본문 바로가기

분류 전체보기

(70)
[침해사고분석] 유형별 침해사고 시나리오 1 리버스 쉘(Reverse Shell) 침해 사고① 개념원격에서 서버에 명령을 실행할 수 있는 쉘을 획득하는 방법바인드 쉘(Bind Shell) : 클라이언트/공격자가 타겟 서버에 접속하여 타켓 서버의 쉘을 획득하는 방식리버스 쉘(Reverse Shell) : 역으로 타겟 서버가 클라이언트/공격자로 접속해서 클라이언트가 타겟 서버의 쉘을 획득하는방식방화벽을 우회해 쉘을 획득 가능방화벽 인바운드 정책은 엄격하게 공개 서비스에 대해서만 제한적으로 허용해주지만 아웃바운드 정책은 느슨하게 허용해주기 때문에 내부->외부로 접속하는 리버스 쉘 획득이 용이netcat(nc) : 다양한 네트워크 프로그램을 시뮬레이션 하기 위한 목적으로 만들어진 프로그램이며 리버스쉘 테스트에 많이 사용nc [목적지 IP] -e [지정 프..
[시스템 점검 도구] 상황별 점검도구 취약점(Vulnerabiliity) 점검도구nessus/nikto① 개념특정 시스템, 네트워크 및 애플리케이션 등에 존재할 수 있는 보안 취약점을 사전에 점검해 보안을 강화하기 위한 도구네트워크 보안 취약점 : 네트워크 장비나 기기들의 취약점부터 네트워크 구조에 대한 취약점시스템 보안 취약점 : 시스템과 관련된 계정, 권한, 파일관리, 서비스 등의 취약점웹 보안 취약점 : 웹브라우저,웹서버,웹프로그램 취약점② 대표적인 취약점 점검 도구네서스(nessus) : 미국 테너블사가 개발/배포하는 취약점 점검도구. 로컬 또는 원격지에서 다양한 방법을 통해 시스템,네트워크,웹애플리케이션 등의 알려진 취약점에 대한 점금을 수행하며 점검을 통해 취약점의 내용과 해결 방법을 상세하게 제공 (8834/tcp)특징클라이언트..
[보안장비 운영] 보안 솔루션/장비 종류 및 특징 네트워크 보안더보기⊕ 물리적 네트워크 구간 (접근 통제 관점의 구분)인터넷 구간 : 인터넷으로부터 직접 접근이 가능한 구간DMZ 구간 : 인터넷과 내부망 사이에 위치한 중간지점. 침입통제시스템 등으로 접근통제를 수행하면서 인터넷구간으로부터의 접근과 내부망 접근을 허용하는 구간내부망: 물리적으로 인터넷으로부터 분리된 망이거나 접근통제시스템을 통해 인터넷으로부터의 직접 접근을 차단/통제하는구간 ⊕ 네트워크 보안장비 설치 모드인라인 모드물리적 네트워크 경로상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽(실제패킷)이 거쳐가도록 하는 모드 일반적으로 패킷 차단 목적의 장비(Anti-DDoS System, Firewall, IPS 등)에 적용하는 모드(장점) 실제 패킷을 탐지하고 차단까지 한다.(단점) 장비에..
[보안장비 운영] 침입차단시스템 침입차단시스템iptables① 개념패킷 필터링(Packet Filtering) 기능이 있는 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 도구. (패킷필터링) rule 기반의 패킷 필터링 기능 제공상태추적(Connection Tracking / Statueful Inspection)기능 제공(상태추적 기능) 방화벽을 통과하는 모든 패킷에 대한 연결 상태를 추적(tracking)하여 메모리에 기억하고 있다가 기존 연결을 가장해 접근할 경우, 메모리의 저장상태목록과 비교해 적합하면 통과, 부적합이면 거부(상태추적 테이블) 방화벽의 메모리상에 생성된 연결 정보를 가지고 있는 모든 송수신 패킷을 기록하고 검사하는 테이블(보안상 장점) 연결된 상태의 패킷인 것처럼 위조한 패킷의 접근 차단(성능상 장..
