Yong's Tech Story

스노트(Snort) : SourceFile사의 Martin Roesch에 의해 발표된 오픈소스 침입탐지 시스템

ㄴ 패턴 매칭 방법으로 바이너리 비교방법과 텍스트 비교방법이 있으며, 텍스트 비교는 바이너리에 비해 느리다.

수리카타 : 스노트의 단점을 개선하고 장점을 수용한 IPS

alert tcp [출발지 IP주소] [출발지 Port 번호] -> [목적지 IP주소] [목적지 Port 번호] (msg : "이벤트명"; content:"검사할 문자열"; offset : "검색을 시작할 바이트" , depth : "offset으로부터 검사할 바이트 수")

침입 탐지 시스템(IDS) : 미러링 방식으로 공격 여부를 탐지하는 시스템이다.

- 오용 탐지(지식 기반 탐지) : 시그니처 기반 탐지, 오탐률이 낮고 미탐률이 높음

- 이상 탐지(행위 기반 탐지) : 정상 행위를 벗어나는 데이터를 탐지, 오탐률이 높고 미탐률이 낮음

-호스트기반 IDS(트립와이어) , 네트워크기반 IDS(미러링 기법,스노트)

IDS : 모니터링/미러링 방식 - IPS : 게이트웨이/인라인 방식

방화벽 : 네트워크 구간에 전송되는 패킷들을 정해진 규칙에 따라 차단하거나 통과시켜 내부 자산을 보호하는 시스템

스니퍼 모드 : 단순히 네트워크에서 패킷을 읽어서 콘솔에 출력하는 모드

iptables : Linux 오픈소스로 상태추적기능과 로깅 기능, 포트 포워딩 및 매칭 기능, 패킷 필터링 기능을 제공해준다.(방화벽 장비에 사용)

- iptables  -A INPUT -s(or -d) [IP 주소]  -j ACCEPT(or DROP)

- iptables -A INPUT -p tcp --dport 80 -j ACCEPT(or DROP)

NAC : 오픈 소스 도구인 PacketFence와 같은 네트워크 통제 기능을 수행하는 보안 솔루션

UTM(통합보안시스템) : 다양한 보안 기능을 하나의 장비로 통합한 보안장비

ESM(Enterprise Security Management) : 다양한 보안 솔루션에서 발생하는 보안 정보를 통합적으로 수집 및 관리하여 대응할수 있도록 해주는 보안 관리 시스템. - ESM 에이전트, ESM 매니저, ESM 콘솔

SIEM : ESM의 진화한 형태로 로그수집 - 로그분류-로그변환-로그분석 의 기능을 제공한다.

사이버 위협 인텔리전스(CTI)  : SIEM과 연계하여 위협에 대한 분석과 대응을 효과적으로 할수 있도록 지원, APT 공격 대응

사이버 위기 경보 발령 단계 : 정상 < 관심 < 주의 < 경계 < 심각

와이어샤크 필터 - dns.flags.response ==1 (0:질의 , 1:응답), dns.flags.authoritative==1(0:네임서버캐시응답,1: authoritative네임서버응답)

퍼징 도구 : 애플리케이션의 보안 취약점을 찾아내기 위한 도구로 애플리케이션에 비정상적인 데이터를 입력함으로써 소프트웨어 오류를 유발시켜 보안 취약점을 찾아내는 도구.

Tripwire = 무결성 점검도구

Nessus : Tenable사가 제공하는 취약점 점검도구(패스워드 취약점,DOS, 취약한 서버 설정 등)

/proc : 실행한 프로세스 정보를 가지는 디렉터리

strace : 프로세스의 시스템 콜 명령을 추적할수 있는 명령어

DBD 공격 : 다수의 경유지를 거쳐 최종 유포지에서 악성코드를 다운로드 하도록 유도하는 공격.

공급망 공격(Supply Chain Attack) : 네트워크 공급망에 침투하여 악의적인 파일로 변조하는 공격이다.

허니팟 : 해커를 유인하기 위해 고의로 취약한 서버를 만들어 이를 모니터링하는 시스템

CVE : 취약성에 대해 명칭을 표준화한 목록

쉘쇼크 취약점 : GNU Bash 취약점을 이용한 공격, - 명령어를 삽입하여 웹쉘 파일 등을 실행

하트블리드 : OpenSSL 버전 취약점으로 64Kbyte 크기의 메모리 데이터를 아무런 제한 없이 탈취하는 취약점이다.

POODLE 취약점 : SSL 3.0으로 강제로 다운그레이드하여  MITM을 통해 송수신되는 정보를 탈취하는 취약점이다.

