잡다

방화벽 포트

관용 2023. 5. 2. 17:40

service 위험도

 level

BGP 4 인터넷환경이 보안적으로 여러 위험성에 노출되기 이전에 고안되었기에 데이터를 조작하거나 삭제하는 네트웍 라우팅에 좋지 않은 영향을 미칠 가능성이 있는 여러 가지 공격 방법에 대처하는 메커니즘을 가지고 있지 않다. SYN packet 이용하여 SYN FLOODING 일으길 경우 bgp port(TCP 179) DRDoS target 된다.

DHCP-relay 4 세그먼트간의 지점간에 위치하여 다른 DHCP에서 IP 받을 있도록 포워드하는 기능이다. Address assignment 유출될 경우 man-in-the-middle 공격 등에 노출된다. ( UDP 67)

DNS 4 알려진 포트이므로 공격자의 주요목표가 된다. 불필요한 사용자에게 DNS Zone Transfer 허용하지 말아야 한다. 해당 도메인의 Zone 대한 복사본을 얻기 위해 Primary Name Server로부터 Zone 데이터베이스를 끌어오는 작업을 Zone Transfer 하는데, 이는 Primary Name Server 다운될 경우 Secondary Name Server 역할을 대신하게 되기 때문에 양쪽 서버간의 정보를 일관성 있게 유지시키기 위해 수행되는 작업이다. 일반적으로 Zone Transfer Second Name Server에서만 Zone Transfer 있도록 하면 된다. 허가되지 않는 사용자에게 Zone Transfer 허용할 경우 DNS 서버의 중요한 정보가 유출되게 된다. , 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 있게 된다. 대부분의 공격도구(주로 취약점 스캐너) 공격하고자 하는 시스템의 IP 리스트를 얻기 위해 Zone Tranfer 이용한다. 대부분의 사이트에서 DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 있도록 설정된다. DNS 코드 취약점을 이용하여 DNS 서버에게 교묘히 조작된 패킷을 보냄으로써 버퍼 오버플로우를 발생시켜  공격자가 원하는 코드를 실행시키거나 루트 쉘을 얻을 있다. (TCP, UDP 53)

FINGER 3 로그온한 사용자, operating system 대한 정보 제공한다. (TCP 79)

FTP 5 읽고 쓰기가 가능하여 시스템의 손상, 파괴가 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.(TCP 20,21)

FTP-GET 5 읽기가 가능하여 시스템의 정보 유출이 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.

FTP-PUT 5 쓰기가 가능하여 시스템의 손상, 파괴가 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.

GOPHER 5 고퍼는 서비스가 개발되기 이전까지는 인터넷의 가장 쉬운 인터페이스로 사용되었다. 고퍼는 정보의 내용을 주제별 또는 종류별로 구분하여 메뉴로 구성함으로써, 인터넷에 익숙하지 않은 사람도 쉽게 정보를 찾아볼 있게 만들었다. 고퍼는 인터넷의 다른 기능들, 원격접속(telnet), 파일전송(ftp), 뉴스(news)등의 기능을 고퍼 메뉴 속에서 실행할 있고, 고퍼 서버들끼리 서로 연결되어 있어서 여러 개의 고퍼 서버를 이동하면서 자신이 필요로 하는 정보를 쉽게 찾을 있다. 고퍼로 FTP session 맺을 경우, 서버의 ftp directory 접속을 제한할지라도 bounce attack(제삼의 서버를 이용하여 공격대상의 네트워크를 스캐닝할 있는) 이용될 있다. (TCP 70)

H.323 4 자체가 정의된 하나의 규약(protocol) 아니라 각종 규약들(H.224, H.245 ) 모아놓은 프로토콜 스택이다. H.323 음성 영상 데이터를 TCP/IP,UDP 등의 패킷 교환 방식의 네트워크를 통해 전송하기 위해 채택된 표준으로, 이러한 패킷 방식의 데이터 전송의 예가 VoIP이다. 양방향으로 설정 필요하며, 다수의 포트 허용으로 보안에 취약하다.

HTTP 4 Web Server 개방성과 CGI/JAVA/PHP등의 content script 취약점에서 오는 원격 해킹의 가능성이 존재하며, 이런 코드들의 보안성 점검이 필요하다. 정보유출과 루트 권한의 획득이 가능하다. Web server log 개인 정보가 적절한 인증없이 조회되지 않도록 해야한다. (TCP 80)

HTTPS 4 SSL 사용하기 때문에 HTTP 프로토콜보다는 보안상 안전하나, content script 취약점에서 오는 원격 해킹의 가능성이 존재하며, 이런 코드들의 보안성 점검이 필요하다. 정보유출과 루트 권한의 획득이 가능하다. (TCP 443)

ICMP-INFO 4 remote host ICMP_MASKREQ query 응답하여 netmask 등의 정보를 보내준다. 공격자는 네트웍이 어떻게 구성되고 라우팅 되는지에 관한 정보를 얻을 있다. 위험도는 높지 않다.

