오답노트 및 메모 ~292

침입차단시스템

최신 네트워크 동향

이메일 보안

-

 

242.
상태기반 감시 Stateful Inspection
- 방화벽에 설정된 보안 정책에 의해 허가된 세션들에 대한 정보를 별도 관리한다
- 전달된 패킷이 허가된 세션인지 검사
- TCP, UDP, ICMP 등을 지원한다
- 패킷 헤더에 포함된 출발지/목적지 IP, 프로토콜, 포트 등의 항목 조사
- 모든 통신 채널을 추적하는 상태 테이블을 관리

+ 세션 하이재킹(적극적 공격) 탐지/방지

 

243.
상태저장 패킷조사 방식 방화벽
- TCP 연결이나 UDP 통신에 대해 상태정보를 관리하고 이용하여 패킷 필터링 방어에 비해 보안성이 높다
- 네트워크, 전송 계층 헤더 정보를 분석하여 방화벽 기능을 주로 수행. 일부 제품은 응용 데이터 부분 검사도 한다
- ACK 스캔과 같은 공격에도 대응할 수 있다
- 프록시 기능을 수행하지 않는 특징으로 응용 게이트웨이 방식 방화벽에 비해 보안성은 낮고 성능은 높다

244.
침입차단 시스템
- 패킷 필터링 : 패킷 헤더 및 TCP/UDP 세그먼트 헤더의 정보와 이미 정의된 보안정책을 비교한다, 패킷을 독립적으로 검사한다.
- 상태기반 패킷검사 방식 : 보안정책에 의해 연결된 허가된 트래픽에 속하는지 점검한다
- 응용 게이트웨어 방식 : 응용 계층의 데이터 내용에 대한 검사 기능 수행, 사용자 인증, 암호화 등의 부가기능 수행
- DMZ : 외부 네트워크와 내부 네트워크 사이에 침입차단 시스템을 사용하여 형성하는 서브 네트워크. 외부에 공개되는 웹, 메일 등 주요 서버가 DMZ에 설치 (단, DB 서버는 해당하지 않는다. 내부 네트워크에 위치해야 한다)

 

+ 투명성 : 3-4계층 등 응용 계층(사용자) 아래쪽에서 사용자 모르게 진행될 때 보장한다

 

245.
방화벽
- 패킷 필터링 : 패킷 헤더에 포함된 IP 주소와 TCP/UDP 헤터에 포함된 포트 정보를 기반으로 트래픽 차단. 사용자인증기능X
- 애플리케이션 게이트웨이 : 패킷 내부 악성코드 조사 가능, 사용자인증O, 서비스별로 프락시 필요
- 상태저장 패킷조사 : TCP 연결 상태에 대한 정보를 별도로 관리하여 패킷 필터링 방식에 비해 보안성이 높다
- 서킷 게이트웨이 : 하나의 프락시로 모든 서비스를 제공하지만 클라이언트 수정이 필요한 경우도 존재한다

 

246.
응용 게이트웨이 방식 방화벽
- 외부 네트워크에 연결된 컴퓨터는 내부 네트워크에 연결된 컴퓨터에 직접 연결되지 않는다. 프락시를 통해서 연결된다.
- 서비스별로 개별적인 프락시를 통해 처리한다
- 응용 계층에서 처리하는 데이터에 대한 점검 기능 수행
- 패킷 필터링보다 보안 서비스가 우수
- 프락시를 통해 2개의 서로 다른 연결이 설정되어, 외부 네트워크에 연결된 사용자들에게 내부 네트워크 정보를 숨긴다

 

247.
듀얼홈드 게이트웨이 + 스크린 라우터
=> 스크린 호스트 게이트웨이 (2단계 방화벽)

 

외부 네트워크 <-> 스크린 라우터 <-> 배스천 호스트 -> 내부 네트워크

                                                  (시스템 인증, 사용자 인증 제공)

 

248.
VPN 터널링 기술과 프로토콜
- 터널링 기술 : VPN의 기본이 되는 기술, 터미널이 형성되는 양쪽 호스트 사이에 전송되는 패킷을 추가 헤더값으로 캡슐화한다
- L2TP 터널링 : 2계층 터널링 기술. 데이터링크 상위에서 L2TP 헤더를 붙인다
- IPSec 터널링 : 3계층 터널링이므로 IPSec 헤더를 붙인다
- 가상사설망VPN 구현에 사용되는 터널링 프로토콜 : PPTP, L2TP, IPSec, SOCKS VS(세션 레이어 프록시 프로토콜) 등
- IPSec : 패킷 인증 & 패킷 암호화 (사용자인증X)

