Embed Size (px)
DESCRIPTION
NAC BMT Scenario. 시험 목차. Pre-Connect NAC 테스트 Post-Connect NAC 테스트 Switch 기본 기능 및 보안기능 테스트 IPS 기능 테스트. 1. Pre-Connect NAC 구현 테스트. 1.1. 네트워크 사용자 인증 (802.1x). 항목. 1.1 네트워크 사용자 인증. 세부항목. 사용자 인증을 통한 네트워크 접근 제어. 테스트 목적. 사용자 인증을 위한 IEEE802.1x 프로토콜을 지원하여 사용자의 접근을 제어할 수 있는 지를 확인. - PowerPoint PPT Presentation
Citation preview
NAC BMT Scenario
시험 목차
1. Pre-Connect NAC 테스트
2. Post-Connect NAC 테스트
3. Switch 기본 기능 및 보안기능 테스트
4. IPS 기능 테스트
1. Pre-Connect NAC 구현 테스트
순번 항목
1 네트워크 사용자 인증 (802.1x)2 네트워크 사용자 인증 (MAC)3 네트워크 사용자 인증 (WEB)4 네트워크에서 공격자 서비스 제한 기능
5 인증 사용자별 차별화된 정책 사용
6 멀티 사용자 인증 기능
1. DS1 에 IEEE802.1x 인증 프로토콜을 enable한다 .
2. PC1 에서 IEEE802.1x PEAP 패스워드 인증을 시도한다 .
3. PC2 로 ping 을 수행하면서 인증을 통해 네트워크 접속이 제어되는 것을 확인한다 .
4. NMS 를 통해 사용자 인증 상태 확인
항목 1.1 네트워크 사용자 인증 세부항목 사용자 인증을 통한 네트워크 접근 제어
테스트 목적 사용자 인증을 위한 IEEE802.1x 프로토콜을 지원하여 사용자의 접근을 제어할 수 있는 지를 확인
구성도 시행 절차
비고
평가 내역
• 표준 IEEE802.1x 사용자 인증 지원 여부
• 인증을 통한 접근 제어 지원 여부
• NMS 를 통해 인증된 사용자 확인 여부
1.1. 네트워크 사용자 인증 (802.1x)
IEEE802.1x
사용자 인증
사용자 인증(IEEE802.1x)을 거치지 않은 사용자에 대해 접근을 불가
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
1. DS1 에 MAC 인증을 enable 한다 .2. Radius 서버에 PC1 의 MAC 을 등록한다 3. PC2 로 ping 을 수행하면서 MAC 인증을 통해
네트워크 접속이 제어되는 것을 확인한다 .4. NMS 를 통해 MAC 인증 상태 확인
항목 1.2 네트워크 인증 세부항목 인증을 통한 네트워크 접근 제어
테스트 목적 프린터 또는 IPPhone 인증을 위한 MAC 인증 지원 여부를 확인
구성도 시행 절차
비고
평가 내역
• MAC address 를 통한 인증 지원 여부
• NMS 를 통해 인증된 사용자 확인 여부
1.2. 네트워크 인증 (MAC)
Mac 인증
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
1. DS1 에 WEB 인증을 enable 한다 .2. PC1 에서 PC2 로 ping 을 수행한다3. PC1 에서 PC2 로 WEB 엑세스를 시도한다 4. PC1 의 WEB 시도를 가로채어 인증 WEB 창이
PC1 스크린에 팝업된다5. 사용자 계정 입력을 통해 인증을 성공한후 ping 이
정상적으로 수행됨을 확인
항목 1.3 네트워크 인증 세부항목 인증을 통한 네트워크 접근 제어
테스트 목적 인증이 지원되지 않는 PC(windows 98 등 ) 를 위한 WEB 을 통한 인증 여부 확인
구성도 시행 절차
비고
평가 내역
• WEB 를 통한 인증 지원 여부
1.3. 네트워크 인증 (WEB)
WEB 인증
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
1. DS1 에 802.1x 인증을 enable 한다 .2. PC1 에서 PC2 로 ping 을 수행한다3. PC1 에서 PC2 로 WEB 엑세스를 시도한다 4. PC1 에서 PC2 로 FTP 접속을 시도한다5. PC1 이 인증을 수행하지 않은 상태에서 ping 과
