s0n9h2

[01 가상 사설망 (VPN: Virtual Private Network)] 개요 가상 사설망이란 인터넷과 같은 공중망을 이용하여 사설망이 요구하는 서비스를 제공할 수 있도록 구축한 망으로 공중망 내에서 마치 단일 회사만 사용하는 전용선처럼 사용하는 기술을 말한다. 공중망을 공유하기 때문에 낮은 비용으로 전용선과 같은 수준의 서비스를 제공하므로 많은 기업에서 사용하고 있다. VPN은 터널링 프로토콜과 보안과정을 거쳐 내부 기밀을 유지하여 보안성이 우수하고 외부로부터 안전하도록 주소 및 라우터 체계의 비공개와 데이터 암호화, 사용자 인증, 사용자 액세스 권한 및 제한의 기능을 제공한다. VPN 프로토콜 종류 PPTP(Point to Point Tunneel Protocol) 지원계층 : 2계층 특징 마이크..

[15 무선랜(Wireless LAN) 보안] (1) 무선랜 개요 무선랜에 대한 기술 표준은 국제표준기구인 IEEE에서 802.11 계열 표준으로 규정하고 있으며 무선랜 관련 장비들은 이 표준을 준수하고 있다. 무선랜 활성화를 위해 설립된 와이파이연합에서 무선 제품에 대한 기술 인증을 수행하고 인증에 통과한 제품에 대해 wifi 인증마크를 부여하고 있다. 따라서 무선랜과 와이파이 용어가 혼용되어 사용되고 있다. 무선랜은 기존 유선랜의 확장 개념에서 가정 또는 일반 사무실 환경에서 사용되는 경우가 대부분이다. 기존 유선랜에 무선 AP를 연결한 후 클라이언트에 무선 랜카드를 장착하여 접속하는 형태로 구성되어 있다. (2) 무선랜 환경 및 보안 취약점 무선랜 환경 무선랜은 구축 주체, 관리 주체, 이용 주체 ..

[13 분산 서비스 거부 (DDoS : Distibuted Denial of Service) 공격] 개요 분산 서비스 거부(DDoS) 공격은 분산된 다수의 좀비 PC/디바이스(악성 봇)에 의해 공격대상 시스템의 서비스를 마비시키는 공격 형태를 의미한다. 일반적인 공격 구조를 살펴보면 다음과 같이 크게 4가지 구성 요소로 이루어져있다. 공격자 : C&C 서버에 공격 명령을 전달하는 해커의 컴퓨터를 말한다. 봇 마스터라고도 한다. 명령제어(C&C) 서버 : 공격자로부터 직접 공격 명령을 전달받는 시스템을 말하며 전달받은 명령은 관리하는 다수의 좀비 PC/디바이스에게 전달한다. 마스터 또는 C2 서버라고도 한다. 좀비 PC/디바이스 : C&C 서버로부터 전달받은 명령을 실행하여 공격대상에 실제 공격을 수행하는..

[11 포트 스캐닝] (1) 개요 포트 스캐닝은 공격자가 침입 전 대상 호스트에 어떤 포트(서비스)가 활성화되어 있는지 확인하는 기법으로 침입 전 취약점을 분석하기 위한 사전 작업 중 하나이다. 포트 스캐닝을 통해 대상 호스트의 동작 여부와 제공하는 서비스 등을 확인할 수 있다. 일반적으로 포트 스캐닝을 수행하기 위한 포트 스캐너로 nmap을 많이 사용한다. (2) nmap 포트 스캐너 사용법 (3) TCP Connect(Open) 스캔 개요 일반 사용자 권한으로 TCP 포트 오픈 여부를 확인하기 위해 connect 시스템 호출을 이용하는 방식으로 스캔 대상 포트별로 정상적인 TCP 연결 설정을 수행하여 스캔하는 방식이다. TCP 등 프로토콜 패킷 자체를 사용자가 직접 조작하여 생성하기 위해서는 관리자 ..

