럼 시작해볼까요? 

 위는 패킷 트레이서를 처음 실행했을 시에 나오는 화면입니다.

 하얀 도화지 위에 그 무엇도 없는 상태입니다.

 이 시간에는 컴퓨터를 스위치에 연결시키고, 라우터에 까지 연결시키는 과정을 진행할 것 입니다. 

 그러면 컴퓨터를 먼저 가져와 볼까요? 

 좌측 맨 밑에를 보시면 컴퓨터 모양이 보이실 텐데요.

 그 컴퓨터를 누르면 가운데 여러 종류의 장비들이 생겼을 거에요.

 그 중에서 데스크탑처럼 생긴 PC를 끌어와 화면에 올려줍니다.

 드래그 하셔두 되고, 데스크 탑을 클릭하시고 나서 빈 화면에 다시 클릭을 하셔도 됩니다.

 한대만 있으면 재미없을 것 같으니 두 대를 놓아보겠습니다. 

 방법은 동일해요!

 다음은 스위치를 가져와 보겠습니다.

 좌측 하단에서 컴퓨터를 고르셨을 때 처럼 그 위 쪽 두번째 칸에 보시면 사각 박스가 있을 거에요.

 그 그림이 스위치 탭입니다.

 스위치 탭을 눌러주시고, 처음에 보이는 2950 스위치를 화면으로 가져와 주세요. 

 다음은 라우터입니다.

 스위치 전 탭이 라우터입니다.

 마찬가지로 첫 번째에 있는 1841 라우터를 가져옵니다.

 스위치도 라우터도 여러 종류가 있는데요.

 뒤로 갈수록 더 많은 포트 혹은 시리얼을 설정할 수 있는 큰 장비라고 생각하시면 됩니다.

 도화지도 큰데, 간격을 조금 벌려보겠습니다.

 드래그 앤 드롭으로 간격을 벌리실 수 있습니다.

 이 부분은 개인의 취향 차이입니다.

 이렇게 놓여있는 장비들은 무선 장비들이 아니에요.

 따라서 이제부터는 각각 어울리는 선을 연결시켜 줄겁니다.

 좌측 하단에 컴퓨터, 스위치, 라우터 탭을 선택하셨던 부분을 보면 번개 표시가 있어요.

 그 번개 표시가 각종 선을 보여주는 탭입니다.

 그 선 탭을 누르시고, 세번 째 보이시는 까만선을 선택해주세요.

 이 선은 Copper Straight-Through로 다이렉트 선입니다.

 서로 다른 장치를 연결할 때 주로 사용합니다.

 그 선을 클릭하시고, 첫 번째 PC를 눌러주세요.

 그럼 두가지 보기가 나올텐데요.

 밑의 FastEthernet0를 선택해주시면 됩니다.

 다음은 스위치를 클릭해주세요.

 어떤 부분과 연결해주어도 상관없지만 나중에 간편한 설정을 위해 FastEthernet0/1을 선택해줍니다.

 앞에서 부터 차례대로 선택해주는 것이 헷갈림을 방지할 수 있답니다.

 우측 PC도 마찬가지로 설정을 해볼까요?

 이번에는 FastEthernet0/2에 연결해줍니다.

 FastEthernet0/1이 없는 이유는 무엇일까요?

 당연히, 아까 첫 번째 PC가 연결되어 있기 때문이죠! 

 다음은 스위치에서 라우터로의 연결입니다.

 FastEthernet0/3을 선택해줍니다.

 0/1과 0/2가 없는 이유는 마찬가지랍니다.

 라우터를 눌러주시고 FastEthernet0/0을 선택해줍니다.

 FastEthernet0/1이 다시 생겨있는 이유는 무엇일까요?

 아까 전의 FastEthernet0/1은 스위치의 번호였기 때문입니다.

 지금은 아까와는 다른 장치를 만지고 있는거에요. 

