HoYoung

HoYoung

Software Engineer를 꿈꾸며 열공

aws sap 문제 풀이 10주차 문제풀이 3번

aws, sap, April 30, 2023

질문 55: 건너뜀

A leading commercial bank has a hybrid cloud architecture and is using a Volume Gateway under the AWS Storage Gateway service to store their data via the Internet Small Computer Systems Interface (ISCSI). The security team has detected a series of replay attacks to your network, which is basically a form of network attack in which a valid data transmission is maliciously or fraudulently repeated or delayed. After their investigation, they detected that the originator of the attack is trying to intercept the data with an intention to re-transmit it, which is possibly part of a masquerade attack by IP packet substitution.

As a Solutions Architect of the bank, how can you secure your AWS Storage Gateway from these types of attacks?

-4번찍자 틀림. 공부하자

Configure a Challenge-Handshake Authentication Protocol (CHAP) to authenticate NFS connections and safeguard your network from replay attacks.

Configure a Challenge-Handshake Authentication Protocol (CHAP) to authenticate iSCSI and initiator connections.

Replace ISCSI with more secure protocols like Common Internet File System (CIFS) Protocol or Server Message Block (SMB).

Replace the current ISCSI Block Interface with an ISCSI Virtual Tape Library Interface.

한 선도적인 상업 은행은 하이브리드 클라우드 아키텍처를 보유하고 있으며 AWS 스토리지 게이트웨이 서비스 하에 볼륨 게이트웨이를 사용하여 ISCSI(Internet Small Computer Systems Interface)를 통해 데이터를 저장하고 있습니다. 보안 팀이 네트워크에 대한 일련의 재생 공격을 탐지했습니다. 이는 기본적으로 유효한 데이터 전송이 악의적으로 또는 부정하게 반복되거나 지연되는 네트워크 공격의 한 형태입니다. 그들의 조사 후, 그들은 공격의 발신자가 IP 패킷 대체에 의한 위장 공격의 일부일 가능성이 있는 데이터를 재전송하려는 의도로 데이터를 가로채려고 시도하는 것을 감지했습니다.

은행의 Solutions Architect로서 AWS 스토리지 게이트웨이를 이러한 유형의 공격으로부터 보호하려면 어떻게 해야 합니까?

NFS 연결을 인증하고 네트워크를 재생 공격으로부터 보호하도록 CHAP(Challenge-Handshake Authentication Protocol)를 구성합니다.

Challenge-Handshake Authentication Protocol(CHAP)을 구성하여 iSCSI 및 이니시에이터 연결을 인증합니다.

ISCSI를 CIFS(Common Internet File System) 프로토콜 또는 SMB(Server Message Block)와 같은 보다 안전한 프로토콜로 대체합니다.

현재 ISCSI 블록 인터페이스를 ISCSI 가상 테이프 라이브러리 인터페이스로 교체합니다.

풀이 및 공부

chap에 정말 간딘히 설명(비밀번호를 안보내는게 특징)

  1. 비번은 안보내고 아이디만 보냄
  2. hash형태의 challeange message를 받음.
  3. client가 다시 hash해서 challenge response를 보냄
  4. chap server 가 expected challeange response와 비교하여 맞으면 인증

이 문제는 aws storage gateway 는 chap 인증 구성으로 재생 공격(replay attacks)을 방지할 수 있단다. 알고있니?

를 물어보는 문제

참고

  • https://www.comparitech.com/blog/information-security/what-is-a-replay-attack/

Comments