[07 ICMP 프로토콜] 개요 3계층의 IP프로토콜은 신뢰할 수 없는 프로토콜이다. 즉 전송상태에 대한 관리가 이루어지지 않는다. 이러한 IP 프로토콜의 단점을 보완하기 위한 프로토콜이 ICMP 프로토콜이다. IP 패킷 전송 중 에러 발생 시 에러 발생 원인을 알려주거나 네트워크 상태를 진단해주는 기능을 제공해준다. Error-Reporting Message 기능 : 전송 중 오류 발생 시 에러 메시지를 생성하여 응답 Query Message 기능 : 네트워크 상태를 진단하기 위한 쿼리 요청 및 응답메시지 생성 ICMP 메시지는 메시지의 유형을 의미하는 Type 필드와 유형별 세부내용을 담고 있는 Code 필드로 구성이 된다. ICMP 프로토콜 구조 Type : ICMP 메시지의 유형/용도 Code :..

[01 프로토콜] [02 OSI 7Layer] ========================작성한 것 날아감========================= Transport Layer(전송 계층, L4) 개요 End-To-End Reliable Delivery, 종단 노드 간의 신뢰성 있는 데이터 전송을 담당하는 게층이다. 좀더 구체적으로 말하면 각 End 노드의 해당 process 간 신뢰성 있는 데이터 전송을 담당하는 계층이다. 목적지 노드를 찾아가기 위해서는 Process를 식별하기 위한 논리적인 주소가 필요하며 TCP/IP 프로토콜에서는 Port Address가 이 역할을 수행한다. 전송계층의 데이터 단위를 세그먼트라고 한다. 대표적 프로토콜로 TCP/IP의 TCP, UDP, SCTP와 Novel N..

[01 계정 관리] (1) Administrator 계정 이름 변경 개요 관리자 계정은 컴퓨터 전체에 대한 모든 권한을 가진 계정이므로 특별한 관리자 필요 기본 관리자 계정명인 Administrator를 그대로 사용할 경우 악의적인 공격자에 의해 패스워드 무차별 공격에 취약할 수 있다. 따라서 쉽게 유추하기 어려운 관리자 계정명으로 변경할 것을 권장 윈도우 관리자 계정의 경우 로그온 실패 횟수에 제한이 없는 특징이 있다. (2) Guest 계정 사용 제한 개요 Guest 계정은 소프트웨어나 하드웨어 설치, 설정 변경, 암호 만들기 등을 할 수 없고 외부 사용자가 컴퓨터를 잠시 접근할 수 있는 계정이다. Guest 계정은 불특정 사용자의 시스템 접근을 허용하는 ㅜ치약한 계정으로 사용 제한을 권장하며 불특정..

[01 계정 관리] (1) root 이외의 UID는 0 금지 개요 root와 동일한 UID를 가진 계정 존재 시 root 권한으로 시스템 접근이 가능하므로 root의 UID를 가진 계정이 존재하지 않도록 확인 보안설정 /etc/passwd 파일 내 UID 확인 root 이외의 계정이 UID=0인 경우 확인하고 변경하거나 계정 삭제 UID 변경 SOLARIS, LINUX, HP-UX : usermod 명령으로 UID가 0인 일반 계쩡의 UID 변경 ex) usermod -u 2016 algisa AIX : chuser 명령으로 UID가 0인 일반 계정의 UID를 100 이상 설정 ex) chuser id=2016 algisa (2) 패스워드 복잡성 설정 개요 사용자 계정(root 및 일반 계정 모두 해당)..