+ 방화벽 : 접근제어, 로깅 및 감시추적, 인증, 암호화
+ VPN : 접근제어, 터널링, 인증, 암호화

+ 2계층 : PPTP, L2TP
+ 3계층 : IPSec, GRE
+ 기타 : SSL/TLS, SSH, SOCK V5

 

249.

Ethernet H

New IP H

AH H

IP H

TCP/UDP H

Data

=> AH 프로토콜의 터널모드

( * 터널모드 특징 : New IP )

Ethernet H

IP H

ESP H

TCP/UDP H

Data

ESP Trailer

Esp Authentication

=> ESP 프로토콜의 전송모드

 

250.
IPSec을 이용한 VPN
- AH 프로토콜은 메시지 무결성, 메시지 출처 인증, 재사용 공격 방지 기능 수행
- ESP 프로토콜의 터널 모드에서는 출발지, 목적지 IP 주소가 모두 암호화되고 새로운 출발지, 목적지 IP 주소가 생성되어 이용된다
- IKE : 인증과 데이터암호를 위한 키 관리 메커니즘
- 보안연관SA : 두 통신 당사자 사이에서 각각 하나씩, 두 개가 생성되어 운영된다

+ 재전송 공격 방지 : 타임스탬프, 커버로스, SSL/TLS

+ SA : 보안매개변수 집합을 정의(알고리즘 식별자, 모드, 키 등), 단방향

251.
IPSec을 이용한 VPN
- ESP 프로토콜 전송모드 : 메시지 무결성, 메시지 출처 인증, 재사용 공격 방지, 암호화 기능
- AH 프로토콜 터널모드 : 새로운 IP 헤더가 생성됨 (암호화X)
- 키 관리 메커니즘 : SKIP, IKE
- SA : 네트워크간에 각각 하나씩, 총 두개가 생성되어 운영된다

 

252.
IPSec 보안 프로토콜
- ESP 프로토콜 : 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스 지원
- 터널모드: 새로운 IP 헤더가 추가되는 동작모드

 

253.
SSL과 IPSec
- IPSec : 주로 LAN과 LAN을 연결할 때 사용, 응용 계층에서 제어 불가능, SSL보다 전송속도가 빠르다
- SSL : 원격 사용자가 LAN에 연결할 때 사용, 클라이언트 접속시 응용계층에서 제어 가능, IPSec보다 설치 및 운영하기 쉽다

+ Site to Site : LAN과 LAN을 연결한다는 의미 (대규모 트래픽)

 

254.
MPLS VPN (멀티 레이블 스위칭)
- 2~3계층에서 작동
- 기존 인터넷에 그대로 적용 가능
- QoS 서비스 제공
- 레이블 부여(경계를 벗어날 때)는 LER에서만 수행한다
- 스위칭의 기준이 레이블

 

255.
ESM 통합 보안관리 솔루션
- 이벤트 종류, 서비스 및 위험도 별 다양한 분류 기능 지원. 개별 솔루션별 로그 수집 및 통합관리
- 도입시 개별 솔루션간의 호환성 및 상호 운용성 문제를 고려해야 한다
- 보안 정책 기반의 이벤트 수집 기준 제공, 이에 따라 지능적 이벤트 처리
- 개별 솔루션간의 별도 연동작업이 요구된다

 

+ 단점 : 솔루션간 별도 연동작업 필요(모듈 개발), 개별 솔루션 업그레이드시 연동작업 필요

 

256.
NAC (보안의 강제화)
- 접근제어/인증 : 네트워크의 모든 IP 기반 장치 접근제어, 내부직원 역할기반 접근제어
- PC 및 네트워크 장치 통제 : 백신 및 패치 관리
- 해킹, Worm, 유해 트래픽 탐지/차단 : 해킹행위 차단 및 완벽한 증거수집 능력

 