 위의 화면처럼 보이면 연결 성공입니다.

 제 화면에는 어떤 장치인지 글씨가 써져있는 것을 보실 수 있는데요.

 우측에 있는 메모지 모양을 선택하시면 메모를 할 수 있어요.

 원래는 컴퓨터나 스위치, 라우터라고 써주지 않지만 저는 편의를 위해 적어 놓았습니다. 

 실제로는 포트나 IP대역을 메모해놓는데 사용됩니다.

 한가지 선을 더 연결해 볼텐데요.

 콘솔용 선입니다.

 두 번째 보이시는 하늘색 선이 바로 콘솔용 선입니다.

 이 하늘색 선을 눌러주시고, PC를 선택 후 RS 232를 선택해주세요

 다음은 라우터를 눌러주시고, Console를 선택하시면 됩니다.

 이 처럼 보이면 연결 성공입니다. 

 이 선을 연결해주는 이유는 라우터를 PC로 설정해주기 위함이에요.

 CCNA 시험에서 이와 같은 실습 문제가 나오는데, 라우터를 직접 건들여 설정을 해주게 되면 실격이라고 하네요. 

 따라서, 라우터는 앞으로 PC로 설정해줄거에요.

 네트워크와는 전혀 관련없는 오로지 라우터를 설정해주기 위한 선입니다.

 가끔 영화 보시면 서버실에 들어가 가져온 노트북과 서버 컴퓨터를 선으로 연결하는 장면을 보셨을 텐데요.

 그 선이라고 생각하시면 이해가 조금 더 수월하실 거에요.

 다음은 라우터를 설정해줄건데요.

 그 전에 헷갈리지 않게 IP를 미리 적어둘게요.

 화면에 보이는 IP로 설정을 해줄겁니다.

 바로바로 설정을 해주면 헷갈릴 확률이 매우 높아요.

 지금은 딸랑 4개의 장비이지만 나중에는 갯수가 굉장히 많아지기 때문이죠.

 위 화면에서는 제가 급한 마음에? 실수를 했는데요. 

 라우터 밑에 적은 192.168.0.1은 게이트웨이 주소, 각 PC에 적은 것은 그들의 IP인데, 당연히 대역이 서로 다를 수 없겠죠?

 마지막 화면에서는 수정을 해주었지만 여기서 미리 정정한다면 PC 두 대의 IP를 192.168.0.101과 192.168.0.102로 수정하겠습니다.

 그리고 라우터를 클릭해주세요.

 위와 같은 화면이 보일텐데요.

 실제 장비의 모습을 옮겨 놓은 것입니다.

 기계 사진에서 우측에 보이는 전원 버튼을 눌러줍니다.

 포트를 달 수 있는 장치를 넣기 위함인데요.

 전원이 들어온채로 장치를 넣을 수는 없겠죠?

 PC를 켠 채로 그래픽카드를 교체할 수는 없으니 말이죠.

 작은 프로그램이지만 꽤나 현실적으로 만들어진 부분입니다.

 처음에는 신기했지만 나중에는 너무 현실적이라 약간 짜증이 나는 부분이기도 해요.

 전원을 꺼주시고 좌측MODULES에서 WIC-2T를 선택해 위에 보이시는 화면처럼 꽃아주세요.

 저는 커버까지 장착했는데요.

 WIC-Cover를 눌러 화면처럼 꽃아주시면 됩니다.

 굳이 필요없는 부분이긴 합니다.

 어때요? 엄청 현실적이죠? 

 다음에는 처음처럼 라우터의 전원 스위치를 눌러 다시 켜줍니다.

 위의 화면처럼 보여야 라우터를 제대로 만들어준거에요.

 다음은 좌측의 PC를 눌러줍니다.

 저처럼 하셨다면 좌측이지만 만약 콘솔 선을 다른 PC와 연결하셨다면 그 PC를 선택해주세요.