ICMP-TIMESTAMP 4 remote host ICMP timestamp request 응답한다. 이것은 공격자가 host 세팅된 시간정보를 알려줌으로 시간에 기초한 인증 protocols 통과하도록 돕는다. ICMP timestamp requests outgoing ICMP timestamp replies 필터링해야 하며 위험도는 높지 않다.

IKE 3 IPSec 하는 장비간에 암호화 알고리즘과 인증방식을 서로 설정한다.

IMAP 3 POP3 유사한 취약성을 가지고 있다. 로그인하지 않은 상태에서 버퍼 오버플로우를 발생시켜 유저네임이나  패스워드를 변경할 있으며, 로그인된 상태에서 여러 버퍼 오버플로우 공격을 있다. (TCP 143)

INTERNET LOCATER SERVICE 5 LDAP, LDAP over SSL/TSL, user locater service 포함한다.

IRC 4 일련의 규칙과 약속이 관련되어 있는 채팅 시스템으로, 동시에 여러 사용자의 태화를 제공하는 클라이언트/서버 구조의 소프트웨어이다. 어떤 흔적도 남기지 않은 (영수증없는 금융거래처럼)  파일전송이 이루어질 있다. (TCP 6660-9)

L2TP 5 인터넷 표준인 L2TP (RFC 2661) 인터넷에서 remote access VPN 구성하는데 널리 사용되는 클라이언트/서버 기반의 Tunneling Protocol이다. Layer 2 PPP 트래픽에 대한 Encapsulation 통해 지점간의 터널을 생성, 관리, 소멸시켜주는 것이 기본 기능이며, 보안은 대부분 PPP에서 제공하는 보안기능에 의존하므로 보다 강한 보안을 위해 IPSEC 사용해야 한다. Layer 2 Tunneling 크게 tunnel initiator 따라 Voluntary Tunneling Compulsory Tunneling으로 나눌 있다. Voluntary Tunneling client-initiated Tunneling으로 클라이언트가 직접 Tunnel 서버(보통의 Remote Access Server(RAS), IETF 용어로는  PPTP/L2TP Network Server(PNS/LNS) 불림) Tunnel 형성하므로 클라이언트간의 End-to-End Tunnel 형성되며, 클라이언트에 PPTP/L2TP 프로토콜이 탑재되어 있어야 한다. 반면 Compulsory Tunneling ISP-initiated Tunneling으로 인터넷 서비스 제공자(ISP) Remote Access Switch 클라이언트를 대신해서 터널을 열어 주는 경우로 클라이언트에 Tunneling Protocol 탑재되어 있지 않은 경우나, ISP에서 VPN 서비스를 제공해 주는 경우에 사용되며, PAC/LAC-PNS/LNS간에 Tunnel 형성된다. L2TP Packet-Oriented Point-to-Point 접속을 제공하는 네트웍만 보장되면, 어떤 전송 프로토콜 상에서도 사용 가능하다 (e.g. IP, Frame Relay PVCs, ATM VCs ). Multiple- Tunnel 허용하여 QoS 따라 서로 다른 Tunnel 이용할 있다. L2TP 헤더 압축 Tunnel-End-Point 인증 (패킷단위의 인증이 아니라, Tunnel End-Point들의 Identity 대한 인증) 기능을 제공한다. 서로 완전한 신뢰관계에 있는 제한된 host 사이에서만 허용한다.

LDAP 4 TCP/IP 상에서 수행하는 디렉토리 서비스 프로토콜로서,  조직이나, 개체, 그리고 인터넷이나 기업 내의 인트라넷 네트웍 상에 있는 파일이나 장치들과 같은 자원 등의 위치를 찾을 있게 해준다. LDAP 디렉토리 서비스 모델은 엔트리(entry) 기반한다. 엔트리는 distinguished name (DN)이라고 불리는 속성(attribute) 포함하는 속성들의 집합으로 되어 있으며, DN 유일한 엔트리를 찾기 위해서 이용된다. LDAP 디렉토리에 대한 질의와 갱신 연산을 정의하고, 디렉토리로부터 엔트리를 추가 또는 삭제하고, 엔트리를 변경하고 엔트리의 이름을 변경하는 연산이 제공된다. LDAP 탐색(search) 연산은 탐색 필터에 명시된 일치 기준에 맞는 엔트리를 찾기 위해 디렉토리의 일부를 찾을 있다. LDAP server 주요정보를 담고 있어, 비인가된 접근은 철저히 차단되어야 한다. (TCP 389)

NETMEETING 4 주로 H.323 이용하여 서비스한다.