257.
지능형 지속 위협 공격 절차
0) 사전조사 <- 가끔 사전조사 단계가 나오기도 함
1) 침투 : 취약한 시스템 침투
2) 수집 : 침투한 내부 시스템 인프라 구조 정보 수집
3) 확산 : 내부 네트워크에 악성코드 확산
4) 유출 : 공격자 근거지로 중요 데이터 전송, 시스템 운영 방해/파괴

 

+ 사전조사>침투>탐색>수집>유출 으로 나뉘기도 함

 

258.
지능형 지속 위협 공격APT
- 이메일을 이용한 APT
- 제로데이를 이용한 APT
- 백도어를 이용한 APT

+ DOS 공격은 은밀하지 않으므로 지속성이 낮다

 

259.
Cyber Kill Chain의 단계
1. R정찰
2. W무기화
3. D전달
4. E취약점 악용
5. T설치
6. C명령 및 제어
7. A목표실행

RWDETCA 류데트카 ? 

 

260.
몸값 + 제품의 합성어 => 랜섬웨어
- 취약한 웹페이지를 클릭하거나 출처가 불분명한 이메일을 통해 감염 가능
- 랜섬웨어 예방 : 운영체제, 브라우저, 아크로뱃리더, 플래시 등의 주요 소프트웨어를 최신으로 관리
- 모바일 랜섬웨어 : 안드로이드 운영체제에서 발견, PIN 번호 변경 등
- 대표적인 랜섬웨어 : 문서를 암호화하여 돈을 요구하는 크립토락커. 화면을 잠그는 코브터

 

261.
검색엔진
- 웹캠, 프린터 등 인터넷에 연결되어 있는 기기를 찾는데 유용하다
- 악용되면 IOT 관련 보안위험으로 작용하기도 한다
=> SHODAN

 

262.
가상화폐, 암호화폐
- P2P 방식으로 분산 저장되어 운영되는 결제 시스템
- 다른 사용자에게 송금하기 위해 디지털 서명 기술 사용
- 거래가 기록되는 공개 거래 기록부인 블록 체인 기술(디지털 공동분산 원장) 사용
- 거래시 사용하는 어드레스는 쌍이되는 개인키(비트코인 지갑으로 생성)가 있다

 

263.
블록체인
- 공공거래장부. 가상화폐로 거래할 때 발생할 수 있는 해킹을 막는 기술
- 분산 데이터베이스의 한 형태
- 지속적으로 성장하는 데이터 기록 리스트로서 분산 노드의 운영자에 의한 임의 조작이 불가능
- 전자화폐 또는 전자투표의 요소 기술로 사용될 수 있다

 

+ ECDSA : 타원곡선 디지털서명 알고리즘
+ 라이트닝 네트워크 : 비트코인 네트워크의 느린 속도와 높은 전송수수료를 해결하는 확장솔루션

 

264.
Supply Chain Attack 공급망 사슬 공격
- 특정 기업, 기관 등의 개발, 공급과정에 침투하여 제품에 악의적 변조 또는 내부에 악성코드를 숨기는 행위

 

265.
FTP 서비스
- 응용계층 프로토콜, TCP 사용, 클라이언트-서버 모델로 구성
- IETF에 따라 RFC 959로 정의
- 기본적으로 액티브 모드, 패시브 모드를 지원
- 제어 연결은 21번 포트, 데이터 전송은 20번 포트 사용

 

266.
FTP 연결모드의 수동모드
- 21번과 1024번 이상 포트 사용
- PASV 명령어 사용
- 모드 사용 여부는 클라이언트가 결정
- 클라이언트는 1024번 이후 포트를 데이터 전송을 위해 사용한다

+ 능동모드Active (PORT 명령어)
제어-서버(21), 클라이언트(1024)
데이터-서버(20), 클라이언트(1024)
서버가 클라이언트에 접속

+ 수동모드 (PASV 명령어)
제어-서버(21), 클라이언트(1024)
데이터-서버(1024), 클라이언트(1024)
클라이언트가 서버에 접속

 

267.
FTP, TFTP 연관 용어
- 69/UDP (TFTP 포트)
- psssive mode (수동모드)
- anonymous (익명모드)

 

+ 슬로우리스 : Slow HTTP Header DoS ( 개행문자 )

+ RUDY : Slow HTTP POST DoS ( Content-Length )

