Gamja's Farm

*윈도우 레지스트리

1. 컴퓨터에 설치된 모든 하드웨어 장치에 대한 정보 및 사용하는 리소스

2. 윈도우가 시작할 때 읽어들인 장치 드라이브 목록

3. 윈도우 내부 설정

4. 특정형식의 파일을 특정 응용프로그램에 연결 시키는 파일 연결 데이터

5. 배경화면 배색등 인터페이스 설정

6. 인터넷과 네트워크 설정 및 암호

7. 타사 응용 소프트웨어 설정 사항

*가상 메모리를 지원하는 운영체제에서 가상 주소를 실제주소로 변환하는 DAT가 빠른 순서는 연관 – 직접/연관 – 직접사상 이다, 연관사상 기법은 하드웨어를 통해 구현해 고비용이지만 고속 처리와 캐시 적중률이 우수한 장점을 지닌다.

*유닉스

- VTOC 디스크 레이블 : 각 파티션 기본정보-> 첫 번째 섹터, 512byte

- 부트블록 : 부트스트랩에 필요한 파일

- 프라이머리 슈퍼블록 : 데이터블록의 개수, 실린더 그룹갯수, 마운트정보

- 백업 슈퍼블록 : 각 실린더 마다 슈퍼 블록에 대한 복사본을 가짐

- 슈퍼블록 : 파일시스템 크기, inode table 크기, free 블록리스트크기 등 파일시스템 관리정보

- 실린더 그룹 블록 : 실린더 그룹내의 유효블록들의 bit맵 정보나 통계정보

- inode table : 파일의 크기, 위치, 유형, 사용허가권, 날짜정보 등 파일에 중요한 정보 포함

- 데이터 블록 : 실제 데이터가 저장되는 공간

*HWP(Heavy Weight Process)

: 한 프로세스에 속한 스레드가 여러 자원을 공유하고 프로세스의 주소공간과 열린 파일을 공유해 수행의 효율을 높인다.

*LWP(Light Weight Process)

: 스레드를 일컫는 말로 프로세스의 속성을 공유한다.

*멀티 스레드

:멀티 디스크 운영체제 혹은 멀티 프로세서 시스템에서 효율성이 극대화 된다.

*context switch

:하나의 프로세스가 cpu를 사용 중 일 때 다른 프로세스에게 cpu사용권을 넘기는 것, 이전 프로세스의 상태를 보관하고 새로운 프로세스 적재 하는 것

*인터럽트

1. 비동기 인터럽트: 입출력 수행, 하드웨어 장치 이벤트, 키보드 마우스 사용등 현재 수행되는 명령과 관계없이 이벤트에 의해 발생

2. 클럭 인터럽트

: 특정 스레드가 cpu를 과도하게 사용하는 것을 방지하기 위해 클럭시간 간격으로 인터럽트 발생.

*유닉스 명령어

chmod : 파일권한을 다른사용자에게 할당

chown : 권한을 특정사용자에게 할당

*Multi Level Feedback Queue

:입출력 위주와 cpu위주인 프로세스의 특성에 따라 서로다른 타임슬라이스 부여

선점형 + 비 선정형

*회전 지연시간을 최적화 하는 디스크 스케줄링

SLTF(Shortest Lantency Time First)

:디스크 헤드가 특정 실린더에 도착하면 회전지연시간이 가장 짧은 것부터 서비스

*HIVE 파일 종류

HKEY_CLASSES_ROOT

HKEY_CURRENT_USER

HKEY_LOCAL_MACHINE

HKEY_USERS

HKEY_CURRENT_CONFIG

HKEY_PERFORMANCE_DATA

HKEY_DYN_DATA

*WAP 아키텍처

- WAE(Wireless Application Enviroment)

Application이 동작할 수 있는 기본 application에 레이어

- WSP(Wireless Session Protocol)

Connection-Oriented와 Connection-less의 두가지 session 서비스를 WAE에 제공

- WTP(Wireless Transaction Protocol)

데이터그램 서비스 위에서 동작하며, Transaction-Oriented 서비스 제공

- WTLS(Wireless Transport Layer Security)

TLS(Transport Layer Security)의 무선 version으로 데이터 무결성, 기밀성, 인증 기능을 제공

- WDP(Wireless Datagram Protocol)

:전송계층에 해당되며 connection-less, unrealiable한 데이터그램 서비스 제공(UDP와 동일)

*데이터베이스 보안통제 기법

1. 접근 가능한 객체간 흐름을 조절하는 흐름통제

2. 간접적 데이터 노출로부터 데이터를 보호하기 위한 추론통제

3. 객체에 접근을 제어하는 접근통제

4. 뷰는 특정 컬럼을 숨기는 기능

*ebXML

1.XKMS(XML Key Manangement Specification)

공개키 등록과 배포를 위한 메시지 및 프로토콜 정의

2.SAML: 공유인증 및 인가정보를 위한 포맷

3.XACML: 정보접근 제어정책을 위한 포맷

*RFID 보안기술

1. Kill tag

2. Faraday cage 원리

3. 방해전파

4. Blocker Tag

*Aggregation

: 낮은 보안등급의 정보들을 이용하여 높은 등급의 정보를 알아내는 것

*다중인스턴스화

: 추론으로부터 정보유출로 막기위한 기술로 변수를 값 또는 다른 변수와 함꼐 있게 함으로써 상호작용을 하도록 하는 프로세스

*/usr/sbin/sendmail

- bt : 웜 및 바이러스 헤더 입력결과 필터링 확인

- bd : 데몬 모드 실행

- bi : 앨리어스 db파일 초기화

- bm : Be a mail sender

- bp : 큐에 있는 내용을 프린터

- bs : 표준입력으로 SMTP

- bt : 테스트 모드

- bv : 확인 모드

* X.509v3

: 확장필드는 확장형태, Criticality Indicator, 확장값으로 구성된다

1. 확장형태 : 의미와 형태정보에 대한 객체 식별자

2. criticality indicator : 확장을 인식하지 못해도 무방한지 결정

3. 확장값 : 확장형태에 기술된 자료의 실제적인 자료

*ESM(Enterprise Security Management)

:서버, 방화벽, IPS, VPN장비에 ESM Agent 라는 소프트웨어를 설치하여 실시간으로 event 정보수집, 수집된 정보는 모두 db화하여 event 정보 간 상관성 분석, 분별등을 수행하여 보안관제 서비스를 한다.

*Slow HTTP Header Dos

: HTTP Header를 비정상적으로 조작하여 웹서버가 헤더정보를 구분할 수 없게 한다. 웹서버가 아직 HTTP Header 정보가 모두 전달 되지 않은 것으로 판단하게 함으로써 장시간 유지.

*IPv6는 주소공간이 무한대이고 이동성이 용이, 기존 TTL은 IPv6에서 HOP이다.

*iptable에서 Reject는 패킷이 차단여부를 알려준다.