NFS 5 Port Mapper외에 파일 송수신을 위해 다수의 포트를 가변적으로 허용되어야 하며, 공격자가 NFS client 작동하는 applets 씀으로 접근제어를 통과하는 심각한 취약점이 다수 존재한다.(TCP, UDP 2049,111)

NNTP 4 유즈넷 뉴스그룹 상에 올려진 글들을 관리하기 위해 컴퓨터들(클라이언트와 서버 모두) 의해 사용되는 store and forward 프로토콜이다. NNTP 원래 유즈넷 프로토콜이었던 UUCP (UNIX-to-UNIX Copy Protocol) 대체한 것이다. NNCP 서버는 수집된 유즈넷 뉴스그룹들의 네트웍을 관리하고, 인터넷 액세스 제공자가 제공하는 서버를 전체의 일부로서 포함시킨다. NNTP 클라이언트는 넷스케이프나, 인터넷 익스플로러, 오페라 또는 다른 웹브라우저의 일부로서 포함될 있으며, 뉴스리더라고 불리는 별도의 클라이언트 프로그램을 사용할 수도 있다. 포트가 오픈 유즈넷서버를 찾아내기 위해 사용된다. 대체적으로 정상적 커넥션이 이루어져 위험도는 높지 않다.(TCP 119)

NTP 3 NTP variables 질의함으로 remote host OS descriptor, time settings등의 정보를 얻을 있다. NTP peer relationships 알아냄으로 네트웍 세팅에 대한 정보를 알아낼 있다. 위험도는 높지 않다.(UDP 123)

ORACLE-LISTENER 5 Client상에서 DB 접근이 가능하기 때문에 일반계정으로 접근 루트 권한의 획득이 가능할 있다. 

OSPF 4 독립적인 네트웍 내에서 라우팅 정보 관리를 위해 광범위하게 사용된다. DRDoS target 된다. 

PC-anywhere 5 원격제어 파일전송이 가능하며, 접근이 성공되었을 경우 PC 같은 세크먼트에 존재하는 모든 네트워크 장비들은 스니핑이 가능하다. (UDP 5632, 22 TCP 5631)

PING 3 remote host 상태가 dead or alive인지 정보를 준다. 위험도는 적다 .

POP3 3 client e-mail서버에 접근하기 위해 사용된다. 로그인하지 않은 상태에서 버퍼 오버플로우를 발생시켜 유저네임이나  패스워드를 변경할 있으며, 로그인된 상태에서 여러 버퍼 오버플로우 공격을 있다. (TCP 110)

PPTP 5 Microsoft 사의 PPTP 인터넷에서 remote access VPN 구성하는데 널리 사용되는 클라이언트/서버 기반의 Tunneling Protocol이다. PPP 트래픽을 encapsulation하기 때문에, IP, IPX, NetBEUI, AppleTalk 등의 다양한 상위 로컬 네트웍 프로토콜을 사용할 있으며 transit internetwork IP 네트웍일 것을 요구한다. End-Point 사이에 하나의 Tunnel만을 지원하며 사용자 인증(PAP, CHAP, MS-CHAP, EAP)이나 데이터 암호화/압축 (CCP, ECP) 등의 보안 기능은 PPP에서 제공하는 것을 사용한다. 완전한 신뢰관계에 있는 제한된 host 사이에서만 허용한다. (TCP 1723)

REAL MEDIA 3 video straming audio service 제공한다. Client server로부터 audio streams 받을 때는 UDP포트로, control connection TCP 7070 포트를 사용한다.

RIP 4 독립적인 네트웍 내에서 라우팅 정보 관리를 위해 광범위하게 사용된다. DRDoS target 된다. 

RLOGIN 5 rlogin client server 사이의 데이터가 암호화되지 않은 상태로 흐르기 때문에 스니핑이 가능하며 이는 login ID PASSWORD 포함된다. 신뢰관계가 잘못 설정된 경우 패스워드의 입력없이 바로 서버로 접근이 가능하며 심감한 보안취약점으로 인해 신뢰관계를 설정하여 루트 권한으로의 접근이 가능하다.

