정보보안산업기사 2,3주차 오답노트
네트워크 기반 공격의 이해
Stacheldraht 공격
Stacheldraht는 독일어로 철조망이라는 뜻으로, 1999년 10월에 첨을 출현한 공격입니다. 트리누와 TFN 공격을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있다. Stacheldraht의 마스터 시스템 및 자동적으로 업데이트 되는 에이전트 데몬과의 사이에 통신을 할 때 암호화하는 기능이 추가되었다.
static 옵션 지정
arp -s <ip 주소> <MAC 주소>
IDS/IPS
데이터 수집원에 따른 IDS 비교
| 분류 형태 | 특징 | 장점 | 단점 |
| 호스트 기반(Host based-IDS) | 서버에 직접 설치되므로 네트워크 환경과 무관 | - 기록되는 다양한 로그자료를 통해 정확한 침입방지 기능 - 호스트에 대한 명백한 침투 탐지 기능 - 트로이목마, 백도어, 내부자에 의한 공격탐지/차단 가능 |
- 해커에 의한 로그 자료의 변조 가능성 존재 및 DoS공격으로 IDS 무력화 가능 - 호스트 성능에 의존적이며, 리소스 사용으로 서버부하 발생 |
| 네트워크 기반(Network basedd-IDS) | 네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이 | - 네트워크에서 실행되어 개별 서버의 성능저하가 없음 - 네트워크에서 발생하는 여러 유형의 침입을 탐지 - 해커의 IDS 공격에 대한 방어가 가능하며 존재 사실도 숨길 수 있음 |
- 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능 - 네트워크 트래픽이 많이 증가함에 따라 성능 문제 야기 - 오탐률(False Positive)이 높음 |
오용 침입 탐지 IDS 종류
전문가 시스템, 상태전이 모델, 패턴 매칭
침입 탐지 시스템을 도입하기 위한 과정 중 가장 첫 번째 과정
: 조직이 보호해야 할 자산 선정
침입차단시스템(Firewall)
방화벽
- 방화벽은 패킷 차단 기능을 수행한다. 미리 정해진 기준을 통과하는 패킷만 허용하는 positive 규칙, 또는 특정 조건에 해당되는 패킷만 거부하는 negative 규칙을 적용할 수 있다. 방화벽의 방식 중 가장 기본적인 형태의 패킷 정보를 검사하는 packet filtering에 추가적으로 각TCP 연결에 대한 정보를 기록 관리하면서 보다 까다로운 규칙들을 적용하고 TCP 일련 번호를 기록하여 session hijacking과 같은 공격을 방어하는 stateful inspection 방화벽도 있다.
iptable
예) 소스 IP 192.168.9.0/24 대역에서 목적지 서비스 포트 80으로 들어오는 모든 패킷에 대하여 차단하고, 차단되었다는 응답을 소스 IP 대역에 전달할려고 할 때의 iptable 설정
답 : iptables -A INPUT -p tcp -s 192.169.9.0 -dport 80 -i eth0 -j reject
* drop과 reject의 차이는 패킷 차단과 함께 ICMP 에러 응답 전송의 유무이다. reject는 전송하고 drop은 전송하지 않는다.
VPN
VPN 터널링을 제공하는 프로토콜
- PPTP, L2F, L2TP, MPLS, IPSec 등
IPSec 프로토콜
- End-to-End 통신에 전송 모드를 사용한다.
최신 네트워크 보안기술
ESM의 구성요소
- 에이전트, 매니저, 콘솔 (보안패치는 ESM의 구성요소가 아니다.)
FTP 보안
TFTP 서비스의 보안 조치
- TFTP 는 자체 디스크를 가지고 있지 않은 시스템이 부팅 시에 필요한 자료와 정보를 받아오기 위한 응용 프로토콜이다. 이때 아무런 인증없이 자료와 정보를 가져오기 때문에 비밀번호를 사용하지 않아서 유추하기 쉬운 패스워드를 사용하면 안 된다는 말은 애초에 성립하지 않는다.
Bounce attack의 목적
- 포트 스캐닝
웹 보안(Web Security)
HTTP 상태 코드
- 1xx : 정보
- 2xx : 성공
- 3xx : 리다이렉션
- 4xx: 클라이언트 오류
- 5xx: 서버 오류
SSL/TLS 보안 서비스
- 기밀성 서비스 : DES, RC4와 같은 대칭키 암호화 알고리즘을 사용하여 제공되며, 이때 사용되는 비밀키는 Handshake Protocol을 통해 생성된다.