 그러면 위와 같은 파란색 창이 뜰거에요.

 Terminal을 눌러주세요.

 리눅스에서처럼 터미널을 실행시키는 도구입니다.

 여기서는 따로 설정할 필요없이 OK를 눌러주시면 돼요!

 저희가 처음부터 라우터를 설정해줄 것이기 때문에 no를 입력하시고 Enter를 눌러줍니다.

 착각하시면 안되는 게 지금 이 터미널은 라우터의 터미널입니다.

 PC를 누르고 터미널을 들어왔다고 PC의 터미널이 아니에요.

 궁금하신 분은 콘솔 선이 연결되지 않은 PC를 누르시고, 마찬가지로 Terminal을 눌러보세요.

 아무것도 작동되지 않는 빈 화면을 보실 수 있을거에요.

 만약 제대로 라우터와 연결된 PC를 눌렀는데도 빈 화면이라면 라우터의 전원을 켰는 지 다시 한번 확인해주세요.

 정상적으로 설정이 되었다면 위와 같은 화면이 보여야 합니다.

 어때요? 제 말대로 Router라고 쓰여있죠?

 위의 화면 처럼 따라서 입력해주시면 됩니다.

 어떤 의미인지 간단히 알아보면서 진행해보겠습니다.

 enable : 프리빌리지 모드로 들어가는 명령어입니다.

 configure terminal : 글로벌 컨피그레이션 모드로 들어가는 명령어입니다.

 hostname R1 : 라우터의 이름을 설정하는 명령어입니다.

 저는 R1이라고 했지만 다른 이름으로 하셔도 무방합니다.

 no ip domain-lookup : 혹시 잘못된 명령어를 입력했을 때 도메인에 질의하지 않도록 하는 명령어입니다.

 이 명령어는 무슨 말인 지 잘 모르실 수도 있는데요.

 굉장히 중요한 명령어입니다.

 한 순간의 실수로 인해 쓸데없는 시간 낭비를 막아주기 때문이에요.

 이 명령어를 사용하지 않고, 있지도 않은 명령어를 입력하였을 경우에는 그 명령어를 확인하기 위해 도메인에 질의를 하고 있기 때문에 기다려줘야해요.

 기다려봤자 어차피 없는 명령어기 때문에 결과는 아무것도 없습니다.

 line console 0 : 기본 터미널로 들어가는 명령어입니다.

 exec-timeout 0 0 : 세션 시간을 무제한으로 설정하는 명령어입니다.

 만약 시간을 정해줄 경우, 실습에서 불편할 수 있어요.

 나중 나중에 섬세한 설정을 할 경우에는 시간을 정해줘야 합니다.

 logging synchronus : 명령어와 로그를 분리하는 명령어입니다.

 이 명령어를 사용하지 않을 경우에는 가끔 내가 친 명령어의 로그들이 늦게 뜨는 경우가 있는 데 그럴 경우 다음 치고 있는 명령어와 겹칠 수가 있어요.

 이 명령어도 굉장히 필요한 명령어입니다.

 exit : 한 단계 바깥으로 나가주는 명령어입니다.

 여기서는 기본 터미널로 들어온 상태이니 기본 터미널에서 나가지겠네요.

 제가 계속 지저분하게 아래로 명령어를 이어서 쓰고 있는데요.

 이 터미널에서는 clear, cls 등 화면을 지워주는 명령어가 존재하지 않습니다.

 껏다켜도 마찬가지로 지워져있지 않습니다.

 이 부분은 양해 부탁 드리겠습니다...

 enable password cisco : 비밀번호를 cisco로 설정해줍니다.

 enable secret ccna : 비밀번호를 ccna로 설정해줍니다.

 이 둘의 차이는 환경설정에서 비번이 노출되고, 노출되지 않음입니다.

 노출되지 않는 쪽은 secret입니다.

 암호화가 되어 보입니다.

