Gamja's Farm

*DRM(Digital Rights Management)

:디지털 콘텐츠를 안전하게 보호할 목적으로 암호화 기술을 이용하여 허가되지 않은 사용자로부터 콘텐츠 저작권 관련 당사자의 권리 및 이익을 지속적으로 보호 및 관리

1.암호화

2.인증

3.water marking

4.사용자 repository

5.사용자 권한 관리

6.temper proofing

*워터마킹: 디지털 정보에 사람이 인지할 수 없는 마크 삽입으로 디지털 콘텐츠 소유권 추적, 정보은닉 기술로 스테가노 그래픽 중 하나.

1.비인지성

2.강인성

3.연약성

4.위조방지

5.키제한

*워터마킹 공격 기법

1.filtering attack

2.copy attack

3.mosaic attack

4.template attack

*핑거프린트 기법: 워터마킹 기법중 하나. 디지털 콘텐츠에 원제작 정보와 함께 구매자 정보도 삽입해 불법 유통자 검출(Dual Watermark)

*DOI : 책이나 잡지등에 부여되는 식별번호

*RFID/USN(Radio Frequency Identification/ Ubiquitous Sensor Network)

:Micro-chip을 내장한 tag, label, card등에 저장된 data를 무선 주파수로 reader기에 자동 인식

1. kill tag: 사용자 요청에 따라 태그 무효화

2. Faraday cage 원리 : 주파수를 차단할 수 있는 차폐망

3. 방해전파: RFID태그의 신호를 인식할 수 없도록 방해 전파 전송

4. Blocker Tag: 외부침입을 막기위한 차단태그

5. 재 암호화 : 다시 정기적 암호화

*COPS(Computer Oracle And Passward System)

:유닉스 보안과 관련 프로그램을 묶어둔 패키지 파일, 디렉토리, 패스워드 파일등 취약점 점검

*tripwire : 무결성 검사

*Nessus : 취약점 스캐너

Nikto2 : 웹서버 취약점 검사

*Active Contents Attack

:메일 열람시 HTML기능이 있는 이메일 클라이언트나 웹 브라우저를 사용하는 이용자 대상 스크립트 기능으로 정보유출, 악성코드 실행

*PKI(Public Key Infrastructure)

:공인 인증의 구조

1. RA : 신원을 확인, 발급된 인증서 또는 상위 기관의 공개키를 사용자에게 전달

2. CA : 인증정책 수립 및 인증서 효력 정지 및 폐기목록 관리, 인증서 발급

3. CRL : CA가 생성, 인증기관 인증서 취소 목록으로 인증서 유효성 확인 가능

4. VA : 검증기관

5. LRA : 인증기관에서 운영하는 자체 등록기관

*X.509

:X500디렉토리 서비스에서 서로간의 인증을 위해 개발, CA에서 발행하는 인증서 기반, 공개키 인증서 표준 포맷, 사용자의 신원과 키 정보를 결합,

-> 공개키 인증서 표준 포맷: 발행자, 소유자, 소유자의 공개키, 유효기간, 고유번호, 알고리즘, 인증서 버전, 발급자 서명, 발급자 정보, 주체번호, 주체키

1. OID(Object Identifiers):

다양한 정보를 나타내기 위해 사용

(CA가 사용하는 RSA 또는 DSA와 같은 암호화 알고리즘, 인증정책등을 X.509인증서에 기록하기 위해 사용)

2. AI(Algorithm Identifiers):

암호화 알고리즘과 키에 대한 정보

3. DS(Directory String):

텍스트 정보, DS는 다양한 언어와 문자 사용을 위해 prinableString, TeletexString, BMPString, UTF8String, UniversalString등 으로 정의

4. DN(Distinguished Names):

국제적 디렉터리에서 X.509인증서 식별을 위해 계층적으로 이름 부여

5. GN(General Names):

X.509 인증서의 이름을 암호화 하기 위한 것으로 GN은 7개의 표준 이름 형태 사용

*OCSP(Online Certificate Status Protocol)

:은행에서 발급받은 인증서를 다른 곳에서도 인증받기 위해 상호인증을 수행하는 실시간 프로토콜

*MAC(Message Authentication Code)

:메세지의 인증에 쓰이는 작은 크기의 정보, MAC알고리즘은 비밀키를 입력받고 임의 길이의 메시지를 인증한다, MAC값은 검증자의 허가에 의해 메시지의 데이터 인증과 더불어 무결성을 보호.