FTP 접속은 차단되지만 WEB 엑세스는 가능하다
항목 1.4 게스트 네트워크 기능 세부항목 게스트 네트워크 기능 지원 여부
테스트 목적 인증을 거치지 않은 사용자에게 최소한의 서비스를 가능하게 하는 기능이 있는지 확인
구성도 시행 절차
비고
평가 내역
• 인증사용자에 등록되지 않은 게스트 사용자에 대해 최소한의 서비스를 허용할 수 있는 기능이 있는지를 확인
1.4. 게스트 네트워크 기능
Guest 사용자
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
1. DS1 에 IEEE802.1x 인증 프로토콜을 enable한다 .
2. 인증서버에 서로 다른 레벨 (admin 과 user 레벨로 구분 ) 의 계정을 생성하고 ,
3. 각각의 계정으로 네트워크에 logon 하여 각 레벨에 맞는 접근 권한과 QoS 정책이 부여되는 지를 확인한다 .- admin: 모든 서비스 제공- user: telnet 사용 불가 , Ratelimit 적용
항목 1.5 인증 사용자별 차별화된 정책 적용 세부항목 사용자별 서비스 부여 기능
테스트 목적 사용자 인증을 통해 네트워크 접근을 제어하고 레벨에 따라 서비스 ( 접근 제어 , QoS 제어 , Rate Limit 등 ) 가 차별화 되는 것을 확인한다 .
구성도 시행 절차
비고
평가 내역
• 사용자 인증을 통해 사용자 레벨에 맞는 서비스가 제공될 수 있는 지를 확인한다 .
• 인증을 통해 Access 권한이 제어되는 것을 확인한다 .
• 인증을 통해 Rate Limit 와 같은 QoS 정책이 제어되는 것을 확인한다 .
IEEE802.1x 사용자 인증을 통한 사용자별 서비스 제공
사용자 인증후 해당 사용자에 맞는 서비스 (Access 제어 , QoS, RateLimit) 적용
1.5. 인증 사용자별 차별화된 정책 적용
PC3
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
1. DS1 에 IEEE802.1x 멀티 인증 을 enable 한다2. PC1 과 PC3 에서 PC2 로 Ping 을 수행한다3. PC1 에서 admin 으로 인증을 시도한다 .4. PC1 은 Ping 이 전달됨을 확인하고 PC3 는 Ping
이 전달되지 않음을 확인한다 .5. PC3 에서 user 로 인증을 시도한다 .6. PC3 에서 Ping 정상적으로 수행됨을 확인한다 .7. NMS 에서 스위치 하단의 사용자가 서로 다른
계정으로 상단 스위치의 한포트에 인증을 통해 연결되어 있음을 확인한다
항목 1.6 멀티 사용자 인증 기능 세부항목 멀티 사용자 인증 기능 지원 확인
테스트 목적 스위치 하단에 인증을 지원하지 않는 스위치를 통한 사용자에 대해 각각 인증을 하도록 하는 기능이 있는지를 확인
구성도 시행 절차
비고
평가 내역
• 스위치 하단에 인증을 지원하지 않는 스위치가 연결되었을시에서 각각의 사용자에 대해 인증을 거쳐야지만 네트워크 사용이 가능하도록 하는 기능이 있는지 확인
IEEE802.1x 멀티 사용자 인증
인증을 지원하지 않는 스위치 또는 허브 ( 스위치일 경우 EAP Thru기능이 필요 )
1.6. 멀티 사용자 인증 기능
PC3
PC2( 내부 서버 )FTP,Web
PC1
DS1
Radius 서버
2. Post-Connect NAC 테스트
순번 항목
1 네트워크에서 공격자 완전 차단 기능
2 관리자 확인후 공격자 차단 기능
3 관리자 확인후 네트워크 재사용 설정 기능 확인
4 네트워크에서 공격자 서비스 제한 기능
5 타벤더 스위치와 연동 차단 기능
2.1. 네트워크에서 공격자 완전 차단 기능
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. Attacker 에서 Victim 으로 SQL Injection 공격 시도4. IPS 에서 차단로그 확인5. NMS 에서 Attack 정보 및 Attacker 위치 확인6. Attacker 에서 Victim,PC2 양쪽으로 Ping 이 단절됨을 확인
항목 2.1 네트워크에서 공격자 완전 차단 기능 세부항목 IPS 와 연동하여 공격자의 스위치 포트 완전 차단
테스트 목적 IPS 에서 감지 , 차단한 공격자의 위치를 추적하여 해당 스위치 포트를 완전 차단함으로서 네트워크 내부에 전파되지 않도록 구현
구성도 시행 절차
비고
•IPS 차단 여부 확인•스위치에서 차단 여부 확인
평가 내역
•IPS 와 스위치 연동을 통한 공격자 네트워크 상에서 완전 차단
예상 결과
SQL Injecting 공격시도
IPS 에서 1 차 차단
2 차 스위치 포트 차단
•Attacker : SQL Injection Text 수행•Victim : SQL Injection 에 대한 취약점이 있는 서버
PC1
PC2
DS1
Victim
Attacker
2.2. 관리자 확인 후 공격자 차단 기능