+ Slow HTTP Read DoS ( Window-size )

 

268.
FTP 서버가 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 설계상 문제점을 이용
익명 FTP 서버를 경유하여 호스트 스캔
FTP 서버로 하여금 공격자가 원하는 곳으로 데이터 전송
네트워크 포트 스캐닝을 수행
=> FTP Bounce Attack ( PORT 명령 활용 )

 

+ TFTP를 이용한 File-Name-Transfer Attack : 인증절차가 없음

+ Active Contents Attack : 이메일보안, 스크립트 기능을 악용하여 정보 유출

 

269.
FTP Bounce 공격
- port 20, 21번으로 분리되어 있는 것을 이용하여 명령 채널(21)을 통해 파일 전송을 요청한 클라이언트와 데이터 전송채널(20)을 통해 실제 파일 전송을 수신하는 클라이언트가 분리될 수 있는 취약점을 이용한다


+ 임의의 계정으로 로그인 시도를 반복적으로 수행하여 실제 존재하는 계정의 패스워드 유추 가능 : Brute Force attack
+ FTP 로그인 시도시 출력되는 배너 정보를 통해 ftp 프로그램 종류와 버전 정보를 알아내고, 취약점 공격 코드를 사용해 root나 admin 계정 비밀번호를 알아낸다 : FTP 프로토콜 취약점

+ 익명 ftp 취약점 공격 : 인증을 요구하지 않고 모든 사용자가 같은 로그인명 사용가능. 모든 사용자에게 접속이 허용되어, 쓰기 권한이 통제되지 않으면 악성코드 업로드가 있을 수 있다

 

270.
FTP의 보안 취약점
- Port stealing : 포트를 순차적으로 증가시키기 때문에, 제어포트가x이면 데이터포트는 x+1 이므로 훔침당할 수 있다 (대응책 : 랜덤한 포트번호 사용)
- Bounce Attack : 포트번호 분리 취약점 이용
- Brute force Attack : 무차별 패스워드 대입 공격

+ Command Injection : 웹보안 관련, IIS에서 발생

 

271.
FTP 보안대책
- 익명 사용자의 루트 디렉터리 등 중요 폴더 퍼미션 관리
- root 계정의 ftp 접속 금지
- 최신 ftp 서버 프로그램 사용 및 주기적 패치

- 접근제어 설정 파일인 ftpusers 파일의 소유자는 root로 하고 접근금지 계정 등록

 

272.
이메일 전송 과정
발신자 -> MUA -> MTA -> 라우팅 -> MTA -> MDA -> MUA -> 수신자

 

- MTA : 노드간 전자 메일을 전송하는 서버 프로그램 (클라이언트-서버 방식)
- MDA : MTA가 수신한 메시지를 수신자의 우편함에 등록
- MUA : 사용자가 전자메일을 송수신할때 쓰는 프로그램

 

+ MRA : 원격 서버에 있는 우편함으로부터 사용자의 MUA로 메일을 가져오는 프로그램

( 원격 환경에서는 MDA 대신 MRA 사용 )

 

273.
SMTP
- TCP 프로토콜로 25번 포트 사용
- SMTP 자체적으로 암호화 기능을 지원하지 않음 ( 암호화 : PGP, S/MIME )
- 메일 클라이언트와 SMTP 클라이언트간 메일 전송을 위한 프로토콜
- Netscape mail Messenger 등이 SMTP 프로토콜 지원

 

상세

발신자 -> MUA -> MTA 클라이언트 -> MTA 서버 -> 메일서버 -> MTA 클라이언트 -> 라우팅 -> MTA 서버  -> 사서함(메일서버) -> MAA 서버 -> MAA 클라이언트 -> MUA -> 수신자

* 원격일 때 MAA/MRA 사용하고, 로컬이면 MDA 사용

 

+ 유닉스 : sendmail
+ pop3 : 메일 수신시 사용 (110), 아웃룩
+ imap : 메일 수신시 사용 (143)

 

+ outlook이 smtp 프로토콜이 아니라 pop3과 연관있다고 하는데 검색하면 smtp 지원하는거 같은데 뭐지 

 

274.

