[Section 07] 어플리케이션 기본 학습 (315~ 332pg)

 [01 DNS] 

 (1) DNS 구조 

용어 정리

• Recursive/Cache 네임서버/DNS 서버
  • Recursive는 재귀적이라는 뜻으로 동일한 작업을 조건이 만족될 때까지 반복적으로 처리한다는 의미아다.
  • 관리하는/위임받은 도메인 없이 사용자 호스트로부터 질의가 들어오며 자신의 캐시에 저장된 정보 또는 반복적 질의를 통해 그 결과를 사용자 호스트에 응답해주는 네임서버를 말한다.
  • 일반적으로 ISP 업체가 제공해주는 DNS 서버가 해당된다.
• Authoritative 네임서버/DNS 서버
  • Authoritative는 권한있는 이라는 뜻으로 관리하는/위임받은 도메인을 가지고 있는 네임서버를 말한다. 즉 특정 도메인에 대한 정보를 관리하면서 해당 도메인에 대한 질의에만 응답해주는 네임서버를 말한다.
  • 네임서버가 관리하는 도메인 영역을 존이라 하고 관리 도메인에 대한 정보를 담고 있는 파일을 존 파일이라 한다. 네임서버는 존 파일을 읽어들여 존 데이터를 구성하고 이를 이용하여 질의에 응답한다.
  • 각 회사/사이트별로 자신의 도메인을 관리하는 DNS 서버가 해당된다.
• 재귀적 질의
  • 사용자 호스트가 Recursive 네임서버로 질의할 때 사용되는 방식으로 Recursive 네임서버로 대상 도메인의 리소스 레코드 정보를 조회해서 응답해 달라는 질의를 의미한다.
  • Recursive 네임서버는 자신의 캐시 데이터를 조회한 후 데이터가 있으면 사용자 호스트로 그 결과를 반환하고 데이터가 없으면 최상위 Root 네임서버로부터 질의 대상 도메인 네임서버까지 반복적 질의를 수행한 후 그 결과를 사용자 호스트에 반환한다.
• 반복적 질의
  • Recursive 네임서버가 도메인을 관리하는 각 네임서버로 질의할 때 사용하는 방식이다.
  • 최상위 Root 네임서버부터 계층구조에 따라 대상 도메인 네임서버까지 각 네이머서버가 응답하는 위임된 네임서버 정보에 따라 순차적으로 반복하여 진행하는 질의를 의미한다.

로컬 인증

• 윈도우 부팅 후 로그인창에서 아이디와 패스워드를 입력하면 LSA 서브 시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리

원격(도메인) 인증

1. 윈도우 부팅 후 로그인 창에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 로컬 인증용인지 도메인 인증용인지 확인하고 커버로스 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청
2.  도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.

SAM 파일 접근 통제 설정

• SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적절한 접근 통제가 필요
• 공격자로부터 SAM 파일에 대한 패스워드 공격 시도에 따른 정보 노출의 위험이 있음
• system32-config 보안설정에서 Administrators 및 system 그룹 외에는 SAM 팡리에 대한 접근을 제한해야 함

 (2) 윈도우 보안 식별자(SID) 

개요

• 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호
• 사용자가 로그인을 수행하면 접근 토큰(엑세스 토큰)이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 식별자(SID) 정보가 담겨있다.
• SAM 파일에 정보가 담겨있다.

SID 구조

• 500: 관리자 식별자
• 501: 게스트 식별자
• 1000 이상: 일반 사용자 식별자
• 윈도우 관리명령 콘솔을 통해 확인 가능

 (3) 윈도우 인증 구조 

개요

• 윈도우는 "Challenge & Response" 방식의 인증 구조를 사용한다.
• 각 단계별 동작방식은 다음과 같다.
  1. 인증 요청
  2. Challenge값 생성 및 전송 : 인증 요청을 받은 서버는 특정 규칙 또는 랜덤한 Challenge 값을 생성하여 사용자에게 전달
  3. Response값 생성 및 전송 : 사용자는