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. Attacker 에서 Victim 으로 SQL Injection 공격 시도4. IPS 에서 차단로그 확인5. NMS 에서 Attack 정보 및 Attacker 위치 확인6. Attacker 에서 Victim 으로 Ping 이 단절됨을 확인7. 관리자 화면에서 관리자 확인 후 PC2 로의 Ping 이 단절됨을 확인
항목 2.2 관리자 확인 후 공격자 차단 기능 세부항목 오탐방지 및 업무 중요도에 따라 관리자 확인후 차단
테스트 목적 공격자 정보를 관리자가 확인한 후에 네트워크에서 차단하는 기능 확인
구성도 시행 절차
비고
•IPS 차단 여부 확인•관리자 확인후 차단하는 기능 확인
평가 내역
•관리자 확인후 네트워크에서 완전 차단
예상 결과
2 차 관리자 확인 후 스위치 포트 차단
•Attacker : SQL Injection Text 수행•Victim : SQL Injection 에 대한 취약점이 있는 서버
SQL Injecting 공격시도
IPS 에서 1 차 차단
PC1
PC2
DS1
Victim
Attacker
2.3. 관리자 확인 후 네트워크 재사용 설정 기능 확인
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. Attacker 에서 Victim 으로 SQL Injection 공격 시도4. IPS 에서 차단로그 확인5. NMS 에서 Attack 정보 및 Attacker 위치 확인6. Attacker 에서 Victim,PC2 양쪽으로 Ping 이 단절됨을 확인7. 재사용 설정후 PC2 로 Ping 이 복구됨을 확인
항목 2.3 관리자 확인 후 네트워크 재사용 설정 기능 세부항목 업무 중요도에 따라 관리자 확인후 재사용 설정
테스트 목적 공격자 정보를 관리자가 확인한 후에 네트워크에서 차단된 사용자를 재사용 할 수 있도록 허용하는 기능 설정
구성도 시행 절차
비고
•네트워크에서 차단된 사용자를 재사용 할 수 있도록 할 수 있는 체계가 간편하게 구성되어 있는지 확인
평가 내역
•차단된 사용자의 서비스 재사용 허용
예상 결과
차단된 사용자 네트워크 재사용
허용
•Attacker : SQL Injection Text 수행•Victim : SQL Injection 에 대한 취약점이 있는 서버
SQL Injecting 공격시도
IPS 에서 1 차 차단
PC1
PC2
DS1
Victim
Attacker
2.4. 네트워크에서 공격자 서비스 제한 기능
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. Attacker 에서 Victim 으로 Zotob worm 공격 시도4. IPS 에서 차단로그 확인5. NMS 에서 Attack 정보 및 Attacker 위치 확인6. Attacker 에서 Victim,PC2 양쪽으로 Ping 이 단절됨을 확인7. PC1 은 내부서버에 Web 접속은 가능하지만 , FTP 서비스는 차단됨을
확인
항목 2.4 네트워크에서 공격자 서비스 제한 기능 세부항목 IPS 와 연동하여 공격자의 서비스 제한 기능
테스트 목적 IPS 에서 감지 , 차단한 공격자의 위치를 추적하여 해당 스위치 포트의 서비스를 일부 제한함으로서 내부 네트워크 전파 방지
구성도 시행 절차
비고
•IPS 차단 여부 확인•스위치에서 내부 서버에 대한 제한된 서비스만 허용
평가 내역
•IPS 와 스위치 연동을 통한 공격자 네트워크 상에서 제한된 서비스 허용
예상 결과
PC2( 내부 서버 )FTP,Web
Zotob worm 공격시도
•Attacker : www.xxx.xxx/admin.dll 접속 시도
IPS 에서 1 차 차단
2 차 스위치 포트 차단
PC1
DS1
Victim
Attacker
2.5. 타벤더 스위치와 연동 기능
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. Attacker 에서 Victim 으로 Zotob worm 공격 시도4. IPS 에서 차단로그 확인5. NMS 에서 Attack 정보 및 Attacker 위치 확인6. Attacker 에서 Victim,PC2 양쪽으로 Ping 이 단절됨을 확인
항목 2.5 타벤더 스위치와 연동 차단 기능 세부항목 타벤더 스위치와 연동하여 공격자 차단
테스트 목적 IPS 와 스위치 연동 솔루션이 타벤더 스위치와도 연동이 되는지의 여부 확인
구성도 시행 절차
비고
•타벤더 스위치와 연동하여 포트가 아닌 특정 공격자 Mac address 만 차단 할 수 있는 기능이 있는지 확인
평가 내역
•IPS 와 스위치 연동을 통한 타벤더 스위치 하단의 공격자의 Mac address 에 대하여 차단 또는 제한된 서비스만 허용
예상 결과
•Attacker : www.xxx.xxx/admin.dll 접속 시도
PC2( 내부 서버 )FTP,Web
Zotob worm 공격시도