 따라서, 당연히 enable password 라는 명령어는 사용하지 않습니다.

 line vty 0 4 : 텔넷 접근을 설정해주는 명령어입니다.

 여기서는 0번에서 4번까지를 사용해준다고 설정하였습니다.

 password cisco : 텔넷 비밀번호를 설정해주는 명령어입니다.

 간단하고 편리하게 cisco로 설정했습니다.

 login : 텔넷에 로그인하는 명령어입니다.

 exit이란 명령어는 이제 따로 설명하지 않겠습니다.

 아예 바깥으로 나가야 하기 때문에 여기서는 두 번 사용하였습니다.

 show running-config : RAM에 저장되어 있는 정보를 확인하는 명령어입니다.

 여기서 보시면 아까 설정했던 비밀번호들이 보여요.

 secret으로 설정된 부분은 암호화가 되어있는 것을 확인하실 수 있습니다.

 copy run startup : 지금까지 설정했던 정보를 나중에 파일을 불러왔을 때도 저장되어 있도록 해주는 명령어입니다.

 위와 같은 화면이 나올때까지 Enter를 눌러주세요.

 그리고 exit이란 명령어로 글로벌 컨피그레이션 모드로 나와주세요.

 이제 본격적으로 설정을 해줘 볼게요.

 그 전에 여기서부터는 아까 처음에 말씀드린대로 잘 못 메모한 PC의 ip 대역을 수정하였습니다.

 interface fastEthernet 0/0

 ip address 192.168.0.1 255.255.255.0 : 게이트웨이를 설정하는 명령어입니다.

 아까 가설을 할 때 라우터에 연결한 부분이 0/0이었던 것 기억하시나요?

 그 포트의 게이트웨이를 192.168.0.1로 설정해주는 부분입니다.

 뒤의 255.255.255.0은 서브넷 마스크입니다.

 설정을 하실 때 항상 서브넷 마스크를 입력해주어야 명령어가 정상 작동합니다.

 그리고 화면을 보시면

 in

 interface fa

 interface fastEthernet 0/0

 이처럼 되어있는 것을 보실 수 있는데요.

 리눅스에서 처럼 존재하는 명령어라면 tab 키로 불러올 수 있습니다.

 다만 위처럼 계단 형식으로 써지게 됩니다.

 처음에는 굉장히 거슬리는 부분이지만 나중에는 신경쓰지 않게되니 걱정하지 않으셔도 돼요!

 여태까지 입력했던 명령어도 tab으로 전부 빠르게 입력할 수 있습니다.

 다만 clear가 먹히지 않는 관계로, 가독성을 높이기 위해 전 여태까지 사용하지 않았습니다.

 여기까지 되셨다면 no shutdown 명령어를 입력하고 exit으로 나와주시면 됩니다.

 라우터는 기본적으로 받아온 패킷을 shutdown 시켜버리는 데요.

 이렇게 되면 지금까지 입력한 정보가 사라지게 됩니다.

 그렇기 때문에 반드시 써줘야하는 명령어입니다.

 전부 되셨다면 x표를 눌러 나와주세요.

 제대로 따라 하셨다면 저장이 제대로 되어있으니 걱정하실 필요없이 x표를 눌러 나와주세요.

 밖에 화면에서 ip configuration을 눌러줍니다.

 위처럼 입력해주세요.

 ip address는 이 PC의 ip 주소를 의미합니다.

 Default Gateway는 전의 화면에서 설정하셨던 게이트웨이 주소를 입력해주시면 됩니다.

 확인이나 OK 버튼이 없는 특이한 구조인데요.

 그냥 x표를 눌러주시면 자동으로 저장이됩니다.

 마찬가지로 또 다른 PC를 눌러주셔서 위와 같이 설정해줍니다.

 당연히 같은 라우터로 나가기 때문에 게이트웨이 주소는 같겠죠?

 제대로 연결 설정이 되었나 확인해보겠습니다.