*해시함수

:키가 없고 복호화가 불가능한 특징을 가지는 암호화 방식, 일방향 암호, MD는 무결성만 제공, 임의의 길이를 갖는 메시지를 입력하여 고정된 길이의 해시값 또는 해시코드라 불리는 값 생성, 동일한 입력메세지에[ 대해 동일한 값 생성, 해시값 만으로 입력메세지를 유추할 수 없다. 비밀번호와 같이 복호화 없이 입력값의 정확성 검증이 필요한 경우 등에 사용되고 있다. MIME에 취약해 상호 신뢰성 저하.

1. 압축

2. 일방향

3. 효율성

4. 충돌회피

5. 2차 선 이미지 회피성

*RSA 개념 및 특징

: 공개키 암호화 방식으로 DE-Facto standard, 소인수분해의 어려움을 기반으로 안정성을 제공, 암호화 및 디지털 서명 용도로 사용이 가능하다, RSA과정에서 송신자가 송신자의 개인키로 서명하고 서명의 복호화는 송신자의 공개키로 수행, P,Q는 소수

*PRNG(Psudeo Random Number Generator)

:난수를 생성하는 소프트웨어로 소프트웨어만으로 진정한 난수를 생성할 수 없음으로 의사 난수 생성기

*HRNG(Hardware Random Number Generator)

:난수생성기를 분류하는 기준으로 소프트웨어 및 하드웨어 난수 생성방식, 진정 난수, 알고리즘 파악 불가, 속도가 느리다.

*TRNG(True Random Number Generator)

:물리적 잡음 기반으로 난수 생성, 양수난수 생성기를 활용한 난수 생성 서비스가 해당된다.

*Access Control

:정당한 사용자에게 권한을 부여하고 그 외의 다른 사용자는 거부하기 위한 것, 사용자가 ID를 확인하는 과정을 식별, 패스워드가 정확한지 확인 과정을 인증, 인증이 끝나면 읽고, 쓰고, 실행 시키는 권한부여를 인가, 사용자는 주체, 파일은 객체이고 주체에 대한 객체 접근을 통제하는 것이 접근 통제이다.

- 주체 : 자원의 접근을 요구하는 사람

- 객체 : 자원을 가진 수동적인 개체

*Bounce Attack: 익명의 ftp서버를 경유하여 스캔, 네트워크 포트스캐닝을 위해 사용, ftp바운스 공격을 통해 전자 mail을 보내는 공격(fake mail), 익명의 사용자로 접근해 패스워드 없이 ftp서버에 악성코드 업로드, 특정파일 다운로드

*tFTP Attack : FTP보다 간단, 설정이 잘못되면 쉽게 가능

*Anonymous FTP Attack: 익명의 사용자에게 FTP서버 접근 허용, 익명의 사용자에게 쓰기 권한이 있을 때 악성코드 생성 가능

*FTP 서버 취약점: WUFTP 포맷 스트링 취약점 및 각종 버퍼 오버 플로우 공격, 스니핑, Brute Force Attack

*보안대책: Anonymous, 사용자의 root 디렉토리, bin, etc, pub 소유자 권한 관리, root\etc\passwd 파일에서 anonymousftp에서 불필요 항목 제거

*SMTP(Simple Mail Transfer Protocol)

전자메일을 보낼 때 사용되는 통신규약, tcp 25번 포트, osi 7계층

*POP3(Post Office Protocol version 3)

:응용계층의 프로토콜 원격서버로부터 tcp/ip 연결을 통해서 e-mail을 읽어오는데 사용되는 프로토콜, 읽지 않은 메일만 저장, 서버에 저장X

*IMAP 및 IMAP4

:POP과 달리 메일을 내려받더라도 원본은 계속 저장, 온 오프라인 유효

*MTA(Mail Transfer Agent) : 메일을 전송하는 서버

MDA(Mail Delivery Agent) : 수신측에 고용된 우체부

MUA(Mail User Agent) : 사용자들이 사용하는 클라이언트

*PGP(Pretty Good Privacy):