*watch모드는 라우터에 통과하는 syn패킷을 통과시키고 일정시간 동안 연결이 이루어지지 않으면 라우터 차단

*IKE는 UDP포트 500으로 키교환

*라우터 스위칭 : 데이터 패킷 내에 포함된 주소 정보에 따라 해당 패킷을 해당 출력포트에 빠르게 접속

1. Process Switching

: 패킷을 전송할 때마다 매번 라우팅 테이블과 NEXT HOP을 확인해 전송, 속도가 느리다.

2. Fast Switching

:패킷이 통과될 때에는 process switching을 수행한 후 저장된 cache를 사용해 패킷 전송, Process switching 보다 빠름

3.CEF(CISCO Express Forwarding)

:CISCO장비에서 사용, 처음부터 라우팅 테이블을 CACHE에 복사하고 패킷이 통과될 때에는 cache에서 응답, 속도가 빠르다.

*PGP(Pretty Good Privacy)

:MIME 객체에 암호화와 전자서명 기능 추가. 기밀성, 메시지 인증, 사용자 인증, 부인방지, DSS,RSA 암호 알고리즘을 이용한 전자서명 기능, CAST, IDEA, 3DES와 같은 대칭키 알고리즘을 이용해 비밀성 보장, RSA나 ELGAMEL, Diffie-Hellman 키교환 알고리즘 사용, 메시지 기밀성을 위해 RSA, 해시함수, MD5, 키관리 RSA

*Send Mail

:8.9부터는 모든 곳에서의 메일발송을 막아놓았으므로 etc/mail/access에서 발송할 ip를 relay한다, 설정을 마친후 access.db를 갱신

(makeup hash /etc/mail/access < /etc/mail/access)

*FTP

:클라이언트가 ACK로 응답하고 클라이언트가 방화벽을 설치하고 외부접속을 허용하지 않으면 사용X는 것은 Active모드 이고 Passive 모드는 사용가능

/etc/ftpuser : 파일에 적용된 사용자에 대한 ftp접근 제한

/etc/hosts.deny : 특정 ip 접근 제한

/etc/hosts.allow : 특정 ip 접근 허용

*웹 서버 접속로그인 access.log에서는 CLF 포맷으로 저장된다

(.logformat “%h%l%u%t\”%r“%>s%b”%{USER-Agent}i\“%T”)

%h : 접속 클라이언트 ip주소

%l : 원격지 사용자 이름

%u : 원격지 사용자 이름

%t : 요청한 시간과 날짜

%r : HTTP메소드를 포함한 요청의 첫라인

%s : HTTP상태코드

%b : HTTP헤더를 제외한 전송된 바이트

%{Refer}i : 요청된 URL이 참조되거나 링크된 URL

%{USER-Agent}i : 접속한 클라이언트 운영체제 및 브라우저 버전

%T : 요청을 처리하는 데 걸리는 시간

*TCG(Trusted Computing Group)

:키 관리와 암호화 처리를 하드웨어로 제작한 보안 칩 표준

*SMTP

:SMTP에서 서버에 연결을 알리기 위해 HELLO 또는 EHLO

*Command Injection Flaws

:웹 애플리케이션이 외부 시스템이나 자체 운영체제에 접근할 때에 입력받은 인자를 그대로 전달, 공격자가 해당 인자로 악의적인 명령어를 삽입하는 경우, 해당 외부시스템은 웹 어플리케이션으로 인해 입력받은 명령어 실행

*MX Record

:MX레코드는 도메인 이름으로 보낸 메일을 받도록 규정된 호스트 목록을 지정하는 것으로 DNS Record 중 한 종류. Mail Exchanger의 약자

*L7 스위칭

: 스위치 기능과 보안 기능, 시스템 부하감소, 콘텐츠 압축 전송기능 지원, DOS/SYN 공격 방어, Code Red, Nimda등 감염 패킷 필터링, TCP 및 UDP에 대해 모두 인지 가능, URL기반 스위칭 및 COOKIE 기반 스위칭, content 스위칭 등을 지원

*ebXML(e-business Extensible Markup Language)

1. 비즈니스 프로세스

2. 핵심 컴포넌트

3. 등록저장소

4. 거래당사자

5. 전송,교환 및 패키징

*X.509인증서

:인증서 버전, 인증서 고유번호, 발급자의 서명, 발급자의 정보, 인증서 유효기간, 주체정보, 주체키

*커버로스: TGS는 티켓을 생성하고 티켓을 클라이언트에게 전달, MIT에서 만듬

*RBAC : 계층형 구조의 접근제어모델, Non-DAC기법 중 하나, Lattice,Task-based기법들을 가진다. 주체에 대한 행위나 역할에 따라 접근권한이 결정

*DAC : 신분기반 접근 통제 모델

*AC(Attribute Certificate)

:공개키를 포함하는 대신 객체의 소속 및 역할, 보안수준, 권한정보등의 속성을 포함하는 인증서

*OECD 개인정보를 위한 권고안

1. 정보의 정확성

2. 목적 명확화의 원칙

3. 이용제한의 원칙

4. 안전보호의 원칙

5. 개인참가의 원칙

6. 공개의 원칙

7. 책임의 원칙

8. 수집제한의 원칙

*RBL(Real Time Blocking) & SPF(Sender Ploicy Framework)

- RBL : 특정 IP를 등록해 차단

- SPF : 자신의 메일 서버정보와 정책을 나타내는 SPF레코드를 DNS에 등록

*E-Mail 전송방법

1. SMTP(Simple Mail Transfer Protocol)

:인터넷에서 전자우편을 보낼 때 사용되는 표준 통신규약, TCP 25번 DNS의 MX레코드로 상대서버 지시, OSI 7 응용계층에서 사용

2. POP3(Post Office Protocol)

:응용계층 프로토콜로 tcp/ip연결로 e-mail을 읽어오는데 사용, 원격서버에 접속해 읽은후 서버 e-mail을 삭제, g-mail, Naver 등에서 사용, TCP 110번으로 메일에 접속해 내려받는 MDA프로그램

3. IMAP

:POP와 달리 계속 서버에 저장, 메일의 헤더만 검색해 텍스트 부분만 가져오기 가능. IMAPv4는 프로토콜의 복잡성과 보안문제를 개선

*PGP(Pretty Good Policy)

:압축, 분할, 암호화, 서명, 전자우편 호환성, 네트워크를 통해 주고받는 메시지에 대해 보안 서비스 및 평문 메시지를 암호화, MIME(RFC1521)객체에 암호화와 전자서명기능을 추가한 암호화 프로토콜

*PEM(Privacy Enhanced Mail)

:중앙 집중화된 키 인증 방식, 구현이 어렵고 높은 보안성(군사, 은행), SMTP의 보안취약점 보완, 기밀성, 무결성, 인증, 세션키 분배, 전자우편 호환성