NTP(123/udp) : 네트워크상에 시스템들의 시간을 동기화하는 프로토콜

ㄴ monlist : 주소 정보를 전송해주는 명령어 - DDoS를 발생시킬수 있는 취약점이 존재하는 명령어

ㄴntpdate : 현재 호스트이 날짜 및 시간을 동기화 하는 명령어

리버스 쉘 : nc.exe -l -p 8080

DNS(53/udp/tcp) : domain 이름을 IP 주소로 변환하여 주는 네이밍 시스템

ㄴ hosts 파일 : 호스트/도메인 이름에 대한 IP 주소가 저장되어 있는 파일

ipconfig /displaydns : 로컬 DNS 캐시 정보 조회

ipconfig /flushdns : 로컬 DNS 캐시 정보 삭제

DNS 질의 순서 : DNS 캐시 -> hosts.ics 파일-> hosts 파일-> DNS 서버

존(Zone) 설정 : DNS 서버에 도메인 등록

리소스 레코드 설정 : DNS 서버에 서비스 정보 입력

DNS 캐시 포이즈닝 공격(DNS 스푸핑 공격) : DNS 서버의 캐시정보를 조작하여 사용자가 가짜 사이트에 접속하도록 유도하는 공격

ㄴ 대응책 : 중요한 사이트의 IP 주소에 대해서는 DNS 질의보다 우선순위가 높은 hosts 파일을 통해 관리한다.

named.conf : 네임서버(Bind DNS 서버) 설정 파일 (allow-transfer 설정)

axfr : 존 버전에 상관없이 무조건 존 전송을 요청하는 질의 유형

nslookup : DNS 서버 테스트 명령어

FTP 수동(passive) 모드 : 데이터포트요청(클라이언트 (1024/tcp이상)--> 서버(1024/tcp이상))

FTP 능동(active) 모드 : 데이터포트요청(서버(20/tcp) --> 클라이언트(1024/tcp이상))

/etc/ftpusers : FTP 서비스 제한할 사용자 계정 파일

TFTP(69/tcp)

익명 FTP 공격 : 패스워드를 요구하지 않는 FTP 취약점을 이용하여 서버에 접근한 후 악의적인 행위를 하는 공격.

FTP 바운스 공격 : 데이터포트의 목적지를 확인하지 않는 FTP 설계의 구조적 문제점을 이용하여 공격자가 원하는 곳으로 데이터를 전송하게 하는 공격.

SNMP(161/udp , 162/udp) : TCP/IP 네트워크 장치로부터 관리 정보 수집 및 실시간 상태를 모니터링하는 프로토콜

ㄴ community string : 데이터를 교환하기 전 인증하는 일종의 패스워드

ㄴ 폴링 방식 : 매니저-->에이전트 (161/udp) , 이벤트 리포팅 방식 : 에이전트 --> 매니저(162/udp)

SNMP V3 : 재전송공격방지,  위 변조 공격 방지, 도청/스니핑 공격 방지

이메일 프로토콜 : SMTP(25번), POP3(110번) , IMAP(143번)

sendmail : /etc/mail/access 파일(스팸 메일 설정) - RELAY(허용), REJECT(거부) , DISCARD(폐기) , OK(모두 허용)

ㄴ makemap : access 텍스트 파일을 DB 형태로 변환해주는 명령어

OWASP 빈출 3가지 : Injection, XSS , CSRF

XSS 대응책 : 사용자 입력값은 반드시 서버 단에서 검증, 특수문자를 일반문자로 이스케이프 처리, HTML 태그의 화이트리스트 선정.

웹프록시(Web Proxy) : 웹을 이용한 해킹 공격에 사용되는 도구(Paros, Burp)

파일 업로드 공격 : 서버 측에서 실행 될 수 있는 스크립트파일(asp,jsp,php)이 업로드 가능하고 실행 되어 시스템을 제어할수 있게 되는 공격이다.

ㄴ 대응책 : 파일 이름을 검증하지만, 파일 확장자에 대한 검증 또한 해야 한다.

웹쉘(WebShell) : 악의적인 행위를 수행하는 악성 서버 스크립트 파일

php.ini - allow_url_fopen= off : 외부 사이트의 파일이 로컬에 포함되어 실행되지 않도록 하는 설정.

ㄴ diplay_errors = off : PHP 실행 중 에러 정보 노출 방지

디렉터리 리스팅 취약점 : 웹브라우저에서 URL 입력시 모든 파일 디렉터리 정보가 노출되는 취약점

ㄴ대응 방법 : httpd.conf 파일 Directory 지시자의 Indexes 옵션을 제거한다.

robots.txt : 웹사이트의 디렉터리 및 파일드렝 대한 검색조건을 명시해놓은 국제적인 규약 파일.

my.cnf 파일 skip-networking 설정 : My-SQL 서버 사용시, 외부 네트워크 사용자의 접근 제한하는 설정.

SET : 이중서명하여 지불정보는 상점에게 숨기고, 주문 정보는 은행에게 숨김. RSA 공개키로 암호화

SPF(Sender Policy Framework : 메일서버등록제) : 메일 서버 정보를 사전에 발신자 도메인 DNS에 공개 등록하여 실제 메일 서버의 정보와 발신 DNS의 발신자 정보가 일치하는지 확인하는 인증기술이다.(SPF 레코드 등록)

DKIM (도메인 키 인증메일) : 발신자가 개인키로 서명한 메일과 공개키를 DNS에 등록하고, 송신함으로써 수신자는 공개키로 DKIM 헤더 서명값을 검증한다.