MIME(Multipurpose Internet Mail Extension)객체에 암호화와 전자서명기능을 추가한 암호화 프로토콜

1.전자서명: DSS/SHA, RSA/SHA

2.암호화 : IDEA, 3DES

3.1회용 세션키 : Diffie-Helman OR RSA

4.이메일 호환

5.세그멘테이션

*PEM(Privacy Enhanced Mail)

:중앙집중화된 키 인증방식, 구현이 어렵고 높은 보안성

1.메세지 암호화

2.디지털 서명 : RSA

3.인증

4.세션키 생성: MD2, MD5, 3DES

5.전자우편 호환

*S/MIME(Secure Multi Purpose Internet Mail Extension)

:표준 보안 메일 규약, 송신자와 수신자를 인증, 메시지 무결성 증명, 첨부파일을 포함, 메일 전체를 암호화, 인터넷 MIME + 전자서명 + 암호화, CA로부터 인증을 받아야 한다.

*SendMail 접근파일(Spam Mail 차단)

:etc/mail/access : 작성규칙

ok: 다른 룰이 거부해도 허용

relay: relay허용, 지정된 특정 도메인에 있는 사용자에게 오는 메일을 받음

reject: 수신/발신 거부

discard: 메일을 받기만 하고 완전히 폐기

501: 지정된 e-mail, Domain에 대해 보내는 사람의 주소가 전체, 부분적으로 일치할 경우 메일 거부

550 : 특정 Domain 관련 메일 거부

*SPAM MAIL 차단

RBL(Real Time Blocking): 이메일 수신시 간편하게 스팸여부를 ip리스트를 보고 차단

SPL(Sender Policy Framework): 송신자가 자신의 정보를 dns에 등록여부로 수신여부를 결정

*Spam Assasin

:점수이용, 90%이상 차단률, perl로 개발, rule기반하에 header와 body를 분석해 점수로 판단

*apache 웹서버의 설정파일은 etc/httpd/conf/httpd.conf

*SSL(Secures Socket Layer)

:netscape사에서 개발한 인터넷과 같은 개방환경에서 client와 server의 안전한 통신을 위해서 개발, RSA 공개키 알고리즘 사용, X.509지원, 4~7계층, 기밀성,무결성, 인증, 3 Way handshake

SSL구성요소

1.Change Cipher Spec Protocol: SSL중 가장 단순한 Protocol로 Hand Shake Protocol에서 협의된 암호 알고리즘, 키 교환 알고리즘, MAC암호화, Hash 알고리즘이 사용될 것을 웹 서버에 공지

2. Alert Protocol: SSL통신을 하는 도중 누군가의 ERROR나 세션종료등 일 때 첫 바이트 1(Warning), 2(Fatal 즉시종료), 두 번째 바이트는 어ᄄᅠᆫ 이유인지 Description 필드

3.Record Protocol: 상위 계층에서 전달받은 데이터를 Hand Shake Protocol에서 협의가 이루어진 암호 알고리즘. 데이터를 암호화 하고 산출된 데이터를 SSL에서 처리가 가능한 크기의 블록으로 나누고 압축

SSL 연결 순서

1.Client Hello : Hand Shake Protocol의 첫 단계로 클라이언트의 브라우저에서 지원하는 알고리즘, 키교환 알고리즘, MAC 알고리즘

2.Server Hello : Client Hello 메시지 내용중 서버가 지원할 수 있는 알고리즘들을 클라이언트에 전송

3.Server Hello Done: Client에게 서버의 요청이 완료되었음을 공지

4.Client 인증서: 서버에게 클라이언트의 인증요청 발생시 클라이언트의 인증서 전달

5.Premaster Key 전송: 전달받은 서버의 인증서를 통해 신뢰 할 수 있는 서버 인지 확인 후 암호 통신에 사용할 session key 생성후 이것들을 서버의 공개키로 암호화해 premaster key를 만들어 서버로 전송.