*S/MIME

:표준보안 메일 규약, 송 수신자 인증, 메시지 무결성 증명, 첨부파일 포함, 메시지 내용의 Privacy 보증하는 표준보안 메일 프로토콜로 메일 전체 암호화, RSA암호화, CA로부터 자신의 공개키를 보증하는 인증서 필요, 첨부파일 보안, DSS, 3DES, SHA-1

*Sendmail

:대표적 MTA로 유닉스에 기본 포함 ( usr/sbin/sendmail )

-> etc/mail/access

OK : 다른 룰이 거부해도 OK

Relay : 지정된 특정 도메인에 있는 사용자에게 email을 받음

discard : 받기만 하고 버림

reject : 수신, 발신을 완전히 거부

*슬랙공간

:저장매체에 논리적 구조와 물리적 구조의 차이로 인하여 발생하는 낭비공간을 의미하며, 물리적으로 할당되었지만 놀리적으로 사용할 수 없는 공간, 램슬랙, 드라이브슬랙, 파일시스템 슬랙, 볼륨 슬랙

*Clipping Level

:패스워드는 clipping level을 지정해야 한다. 6개월 단위로 재지정 해야한다.

*분산처리 시스템

:여러 개의 분산된 데이터 저장장소와 처리기들을 네트워크로 연결하여 서로 통신을 하면서 동시에 일을 처리하는 방식, 물리적으로 여러 간에 시스템이 존재하기 때문에 관리가 어렵고 보안성 향상이 힘듬, 시스템의 복구와 백업은 각 개별 시스템에 대해서 백업하고 복구해야한다.

*DMA(Direct Memory Access)

:직접 메모리 접근은 주변장치들이 메모리에 직접 접근하여 읽거나 쓸수 있게 하는 기능. cpu개입 없이 가능.

*윈도우의 모든 시스템 정보를 복원, 백업

1. User.data (window 레지스트리 파일)

2. SYSTEM.data (window 레지스트리 파일)

3. SYSTEM.init (하드웨어 제어)

4. Window.init (운영체제 내의 각종 응용 소프트웨어를 위한 환경설정 파일)

*etc/passwd

:사용자명, 패스워드. uid, gid, 계정정보, 계정 홈 디렉토리, 사용자 계정 로그인 쉘

*etc/shadow

:Login name, encrypted password, Last change, minimum, maximum, warn, 로그인 차단일수, expire

1. login name : 사용자 계정 각 항목별 구분은 : 으로 구분되어 있다.

2. encrypted password : 패스워드를 암호화 시킨 값

3. last change : 1970년 1월 1일부터 패스워드가 수정된 날짜의 일수를 계산

4. minimum : 패스워드가 변경 전 최소 사용기한

5. maximum : 패스워드 변경 전 최대 사용기한

6. warn : 패스워드 사용 만기일 전에 경고 메시지를 제공하는 일수

7. inactive : 로그인 접속차단 일수

8. expire : 로그인 사용을 금지하는 일 수(월/일/년도)

9. reverse : 사용되지않음

*누킹 sw

: 레지스트리 키, 파일, 시스템을 활용하여 시스템을 사용 불능 상태로 만든다. blue bomb, winnuke 등이 대표적

*HTTP 상태코드

200 : OK

201 : Create

202 : Accept

203 : Non – Authoritative Information

204 : No content

300 : multiple choice

303 : see other

400 : Bad request

401 : Unauthorized

402 : Payment Required

403 : Forbiden

404 : Not Found

500 : Internal Server Error

501 : Not implemented

502 : Bad Gateway

*CC인증

ccra 가입국 간 상호인증

*xferlog(FTP log 기록파일)

: 파일전송시간, 전송 소요시간, 전송한 호스트 네임, 파일크기, 파일이름, 전송방식

c : 압축된 파일

u : 비압축된 파일

t : 묶인 파일

- : no action

o : outgoing

I : incoming

d : delete

a : anonymous

g : guest

r : real

o: none

l : RFC931

c : 완료된 상태

I : 불완료된 상태

*etc/system

: 유닉스 설정 파일로 버퍼오버플로우를 막을 수 있다.

*트로이 목마

: 목마가 가동되면 개인정보 유출과 같은 악영향을 유발 한다. 목마는 동작하기 전까지는 탐지하기 어렵다, 목마는 자가 복제는 하지않는다.

*ARP Spoofing

: ARP Spoofing은 ARP 캐시 테이블을 변조하는 공격으로 공격자의 주소로 MAC주소를 변경하여 패킷을 가로챌 수 있다.

*Tracerote

: 발신자의 컴퓨터에서 목적지로 찾아가는 구간정보를 기록하는 유틸리티 프로그램이다,

tracerout는 icmp와 UDP를 사용해서 경로정보를 기록한다.

*DHCP Spoofing

: DHCP 프로토콜이 제공하는 정보를 변조하여 타겟 PC를 속이는 공격방법으로 네트워크 상에 동적으로 IP정보를 할당하여 편의를 제공

- Discover – Offer – Request - Ack

*Banner Grabbing

: 공격대상의 시스템 운영체제를 확인하는 가장 기본적인 방법, 텔넷에서 확인가능,

ICMP는 TTL로 운영체제 확인가능(Linux = 64, Window = 128, Other = 255)

- 방지 대책

1. etc/issue.net에서 배너정보 수정

2. etc/motd에서 로그인할 때에 출력 메시지 수정

*VLAN

: Port 기반 VLAN이 가장 일반적, 다중 VLAN과 ATM연결에 LANE사용, IEEE802.1q는 프레임 태킹을 위한 표준방법이다.

- static : 스위치 포트마다 VLAN할당, 그 어떤 PORT를 꼽던 해당포트는 VLAN적용가능

- Dynamic : VMPS를 사용해 VLAN관리, 미리 VLAN과 MAC주소 매칭

1. access 모드 : 특정 VLAN에만 할당해 해당 VLAN 정보만 받음

2. Trunck 모드 : 여러 VLAN이 함꼐 지나다닐 수 있다.

*ISL(Inter Switch Link)

:

1. CISCO 스위치에 독점적으로 사용되고, 패스트 이더넷 링크와 기가 BIT 이더넷링크에만 사용되며 스위치 포트. 라우터 인터넷 그리고 서버 인터페이스 카드에서 서버로 트렁크 하기위해 사용

2. 서버트렁킹은 사용자가 기능적인 VLAN을 생성하거나 80/20 규칙을 깨고 싶지 않은 경우에 좋다.

3. 사용자는 회사공유서버에 액세스 하기 위해 L3을 통과할 필요는 없다.