SMTP(MAIL) 4 향상 최신의 패치한 상태로 서비스를 하여야 하며, 메일 Relay기능을 제한한다. 인터넷에 공개되어 있고, e-mail routing 복잡하여 보고된 취약점(루트권한의 획득 가능) 많다.(TCP 25)

SNMP 5 네트워크 장비의 상황을 있는 인테페이스를 제공하며 관리 데이타의 분석, 장애관리 등의 기능수행을 위한 데이타베이스를 구축하고 있다. Get : 장비의 상태 가동시간등의 관리 정보를 읽어 들인다. 특정 장비의 정보를 읽으려면 메시지의 송신자로서 관리자는 장비를 표시하는 작은 프로그램인 에이전트에 조회를 한다. 관리자는 MIB 트리구조를 이용해 필요한 정보를 찾는 객체를 알아내고 응답을 해석한다. Set : 장비의 MIB 조작하여 장비를 제어한다. 관리자는 요청을 보내 다시 초기화 시키거나, 프로그램에 따라 스스로를 다시 재구성한다. Trap : 관리자에게 보고하는 Treshold Event 말한다. 장비 에이전트는 경고, 고장통지등 관리자가 미리 설정한 유형의 보고서를 생성한다. SNMP Community String manager agent사이의 메시지를 인증하기 위해 사용되는데, 알기쉬운(Public, Private, 회사이름등…) 이름이나 Brute-force 공격으로 알아낼 있는 쉬운 조합으로 만들 경우 Set/Get 명령어등으로 접근할 있으며, 현재까지 서비스거부공격, 버퍼오버플로우공격 여러 취약점이 있다.(TCP, UDP 161,162)

SSH 5 Telnet보다 강한 인증기능을 가지고 다른 컴퓨터에 로그온 있으나, SSH host domain 스캔당할 있으며, 일반계정으로의 접근 OS상에 존재하는 취약점을 이용하여 루트권한의 획득이 가능하다. (TCP 22)

SYSLOG 3 log 기록하는 전용 데몬( 항상 있어서, 다른 프로그램의 요청에 응답하는 )이다.

UDP Flood등의 DoS 공격의 대상이 있다. (UDP 514)

TALK 3 visual communication 제공한다. 알려지지 않은 유저에 의해 정보가 유츨될 있다. (UDP 517, 518)

TCP-ANY 6 모든 TCP 포트를 허용하므로 Incoming 정책에 사용 불가하다. (임시적으로만 사용, 출발지/목적지등을 제한할 경우에 한하여 사용)

TELNET 5 일반계정으로의 접근 OS상에 존재하는 취약점을 이용하여 루트권한의 획득이 가능하다. telnet client server 사이의 데이터가 암호화되지 않은 상태로 흐르기 때문에 스니핑이 가능하며, 이는 login ID PASSWORD 포함된다. (TCP 23)

TFTP 5 remote user login(ID 패스워드의 인증)없이 파일을 읽고, 있어 위험도가 높다.  펌웨어를 업그레이드등의 경우에 주로 사용된다. TCP wrapper 사용하며 접근을 제한하며, root directory 아닌 subdirectory 접근하게 하여 필요이상의 파일 접근을 피하도록 해야한다. (UDP 69)

TRACEROUTE 4 특정 호스트에 접근하기 위한 path 정보를 제공한다. (UDP 33400-34000)

UDP-any 6 모든 UDP 포트를 허용하므로 Incoming 정책에 사용 불가하다. (임시적으로만 사용, 출발지/목적지등을 제한할 경우에 한하여 사용)

UUCP 5 시스템들 간에 파일을 복사, 실행될 명령어들을 전송할 있다. (UDP 540)

VDO-LIVE 3 video straming service 제공한다. (UDP 7000-7010)

WAIS 4 특정 데이타베이스 등을 키워드로 고속 검색하여 액세스하는 환경을 제공한다. (TCP 210)

WINFRAME 4 서버에 연결된 컴퓨터 워크스테이션이 윈도우 프로그램과 데이터를 사용할 있도록 환경을 제공한다. (TCP 1494)

X-WINDOW 5 리눅스를 비롯해 대부분의 유닉스에 채용되어 있으며, 대상 host 그래픽 환경 기반 window 제공한다. TCP 다수의 포트(6000-6063) 허용한다. (TCP 6000-6063)

BGP 3 인터넷환경이 보안적으로 여러 위험성에 노출되기 이전에 고안되었기에 데이터를 조작하거나 삭제하는 네트웍 라우팅에 좋지 않은 영향을 미칠 가능성이 있는 여러 가지 공격 방법에 대처하는 메커니즘을 가지고 있지 않다. SYN packet 이용하여 SYN FLOODING 일으길 경우 bgp port(TCP 179) DRDoS target 된다.