[보안장비 운영] 침입탐지시스템 침입탐지시스템(Snort: SNiffer and mORe)① 개념개발년도: 1998년개발자 : 마틴 로시네트워크 트래픽을 더 많이 감시하고 분석한다는 의미주요기능패킷 스니퍼(sniffer) : 네트워크상의 패킷을 스니핑하여 보여주는 기능패킷 로거(logger) : 모니터링한 패킷을 저장하고 로그에 남기는 기능네트워크 IDS/IPS : 네트워크 트래픽을 분석해 공격을 탐치/차단하는 기능② Snort Rule 설정룰 헤더(header) 설정형식 :[action] [protocol] [ip address] [port] [direction] [ip address2] [port2] Rule Actions : 패킷 탐지 시(룰에 매칭 시), 처리방식ACTION설명alertgenerate an alert using..
[애플리케이션 보안] 데이터베이스 보안 데이터베이스 보안 위협과 통제① 데이터베이스 보안 위협집성(Aggregation) : 낮은 보안 등급의 정보를 조합해 높은 보안 등급의 정보를 알아내는 것. (중요등급: 개별데이터항목 심각한 기밀정보 유출문제 발생 (ex) 매장 개별매출보다 모든 매장 매출 조합시, 매장의 총 매출 정보 계산 가능추론(Inference) : 보안등급이 없는 일반 사용자가 보안으로 분류되지 않은 정보를 정당하게 접근해 기밀 정보를 유추해내는 행위통계정보로부터 발생 -> 개개의 개체에 대한 정보를 통계로부터 추론 못하게 해야함.(ex) (공개정보) 계약직 직원의 평균 연봉과 인원수 -> 계약직 직원 수가 1명이라면 결국 평균=총계. ->추론가능 ② 데이터베이스 보안 통제접근 통제 : 데이터베이스 사용자가 가진 접근 권한의 ..
[애플리케이션 보안] 이메일(E-Mail) 보안 이메일 시스템 구조⓪ 주요 프로토콜메일 전송 프로토콜SMTP(Simple Mail Transfer Protocol) : 메일 클라이언트(MUA)와 메일 서버(MTA) 또는 송수신 메일 서버(MTA) 간에 메일 전송을 위해 사용하는 프로토콜TCP/25평문 통신SMTPS(SMTP over SSL/TLS) : SMTP 통신 구간에 SSL/TLS 보안 적용한 프로토콜TCP/465암호문 통신메일 수신 프로토콜POP3(Post Office Protocol version 3) : 메일 클라이언트(MUA)에서 메일 서버(MTA)로부터 메일을 수신할 수 있도록 해주는 프로토콜TCP/110동작 방식 : 클라이언트가 메일을 서버로부터 가지고온 후(다운로드 후) 서버에서 해당 메일을 삭제. -> 다른곳에서 확인 불가POP3S..
[웹 서버 취약점] 보안서버(Security Server) 구축 ① 개념보안서버 : 인터넷상에서 정보를 암호화하여 송수신하는 기능이 구축된 웹서버독립적인 하드웨어를 따로 설치하는 것이 아니라, 이미 사용하고 있는 웹서버에 SSL/TLS 인증서나 암호화 소프트웨어를 설치하여 암호통신을 지원하는 것을 의미 ② 보안서버 구축의 필요성(기밀성 보장) 정보유출 방지암호 통신을 통한 기밀성 보장(인증) 위조/가짜 사이트 방지SSL/TLS가 진짜 사이트임을 증명하므로 이를 식별해 피싱에 의한 피해를 줄일 수 있음.(신뢰) 기업 신뢰도 향상보안서버를 웹 사이트에 적용함으로써 사용자에게 정보보호의 신뢰성을 보여줄 수 있다. ③ 보안서버 구축의 법적 근거[개인정보보호법] 관련 개인정보보호위원회 고시 [개인정보의 안정성확보 조치 기준]제7조(개인정보의 암호화)개인정보처리자는 비밀번호, ..