*최소권한의 원칙 : 최소한의 권한만 허용 하여 권한의 남용을 방지

직무분리 : 업무의 발생, 승인, 변경, 확인, 배포등이 한사람에 의해 처리되지 않게 분리

*참조 모니터 : 주체의 객체에 대한 접근 통제 결정을 중재하는 OS의 보안 커널로서 일련의 소프트웨어이다. 우회 불가능, 부정조작 불가능, 검증가능성 특성 만족

1. 완전성

2. 격리

3. 검증성

*MAC(Mandatory Access Control)

:자동으로 시행되는 어떤 규칙에 기반하고 있다. 실제로 시행하기 우해 사용자와 타깃에 대해서 광범위한 그룹형성이 요구된다. rule-based, 강제적 접근통제, 주체의 객체에 대한 접근이 주체의 비밀취급 인가 레이블 및 객체의 민감도 테이블, 관리자에 의해서 권한이 할당되고 해제된다. 데이터에 의한 접근을 시스템이 통제, 비밀성을 포함하고 있는 객체에 대해 주체가 가지고 있는 권한에 근거하여 객체의 접근을 제한하는 정책.

주체와 객체의 특성에 관계된 특정규칙에 따른 접근통제 방화벽, Administratively-directed MAC, 객체에 접근 할 수 있는 시스템 관리자에 의한 통제, Compartment- based(CBP), 일련의 객체 집합을 다른 객체들과 분리, 동일 수준의 접근 허가를 갖는 부서라도 다른 보안 등급을 가질 수 있음, Multi-level Policy(MLP), Top Secret, Secret...과 같이 각 객체별로 지정된 허용등급을 할당하여 운용, 미국 국방성 컴퓨터 보안 평가 지표에 사용.

*DAC(Discretionary Access Control)

:객체의 소유자가 권한 부여, 접근하려는 사용자에 대해 권한을 추가 및 삭제, User, Identity –base, 사용자 신분에 따라 임의로 접근 제어, Unix, DBMS등의 상용 OS에서 구현이 가능, 접근 통제 목록 사용(ACL): Read, Write, Execute

*Non-DAC: 주체의 역할에 따라 접근할 수 있는 객체 지정, 기업내 개인의 작은 이동 및 조직 특성에 밀접하게 적용하기 위한 통제방식, Role-based, Task-based, 중앙관리자에 의해 접근 규칙을 지정

*RBAC(Role Based Access Control)

:권한들의 묶음으로 role을 만들어서 사용자에게 role단위로 권한을 할당하고 관리, 권한 할당과 해제의 편의성을 증대시키는 접근통제방법, 관리수월, 보안관리 단순화, 최소권한, 직무관리

*Capability List

:주체별로 객체를 링크드 리스트로 연결하고 권한 할당한 구조, 권한을 알기위해 탐색이 오래 걸리는 문제좀 존재

*Access Control List

:주체와 객체간의 접근권한을 테이블로 구성, 행에 주체 열에 객체 교차점에 권한, 분포도가 안정적일 때 적합, 객체기반 접근 제어(DAC), 테이블이 객체 관점

*Content Dependent Access Control(CDAC)

:데이터 베이스에서 가장 많이 사용되며 내용에 의해 이루어지는 접근통제방식 수행, 즉 데이터베이스에 사용자 정보 등록하고 입력된 정보와 비교하여 접근통제 수행

*패딩(Padding): 평문 마지막 블록이 암호되기 전 데이터로 채워지는지 정하는 법

*운영모드(operational Mode): 암호모드는 평문블록이 암호문블록으로 암호화 되는 방법을 결정

*대칭키 암호화 알고리즘

Transposition : 평문과 암호문 사용문자 집합 동일이 일대일

Substitution: 평문과 암호문 사용문자 집합 동일 상관없음

*암호문 단독공격: 암호 해독자는 단지 암호문만 가지고 평문, 키를 찾아내는 방법

기지 평문 공격 : 일정량 평문에 대응하는 암호문을 알고 공격

선택 평문 공격 : 평문을 선택해 암호문 습득 가능

선택 암호 공격 : 암호에 대해 평문 습득

*BLP : 허가된 비밀정보에 허가되지 않은 방식의 접근을 금지하는 기밀성 강조, MAC에 사용하는 최초의 수학적 모델

*Biba: 무결성을 목표로 주체에 대한 객체 접근 항목의 무결성을 다룬다.

*Clark-Wilson: 무결성 중심 상업적 모델로 주체, 소프트웨어, 객체, 직무분리 감사로 무결성 3가지 목적 구현

*위험수용 : 위험을 받아들이고 비용감수

위험감소 : 대책을 채택해 구현

위험회피 : 위험이 존재하는 프로세스나 사업 포기

위험전가 : 잠재적 비용을 제 3자에게 이전하거나 할당

*접근권한 부여, 변경, 말소에 대한 내역 기록

1. 개인안전 보호법 : 개인정보처리자 : 최소 3년

2. 정보통신망법 : 정보통신 서비스 제공자등 : 최소 5년

*접속 기록의 점검 및 관리

1. 개인정보보호법: 개인정보처리자 : 반기별 1회이상

2. 정보통신망법 : 정보처리자 : 월 1회 이상

*접속기록 보존관리

1. 개인정보보호법 : 개인정보처리자 : 6개월 이상

2. 정보통신망법 : 정보처리자 : 최소6개월 이상

3. 개인통신망법 : 기간통신사업자 : 최소 2년

*ISMS(Information Security Management System)

:한국인터넷진흥원에서 인증을 부여하는 것으로 정보통신 서비스를 제공하는 정보통신 제공자에 대한 인증이다.

의무 인증 대상자:

1. ISP 사업자로 전국적 통신망 서비스 제공사업자.

2. 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신 시설을 운영, 관리하는 사업자

3. 정보통신 매출액 100억 또는 이용자수 직전 3개월간의 일일 이용자수 100만명 이상인 사업자

4. 연간 매출액 및 세입이 1500억 이상인 기업중 상급종합병원, 1만명 이상 재학생이 있는 학교.

*주요 정보통신 기반시설의 지정

1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가, 사회적 중요성

2. 제 1호 규정에 의한 기관이 수행하는 업무의 정보통신 기반시설에 대한 의존도

3. 다른 정보통신기반시설과의 상호 연계성

4. 침해사고가 발행할 경우 국가 안전보장과 경제사회에 미치는 피해규모 및 범위

5. 침해사고의 발생가능성 또는 그 복구의 용의성

*개인정보영향 평가시 고려사항

1. 처리하는 개인정보의 수

2. 개인정보의 제 3자 제공여부

3. 정보주체의 권리를 해할 가능성 및 그 위험도

4. 대통령 령으로 지정된 사항

5. 민감한 정보 또는 고유식별정보의 처리여부

6. 개인정보 보유기관

*DRM(Digital Rights Management)

:디지털 콘텐츠를 안전하게 보호할 목적으로 암호화 기술을 이용하여 허가되지 않은 사용자로부터 콘텐츠 저작권 관련 당사자의 권리 및 이익을 지속적으로 보호 및 관리

1.암호화

2.인증

3.water marking

4.사용자 repository

5.사용자 권한 관리

6.temper proofing

*워터마킹: 디지털 정보에 사람이 인지할 수 없는 마크 삽입으로 디지털 콘텐츠 소유권 추적, 정보은닉 기술로 스테가노 그래픽 중 하나.