- SMTP : MTA간에 직접 메일 전송과 전달 과정을 제어하는 프로토콜. 25번 포트
- IMAP은 메일서버를 이용해 전자우편을 수신하고 보관하는 프로토콜
- POP3은 메일서버에 가져온 메일은 더 이상 서버에 남아있지 않다. 110번 포트 사용
- IMAP는 메일서버에서 메일을 복사하여 가져온다. 143번 포트 사용
- MTA는 메일을 전송하는 서버, MDA는 MTA에게서 받은 메일을 사용자에게 전달하는 프로그램

 

275.
SMTP 프로토콜의 EHLO 명령어
- 확장 SMTP를 사용하기 위한 클라이언트의 의사표시

 

276.
PGP
- 신뢰성 확인은 개개인의 믿음을 바탕으로 전달하는 키 관리 방식
- 공개키 링의 각 키 인증서는 믿음의 유효성과 신뢰성 등급 표현 (1 완전신뢰, 1/2 부분신뢰, 0 비신뢰)
- 개별적 획득 및 사용이 용이

- 대규모 전자 상거래에 지원하기에는 부적합하다

+ S/MIME : PKI 표준과 일치하는 키 관리 체계 (인증기관을 통함)

 

277.
PGP
- 공개키 암호방식
- 전자서명을 이용하여 송신자 인증
- 메일 내용과 첨부파일에 대해 암호화 지원
- 송신자가 세션키를 생성한다

 

278.
PGP
- 인증받은 메시지와 파일에 대한 전자서명 생성과 확인 필요
- 키 관리를 Graphic Interface로 지원
- 공개키 서버와 직접 연결되어 있어, 공개키 분배 및 취득이 쉽다
- 공개키는 최대 4096 비트까지 생성 가능, RSA와 DSS, 디피헬만-ELGamal 사용

 

279.
PGP 지원 기술
- 해싱, 데이터 압축, 공개키 암호화, 대칭키 암호화, 단편화, 호환성

 

280.
S/MIME
서명된 수령증Signed receipt
- SignedData 객체 안에 포함하도록 요구할 수 있고, 이를 통해 발신자는 자신이 보낸 메시지가 수신자에게 전송되었음을 확인할 수 있다. 수신자가 메시지를 받았음을 제3자에게 증명할 수 있다

+ 보안 레이블 : 콘텐츠의 중요성에 대한 보안 정보의 집합
+ 안전한 메일링 목록 : 복수의 수신자에게 메일 전송시 수신자별 처리
+ 서명 인증서 : 송신자의 인증서와 서명을 묶어준다

 

281.
SPF (Sender Policy Framework)
- 메일의 발신자 도메인에 대한 DNS의 txt 레코드를 참조하여 실제로 등록된 IP나 도메인에서 발송된 정상 이메일 여부를 확인하는 기술. 발신자 메일주소를 위조하는 스팸메일을 차단할 수 있다

 

+ 메일서버 등록제 : 발송자 정보의 위변조 여부파악, dns 이용

 

282.
스팸 필터 솔루션
- 메일 서버 말단에 위치하며, 프락시 메일 서버로 동작
- SMTP 프로토콜을 이용한 DoS 공격이나 폭탄 메일, 스팸 메일 차단
- 첨부파일 필터링 기능으로 특정 확장자를 가진 파일만 전송되도록 설정 가능
- 메일헤더, 제목, 본문에 대한 필터링 제공

 

283.
이메일 메시지 인증과 기밀을 가장 잘 보호할 수 있는 것
=> 송신자의 개인키를 이용해 메시지에 사인(서명)하고, 수신자의 공개키를 이용해 메시지 암호화

비대칭키
암호모드 : 수신자의 공개키로 암호화 -> 수신자의 개인키로 복호화

 

284.
전자상거래 보안 프로토콜
- IPSec : 3계층 (네트워크)
- SSL : 4계층 (전송)
- OTP : 7계층 (응용)

 

+ 4계층 : SSL/TLS

+ 7계층 : PGP, PEM, S/MIME, S-HTTP, SSH, SET, OTP, 커버로스

 

 

285.
웹로그 파일
- 기본적으로 access_log, error_log 형태 포함
- 클라이언트 요청방식은 GET, POST, PUT 등과 요청내용URL이 기록됨
- 클라이언트 IP, 접속시간 정보 포함
- 파일이 존재하지 않을 때는 HTTP 상태코드 404 기록