DHCP-relay 2 세그먼트간의 지점간에 위치하여 다른 DHCP에서 IP 받을 있도록 포워드하는 기능이다. Address assignment 유출될 경우 man-in-the-middle 공격 등에 노출된다. ( UDP 67)

DNS 2 알려진 포트이므로 공격자의 주요목표가 된다. 불필요한 사용자에게 DNS Zone Transfer 허용하지 말아야 한다. 해당 도메인의 Zone 대한 복사본을 얻기 위해 Primary Name Server로부터 Zone 데이터베이스를 끌어오는 작업을 Zone Transfer 하는데, 이는 Primary Name Server 다운될 경우 Secondary Name Server 역할을 대신하게 되기 때문에 양쪽 서버간의 정보를 일관성 있게 유지시키기 위해 수행되는 작업이다. 일반적으로 Zone Transfer Second Name Server에서만 Zone Transfer 있도록 하면 된다. 허가되지 않는 사용자에게 Zone Transfer 허용할 경우 DNS 서버의 중요한 정보가 유출되게 된다. , 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 있게 된다. 대부분의 공격도구(주로 취약점 스캐너) 공격하고자 하는 시스템의 IP 리스트를 얻기 위해 Zone Tranfer 이용한다. 대부분의 사이트에서 DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 있도록 설정된다. DNS 코드 취약점을 이용하여 DNS 서버에게 교묘히 조작된 패킷을 보냄으로써 버퍼 오버플로우를 발생시켜  공격자가 원하는 코드를 실행시키거나 루트 쉘을 얻을 있다. (TCP, UDP 53)

FINGER 2 로그온한 사용자, operating system 대한 정보 제공한다. (TCP 79)

FTP 5 읽고 쓰기가 가능하여 시스템의 손상, 파괴가 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.(TCP 20,21)

FTP-GET 2 읽기가 가능하여 시스템의 정보 유출이 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.

FTP-PUT 5 쓰기가 가능하여 시스템의 손상, 파괴가 가능하다. 버퍼 오버플로우를 일으켜 root권한을 획득하거나 DOS 공격하는 취약점이 다수 존재한다.

GOPHER 2 고퍼는 서비스가 개발되기 이전까지는 인터넷의 가장 쉬운 인터페이스로 사용되었다. 고퍼는 정보의 내용을 주제별 또는 종류별로 구분하여 메뉴로 구성함으로써, 인터넷에 익숙하지 않은 사람도 쉽게 정보를 찾아볼 있게 만들었다. 고퍼는 인터넷의 다른 기능들, 원격접속(telnet), 파일전송(ftp), 뉴스(news)등의 기능을 고퍼 메뉴 속에서 실행할 있고, 고퍼 서버들끼리 서로 연결되어 있어서 여러 개의 고퍼 서버를 이동하면서 자신이 필요로 하는 정보를 쉽게 찾을 있다. 고퍼로 FTP session 맺을 경우, 서버의 ftp directory 접속을 제한할지라도 bounce attack(제삼의 서버를 이용하여 공격대상의 네트워크를 스캐닝할 있는) 이용될 있다. (TCP 70)

H.323 2 자체가 정의된 하나의 규약(protocol) 아니라 각종 규약들(H.224, H.245 ) 모아놓은 프로토콜 스택이다. H.323 음성 영상 데이터를 TCP/IP,UDP 등의 패킷 교환 방식의 네트워크를 통해 전송하기 위해 채택된 표준으로, 이러한 패킷 방식의 데이터 전송의 예가 VoIP이다. 양방향으로 설정 필요하며, 다수의 포트 허용으로 보안에 취약하다.

HTTP 2 Web Server 개방성과 CGI/JAVA/PHP등의 content script 취약점에서 오는 원격 해킹의 가능성이 존재하며, 이런 코드들의 보안성 점검이 필요하다. 정보유출과 루트 권한의 획득이 가능하다. Web server log 개인 정보가 적절한 인증없이 조회되지 않도록 해야한다. (TCP 80)

HTTPS 2 SSL 사용하기 때문에 HTTP 프로토콜보다는 보안상 안전하나, content script 취약점에서 오는 원격 해킹의 가능성이 존재하며, 이런 코드들의 보안성 점검이 필요하다. 정보유출과 루트 권한의 획득이 가능하다. (TCP 443)

ICMP-INFO 2 remote host ICMP_MASKREQ query 응답하여 netmask 등의 정보를 보내준다. 공격자는 네트웍이 어떻게 구성되고 라우팅 되는지에 관한 정보를 얻을 있다. 위험도는 높지 않다.