1.비인지성

2.강인성

3.연약성

4.위조방지

5.키제한

*워터마킹 공격 기법

1.filtering attack

2.copy attack

3.mosaic attack

4.template attack

*핑거프린트 기법: 워터마킹 기법중 하나. 디지털 콘텐츠에 원제작 정보와 함께 구매자 정보도 삽입해 불법 유통자 검출(Dual Watermark)

*DOI : 책이나 잡지등에 부여되는 식별번호

*RFID/USN(Radio Frequency Identification/ Ubiquitous Sensor Network)

:Micro-chip을 내장한 tag, label, card등에 저장된 data를 무선 주파수로 reader기에 자동 인식

1. kill tag: 사용자 요청에 따라 태그 무효화

2. Faraday cage 원리 : 주파수를 차단할 수 있는 차폐망

3. 방해전파: RFID태그의 신호를 인식할 수 없도록 방해 전파 전송

4. Blocker Tag: 외부침입을 막기위한 차단태그

5. 재 암호화 : 다시 정기적 암호화

*COPS(Computer Oracle And Passward System)

:유닉스 보안과 관련 프로그램을 묶어둔 패키지 파일, 디렉토리, 패스워드 파일등 취약점 점검

*tripwire : 무결성 검사

*Nessus : 취약점 스캐너

Nikto2 : 웹서버 취약점 검사

*Active Contents Attack

:메일 열람시 HTML기능이 있는 이메일 클라이언트나 웹 브라우저를 사용하는 이용자 대상 스크립트 기능으로 정보유출, 악성코드 실행

*PKI(Public Key Infrastructure)

:공인 인증의 구조

1. RA : 신원을 확인, 발급된 인증서 또는 상위 기관의 공개키를 사용자에게 전달

2. CA : 인증정책 수립 및 인증서 효력 정지 및 폐기목록 관리, 인증서 발급

3. CRL : CA가 생성, 인증기관 인증서 취소 목록으로 인증서 유효성 확인 가능

4. VA : 검증기관

5. LRA : 인증기관에서 운영하는 자체 등록기관

*X.509

:X500디렉토리 서비스에서 서로간의 인증을 위해 개발, CA에서 발행하는 인증서 기반, 공개키 인증서 표준 포맷, 사용자의 신원과 키 정보를 결합,

-> 공개키 인증서 표준 포맷: 발행자, 소유자, 소유자의 공개키, 유효기간, 고유번호, 알고리즘, 인증서 버전, 발급자 서명, 발급자 정보, 주체번호, 주체키

1. OID(Object Identifiers):

다양한 정보를 나타내기 위해 사용

(CA가 사용하는 RSA 또는 DSA와 같은 암호화 알고리즘, 인증정책등을 X.509인증서에 기록하기 위해 사용)

2. AI(Algorithm Identifiers):

암호화 알고리즘과 키에 대한 정보

3. DS(Directory String):

텍스트 정보, DS는 다양한 언어와 문자 사용을 위해 prinableString, TeletexString, BMPString, UTF8String, UniversalString등 으로 정의

4. DN(Distinguished Names):

국제적 디렉터리에서 X.509인증서 식별을 위해 계층적으로 이름 부여

5. GN(General Names):

X.509 인증서의 이름을 암호화 하기 위한 것으로 GN은 7개의 표준 이름 형태 사용

*OCSP(Online Certificate Status Protocol)

:은행에서 발급받은 인증서를 다른 곳에서도 인증받기 위해 상호인증을 수행하는 실시간 프로토콜

*MAC(Message Authentication Code)

:메세지의 인증에 쓰이는 작은 크기의 정보, MAC알고리즘은 비밀키를 입력받고 임의 길이의 메시지를 인증한다, MAC값은 검증자의 허가에 의해 메시지의 데이터 인증과 더불어 무결성을 보호.

*해시함수

:키가 없고 복호화가 불가능한 특징을 가지는 암호화 방식, 일방향 암호, MD는 무결성만 제공, 임의의 길이를 갖는 메시지를 입력하여 고정된 길이의 해시값 또는 해시코드라 불리는 값 생성, 동일한 입력메세지에[ 대해 동일한 값 생성, 해시값 만으로 입력메세지를 유추할 수 없다. 비밀번호와 같이 복호화 없이 입력값의 정확성 검증이 필요한 경우 등에 사용되고 있다. MIME에 취약해 상호 신뢰성 저하.

1. 압축

2. 일방향

3. 효율성

4. 충돌회피

5. 2차 선 이미지 회피성

*RSA 개념 및 특징

: 공개키 암호화 방식으로 DE-Facto standard, 소인수분해의 어려움을 기반으로 안정성을 제공, 암호화 및 디지털 서명 용도로 사용이 가능하다, RSA과정에서 송신자가 송신자의 개인키로 서명하고 서명의 복호화는 송신자의 공개키로 수행, P,Q는 소수

*PRNG(Psudeo Random Number Generator)

:난수를 생성하는 소프트웨어로 소프트웨어만으로 진정한 난수를 생성할 수 없음으로 의사 난수 생성기

*HRNG(Hardware Random Number Generator)

:난수생성기를 분류하는 기준으로 소프트웨어 및 하드웨어 난수 생성방식, 진정 난수, 알고리즘 파악 불가, 속도가 느리다.

*TRNG(True Random Number Generator)

:물리적 잡음 기반으로 난수 생성, 양수난수 생성기를 활용한 난수 생성 서비스가 해당된다.

*Access Control

:정당한 사용자에게 권한을 부여하고 그 외의 다른 사용자는 거부하기 위한 것, 사용자가 ID를 확인하는 과정을 식별, 패스워드가 정확한지 확인 과정을 인증, 인증이 끝나면 읽고, 쓰고, 실행 시키는 권한부여를 인가, 사용자는 주체, 파일은 객체이고 주체에 대한 객체 접근을 통제하는 것이 접근 통제이다.

