목록화 (Enumeration)

- 목록, 일람화를 해놓는 것으로, IP추적, 포트스캔 등을 통해 얻어낸 정보들을 한눈에 알아볼 수 있도록 정리하는 것이다

- 실제로 공격을 하기 전의 작업이며, 해커마다 자신만의 스타일을 통해 목록을 만들어 놓는다.

윈도우 시스템의 목록화

- 사무에 있어 가장 널리 사용하는 OS는 윈도우 체제이며, 파일공유, 프린터등의 일반 사무기기와의 통신을 위해 NetBIOS를 사용    한다.(Microsoft 네트워크용 -)

- NetBIOS(Network Basic Input/Output System)은 프로토콜로써 한 사무실내의 컴퓨터끼리 연결을 하여 공유하거나 프린터 공   유에 많이 쓰인다.

- 그러나 NetBIOS에 점점 기능이 추가 되어감에 따라 포트를 여러개 사용함으로써 보안적 측면에서 위험이 따른다.

NetBIOS를 이용, 시스템 정보를 수집해 목록화

- nbtstat를 이용한 시스템 정보 수집 : 호스트에 대해 시스템명, 도메인명, MAC주소를 알수 있는 공유폴더 스캐너이다.

- nbtscan를 이용한 시스템 정보 수집 : 여러 호스트를 볼수 있고 MAC주소 중복을 이용한 스니퍼가 존재할 때 NetBIOS 이름을

  찾아 누가 범인인지 짐작할 수 있다.

- net share를 이용한 시스템 정보 수집 : 현재 세션에 연결되어 있는 공유 목록들을 확인할 수 있는 명령어이다, 관리자의 입장

                                                        으로서 보안을 위해 삭제하도록 한다.

(내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters에서

 AutoShareWks의 값데이터를 0으로 바꿔준다)

관리자로서의 보안 대책

- 일단 NetBIOS 포트로는 135~139 그리고 445포트를 사용하므로 포트를 차단하도록 한다.

- Network 파일 및 프린터 공유를 사용하지 않도록 하고 방화벽 설정을 하도록 한다.

- 레지스트리를 편집하여 SMB(System Managerment Bus)에 대한 목록화가 실행되지 않도록 한다

(내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa에 있는 restrictanonymous 의

 값 데이터를 1로 바꿔준다)

리눅스/유닉스 시스템의 목록화

- 리눅스나 유닉스의 경우 윈도우와 달리 운영체제 정보를 알아볼 수 있는 프로토콜은 제공하지 않는다

- 따라서 공격자의 입장에서는 NFS나 TFTP,RPC 서비스를 이용하고 있는 경우를 이용하여 목록화를 한다.

- finger, rwho, rusers 명령어를 이용하여 사용자와 그룹을 목록화 할수 있다.

- rpcinfo 명령어를 사용하여 어떠한 포트를 사용하여 서비스를 이용하는지 알 수 있다.

SNMP를 이용한 목록화

- SNMP(Simple Network Management Protocol)를 사용하여 네트워크를 중앙집중적으로 쉽게 관리할 수 있는 프로토콜이다.

- 1버전의 경우 보안기능이 전혀 없어 매우 취약, 2버전은 보안기능을 강화, 3버전은 2버전에 인증기능 더했다.

- SNMP는 이름을 부여하고 그것을 커뮤니티라고 하는데 이 커뮤니티의 이름을 알아낼 경우 네트워크의 모든 정보가 유출된다.