IPS 에서 1 차 차단
2 차 스위치 포트상의 공격자 MAC 만 차단
PC1
DS1
Victim
Attacker
3. Switch 기본 기능 및 보안 기능 테스트
순번 항목
1 Link Fail-over Test(STP)2 Link Fail-over Test(VRRP)3 Link Aggregation Test4 OSPF TEST5 Port Mirroring TEST6 IP Spoofing 차단 Test7 분산 방화벽 기능 Test8 Mac flooding 방어 기능 및 구현 방안
9 알려지지 않은 바이러스에 대한 방어 기능
10 공격자 IP,Mac 추적 기능
3.1. Link Fail-over Test(STP)
1. 모든 스위치를 L2 로 구성하고 Spanning Tree 를 설정한다 . 2.DS1 이 Spanning Tree root bridge 임을 확인하고 DS2 와 WS1
구간이 Blocking 임을 확인한다 .3.PC2 에서 PC1 으로 Ping 을 수행한다 .4.DS1 과 DS2 구간의 Link 를 절체한후 Ping 손실상태를 확인5.DS1 과 DS2 구간의 Link 를 복구한후 Ping 손실상태를 확인6.DS2 와 WS1 구간의 Link 를 절체한후 Ping 손실상태를 확인7.DS2 와 WS1 구간의 Link 를 복구한후 Ping 손실상태를 확인
항목 3.1. Link Fail-over Test 대상 장비 분산스위치와 백본 스위치
테스트 목적 동일 VLAN 내에서 Spanning Tree 에 Layer 2 회선복구 기능 및 복구 시간을 확인
구성도 시행 절차
비고
평가 결과
•802.1D 적용시 : 30~50 초 이내로 fail-over 수행•802.1w 적용시 : 1~2 초 이내로 fail-over 수행
예상 결과
•DS1 : 층간 스위치 ( 벤더 준비 )•DS2 : 백본 스위치 (Cisco 3750)•WS : 워크그룹 스위치
회선 복구 소요 시간 ( 초 )절체시 복원시
DS1-DS2 링크
DS2-WS1 링크
DS1 DS2
WS1
PC2
PC1
3.2. Link Fail-over Test(VRRP)
1.DS1 과 DS2 구간을 OSPF 라우팅을 구성한다2.DS1 과 DS2,WS1 구간을 VRRP 로 구성한다3.DS1 과 DS2,WS2 구간을 VRRP 로 구성한다4.DS1 이 VRRP Master,DS2 가 VRRP Backup 임을 확인한 후 PC2
에서 PC1 으로 Ping 을 수행한다 .5.DS1 과 WS1 구간의 Link 를 절체한후 Ping 손실상태 확인6.DS1 과 WS2 구간의 Link 를 절체한후 Ping 손실상태 확인
항목 3.2. Link Fail-over Test 대상 장비 분산스위치와 기존 워크그룹 스위치
테스트 목적 VRRP 에 의한 Fail-over 테스트
구성도 시행 절차
비고
Ping 복원 시간
평가 결과
•VRRP 는 기본적으로 3.6 초 이내에 복원된다 .예상 결과
DS1 DS2
WS1
PC2
PC1WS2
라우팅라우팅(OSPF)(OSPF)
VRRPVRRP구간구간
VRRP VRRP 구간구간
VRRP Master
VRRPBackup
•DS1 : 층간 스위치 ( 벤더 준비 )•DS2 : 백본 스위치 (Cisco 3750)•WS : 워크그룹 스위치
3.3. Link Aggregation Test
1.DS1 과 DS2 구간에 2 개의 Link 를 연결후 Link Aggregation 을 구성한다 .
2.PC1 과 PC2 간에 정상적인 Ping 수행되는 지 확인한다 .3.DS1 과 DS2 구간의 Link 중 하나를 절체한후 Ping 손실 상태를 확인4.Link 를 복구한후 Ping 손실상태 확인5.DS1 과 DS2 구간의 Link 중 다른 하나를 절체한 후 Ping 손실 상태
확인
항목 3.3. Link Aggregation Test 대상 장비 분산스위치
테스트 목적 물리적인 2 개 이상의 Link 를 논리적인 하나의 Link 로 구성하여 대역폭 증대 및 장애시 복구 능력 테스트
구성도 시행 절차
비고
Ping 복원 시간
평가 결과
•Link aggregation group 내의 회선 복구는 모두 1-2 초 이내에 복원된다 .
예상 결과DS1 DS2
PC2
Link Aggregation
PC1
•DS1 : 층간 스위치 ( 벤더 준비 )•DS2 : 백본 스위치 (Cisco 3750)•WS : 워크그룹 스위치
3.4. OSPF TEST
1.DS1 과 DS2 구간에 OSPF 를 구성한다 .2.PC1 과 PC2 간에 정상적인 Ping 수행되는 지 확인한다 .3.DS1 과 DS2 각각에 Loopback 인터페이스를 10 개씩 생성한다4.Loopback 네트웍에 대해 OSPF 네트워크 선언 또는 Redistribution
을 설 정한후 DS1 과 DS2 각각에서 상태 장비의 네트웍이 정상적으로
업데이 트 되는지의 여부를 확인한다 .