- 주체 : 자원의 접근을 요구하는 사람

- 객체 : 자원을 가진 수동적인 개체

*Bounce Attack: 익명의 ftp서버를 경유하여 스캔, 네트워크 포트스캐닝을 위해 사용, ftp바운스 공격을 통해 전자 mail을 보내는 공격(fake mail), 익명의 사용자로 접근해 패스워드 없이 ftp서버에 악성코드 업로드, 특정파일 다운로드

*tFTP Attack : FTP보다 간단, 설정이 잘못되면 쉽게 가능

*Anonymous FTP Attack: 익명의 사용자에게 FTP서버 접근 허용, 익명의 사용자에게 쓰기 권한이 있을 때 악성코드 생성 가능

*FTP 서버 취약점: WUFTP 포맷 스트링 취약점 및 각종 버퍼 오버 플로우 공격, 스니핑, Brute Force Attack

*보안대책: Anonymous, 사용자의 root 디렉토리, bin, etc, pub 소유자 권한 관리, root\etc\passwd 파일에서 anonymousftp에서 불필요 항목 제거

*SMTP(Simple Mail Transfer Protocol)

전자메일을 보낼 때 사용되는 통신규약, tcp 25번 포트, osi 7계층

*POP3(Post Office Protocol version 3)

:응용계층의 프로토콜 원격서버로부터 tcp/ip 연결을 통해서 e-mail을 읽어오는데 사용되는 프로토콜, 읽지 않은 메일만 저장, 서버에 저장X

*IMAP 및 IMAP4

:POP과 달리 메일을 내려받더라도 원본은 계속 저장, 온 오프라인 유효

*MTA(Mail Transfer Agent) : 메일을 전송하는 서버

MDA(Mail Delivery Agent) : 수신측에 고용된 우체부

MUA(Mail User Agent) : 사용자들이 사용하는 클라이언트

*PGP(Pretty Good Privacy):

MIME(Multipurpose Internet Mail Extension)객체에 암호화와 전자서명기능을 추가한 암호화 프로토콜

1.전자서명: DSS/SHA, RSA/SHA

2.암호화 : IDEA, 3DES

3.1회용 세션키 : Diffie-Helman OR RSA

4.이메일 호환

5.세그멘테이션

*PEM(Privacy Enhanced Mail)

:중앙집중화된 키 인증방식, 구현이 어렵고 높은 보안성

1.메세지 암호화

2.디지털 서명 : RSA

3.인증

4.세션키 생성: MD2, MD5, 3DES

5.전자우편 호환

*S/MIME(Secure Multi Purpose Internet Mail Extension)

:표준 보안 메일 규약, 송신자와 수신자를 인증, 메시지 무결성 증명, 첨부파일을 포함, 메일 전체를 암호화, 인터넷 MIME + 전자서명 + 암호화, CA로부터 인증을 받아야 한다.

*SendMail 접근파일(Spam Mail 차단)

:etc/mail/access : 작성규칙

ok: 다른 룰이 거부해도 허용

relay: relay허용, 지정된 특정 도메인에 있는 사용자에게 오는 메일을 받음

reject: 수신/발신 거부

discard: 메일을 받기만 하고 완전히 폐기

501: 지정된 e-mail, Domain에 대해 보내는 사람의 주소가 전체, 부분적으로 일치할 경우 메일 거부

550 : 특정 Domain 관련 메일 거부

*SPAM MAIL 차단

RBL(Real Time Blocking): 이메일 수신시 간편하게 스팸여부를 ip리스트를 보고 차단

SPL(Sender Policy Framework): 송신자가 자신의 정보를 dns에 등록여부로 수신여부를 결정

*Spam Assasin

:점수이용, 90%이상 차단률, perl로 개발, rule기반하에 header와 body를 분석해 점수로 판단

*apache 웹서버의 설정파일은 etc/httpd/conf/httpd.conf

*SSL(Secures Socket Layer)

:netscape사에서 개발한 인터넷과 같은 개방환경에서 client와 server의 안전한 통신을 위해서 개발, RSA 공개키 알고리즘 사용, X.509지원, 4~7계층, 기밀성,무결성, 인증, 3 Way handshake

SSL구성요소

1.Change Cipher Spec Protocol: SSL중 가장 단순한 Protocol로 Hand Shake Protocol에서 협의된 암호 알고리즘, 키 교환 알고리즘, MAC암호화, Hash 알고리즘이 사용될 것을 웹 서버에 공지

2. Alert Protocol: SSL통신을 하는 도중 누군가의 ERROR나 세션종료등 일 때 첫 바이트 1(Warning), 2(Fatal 즉시종료), 두 번째 바이트는 어ᄄᅠᆫ 이유인지 Description 필드

3.Record Protocol: 상위 계층에서 전달받은 데이터를 Hand Shake Protocol에서 협의가 이루어진 암호 알고리즘. 데이터를 암호화 하고 산출된 데이터를 SSL에서 처리가 가능한 크기의 블록으로 나누고 압축

SSL 연결 순서

1.Client Hello : Hand Shake Protocol의 첫 단계로 클라이언트의 브라우저에서 지원하는 알고리즘, 키교환 알고리즘, MAC 알고리즘

2.Server Hello : Client Hello 메시지 내용중 서버가 지원할 수 있는 알고리즘들을 클라이언트에 전송

3.Server Hello Done: Client에게 서버의 요청이 완료되었음을 공지

4.Client 인증서: 서버에게 클라이언트의 인증요청 발생시 클라이언트의 인증서 전달

5.Premaster Key 전송: 전달받은 서버의 인증서를 통해 신뢰 할 수 있는 서버 인지 확인 후 암호 통신에 사용할 session key 생성후 이것들을 서버의 공개키로 암호화해 premaster key를 만들어 서버로 전송.

6.Change Ciper Spec: 앞의 단계에서 혐의된 암호알고리즘들을 이후부터 사용한 다는 것을 서버에게 알림

7.Finished: 서버에게 협의 종료를 전달

*Open SSL: SSL을 사용해서 보안서버를 구축하기 위해서 웹 서버에 OpenSSL패키지를 설치하고 개인키와 인증서등을 생성하면 된다. 장점은 웹브라우저는 할 일이 없다. OpenSSL은 SSL보안서버가 가지고 있는 개인키 필요. key.key이고 최소 2048이상, 대칭키(SEED)

OpenSSL version 옵션 -> 버전 확인

*OpenSSL 취약점: 하트블리드 취약점이라고도 하며 이것은 OpenSSL암호화 라이브러리의 하트비트라는 확장 모듈에서 발생한 것으로 웹브라우저가 요청했을 때 메모리에 저장된 평문 64KilloByte가 노출. 공격자는 하트비트 패킷헤더에서 payload길이를 조작해 웹서버에 전송. 웹서버는 공격자가 요청한 길이만큼 데이터를 메모리에서 읽어서 공격자에게 전송.

*DNS Query종류

1. Recursive Query: Local DNS서버에 쿼리를 보내 완성된 답을 요청

2. Iterative Query : Local DNS서버가 다른 DNS서버에게 Query를 보내어 답을 요청하고, 외부 도메인에서 개별적인 작업을 통해 정보를 얻어와 종합해서 알려준다.

세부방식: DNS서버에 요청은 클라이언트가 UDP로 DNS request를 DNS Server에 전송한다. DNS Request를 보낼 때 type이라는 필드에 요청하는 레코드의 구분자를 넣는다.

A: IPv4주소 AAAA:IPv6

*DNS 증폭공격(DNS Reflect Attack): Open DNS Resolver 서버를 이용해서 DNS Query의 type = ANY 로 설정.