[05 시스템 해킹] 버퍼 오버플로우 공격 개요 버퍼 오버플로우는 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다. 버퍼 오버플로우가 발생하게 되면 프로그램의 오작동을 유발시키거나, 악의적인 코드를 실행시킴으로써 공격자 프로그램을 통제할 수 있는 권한을 획득하게 된다. 버퍼 오버플로운에는 스택 버퍼 오버플로우와 힙 버퍼 오버플로우가 있다. 스택 버퍼 오버플로우 : 스택은 함수 처리를 위해 지역변수 및 매개변수가 위치하는 메로리 영역을 말한다. 스택에 할당된 버퍼들이 문자열 계산등에 의해 정의된 버퍼의 한계치를 넘는 경우 버퍼 오버플로우가 발생하여 복귀 주소를 변경하고 공격자가 원하는 임의의 코드를 실행한다. 힙 버퍼 오버플로우 : 힙은..

(4) 시스템 로그 설정과 관리 개요 유닉스/리눅스 로그가 저장되는 경로는 시스템마다 조금씩 다르다. 일반적으로 유닉스의 경우 /var/adm 디렉터리에 주로 저장되며 리눅스의 경우 /var/log 디렉터리에 주로 저장된다. 리눅스에서는 /var/log 디렉터리에 시스템의 모든 로그를 기록 및 관리하고 있다. 시스템의 /etc/syslog.conf 파일에서 시스템 로그 파일들의 위치를 지정하고 있다. 서버에는 여러 개의 로그 파일이 있으며 이들 로그를 남기는 데몬들 또한 다양하다. 시스템로그데몬(syslogd), 메일데몬(sendmail 등), 웹데몬(httpd), 네임서버데몬(named), 슈퍼데몬(xinetd) 등 매우 다양하다. 유닉스/리눅스 주요 로그 파일 utmp(x) 로그파일(리눅스/유닉스) ..

[04 UNIX/Linux 서버 보안] (1) 시스템 보안 사용자의 패스워드 관리 개요 패스워드 저장 정책에는 passwd 파일 내 계정 정보와 함께 저장되는 일반 패스워드 정책과 shadow 파일에 패스워드를 별도로 저장하는 shadow 패스워드 정책이 있다. shadow 파일은 root만이 접근할 수 있도록 제한한다. /etc/passwd 파일 home_directory: 홈디렉터리, 로그인에 성공한 후에 사용자가 위치할 홈디렉터리로 관리자 계정은 root 디렉터리를 사용하며 일반 사용자는 /home 디렉터리 하위에 위치한다. login_shell : 로그인 쉘, 리눅스의 경우 기본 쉘로 bash쉘을 사용한다. 로그인이 불필요한 계정에 대해서는 로그인을 금지하는 것이 보안상 안전하다. 해당 계정의 로..

[03 UNIX/Linux 시스템 관리] (1) 시스템 시작과 종료 부팅 관련 용어 정리 런 레벨 1. 시스템에서 런 레벨의 의미는 시스템의 운영 상태를 숫자 혹은 문자로 표현한 것이다. 2. init 프로세스는 /etc/inittab 파일에 정의된 런 레벨에 따라 /etc/rc.d/rc[x].d 디렉터리에 나열된 스크립트를 실행하여 시스템의 운영 상태를 구성한다. 3. x에 들어가는 런 레벨이고 주로 사용하는 3, 5가 의미하는 것은 다음과 같다. - 3 : 멀티 유저 모드, 유닉스 기본 런 레벨 - 5 : 시스템 power off 모드 4. 서버용 유닉스 시스템은 일반적으로 3 또는 5의 런 레벨로 운영된다. 현재 운영중인 시스템의 런 레벨을 알고 싶은 경우, who -r 또는 runlevel 명령어..

[01 윈도우 기본 학습] (1) 윈도우 인증 과정 윈도우 인증 구성 요소 LSA : 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 저근 권한을 검사(로컬 및 원격 로그인 포함) SAM : 사용자/그룹 계정 정보에 대한 데이터베이스를 관리, 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정 SRM : 인증된 사용자에게 SID를 부여하고 이를 기반으로 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정, 감사 메시지 생성 로컬 인증 윈도우 부팅 후 로그인창에서 아이디와 패스워드를 입력하면 LSA 서브 시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리 원격(도메인) 인증 윈도우 부팅 후 로그인 창에서 아이디와..