항목 3.4. OSPF Test 대상 장비 분산스위치
테스트 목적 대표적인 다이나믹 라우팅 프로토콜인 OSPF 작동 확인 테스트
구성도 시행 절차
비고
정상적인 라우팅 테이블 등록 확인
평가 결과
•Loopback 네트웍이 정상적으로 라우팅 테이블에 등록됨
예상 결과DS1 DS2
PC2
OSPF
PC1
Loopback 인터페이스 10 개 생성
Loopback 인터페이스 10 개 생성
•DS1 : 층간 스위치 ( 벤더 준비 )•DS2 : 백본 스위치 (Cisco 3750)•WS : 워크그룹 스위치
3.5. Port Mirroring TEST
1.DS1 에 Port Mirroring 설정을 한다2.PC1 과 PC2 간에 정상적인 Ping 수행되는 지 확인한다 .3.PC1 에서 PC2 로 HTTP 접속을 수행한다4.PC1 과 PC2 간의 Ping 수행 내역 및 HTTP 접속 내역이 패킷 캡쳐 PC
로 정상적으로 캡쳐되는 지 확인한다 .
항목 3.5. Port Mirroring TEST 대상 장비 분산스위치
테스트 목적 해당 포트로 지나가는 트래픽을 모니터링하기위한 Port Mirroring 기능 확인
구성도 시행 절차
비고
정상적인 캡쳐 여부 확인
평가 결과
•포트 미러링을 통해 유니 캐스트 트래픽을 모니터링 할 수 있다 .예상 결과
•DS : 분산 스위치•WS : 기존 워크그룹 스위치
DS1
Snifer or Ethereal
PC1 PC2
3.6. IP Spoofing 차단 Test항목 3.6. IP Spoofing 차단 TEST 대상 장비 분산스위치
테스트 목적 Spoofing 된 IP 차단 기능 확인
구성도 시행 절차
비고
IP Spoofing 차단 여부 확인
평가 결과
•비인가 source ip 로 spoofing 된 트래픽을 차단
예상 결과
•DS : 분산 스위치•Attacker : Knoffix Linux Attack tool
DS1
PC1Attacker
PC2
인가되지 않은 Source IP 로 변경하여 내부 서버에 패킷을
전송
Net1
Net2
1. PC1 에서 인가되지 않은 IP address 로 source IP 를 변경하여 PC2로 UDP packet 을 전송한다 .
2. PC2 에서는 패킷 분석기를 통해 source ip 가 spoofing 된 트래픽이 전송되고 있음을 확인한다 .
3. DS1 에서 Spoofing 차단 정책을 설정한다 .4. 내부서버의 패킷 분석기를 통해 source ip 가 spoofing 된 트래픽이
차단 되었음을 확인한다 .
3.7 분산 방화벽 기능
항목 3.7 분산 방화벽 기능 세부항목 DoS attack 방어 기능
테스트 목적 DoS attack 방어 기능
구성도 시행 절차
비고
•공격 패킷 캡쳐기능 제공 및 공격 호스트 격리 기능 제공 여부
평가 내역
•DOS 공격 차단
예상 결과
1. PC1 에서 Source IP 를 지속적으로 바꾸면서 PC2 의 특정 UDP포트로 공격시도
2. 문제를 발생시키는 호스트를 탐지하고 해당 트래픽을 차단3. NMS 를 통해 문제를 발생시키는 트래픽을 억세스스위치에서 신속
제어하여 DoS 공격이 다른 네트워크 뿐 아니라 동일 VLAN내에서도 차단 .
Souce IP 를 계속 변경하면서 특정
UDP 포트로 공격시도 DS1
PC1Attacker
PC2Net1
Net2
3.8. Mac flooding 방어 기능 및 구현 방안
1. PC1 에서 MAC address 를 지속적으로 변경시키면서 PC2 로 패킷을 전송한다 .
2. 내부 서버에서 패킷 분석기를 통해 트래픽이 PC1 에서 전송되고 있음을 확인한다 .
3. DS1 에서 포트별 MAC address 를 제한하여 인가된 수 이외의 MAC address 를 사용하는 트래픽을 차단한다 .
4. 내부서버에서 PC1 로부터의 트래픽이 차단되었음을 확인한다 .
