#네트워크 취약점 점검하기
일반적인 네트워크 스캔의 경우 최근 차단되는 경우가 늘고 있고 OS 혹은 네트워크 장비에서 스캔을 기본적으로 막는 기능이 기본으로 채택되고 있다. 그렇다면 보안 점검을 목적으로 해당 네트워크에서 취약한 부분을 확인하기 위해서 단순한 Nmap 스캔 이외에 추가적으로 어떤게 있을까를 알아 보았다.
가장 기본적인 Nmap툴을 이용해서 내가 할당 받은 사설 IP 대역을 모두 스캔해 보았다.
딱히 내가 원하는 결과 즉 정확한 열려진 포트 정보 등을 얻을수가 없었다. 아마도 상단의 네트워크 장비에서 스캔을 차단하고 있겠구나 라는 생각이 들었다.
몇가지 스캔을 해보았지만 원하는 정보를 찾기 힘들었다. 물론 다 해본건 아니고 nmap 이외에 Sparta 정도만 해본 수준이다. 추가적인 정보를 얻기 위해서 Kali에서 제공 하는 Netdiscover라는 툴을 한번 이용해 보았다.
Netdiscover는 Active와 Passive 모드를 지원하는 실시간 ARP 스캐너로서 실제 흘러 다니는 네트워크 패킷상에서 ARP 정보를 이용하여 다양한 단말기의 통신을 감시/모니터링 할 수 있는 툴이다. 일반적인 스캐너가 막혀 있다면 한번 이용해 봄직 하다.
Netdiscover를 실행한 화면이다. 실제 접속되고 있는 단말기 들이 검색되고 있는것을 볼수 있다.
그렇다면 스캔에서 파악이 불가능한 정보중에서 가장 통신 횟수가 많은 IP에 관심이 갈 것이다. 무언가 접속이 될것만 같은 느낌이 들것이다.(위의 장비 정보는 정확하지 않을 수도 있으므로 참고하는 수준으로 보면 된다.)
실제로 가장 접속 횟수가 많은 장비에 telnet을 통해서 접속을 시도해 보았다.
$ telnet 172.0.0.254
Trying 172.0.0.254...
Connected to 172.0.0.254.
Escape character is '^]'.
User Access Verification
Username:
Password:
역시나 접속이 되는것을 알 수 있었다. 이를 통해서 현재 위의 장비로 추정되는 IP는 접속자들에게 접속이 열려 있는 취약한 상황이라는것을 발견 할 수 있을것이다.
1. 허가 받지 않은 곳에서의 정밀한 네트워크 스캔은 불법입니다. 반드시 허가된 곳에서 하십시오.
2. 위처럼 접속자들에게 네트워크 장비의 telnet 을 열어두는 것은 보안적으로 매우 취약하다고 볼 수 있다. 최소한 접속할 수 있는 IP를 제한하거나 로그인을 모니터링 해야 합니다.
3. NetDiscover는 ARP 패킷을 사용하는 만큼 네트워크에 대한 이해도가 있을 경우 사용하기를 권장한다.
#스니핑을 통한 자산 식별, #네트워크 정보 수집, #ARP Sniffing
https://securitytraning.com/how-to-identify-live-host-on-network-netdiscover/
https://github.com/alexxy/netdiscover