기술과 일상

Snort : 대표적인 공개용 침입탐지 도구, 다양한 OS에서 사용 가능 Snort 로그를 중앙 syslog 서버로 전송하도록 설정하는 시나리오 1. snort 설치 : rpm을 이용하여 Snort에 사용되는 라이브러리 패키지와 Snort 설치 # rpm -ivh snort-2.4.3-******.rpm 2. snort.conf를 수정하여 원격 서버로 로그 전송되도록 설정 # vi /etc/snort/snort.conf output alert_syslog: LOG_AUTH LOG_ALERT => ALERT 로그를 syslog로 전송하도록 설정 3. syslog.conf를 수정 # vi /etc/syslog.conf auth.alert @192.168.n.n => 원격 syslog 서버의 IP 주소 입력 ..

[Tech] 국가기술자격증/정보보안기사 2020. 8. 18. 15:15

- SSL(Secure Socket Layer) : TCP/IP 상에서 웹 브라우저와 웹 서버간 안전하게 데이터를 주고 받기 위하여 전자상거래 등의 보안을 위해 개발된 암호화 통신 프로토콜 특징 : 공개키 기반 인증방식(RSA 암호화, X509 인증서 사용) https:// 시작 연결주소 443 포트, 전송~응용 계층에서 동작 여러 알고리즘 지원하고 실행과정에서 이들을 선택하여 사용 핸드쉐이크 통신 1. Client Hello (클라이언트->서버) 지원하는 Cipher Suite=>Chiper Spec(암호화 방법) 목록, Client Nonce(임시값), SSL 버전, 세션 ID 등을 전송함 Nonce(임시 Random Number)를 사용하여 Replay Attack 방지 2. Server Hello..

[Tech] 국가기술자격증/정보보안기사 2020. 8. 18. 14:32

숙주가 없으면 독립형 / 숙주가 있으면 종속형 멀버타이징 : 악성코드(Malware)와 광고(Advertising)의 합성어로 '악성 광고'라는 뜻을 갖고 있습니다. 웹사이트보다 상대적으로 보안이 취약한 '광고서버'를 해킹하여 불특정다수의 사용자를 대상으로 행해지는 공격기법 (애드웨어는 악성 프로그램 종류, 멀버타이징은 악성코드 감염방식) Logic Bomb : 특정 조건에 감염되도록 랜섬웨어 : 파일이나 시스템 암호화하고 금전 요구 랜섬웹 : 악성프로그램은 웹서버에 저장되어있는 데이터베이스(DB)를 암호화하기에 서버에 접속하는 사용자에게 정상적인 서비스를 제공하기 어려움 등등

[Tech] 국가기술자격증/정보보안기사 2020. 8. 18. 11:50

- IPC$ (Inter Processing Communication) : 원격 서버 관리에 사용 - Null Session : 원격 접속 시 패스워드를 Null로 설정하여 접속하는 취약점 - cmd에서 net share 명령어로 확인 가능 그래서 "주요정보통신 기반 시설 기술적 취약점 분석평가 가이드"에서 윈도우 서버 부분 확인하면 "불필요한 기본공유 제거" 라는 항목이 존재함 (UAC 통해) 관리자 권한으로 실행한 cmd 창에서 net share ***$ /delete 하면, 제거 가능 (일시적) 영구적 제거를 위해서는 레지스트리 편집 필요 (HKLM의 AutoShareServer 값을 0, RestrictAnonymous 값을 1로) HKEY_LOCAL_MACHINE 등 레지스트리 관련 설명은 별도..

[Tech] 국가기술자격증/정보보안기사 2020. 8. 18. 10:05

- FTP(File Transfer Protocol) : 서버와 클라이언트 사이 파일 송수신을 지원하는 프로토콜 Active 모드 : 클라이언트에서 자신의 데이터 Port 주소를 결정 서버의 포트는 데이터(20), 명령제어(21) Passive 모드 : 서버에서 자신의 데이터 Port 주소를 결정 서버의 포트는 데이터(1024 이후 비특권 포트 사용), 명령제어(21) FTP는 UDP(비연결형)가 아닌 TCP(연결형)통신 기반 암호화를 지원하는 FTP는 sFTP로 22 포트 사용 클라이언트가 방화벽 뒤에 있으면 Active의 경우 데이터 통신을 "서버->클라이언트" 라 방화벽 정책 허용없이는 접속이 안됩니다. 반면, Passive의 경우 데이터 통신을 "클라이언트->서버" 라 접속이 가능합니다.(Outb..

[Tech] 국가기술자격증/정보보안기사 2020. 8. 16. 15:06

교재 문제와 아래 문제 모두 참고하세요. 하루 내에 같은 파일이 여러번 호출되는 것은 정상 하루가 아닌 짧은 시간동안 같은 파일이 여러번 호출되었을 경우 분석 PUT 메소드는 파일 업로드 취약점에 악용 가능하여 분석 필요함 (웹 서비스에서 불필요 메소드는 허용하지 않는 것이 좋음)

[Tech] 국가기술자격증/정보보안기사 2020. 8. 16. 14:42

교재에 답이 잘못 나와 있습니다. 아래 문제를 참고 하세요. - 크리덴셜 스터핑 - 포인트 패스워드 크래킹 : 패스워드를 알아내는 공격을 총칭 무작위 대입 공격(Brute Force Attack) : 특정 암호를 풀기 위해 가능한 모든 값을 대입하는 공격 크리덴셜 스터핑 : 공격자가 미리 확보 해놓은 자격증명(ID, PW)을 다른 사이트에 무작위 대입하여 공격 사전 대입 공격(Dictionary Attack) : 패스워드로 자주 사용될만 한 조합을 미리 사전파일로 만든 뒤 그 것을 활용하여 하나씩 대입해보는 공격 레인보우 테이블 공격(Rainbow Table Attack) : 미리 생성한 레인보우 테이블에서 해시 값을 검색해서 역으로 패스워드를 찾는 공격, MD5 가 쉽게 복호화 될 수 있음을 확인한 해..

[Tech] 국가기술자격증/정보보안기사 2020. 8. 16. 14:01

- ARP Redirect : 호스트 - 라우터 공격 - ARP Spoofing : 호스트 - 호스트 공격 - ARP 캐시 포이즈닝(ARP Cache Poisoning) : ARP 스푸핑 공격을 위해 ARP 캐시 테이블의 내용을 몰래 변경하는 작업 - 참고 자료 Switch Jamming : 스위치의 MAC 주소 버퍼 오버플로우를 일으켜 스위치가 허브처럼 동작 (스위치는 Fail Open을 따른 장치이므로 문제가 생기면 패킷을 연결된 모든 노드에게 전달) @ 그림 참조 [보안위협] 스니핑과 스푸핑(ARP Redirect와 ARP Spoofing) 스니핑(Sniffing)과 스누핑(Snoofing), 스푸핑(Spoofing)은 참 비슷하면서도 다른 용어이다. 우선 스니... blog.naver.com

[Tech] 국가기술자격증/정보보안기사 2020. 8. 16. 01:27