+ HTTP 400 : Bad Request
+ HTTP 401 : Unauthorized 인증부족
+ HTTP 403 : Forbidden 권한부족

+ HTTP 404 : Not Found

+ HTTP 405 : Method not allowed 허용되지 않은 메서드(예를 들어 PATCH, OPTIONS 등)

 

BUFNM

 

286.
HTTP 프로토콜 헤더
- Hosts : 요청받는 서버의 호스트명
- Content-Type: 데이터 타입
- User-Agent: 클라이언트 웹 브라우저
- Content-Length : POST 방식일 때 데이터 크기

 

287.
HTTP 요청방식
- GET : URL 정보를 웹서버로 전달하면 해당 정보를 브라우저로 전달
- HEAD : GET 방식과 비슷하며 헤더만 있음 (검색엔진에서 링크 유효성 확인 등)
- POST : 웹 페이지 변경 또는 내용 추가 등이 서버에서 동작하도록 요청
- TRACE : 서버가 요청을 받고 있는지 확인하기 위해 에코백을 서버에 요청

 

288.
웹서버 로그 상태코드
- 304 : Not Modified (수정되지 않음)
- 403 : Forbidden (권한 부족)
- 404 : Not Found

- 500 : Internal Server Error : 내부 오류

- 502 : Bad Gateway
- 504 : Gateway Timeout

 

+ 1xx : 조건부 응답
+ 2xx : 성공
+ 3xx : 리다이렉션 완료

 

289.
HTTP 프로토콜
- https : HTTP 보안 프로토콜, 443 포트 사용, 기밀성 무결성 인증 보안 제공
- 쿠키 : 방문 사이트의 정보를 담은 임시파일. 서버의 요청에 의해 다시 보내주는 정보. 암호화되지 않을시 조작할 수 있는 취약점 (유효기간동안 존재, 클라이언트 종료시에도 존재)
- http response에는 상태코드가 포함되어 있다. 요청한 URL을 찾을 수 없을땐 404 상태코드가 응답된다
- 세션토큰은 재사용되지 않고 클라이언트가 종료되면 소멸한다 ( 웹 브라우저의 세션토큰과 서버의 세션토큰의 매칭을 통해 사용자 정보 식별 )

 

290. 
SSL
- 세션(5)계층에 적용되며 응용 계층이 있는 프로토콜의 안전성 제공
- 적용시 https:// 로 표기
- 암호화 세션 기능과 서버-클라이언트 인증기능 제공
- 256비트 암호화 사용 가능

 

291.
SSL 프로토콜

Change chiper Spec	HandShake	Alert	Application
Record

- Record 레이어와 HandShake 레이어로 구분 (두 개의 계층)
- 암호화된 통신을 하기 때문에, IDS/IPS에서 공격 페이로드 탐지가 어렵다.

 

292.
SSL/TLS 보안 프로토콜의 Handshake
- 클라이언트와 서버는 서로 공유하는 cipher suite를 결정한다
- 서버가 클라이언트로 서버의 전자인증서를 보내올 경우, 클라이언트는 데이터의 암복호화에 사용되는 대칭키, 데이터 무결성 검증에 사용되는 MAC 계산용 키 등을 생성하여 서버에 전송 (프리마스터 시크릿)
- 서버가 클라이언트로 서버의 전자인증서를 보낼 경우, 서버 인증은 필수이고 클라이언트 인증은 선택사항
- Record 프로토콜은 Handshake 프로토콜에서 결정된 암호 및 무결성 검증 알고리즘을 이용해 응용 계층에서 생성된 데이터를 암호화하고 무결성 검증한다

+ 핸드셰이크 과정
클라이언트의 Clieht Hello (브라우저 SSL 정보, 암호화방식Cipher suite, 난수)
=> 서버의 Server Hello (서버의 암호화방식Cipher suite, ssl 인증서, 난수)
=> 클/서 난수 두 개 이용하여 클라이언트의 Premaster Secret 생성 (CA 리스트, CA 공개키, 서버 인증서 암호화)
=> 서버는 Premaster Secret 이용하여 Master Secret 생성, Master Secret 이용하여 Session Key 생성
=> 핸드셰이크 종료