항목 3.8 MAC flooding 방어 기능 및 구현 방안 세부항목 MAC Flooding 방어 기능 및 구현 방안
테스트 목적 MAC flooding 방어 기능 확인
구성도 시행 절차
비고
•NMS 에서 사용가능한 MAC address 를 손쉽게 제한할 수 있는 지 여부
•MAC flooding 방지 여부
평가 내역
•MAC Address 제한을 통해 MAC flooding 이 방지된다 .예상 결과
MAC address 를 지속하면서
내부서버로 패킷 전송 시도 DS1
PC1Attacker
PC2Net1
Net2
•DS : 분산 스위치•Attacker : Knoffix Linux Attack tool
3.9. 알려지지 않은 바이러스에 대한 방어 기능
항목 3.9 알려지지 않은 바이러스에 대한 방어 기능 세부항목 알려지지 않은 바이러스의 과도한 세션 설립 시도 방어
테스트 목적 과도한 세션 설립을 시도하는 알려지지 않은 바이러스에 대한 자동 차단 여부 확인
구성도 시행 절차
비고
•공격자의 세션 설립 시도 모니터링 여부 확인•세션 초과시 자동 차단 여부 확인•차단된 사용자의 차단 해제 기능 여부 확인
평가 내역
•공격자의 과도한 세션 설립 차단
예상 결과
1. PC1 에서 Destination IP 를 지속적으로 바꾸면서 를 공격2. 설정된 세션이상의 세션을 설립하는 공격자를 자동 차단3. NMS 를 통해 문제를 발생시키는 공격자의 세션 설립 수 확인 및
자동 차단해제
공격 대상을 바꾸면서 과도한 TCP session설립을 시도
DS1
PC1Attacker
PC2Net1
Net2
3.10. 공격자 IP,MAC 추적 기능
1. NMS 에서 공격자의 IP 또는 Mac address 를 통해 신속하게 공격자의 IP 를 추적
항목 3.10 공격자 IP,MAC address 추적 기능 세부항목 공격자의 IP,MAC address 추적
테스트 목적 공격자의 IP,MAC 어느 스위치의 어느 포트에 위치하고 있는지를 신속하게 확인하여 제어
구성도 시행 절차
비고
•공격자의 위치를 신속하게 추적할 수 있는지의 여부를 확인
평가 내역
•공격자가 어느 스위치의 어느 포트에 위치하고 있는지 확인
예상 결과DS1
PC1Attacker
PC2Net1
Net2
4. IPS 기능 테스트
순번 항목
Attacker 에 의한 해킹 공격 유형 차단 테스트
1 Port Scan 탐지 테스트
2 Windows 웹서버 (IIS 웹서버 ) 공격 차단 테스트
3 Unix 계열 웹서버 (Apache 서버 ) 공격 차단 테스트
4 어플리케이션의 취약점 스캔에 대한 방어
웜 공격 유형 차단 테스트
5 악성 봇에 대한 감지 및 차단
6 Sweep 이벤트 탐지와 세션재현
7 웜바이러스 감지 및 차단
장비 관리 기능 테스트
8 IPS 의 자체 Fault 를 감지한 Bypass 기능 테스트
9 특정조건에 의한 포렌식
10 Signature 업데이트 방법
11 IPS 관리 리모트 엑세스 기능
12 관리자 Alert 기능
13 Black&white list 관리 및 차단
기본 구성도
워크그룹스위치 ( 기존스위치 )
층간스위치
IPS
외부단 스위치
PC1
PC2
DS1
백본 스위치
4.1. Port Scan 탐지테스트
1. PC1 에서 Victim 서버로 Super scan툴을 이용한 Port Scan 수행2. IPS 에서 port scan 이벤트가 발생하는지 확인3. IP 대역별로 Scan 시도 후 이벤트 확인
항목 4.1 Port Scan 탐지 테스트 세부항목 공격사전작업인 Port 스캔을 탐지
테스트 목적 해킹 혹은 크래킹에 대한 사전 작업을 감지 하고자 함 .구성도 시행 절차
비고
•Attacker 의 Scan 한 Port 정보•Attacker 와 Victim 에 대한 아이피 정보
평가 내역
•Attacker PC1 의 아이피와 Port Scan 이벤트발생
예상 결과
IPS scan 탐지
Victim 에 대한Port scan
•Attacker : Port Scan툴 ( 슈퍼스캔 ) 을 활용•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.2. Windows 웹서버 (IIS 웹서버 ) 공격 차단 테스트
1. PC1 에서 Victim 서버로 IIS Storm툴을 이용한공격 수행2. IPS 에서 이벤트가 발생하는지 확인3. IIS 웹서버에 능동차단 되는지 확인
항목 4.2 Windows 웹서버 (IIS 웹서버 ) 공격 차단 테스트 세부항목 유니코드를 이용한 IIS 웹 서버 공격
테스트 목적 IIS 웹서버 공격에 대한 탐지와 자동 차단
구성도 시행 절차
비고