*DNS 보안: dnsspoof라는 도구는 DNS Spoofing 가능 도구, 53번 포트 UDP모니터링

*DNS 싱크홀: 악성봇에 감염된 PC를 공격자가 조정하지 못하도록 악성 봇과 공격자 명령 차단 서비스

*DNSSEC: DNS캐시 포이즈닝과 DNS의 보안 취약점을 보완하기 위해서 등장한 기술이다. DNS응답정보에 전자서명값을 첨부하여 보내고 수신자측이 해당 서명값을 검증하므로 DNS 위변조 방지, 정보 무결성 제공. 공개키로 서명용 키쌍을 생성하여 사전에 배포, 원본 데이터와 추가된 전자서명 값을 함께 넷상에 제공

*DNS Cache Poisioning Server Attack

:Client는 Local Network인 DNS에 DNS Query를 보내면 Root DNS로부터 시작해서 Query를 조회한 다음 사용자가 요청한 www.abc.com의 정보를 받아서 쿼리에 대한 응답제공. Local DNS는 해당 정보를 Cache에 저장해두고 비슷한 요청이 오면 다른서버에 묻지도 않고 바로 전송. Local DNS 서버로 DNS쿼리 응답 패킷 전송. transaction ID는 16bit필드이고 0부터 32768번의 공격으로 transaction ID 맞출수 있다. 이때 잘못된 Query삽입.

*SSL VPN(Secured Socket Layer)

:웹 브라우저만 있으면 언제 어디서든 사용가능, ssl로 암호화, 서버와 client간 인증(RSA, X.509), 암호화 소켓 채널 이용, OSI 4~7계층, 세션기반 프로토콜, 대칭키+ 비대칭키, 인증, 무결성, 기밀성, 부인봉쇄, 단점은 자체 부하, 클라우드 서비스와 함께 사용

*IPSEC VPN(IP Security Protocol)

:인터넷 상에서 전용 회선과 같이 이용가능한 가상적인 전용회선 구축해 도청등 방지

1. 터널모드: 출발지에서 일반 패킷-> 중간에 IPSEC을 탑재한 중계장비가 전체를 암호화+ 중계장비에서 IP를 붙여서 전송 => 전체 암호화

2. 전송모드 : 패킷출발지에서 암호화 -> 목적지 복호화(END TO END) => 데이터만 암호화

3. ISAKMP:Security Association 키설정, 협상, 변경, 삭제등 sa관리와 키교환 정의

4. IKE: 키교환 담당, UDP 프로토콜, 500PORT 사용

AH(Authentication Header)

:데이터 무결성과 ip 패킷의 인증제공, mac기반, reply attack으로부터 보호, md5, sha-1인증 알고리즘 사용, 대칭키

ESP(Encapsulation Security Payload)

:전송자료를 암호화 하여 전송하고 수신자가 받은 자룔르 복호화 하여 수신, 인증, 무결성, 기밀성, Reply Attack방지, 암호화, AH와 달리 암호화를 제공(대칭키, DES, 3DES), 전체 패킷 암호화=> 터널모드

*PPTP VPN

:IP패킷을 Encapsulation 하여 ip network에 전송하기 위한 터널링 기법, 2계층에서 사용, RSA 사용

*L2TP(Layer 2 Tunneling Protocol)

:L2F + PPTP 호환성 고려, 터널링 프로토콜, 2계층 동작

*NAC(Network Access Control)

:end-point 보안 솔루션, 등록된 단말기만 네트워크에 접솔 할 수 있게 해주는 보안 솔루션

*데이터 마이닝: 데이터 베이스에서 이미 발견되지 않은 사건이나 패턴을 추출하는 행위기반, 정해진 패턴을 발견 하는 것은 아니다.

*SSID(Service Set ID)

:무선 LAN서비스 영역을 구분하기 위한 식별자로 AP는 동일한 SSID를 가진 클라이언트만 접속 허용

*WEP(Wired Equivalent Privacy)인증

:RC4 대칭형 암호화 알고리즘을 사용한 40bit키, 24bit길이의 iv에 연결되어 64, 128bit wep키열을 생성해 해당키로 암호화, 정적키 사용

*WPA(Wi-Fi Protected Access)

:WEP의 정적 키 관리에 대한 문제 보안, 128bit 동적 암호화&복호화

*TKIP(Temporal Key Integrity Protocol)

:사용자, 네트워크 세션, 전송프레임 별로 동적 키 생성

*WPA2는 128bit, 블록기반, AES방식 => 4-way handshaking

*EAP(Extensible Authentication Protocol)

:무선 네트워크와 점대점 연결에 자주 사용되는 인증 프레임 워크이다. EAP는 EAP방식들이 만들어 내는 키 요소와 매개변수의 전송 및 이용을 제공하기 위한 인증 프레임 워크이다, 단지 메시지 포맷을 정의한다, 프로토콜의 메시지 내의 EAP메세지들을 캡슐화 하는 방법 정의, 인증 메시지와 인증에 필요한 메시지 저장 규격을 정의하는 프로토콜

*스텔스 스캔: TCP Half Open Scan, Fin패킷을 이용한 스캔(xmas, null), ack패킷 스캔, TCP Fragmentation 스캔, 시간차 이용스캔

*관계형 데이터 베이스에서 어떤 릴레이션 속성이 가질 수 있는 값의 허용 범위는 domain이다.

*카디널리티는 데이터베이스 entity간에 가질수 있는 인스턴스 수 이다.

*Prepared Statement 함수는 자주 변경되는 부분을 변수로 두고 매번 다른 값을 binding하여 사용하는데 binding 데이터는 sql문법이 아닌 내부 인터프리터나 컴파일 언어로 처리하기 때문에 문법적 의미를 가질수 없다.

*메타 데이터란 데이터에 관한 데이터로 다른 데이터를 설명해 주는 데이터, 일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터이다.

*집성은 낮은 보안등급으로 높은 등급의 정보를 알아내는 것으로 정보가 하나하나 가치는 없지만 합치면 유추 가능

*보안등급 없는 일반 사용자가 기밀정보를 유추하는 행위는 추론

*다중실증은 다른 말로 다중인스턴스화 라고 한다, 추론문제에 대한 보안대책이다.

*stack에는 지역변수와 파라미터값(매개변수), 함수의 복귀주소가 저장되어 있고 힙 공간은 실행시 할당 됨으로 메모리의 크기는 프로그램이 실행 될 때 결정.

*TPM, HSM, 스마트카드 : HW암호화 기술

*SIM: 유럽 통신 단말 사용자 식별칩

*FTP: 서버에 파일을 올리거나 다운로드 하는 Protocol, 내부적으로 TCP프로토콜을 사용, 2개의 포트가 특징

- 명령포트 : 21번(고정)

- 데이터포트 : 변경

1.Active Mode: 데이터 포트 20번(고정)

2.Passive Mode: FTP서버가 자신의 데이터 포트 선정, 클라이언트도 자기 포트 결정

특징: 명령채널과 데이터 전송 채널이 독립적으로 동작.