- 클라이언트와 서버 상호 인증 : 연결 설정 과정에서 서로 간에 신뢰할 수 있도록 인증을 사용하는데, 인증에는 RSA와 같은 비대칭키 암호 알고리즘, DSS와 같은 전자서명 알고리즘과 X.509 공개키 인증서가 사용된다.
- 메시지 무결성 서비스 : 안전한 해시 알고리즘을 사용해서 메시지 인증 코드를 만들어 메시지에 포함시키기 때문에 신뢰성 있는 통신이 가능하다.
보안 취약점 중 입력값 검증으로 막을 수 있는 예시
- XSS, CSRF, SQL Injection
DHCP와 DNS 보안
DNS 서버를 안전하게 운영하는 방법
- 항상 최신 버전 사용
- chroot 환경에서 운영
- 사용하지 않을 때 DNS 서비스 제거
데이터베이스 보안
다중 인스턴스화(Polyinstantiation)
- DB 보안 위협 요소인 추론으로부터 정보 유출을 막기 위한 기술이다.
데이터 무결성
- 데이터베이스 내에 있는 자료 값들이 정확하도록 봥하는 관리 직업
- 잘못된 갱신으로부터의 보호나 불법적인 조직에 대한 보호를 통한 정확성 유지
집합(aggregation)
- 데이터베이스의 주요 보안 문제 중, 사용자가 특정 정보에 접근할 수 있는 허가 또는 권한이 없지만 이런 정보의 구성 요소에 접근할 권한은 있을 때 발생하는 보안 문제
DB 보안 정책 고려 사항
1. 최고경영자에 의해 승인되어야 한다.
2. 모든 임직원에게 적절한 방법으로 배포되고, 모든 임직원이 자유롭게 최신 버전의 DB 보안 정책에 접근할 수 있어야 한다.
3. 모든 임직원이 그 목적과 내용을 이해해야 한다. 이를 위해 구성원들에게 적절한 수단 또는 방법을 통해 인지되고 교육 및 홍보가 이루어져야 한다.
4.. 정기 혹은 비정기적으로 검토되고 갱신되어야 한다.
5. DB 보안에 대한 명확한 방향 제시, 책임 할당, 승인사항 등의 보안 활동을 관리할 수 있는 전담 조직이 회사의 규모와 업무 특성을 반영하여 구성되고 운영되어야 한다.
뷰(View) 기반의 접근통제
- 하나 이상의 기본 테이블(BASE TABLE)로부터 유도되어 만들어지는 가상 테이블(View table)이다.
- 뷰의 내용은 실제로 존재하는 것이 아니라, 뷰에 대한 조작 요구 시마다 기본 테이블의 데이터를 이용하여 그 내용을 만들게 된다. 즉, 뷰는 실행시간에만 구체화되는 특수한 테이블이다.
- 뷰는 데이터의 논리적 독립성을 제공하며, 자료에 대한 접근제어로 보안을 제공한다.
윈도우에서 보안 조치
- 윈도우 인증모드는 Windows에 등록된 로그인 계정으로 접속하는 모드이다. 따라서, Windows에 로그인 하지 않으면 SQL Server에도 접속이 불가능하다. Windows 인증은 기본 인증이며, 다른 인증 모드보다 안전하다.
전자상거래 보안
전자지불 시스템에 이용되는 프로토콜
- 인출 프로토콜 : 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
- 지불 프로토콜 : 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
- 예치 프로토콜 : 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화폐를 은행이 결제해 주는 프로토콜이다.
이중 서명
- SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방법이다.
침해 사고 대응(디지털 포렌식)
디지털 포렌식의 기본원칙
- 정당성 : 디지털 증거자료는 적법한 절차를 거쳐 획득
- 재현성 : 피해 당시와 동일 조건에서 현장 검출 시 동일 결과 도출
- 신속성 : 휘발성 정보를 신속한 조치에 의해 수집
- 연계보관성 : 디지털 증거물의 획득, 이송, 분석, 보관, 법정 제출의 각 단계를 담당하는 책임자 명시
- 무결성 : 획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명