ICMP-TIMESTAMP 2 remote host ICMP timestamp request 응답한다. 이것은 공격자가 host 세팅된 시간정보를 알려줌으로 시간에 기초한 인증 protocols 통과하도록 돕는다. ICMP timestamp requests outgoing ICMP timestamp replies 필터링해야 하며 위험도는 높지 않다.

IKE 2 IPSec 하는 장비간에 암호화 알고리즘과 인증방식을 서로 설정한다.

IMAP 2 POP3 유사한 취약성을 가지고 있다. 로그인하지 않은 상태에서 버퍼 오버플로우를 발생시켜 유저네임이나  패스워드를 변경할 있으며, 로그인된 상태에서 여러 버퍼 오버플로우 공격을 있다. (TCP 143)

INTERNET LOCATER SERVICE 2 LDAP, LDAP over SSL/TSL, user locater service 포함한다.

IRC 2 일련의 규칙과 약속이 관련되어 있는 채팅 시스템으로, 동시에 여러 사용자의 태화를 제공하는 클라이언트/서버 구조의 소프트웨어이다. 어떤 흔적도 남기지 않은 (영수증없는 금융거래처럼)  파일전송이 이루어질 있다. (TCP 6660-9)

L2TP 5 인터넷 표준인 L2TP (RFC 2661) 인터넷에서 remote access VPN 구성하는데 널리 사용되는 클라이언트/서버 기반의 Tunneling Protocol이다. Layer 2 PPP 트래픽에 대한 Encapsulation 통해 지점간의 터널을 생성, 관리, 소멸시켜주는 것이 기본 기능이며, 보안은 대부분 PPP에서 제공하는 보안기능에 의존하므로 보다 강한 보안을 위해 IPSEC 사용해야 한다. Layer 2 Tunneling 크게 tunnel initiator 따라 Voluntary Tunneling Compulsory Tunneling으로 나눌 있다. Voluntary Tunneling client-initiated Tunneling으로 클라이언트가 직접 Tunnel 서버(보통의 Remote Access Server(RAS), IETF 용어로는  PPTP/L2TP Network Server(PNS/LNS) 불림) Tunnel 형성하므로 클라이언트간의 End-to-End Tunnel 형성되며, 클라이언트에 PPTP/L2TP 프로토콜이 탑재되어 있어야 한다. 반면 Compulsory Tunneling ISP-initiated Tunneling으로 인터넷 서비스 제공자(ISP) Remote Access Switch 클라이언트를 대신해서 터널을 열어 주는 경우로 클라이언트에 Tunneling Protocol 탑재되어 있지 않은 경우나, ISP에서 VPN 서비스를 제공해 주는 경우에 사용되며, PAC/LAC-PNS/LNS간에 Tunnel 형성된다. L2TP Packet-Oriented Point-to-Point 접속을 제공하는 네트웍만 보장되면, 어떤 전송 프로토콜 상에서도 사용 가능하다 (e.g. IP, Frame Relay PVCs, ATM VCs ). Multiple- Tunnel 허용하여 QoS 따라 서로 다른 Tunnel 이용할 있다. L2TP 헤더 압축 Tunnel-End-Point 인증 (패킷단위의 인증이 아니라, Tunnel End-Point들의 Identity 대한 인증) 기능을 제공한다. 서로 완전한 신뢰관계에 있는 제한된 host 사이에서만 허용한다.

LDAP 2 TCP/IP 상에서 수행하는 디렉토리 서비스 프로토콜로서,  조직이나, 개체, 그리고 인터넷이나 기업 내의 인트라넷 네트웍 상에 있는 파일이나 장치들과 같은 자원 등의 위치를 찾을 있게 해준다. LDAP 디렉토리 서비스 모델은 엔트리(entry) 기반한다. 엔트리는 distinguished name (DN)이라고 불리는 속성(attribute) 포함하는 속성들의 집합으로 되어 있으며, DN 유일한 엔트리를 찾기 위해서 이용된다. LDAP 디렉토리에 대한 질의와 갱신 연산을 정의하고, 디렉토리로부터 엔트리를 추가 또는 삭제하고, 엔트리를 변경하고 엔트리의 이름을 변경하는 연산이 제공된다. LDAP 탐색(search) 연산은 탐색 필터에 명시된 일치 기준에 맞는 엔트리를 찾기 위해 디렉토리의 일부를 찾을 있다. LDAP server 주요정보를 담고 있어, 비인가된 접근은 철저히 차단되어야 한다. (TCP 389)

NETMEETING 2 주로 H.323 이용하여 서비스한다.