 Command Prompt를 눌러주세요.

 우리에게 익숙한 cmd 창이 보일거에요.

 지금은 우측 PC이니 좌측 PC에게 Ping을 보내보겠습니다.

 명령어는 윈도우 cmd에서와 동일합니다.

 제대로 패킷이 보내지는 것을 확인할 수 있죠? 

 게이트웨이로도 한 번 Ping을 보내보았습니다.

 지금까지 제대로 따라하셨다면 위처럼 제대로 패킷이 보내져야해요.

 잘하셨을 거라고 생각합니다.

 여기까지 패킷 트레이서에서 간단한 토폴로지 생성 및 연결이었습니다.

 간단한 포스팅이라고 생각하고 시작했는데... 꽤나 많은 작업이었던 것 같습니다.

 중간에 있었던 명령어들은 암기를 해주시는 게 좋아요.

 아마 몇 번 따라하시다보면 금방 이해되고 외우실 수 있을거에요.

 다음에 또 다른 포스팅으로 찾아뵙겠습니다.

 감사합니다. 

 오랜만에 제 시간에 블로그에 글을 쓰게 되네요. 

 오늘은 어제에 이어 패킷 트레이서에 더욱 능숙해지는 시간이었습니다.

 어제는 정적으로 라우팅을 했다면 오늘부터는 동적으로 라우팅을 배웠습니다.

 사실, 요즘에는 정적으로 설정하지않고, 동적으로 설정해주게 됩니다.

 많은 이유가 있지만 아무래도 라우터를 관리자가 수동으로 항상 설정해주어야한다는 단점이 크게 적용되는 것 같습니다.

 패킷 트레이서로도 직접 실습을 해보니 정적보다 동적이 손이 확실히 덜 가는 것을 느낄 수 있었습니다.

 오늘은 동적중에서도 RIP(Routing Information Protocol)과 EIGRP(Enhanced Interior Gateway Routing Protocol)에 대해 실습해보는 시간을 가졌습니다.

 이 중에서 EIGRP는 시스코사에서만 쓰이는 라우팅 프로토콜입니다.

 따라서, 패킷 트레이서라는 시스코에서 만든 프로그램에서는 적용될 수 있어도 다른 프로그램에서는 동작하지 않는 프로토콜일 수 있습니다.

 어제와 오늘 합쳐서 8시간 이상씩 직접 실습을 하다보니 저절로 명령어가 외워져가네요...

 힘든 한 주가 될 것 같은 이번주... 더욱 힘을 내봐야 할 것 같습니다! 

 8월의 중순이 넘어가고 있네요 벌써...

 총 96일차였으니 어제까지로 치면... 70일이 남게 되었네요.

 실제로는 주말과 공휴일이 껴서 12월 6일까지이지만 실 교육 시간은 이제 70일 입니다! 70일. 

 어제는 패킷 트레이서를 설치해보고 기본 설정하는 법에 대해 배웠습니다.

 패킷 트레이서는 저번 주에 보셨던 책 제목인데요.

 단순 책 제목이 아니라 시스코 네트워크 장비의 실제 라우터, 스위치 등을 Config 구성 및 네트워크를 시물레이션 해 볼 수 있는 프로그램입니다.

 사실 말로만 들어봤지 이 프로그램을 다뤄보는 것은 이번이 처음이었습니다.

 요즘 C 언어를 배우기 전에 잠깐씩 해본다는 스크래치처럼 마우스로 드래그 앤 드롭 하는 형식으로 시작해 터미널로 네트워크를 구성할 수 있게 한 프로그램인데 꽤 신기했습니다. 

 이번주가 끝났을 때는 네트워크 토폴로지를 구성하는 데에 있어 어느 정도 개념이 확립될 것 같은 생각이 듭니다.

▶ 이 블로그의 [패킷 트레이서] 토폴로지 생성 및 연결 보러가기