DMARC(도메인 기반 이메일 인증) : DMARC 정책을 DNS 서버에  등록하여 SPF/DKIM/DMARC 검증하여 위변조 검사하는 기술.

Cache-control : max-age = 0 설정 : 캐시 정보를 원본서버로 유효성 검증을 다시 검증하라는 의미로 캐시서버를 무력화하여 원본서버에 부하를 발생시킨다.

Blind Sql Injection : 조건절의 참/거짓 결과에 따른 응답의 차이점을 이용한 공격기법으로 DB 데이터를 추출한다.

   개인정보 수집 이용

    1. 정보주체의 동의를 받은 경우

    2. 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

    3. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우

    4. 정보주체와의 계약의 체결 및 이행을 위해 불가피한 경우

    5. 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

    6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우

  정보주체 동의 시 고지 의무 사항

    1. 개인정보의 수집 이용 목적

    2. 수집하려는 개인정보 항목

    3. 개인정보의 보유 및 이용기간

    4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

  개인정보 수집범위 내 제 3자 제공

    1. 정보주체의 동의를 받은 경우

    2. 다른 법률에 특별한 규정이 있는 경우

    3. 명백히 정보주체 또는 제 3자의 생명, 신체, 재산의 이익에 필요한 경우

  개인정보의 안전성 확보 조치

    1. 개인정보의 안전한 처리를 위한 내부관리계획의 수립 및 시행

    2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

    3. 개인정보를 안전하게 저장 및 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

    4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 및 변조 방지를 위한 조치

    5. 개인정보에 대한 보안프로그램의 설치 및 갱신

    6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

  개인정보 유출 통지

    (가). 개인정보 유출 사실을 인지하였을 경우에는 지체 없이(5일 이내) 정보주체에게 관련 사실 통지 및 전문기관에 신고 등 조치를 위해야 한다.

       1. 1천명 이상의 개인정보가 유출된 경우 보호위원회 또는 한국인터넷진흥원에 신고한다.

    (나) 정보주체 통지 내용

       1. 유출된 개인정보의 항목

       2. 유출된 시점과 그 경위

       3. 유출로 인해 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

       4. 개인정보처리자의 대응조치 및 피해 구제절차

       5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

  개인정보 이용내역의 통지

   1. 개인정보의 수집,이용 목적 및 수집한 개인정보의 항목

   2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

  내부관리계획의 수립 및 시행

   1. 개인정보 보호책임자의 지정에 관한 사항

   2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

   3. 개인정보취급자에 대한 교육에 관한 사항

   4. 접근 권한의 관리에 관한 사항

   5. 개인정보의 암호화 조치에 관한 사항

  정보보호 최고책임자의 지정

   1. 정보보호관리체계의 수립 및 관리 운영

   2. 정보보호 취약점 분석 평가 및 개선

   3. 침해사고의 예방 및 대응

   4. 사전 정보보호대책 마련 및 보안조치 설계 구현 등

   5. 정보보호 사전 보안성 검토

   6. 중요 정보의 암호화 및 보안서버 적합성 검토

 영상정보처리기기의 설치 운영 제한

   1. 설치 목적 및 장소

   2. 촬영 범위 및 시간

   3. 관리책임자의 성명 및 연락처

   4. 그 밖에 대통령령으로 정하는 사항

  안전성 확보조치 기준 - 접근 권한의 관리

   1. 접근 권한을 최소한의 범위로 업무 담당자에 따라 차등 부여

   2. 개인정보취급자가 변경되었을 경우 지체없이 접근 권한을 변경 또는 말소

   3. 개인정보처리자는 권한 부여,변경,말소에 대한 내역을 최소 3년간 보관

   4. 개인정보취급자별로 사용자 계정을 발급받아야 하며, 공유되지 않아야 함.

   5. 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근 제한.

  안전성 확보조치 기준 - 접근 통제

   1. 고유식별정보를 처리하는 개인정보처리자는 고유식별정보가 유출,변조,훼손되지 않도록 연 1회 이상 취약점을 점검해야 한다.

  안전성 확보조치 기준 - 개인정보의 암호화

   1. 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 전달하는 경우 암호화하여야 한다.

   2. 비밀번호를 저장하는 경우 복호화 되지 않도록 일방향 암호화하여 저장하여야 한다.

   3. DMZ에 고유식별정보를 저장하는 경우 암호화 하여야 한다.

  정보통신기반보호법 - 정보공유 분석센터

   1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공

   2. 침해사고가 발생하는 경우 실시간 경보,분석 체계 운영

  침해사고 대응 절차 7단계 :  사고전 준비과정 - 사고 탐지 - 초기대응 - 대응 전략 체계화 - 사고조사 - 보고서 작성- 해결

  ISMS 인증을 위한 정보보호정책 공표절차 과정

   1. 이해관련자의 검토

   2. 최고경영자(CEO)의 승인

   3. 모든 임직원 및 관련자에게 이해하기 쉬운 형태 전달(최신본 유지)

  개인정보 영향평가의 대상

   1. 구축,운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

   2. 구축,운용하고 있는 다른 개인정보파일과 연계하려는 경우 연계 결과가 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

   3. 구축,운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일