NFS 5 Port Mapper외에 파일 송수신을 위해 다수의 포트를 가변적으로 허용되어야 하며, 공격자가 NFS client 작동하는 applets 씀으로 접근제어를 통과하는 심각한 취약점이 다수 존재한다.(TCP, UDP 2049,111)

NNTP 2 유즈넷 뉴스그룹 상에 올려진 글들을 관리하기 위해 컴퓨터들(클라이언트와 서버 모두) 의해 사용되는 store and forward 프로토콜이다. NNTP 원래 유즈넷 프로토콜이었던 UUCP (UNIX-to-UNIX Copy Protocol) 대체한 것이다. NNCP 서버는 수집된 유즈넷 뉴스그룹들의 네트웍을 관리하고, 인터넷 액세스 제공자가 제공하는 서버를 전체의 일부로서 포함시킨다. NNTP 클라이언트는 넷스케이프나, 인터넷 익스플로러, 오페라 또는 다른 웹브라우저의 일부로서 포함될 있으며, 뉴스리더라고 불리는 별도의 클라이언트 프로그램을 사용할 수도 있다. 포트가 오픈 유즈넷서버를 찾아내기 위해 사용된다. 대체적으로 정상적 커넥션이 이루어져 위험도는 높지 않다.(TCP 119)

NTP 2 NTP variables 질의함으로 remote host OS descriptor, time settings등의 정보를 얻을 있다. NTP peer relationships 알아냄으로 네트웍 세팅에 대한 정보를 알아낼 있다. 위험도는 높지 않다.(UDP 123)

ORACLE-LISTENER 2 Client상에서 DB 접근이 가능하기 때문에 일반계정으로 접근 루트 권한의 획득이 가능할 있다. 

OSPF 2 독립적인 네트웍 내에서 라우팅 정보 관리를 위해 광범위하게 사용된다. DRDoS target 된다. 

PC-anywhere 2 원격제어 파일전송이 가능하며, 접근이 성공되었을 경우 PC 같은 세크먼트에 존재하는 모든 네트워크 장비들은 스니핑이 가능하다. (UDP 5632, 22 TCP 5631)

PING 2 remote host 상태가 dead or alive인지 정보를 준다. 위험도는 적다 .

POP3 2 client e-mail서버에 접근하기 위해 사용된다. 로그인하지 않은 상태에서 버퍼 오버플로우를 발생시켜 유저네임이나  패스워드를 변경할 있으며, 로그인된 상태에서 여러 버퍼 오버플로우 공격을 있다. (TCP 110)

PPTP 5 Microsoft 사의 PPTP 인터넷에서 remote access VPN 구성하는데 널리 사용되는 클라이언트/서버 기반의 Tunneling Protocol이다. PPP 트래픽을 encapsulation하기 때문에, IP, IPX, NetBEUI, AppleTalk 등의 다양한 상위 로컬 네트웍 프로토콜을 사용할 있으며 transit internetwork IP 네트웍일 것을 요구한다. End-Point 사이에 하나의 Tunnel만을 지원하며 사용자 인증(PAP, CHAP, MS-CHAP, EAP)이나 데이터 암호화/압축 (CCP, ECP) 등의 보안 기능은 PPP에서 제공하는 것을 사용한다. 완전한 신뢰관계에 있는 제한된 host 사이에서만 허용한다. (TCP 1723)

REAL MEDIA 2 video straming audio service 제공한다. Client server로부터 audio streams 받을 때는 UDP포트로, control connection TCP 7070 포트를 사용한다.

RIP 2 독립적인 네트웍 내에서 라우팅 정보 관리를 위해 광범위하게 사용된다. DRDoS target 된다. 

RLOGIN 2 rlogin client server 사이의 데이터가 암호화되지 않은 상태로 흐르기 때문에 스니핑이 가능하며 이는 login ID PASSWORD 포함된다. 신뢰관계가 잘못 설정된 경우 패스워드의 입력없이 바로 서버로 접근이 가능하며 심감한 보안취약점으로 인해 신뢰관계를 설정하여 루트 권한으로의 접근이 가능하다.