•Attacker 의 공격이벤트탐지•Attacker 와 Victim 에 대한 아이피 차단
평가 내역
•Attacker PC1 의 아이피와 IIS 공격이벤트발생 •Attacker PC1 의 능동적 차단
예상 결과
IPS 공격 탐지 ,차단
Victim 에 대한IIS 웹서버 공격
•Attacker : IIS 웹서버 공격툴 istorm활용•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.3. Unix 계열 웹서버 (Apache 웹서버 ) 공격 차단 테스트
1. PC1 에서 Victim 서버로 passwd 파일을 보는 링크 전송2. IPS 에서 이벤트가 발생하는지 확인3. IIS 웹서버에 능동차단 되는지 확인
항목 4.3 Unix 계열 웹서버 (Apache 웹서버 ) 공격 차단 테스트 세부항목
테스트 목적 Apache 웹서버 공격에 대한 탐지와 자동 차단
구성도 시행 절차
비고
•Attacker 의 공격이벤트탐지•Attacker 와 Victim 에 대한 아이피 차단
평가 내역
•Attacker PC1 의 아이피와 IIS 공격이벤트발생 •Attacker PC1 의 능동적 차단
예상 결과
IPS 공격 탐지 ,차단
Victim 에 대한웹서버 공격
•Attacker : http://victim/aaa.php?hack=cat%20/etc/passwd
•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.4. Application 취약점 스캔 대응
1. PC1 에서 Victim 서버로 취약점 scan 을 감행2. IPS 에서 이벤트가 발생하는지 확인3. Attacker IP 가 차단되는지 확인
항목 4.4 Application 취약점 스캔 대응 세부항목
테스트 목적 어플리케이션의 취약점 스캔에대한 방어
구성도 시행 절차
비고
•Attacker 의 공격이벤트탐지•Attacker 에 대한 아이피 차단
평가 내역
•Attacker PC1 의 아이피와 WEB 공격이벤트발생 •Attacker PC1 의 능동적 차단
예상 결과
IPS 공격 탐지 ,차단
Victim 에 대한웹취약점스캔
•Attacker : 웹취약점스캐너 활용 (N-Stealth Free Edition)
•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.5. 악성 봇에 대한 감지 및 차단
1. PC1 에서 Victim(IRC) 서버로 정상 접근2. IPS 에서 이벤트가 발생하는지 확인3. Attacker IP 가 차단되는지 확인
항목 4.5 악성봇에 대한 감지 및 차단 세부항목 IRC 프로그램을 사용하는 좀비 차단
테스트 목적 악성봇에 감염된 좀비 클라이언트 (PC1) 의 보호
구성도 시행 절차
비고
•Attacker 의 공격이벤트탐지•Attacker 와 Victim 에 대한 아이피 차단
평가 내역
•Attacker PC1 의 아이피와 IRC JOIN 이벤트발생 •Attacker PC1 의 능동적 차단
예상 결과
IPS 공격 탐지 ,차단
외부 IRC 서버로 접근
•Attacker : IRC클라이언트활용•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.6. Sweep 이벤트탐지와 세션재현
1. PC1 에서 Sweep 이벤트 발생 시킴2. IPS 에서 Sweep 이벤트가 탐지 되는지 확인3. IPS 에서 Sweep 이벤트의 세션 재현
항목 4.6 Sweep 이벤트 탐지와 세션재현 세부항목 2 차 공격대상 ip list 를 확인할수있어야 한다
테스트 목적 Worm 에 감염되었을때 2 차 공격대상을 찾는 행위를 Sweep 이라 하며 이를 탐지하고 분석하기 위함
구성도 시행 절차
비고
•Sweep 정보에 80 번 port 기술되는지 확인•2 차 공격대상 네트웍 대역을 세션재현을 통해 확인
평가 내역
•IPS 에 Sweep 이벤트 발생•세션 재현을 통해 공격대상 아이피 대역을 확인할수 있다
예상 결과
IPS 공격 탐지 ,차단
Victim 으로 ping
•Attacker : CodeRed Scanning 툴•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
4.7. 웜바이러스의 감지 및 차단
1. Attacker PC1 에서 웜 배포2. IPS 에서 웜바이러스 탐지 및 차단 확인
항목 4.7 웜바이러스의 감지 및 차단 세부항목
테스트 목적 내외부로부터의 웜 침투및 전파을 막기위함
구성도 시행 절차
비고
•웜을 배포하는 순간 자동으로 IP 차단이 되어야 한다 .•일정시간이 지나면 자동 해체가 가능하여야 한다 .
