이상향

○ 무결성 점검도구(tripwire) 1. 데이터베이스 초기화 : tripwire -init 2. DB 파일 생성 확인 : /var/lib/tripwire/호스트명.twd 3. tripwire 실행 : tripwire -check 4. 결과 리포트 확인하기 ○ 침입차단 시스템(iptables) - 패킷 필터링 기능을 가지고 있는 리눅스 커널에 내장된 rule 기반의 패킷 필터링 기능 제공 - 상태추적 기능 제공 - NAT 기능 제공 - -j ACCEPT : 해당 패킷을 허용한다 - -j DROP : 해당 패킷을 차단한 후 아무런 응답 메시지도 전송하지 않는다 - -j REJECT : 해당 패킷을 차단한 후 ICMP 에러 메시지로 응답한다 - -j LOG : 탐지 로그를 남긴다. 일반적으로 "/var/lo..

○ 침입탐지 시스템(snort) - 1998년 마틴 로시에 의해 처음 개발, Snort라는 단어는 "Sniffer and More"에서 유래 - 주요기능 : 패킷 스니퍼, 패킷 로거, 네트워크 IDS ○ snort rule 설정 - snort 룰/시그니처는 크게 헤더(Header) 부분과 바디(Body) 부분으로 구성되어 있다. - 헤더 부분은 처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준을 명시한다. - 바디 부분은 패킷을 탐지하기 위한 규칙을 명시한다. ○ 룰 헤더(Header) 설정 - Rule Action : 총 8가지 유형의 처리방식 지정 - Protocols : 탐지할 프로토콜(4가지, TCP/UDP/ICMP/IP) - IP Address : 출발지/목적지 IP - ..

○ CVE : 동일한 취약성에 대하여 명칭을 표준화한 목록(CVE-해당년도-취약점 번호) ○ DNS Cache Poisoning 공격 - 취약한 DNS 서버에 조작된 쿼리를 전송하여 DNS서버가 저장하고 있는 주소정보를 임시적으로 변조하는 공격 - DNS 서버의 캐시정보를 공격자가 위조하여 사용자가 DNS 질의 시 캐시의 위조된 정보를 받아 공격자가 만들어 놓은 위조사이트로 접속하도록 만드는 공격기법 ○ DNS 질의 순서 1. 로컬시스템에 저장된 DNS 캐시 정보 2. hosts.ics 파일 3. hosts 파일 4. DNS 서버 질의 ○ DNS 레코드 타입 - SOA(Start of Authority) : 관리 도메인 전체 영역에 영향을 미치는 파라미터를 정의한다. - A(Address) : 해당 호스..

○ DNS 증폭공격 - IP 스푸핑 공격기법, 출발지 IP를 희생자 IP로 위조한 후 다수의 DNS 쿼리를 발생시킨다. - 출발지 IP를 희생자의 IP로 위조하여 다수의 DNS 쿼리에 대한 응답이 희생자 쪽으로 향하도록 함 - any type 또는 txt type이 사용된다. - 질의 요청 대비 응답이 매우 크기 때문에 증폭 반사공격을 효과적으로 할 수 있다. ○ SYN Flooding 공격 - TCP의 3-way handshake 약점을 이용하는 공격으로 소스 IP를 존재하지 않는 IP주소로 위조하여 대량의 SYN 패킷을 발송하여 해당 시스템의 백로그 큐를 가득 채워 서비스 거부를 하도록 하는 공격 - 동작방식 : 백 로그 큐는 TCP 클라이언트의 연결요청을 담아두기 위한 큐를 의미한다. 큐는 제한된 ..

○ netstat 옵션 - -a : 모든 소켓 정보 출력 - -p : 지정한 프로토콜 연결 표시 - -n : 네트워크 주소를 숫자로 표시 - -e : 이더넷의 통계 표시 - -r : 라우팅 정보 출력 - -i : 네트워크 인터페이스에 대한 정보 출력 - -s : 각 네트워크 프로토콜(IP, TCP, UDP, ICMP)에 대한 통계정보 출력 ○ VPN 계층별 터널링 프로토콜 - 2계층 : PPTP, L2TP, L2F - 3계층 : IPSec(Transport Mode, Tunnel Mode) ○ 라우터의 no ip unreachables 설정 - 개념 : 송신할 수 없는 패킷이 나타나면 라우터는 최초출발지로 ICMP Unreachable 메시지를 보내게 된다. - 보안관점 : DoS 공격으로 이용당할 수 ..