SMTP(MAIL) 2 향상 최신의 패치한 상태로 서비스를 하여야 하며, 메일 Relay기능을 제한한다. 인터넷에 공개되어 있고, e-mail routing 복잡하여 보고된 취약점(루트권한의 획득 가능) 많다.(TCP 25)

SNMP 2 네트워크 장비의 상황을 있는 인테페이스를 제공하며 관리 데이타의 분석, 장애관리 등의 기능수행을 위한 데이타베이스를 구축하고 있다. Get : 장비의 상태 가동시간등의 관리 정보를 읽어 들인다. 특정 장비의 정보를 읽으려면 메시지의 송신자로서 관리자는 장비를 표시하는 작은 프로그램인 에이전트에 조회를 한다. 관리자는 MIB 트리구조를 이용해 필요한 정보를 찾는 객체를 알아내고 응답을 해석한다. Set : 장비의 MIB 조작하여 장비를 제어한다. 관리자는 요청을 보내 다시 초기화 시키거나, 프로그램에 따라 스스로를 다시 재구성한다. Trap : 관리자에게 보고하는 Treshold Event 말한다. 장비 에이전트는 경고, 고장통지등 관리자가 미리 설정한 유형의 보고서를 생성한다. SNMP Community String manager agent사이의 메시지를 인증하기 위해 사용되는데, 알기쉬운(Public, Private, 회사이름등…) 이름이나 Brute-force 공격으로 알아낼 있는 쉬운 조합으로 만들 경우 Set/Get 명령어등으로 접근할 있으며, 현재까지 서비스거부공격, 버퍼오버플로우공격 여러 취약점이 있다.(TCP, UDP 161,162)

SSH 2 Telnet보다 강한 인증기능을 가지고 다른 컴퓨터에 로그온 있으나, SSH host domain 스캔당할 있으며, 일반계정으로의 접근 OS상에 존재하는 취약점을 이용하여 루트권한의 획득이 가능하다. (TCP 22)

SYSLOG 2 log 기록하는 전용 데몬( 항상 있어서, 다른 프로그램의 요청에 응답하는 )이다.

UDP Flood등의 DoS 공격의 대상이 있다. (UDP 514)

TALK 2 visual communication 제공한다. 알려지지 않은 유저에 의해 정보가 유츨될 있다. (UDP 517, 518)

TCP-ANY 6 모든 TCP 포트를 허용하므로 Incoming 정책에 사용 불가하다. (임시적으로만 사용, 출발지/목적지등을 제한할 경우에 한하여 사용)

TELNET 2 일반계정으로의 접근 OS상에 존재하는 취약점을 이용하여 루트권한의 획득이 가능하다. telnet client server 사이의 데이터가 암호화되지 않은 상태로 흐르기 때문에 스니핑이 가능하며, 이는 login ID PASSWORD 포함된다. (TCP 23)

TFTP 5 remote user login(ID 패스워드의 인증)없이 파일을 읽고, 있어 위험도가 높다.  펌웨어를 업그레이드등의 경우에 주로 사용된다. TCP wrapper 사용하며 접근을 제한하며, root directory 아닌 subdirectory 접근하게 하여 필요이상의 파일 접근을 피하도록 해야한다. (UDP 69)

TRACEROUTE 2 특정 호스트에 접근하기 위한 path 정보를 제공한다. (UDP 33400-34000)

UDP-any 6 모든 UDP 포트를 허용하므로 Incoming 정책에 사용 불가하다. (임시적으로만 사용, 출발지/목적지등을 제한할 경우에 한하여 사용)

UUCP 5 시스템들 간에 파일을 복사, 실행될 명령어들을 전송할 있다. (UDP 540)

VDO-LIVE 2 video straming service 제공한다. (UDP 7000-7010)

WAIS 2 특정 데이타베이스 등을 키워드로 고속 검색하여 액세스하는 환경을 제공한다. (TCP 210)

WINFRAME 2 서버에 연결된 컴퓨터 워크스테이션이 윈도우 프로그램과 데이터를 사용할 있도록 환경을 제공한다. (TCP 1494)

X-WINDOW 2 리눅스를 비롯해 대부분의 유닉스에 채용되어 있으며, 대상 host 그래픽 환경 기반 window 제공한다. TCP 다수의 포트(6000-6063) 허용한다. (TCP 6000-6063)

'잡다' 카테고리의 다른 글

매니아들이 꼽은 그알 역대급 ㄷ..JPG  (0) 2023.04.14
딴짓중  (0) 2021.09.28
2010 인턴 2  (0) 2021.09.28
2010 인턴 1  (0) 2021.09.28
21.08월 이런저런 생각들  (0) 2021.09.01