평가 내역
•웜을 배포하는 Attacker PC1 IP 차단
예상 결과
•Attacker PC1 Worm 배포•Victim :IPS 외부에 있는 한노드
IPS 공격 탐지 ,차단
Victim 으로 pingPC1
PC2
DS1
Victim
Attacker
4.8. IPS Bypass 기능테스트
1. PC1 에서 Victim 서버로 Ping 수행2. PC1 에서 PC2 로 Ping 수행3. 강제로 IPS 장비 전원 차단4. PC1 에서 Victim 으로 Ping 이 정상인지 확인
항목 4.8 IPS Bypss 기능테스트 세부항목 IPS 장비 결함 및 전기적인 결함테스트
테스트 목적 IPS운영중 자체 Fault 로 인한 네트웍 단절에 대한 유연한 대처능력 테스트
구성도 시행 절차
비고
•Ping 단절시간 확인•Bypass 확인
평가 내역
•Ping 이 몇초 단절 후 Bypass 된다음 ping 정상흐름
예상 결과
DS1
PC1
Victim
IPS 전원강제차단
Ping test
•PC1 : ping 수행•Victim :IPS 외부에 있는 한노드
4.9. 특정조건에 의한 포렌식
1. 특정 시간 조건을 주어 시간대 이벤트 확인2. 특정 아이피 (Attacker PC1) 조건을 주어 행위분석
항목 4.9 특정조건에 의한 포렌식 세부항목 특정시간별 , 특정아이피별 추적기능
테스트 목적 특정시간 , 특정 IP 의 추적기능을 통한 공격자 행위 분석
구성도 시행 절차
비고
•세션 재현 데이터까지 확인 가능 하여야 한다 .평가 내역
•특정 조건에 대한 검색이 가능해야 한다 .예상 결과
•Attacker PC1•Victim :IPS 외부에 있는 한노드
IPS 공격 탐지 ,차단
Victim 으로 pingPC1
PC2
DS1
Victim
Attacker
4.10. Signature 업데이트 방법
1. 시그너쳐 업데이트 방법 메뉴 육안 확인
항목 4.10 Signature 업데이트 방법 세부항목 Signature 업데이트 방법 확인
테스트 목적 Signature 업데이트 방법 확인
구성도 시행 절차
비고
•자동 업데이트 방법 및 필요시 업데이트를 위한 매뉴얼 업데이트 방법이 지원하는지 확인
평가 내역
•자동 업데이트 방법•매뉴얼 업데이트 방법
예상 결과
Signature 업데이트 방법 확인
PC1
PC2
DS1
Victim
Attacker
4.11. IPS 관리 리모트 엑세스 기능
1. 사용자별 접근 가능한 레벨을 지정할 수 있는 지 육안 확인
항목 4.11 IPS 관리 리모트 엑세스 기능 세부항목 특정시간별 , 특정아이피별 추적기능
테스트 목적 특정시간 , 특정 IP 의 추적기능을 통한 공격자 행위 분석
구성도 시행 절차
비고
•사용자별 IPS 관리 및 설정시 접근할 수 있는 레벨을 지정할 수 있는지 확인한다 .
평가 내역
•접근 레벨을 조정할 수 있어야함
예상 결과
•Attacker PC1•Victim :IPS 외부에 있는 한노드
Remote 엑세스 시도
PC1
PC2
DS1
Victim
Attacker
PC1
PC2
DS1
4.12. 관리자 Alert 기능
1. PC1 에서 Zotob work 공격 시도2. IPS 에서 차단후 지정된 e-mail address 로 통보3. 지정된 E-mail 에서 정보 확인
항목 4.12 관리자 Alert 기능 세부항목 IPS 차단 정보를 관리자에게 통보하는 기능
테스트 목적 IPS 차단 정보를 관리자에게 E-mail 을 통해 통보하는 기능이 있는지 확인
구성도 시행 절차
비고
•E-mail 확인을 통해 공격 정보 확인
평가 내역
•지정된 E-mail 에서 통보확인
예상 결과
Victim
IPS 차단 및 관리자에게 Email
전달
Zotob worm 공격시도
Attacker•실제 E-mail 전달 확인을 위해 인터넷 연결 필요
4.13. Black & White list 관리 및 차단
1. IPS 에 PC1 을 Black list 에 기술함2. PC1 에서 victim 으로 ping 이 되는지 확인3. IPS 에 PC1 을 White list 에 기술함4. PC1 에서 Victim 으로 공격을 했을때 차단이 안되는걸 확인
항목 4.13 black list 관리 및 차단 세부항목 불법사용자들의 ip 를 원천 차단
테스트 목적 불법사용자의 체계적인 관리와 완벽한 차단 구성도 시행 절차
비고
•Black&White list 항목관리 및 ping 차단 테스트
평가 내역
•Attacker PC1 를 Black List 관리시 Victim까지 ping 이 안됨•Attacker PC1 을 White List 관리시 공격을 하더라도 차단이 안됨
예상 결과
IPS 공격 탐지 ,차단
Victim 으로 ping
•Attacker : ping test 및 공격 테스트 (IIS-Storm)•Victim :IPS 외부에 있는 한노드
PC1
PC2
DS1
Victim
Attacker