1.tcp 3-way handshake 2.user, pass명령으로 인증 3. 성공시 230번 응답코드

FTP: TCP Protocol

tFTP: UDP기반, 인증X, 69번 포트

sFTP: 암호화

FTPUser : 특정사용자에 대한 FTP접근 제한

host.deny : ip접근 제한

host.allow : ip접근 허용

xferlog : FTP로그파일 (-L 옵션)

*PaaS(Platform as a Service)

:서비스를 개발할 수 있는 안정적인 환경과 그 환경을 이용하는 응용프로그램을 개발 할 수 있는 API까지 제공하는 형태

*클라우드 컴퓨터

:CLOUD COMPUTER는 인터넷 기반 컴퓨터의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술

*ASP(Active Server Page)

:마이크로 소프트사에서 동적으로 웹페이지들을 생성하기 위해서 개발한 서버 측 스크립트 엔진.

*스크립트

:매우 빠르게 배우고 작성하기 위해 고안, 보통 스크립트는 시작에서 끝날 때 까지 실행되며, 명확한 엔트리 포인트는 없다.

*컴파일: 어떤 언어의 코드를 다른언어로 바꾸어 주는 과정.

*스크립트 악성코드는 스크립트를 이해하고 실행하기 위해서 인터프린터가 있어야 한다.

*논리폭탄

: 특정날짜나 시간등이 충족되었을 때에 악의적인 function이 유발 할 수 있게 만든 코드의 일부분, 소프트웨어 시스템에 의도적으로 삽입 된 것이다.

*VBS(cript)

: 확장자는 vbs이다, 이메일에 첨부파일 형식으로도 전달 가능하다

*btmp: 로그인 실패 정보를 보관하고 있는 로그파일

*pacct: 사용자별 시간대 별로 명령어 보관

*utmp: 현재 로그인 중인 사용자 정보를 가지고 있는 로그 파일

*wtmp: 리눅스에 로그인과 로그아웃 정보를 가지고 있는 로그파일

*switch jamming

:스위치 장비가 mac주소 테이블을 사용해서 패킷을 포트에 스위칭 할 때에 스위치 기능을 마비 시키는 공격기법, 즉 스위치에 random으로 mac주소를 무한대로 전송하여 mac테이블의 저장용량을 초과하게 만들어 마비시킨다.

*icmp flooding: smurf라고도 불리며 공격자가 source ip address를 victim의 ip로 설정한 후, broadcast add로 icmp echo패킷을 전송하면 그 하위 모든 시스템들이 icmp echo reply패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 일으킨다.

*IDS(intrusion detection system): 침입탐지 시스템, 침입패턴정보를 db에 저장하고 지능형 엔진을 사용하여 네트워크나 시스템의 침입을 실시간으로 모니터링 할 수 있고 침입탐지 여부를 확인

- 정보수집

- 정보가공 및 축약

- 침입분석 및 탐지

- 보고 및 조치

1.오용탐지: 침입패턴 정보를 db에 저장하고 침입자가 네트워크 및 호스트를 사용하는 활동 기록과 비교하여 동일하면 침입으로 식별. false positive가 낮고 false negative가 높다.(시그니처 기반)

2. 비정상 행위 탐지: 정상패턴을 저장하고 정상과 다른 활동이 식별되면 모두 침입으로 식별, false positive가 높고 false negative가 낮다.(프로파일,statistical 기반)

*NIDS(Network Based Ids)

:네트워크에 흐르는 패킷들을 검사, 침입판단. 방화벽 외부의 dmz나 방화벽 내부의 내부 네트워크 모두 배치 가능, promiscuous모드로 동작하는 네트워크 카드나 스위치, 스캐닝,dos,해킹탐지 가능, 네트워크 자원의 손실 및 패킷 변조가 거의 불가능, 실시간 탐지, 부가장비 필요, 암호화 패킷은 분석안됨, false positive가 높다, 능동적 대응은 미비하다.

*HIDS(Host Based IDS)

:시스템 상 설치, 사용자가 시스템에서 행하는 행위, 파일의 체크로 판단, 주로 WEB SERVER, DB SERVER등 중요서버에 위치, 시스템 로그, 시스템 콜, 이벤트 로그, 내부자 공격, VIRUS, 트로이, 백도어 등 탐지, 침입성공 여부 식별 가능, 설치 관리가 간단, 감시영역이 좁음, 탐지 가능 공격이 적음, 정상적 사용자가 사용하기 힘듬.

*지식기반 탐지: 전문가 시스템, 시그니처 분석, 상태전이, 신경망, 유전 알고리즘, 패트리넷

*행위기반 탐지: 통계적 방법, 전문가 시스템, 신경망, 컴퓨터 면역학, 데이터마이닝, 기계학습

*침입대응 시스템(Intrusion Protection System)

:꾸준한 모니터링 필요 없음, 경고 이전에 중단목적, 자동해결, 실시간 가능, IDS문제점 보완

*NIPS(Network Intrusion Protection System)

:공격탐지에 기초하여 트래픽 통과 여부를 결정하는 인라인 장치

*HIPS(Host IPS)

:호스트 OS위에서 수행, 공격 탐지후 실행전 공격프로세스 차단.

*모바일 가상화

:개인을 모바일 단말기에서 기업의 업무를 처리할 수 있는 기술은 모바일 가상화

*Get Flooding(HTTP Get Flooding)

:TCP연결 이후에 발생하는 공격 (HTTP, SMPT, FTP, TELNET)->7계층

*DrDos(Distributed Reflction Denial Of Service)

:기존의 DDOS가 좀비 PC와 같이 공격 에이전트를 감염시켜 공격하는 대신 서버(반사체)를 이용해 증폭 공격

*UTM(United Threat Management)

:통합 보안 솔루션으로 Firewall, IDS, IPS, Anti-virus 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션, 구매비용은 줄어든다, 일관성 있는 보안정책

*SNORT

:구성은 action, protocol, ip address, port address, option

option: content, offset, depth, flags, dsize ...

*IPv6

:IPv4는 32bit 주소, IPv6는 128bit 주소, 총 8개의 헤더필드, IPSEC탑재 -> ESP로 암호화, AH로 인증

*VPN(Virtual Private Network)

:가상 사설망, 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합, 보안성이 우수하고 사용자 인증, 주소 및 라우터 체계의 비공개와 데이터 암호화, 사용자 Access권한 제어

1. 인증: 패스워드 + usb + 2-factor인증

2. 터널링 : vpn클라이언트와 vpn 서버간 암호화 키 교환과정 수행후 암호화 message

(ssl vpn은 설치 필요 없음, ipsec vpn은 설치 필요, pptp vpn은 윈도우에 기본으로 존재)