○ IP 스푸핑(IP Spoofing) - 트러스트 관계가 맺어져 있는 서버와 클라이언트를 확인한 후 클라이언트에 DoS 공격을 하여 연결을 끊는다. 그리고 공격자가 클라이언트의 IP주소를 확보하여 서버에 실제 클라이언트처럼 패스워드 없이 접근하는 공격이다. - 트러스트 관계를 쓰지 않는 것이 최상의 대책이다. 트러스트 관계는 신뢰관계에 있는 시스템간에 별도의 로그인 없이 IP 기반의 인증을 수행하고 접속하는 방식을 말한다. ○ TCP 세션 하이재킹 공격 - TCP의 세션 관리 취약점을 이용한 공격, TCP의 세션 식별정보를 공격자가 위조하여 세션을 탈취하는 방식으로 공격자는 정상적인 사용자의 출발지 IP와 Port로 위조하고 SN을 예측하여 탈취하게 된다. - TCP 신뢰성 기반으로 한 연결을 이용한 ..

○ 데이터링크 계층 : MAC(48비트, 상위-벤더코드, 하위-벤더 내 할당코드) - 회선제어 : 복수의 통신 회선 사이에서 데이터의 상호 전송 제어 - 흐름제어 : 통신 당사자 간의 데이터 흐름을 규제 - 오류제어 : 전송 도중 발생한 부호 오류를 검출, 순방향오류정정, 자동 재전송 요구(ARQ) ○ 네트워크 계층 : 경로선택 및 라우팅 기능 - VLAN : 포트기반, MAC기반, 네트워크기반, 프로토콜기반 구성 - 태깅(Tagging) : 어떤 VLAN에 소속되는지 다른 스위치에게 알리는 기능 - ARP(IP->MAC), ARP Spoofing(MAC 주소 속이느 공격), 스위치환경에서의 스니핑 공격(스위치 재밍) - NAT : 12개의 서브넷 ID를 원할 경우 255.255.255.240 - IPv..

○ 로그 - lastlog -u algisa #algisa라는 ID를 가진 사용자의 최근 로그인 기록 추적 - lastlog -t 5 #현재로부터 5일 이내에 접근한 로그인 기록 추적 - last reboot #wtmp 파일에 저장된 정보 중 시스템 재부팅 기록 추적 - lastb #btmp 파일에 저장된 로그인 실패 기록 추적 ○ 윈도우 인증과정 구성요소 - LSA(Local Security Authority) : 시스템 자원에 대한 접근권한 검사 - SAM(Security Account Manager) : 사용자/그룹 계정정보에 대한 DB 관리 - SRM(Security Reference Monitor) : 인증된 사용자에게 SID(Security ID) 부여 ○ SID 구조 - Administrat..

○ utmp, wtmp, acct/pacct - utmp(x) : 시스템에 현재 로그인한 사용자들 상태 - w, who 명령 - wtmp(x) : 사용자가 로그인 또는 로그아웃할 때 기록 - last 명령 - acct/pacct : 사용자들에 의해 실행된 모든 명령 기록 - lastcomm 명령 ○ tail -f /var/log/secure : tail 명령을 이용해 secure 로그를 실시간 모니터링 ○ lastlog, btmp, xferlog - /var/log/lastlog : 각 사용자들이 가장 최근에 로그인한 기록을 담고 있는 파일, lastlog 명령어 - /var/log/btmp : 실패한 로그인 시도(유닉스의 경우 /var/log/loginlog) - /var/log/xferlog : FT..

○ Windows Server OS 사용자 계정관리방식 - 워크그룹방식 : 액티브 디렉토리 DB - 도메인 방식 : %SystemRoot%\System32\config\SAM에 저장 ○ 이벤트뷰어, 보안로그 - 보안로그 : Login Success/Fail, Network Login - 시스템로그 : System Start/Halt, RDP Connection - 응용프로그램 로그 : Add/Del Member in group, Application Error ○ 윈도우 감사정책 - 시스템 이벤트 정책, 계정 로그온 이벤트 정책, 프로세스 추적 정책 ○ 참조모니터 : 접근통제모델에서 정보를 사용하는 주체가 객체에 접근하는 규칙을 통제하고 감시하는 것 ○ 쉘 : 사용자와 커널이 대화하는 인터페이스 기능 제..