6.Change Ciper Spec: 앞의 단계에서 혐의된 암호알고리즘들을 이후부터 사용한 다는 것을 서버에게 알림

7.Finished: 서버에게 협의 종료를 전달

*Open SSL: SSL을 사용해서 보안서버를 구축하기 위해서 웹 서버에 OpenSSL패키지를 설치하고 개인키와 인증서등을 생성하면 된다. 장점은 웹브라우저는 할 일이 없다. OpenSSL은 SSL보안서버가 가지고 있는 개인키 필요. key.key이고 최소 2048이상, 대칭키(SEED)

OpenSSL version 옵션 -> 버전 확인

*OpenSSL 취약점: 하트블리드 취약점이라고도 하며 이것은 OpenSSL암호화 라이브러리의 하트비트라는 확장 모듈에서 발생한 것으로 웹브라우저가 요청했을 때 메모리에 저장된 평문 64KilloByte가 노출. 공격자는 하트비트 패킷헤더에서 payload길이를 조작해 웹서버에 전송. 웹서버는 공격자가 요청한 길이만큼 데이터를 메모리에서 읽어서 공격자에게 전송.

*DNS Query종류

1. Recursive Query: Local DNS서버에 쿼리를 보내 완성된 답을 요청

2. Iterative Query : Local DNS서버가 다른 DNS서버에게 Query를 보내어 답을 요청하고, 외부 도메인에서 개별적인 작업을 통해 정보를 얻어와 종합해서 알려준다.

세부방식: DNS서버에 요청은 클라이언트가 UDP로 DNS request를 DNS Server에 전송한다. DNS Request를 보낼 때 type이라는 필드에 요청하는 레코드의 구분자를 넣는다.

A: IPv4주소 AAAA:IPv6

*DNS 증폭공격(DNS Reflect Attack): Open DNS Resolver 서버를 이용해서 DNS Query의 type = ANY 로 설정.

*DNS 보안: dnsspoof라는 도구는 DNS Spoofing 가능 도구, 53번 포트 UDP모니터링

*DNS 싱크홀: 악성봇에 감염된 PC를 공격자가 조정하지 못하도록 악성 봇과 공격자 명령 차단 서비스

*DNSSEC: DNS캐시 포이즈닝과 DNS의 보안 취약점을 보완하기 위해서 등장한 기술이다. DNS응답정보에 전자서명값을 첨부하여 보내고 수신자측이 해당 서명값을 검증하므로 DNS 위변조 방지, 정보 무결성 제공. 공개키로 서명용 키쌍을 생성하여 사전에 배포, 원본 데이터와 추가된 전자서명 값을 함께 넷상에 제공

*DNS Cache Poisioning Server Attack

:Client는 Local Network인 DNS에 DNS Query를 보내면 Root DNS로부터 시작해서 Query를 조회한 다음 사용자가 요청한 www.abc.com의 정보를 받아서 쿼리에 대한 응답제공. Local DNS는 해당 정보를 Cache에 저장해두고 비슷한 요청이 오면 다른서버에 묻지도 않고 바로 전송. Local DNS 서버로 DNS쿼리 응답 패킷 전송. transaction ID는 16bit필드이고 0부터 32768번의 공격으로 transaction ID 맞출수 있다. 이때 잘못된 Query삽입.

*SSL VPN(Secured Socket Layer)

:웹 브라우저만 있으면 언제 어디서든 사용가능, ssl로 암호화, 서버와 client간 인증(RSA, X.509), 암호화 소켓 채널 이용, OSI 4~7계층, 세션기반 프로토콜, 대칭키+ 비대칭키, 인증, 무결성, 기밀성, 부인봉쇄, 단점은 자체 부하, 클라우드 서비스와 함께 사용

*IPSEC VPN(IP Security Protocol)

:인터넷 상에서 전용 회선과 같이 이용가능한 가상적인 전용회선 구축해 도청등 방지

1. 터널모드: 출발지에서 일반 패킷-> 중간에 IPSEC을 탑재한 중계장비가 전체를 암호화+ 중계장비에서 IP를 붙여서 전송 => 전체 암호화

2. 전송모드 : 패킷출발지에서 암호화 -> 목적지 복호화(END TO END) => 데이터만 암호화

3. ISAKMP:Security Association 키설정, 협상, 변경, 삭제등 sa관리와 키교환 정의

4. IKE: 키교환 담당, UDP 프로토콜, 500PORT 사용

AH(Authentication Header)

:데이터 무결성과 ip 패킷의 인증제공, mac기반, reply attack으로부터 보호, md5, sha-1인증 알고리즘 사용, 대칭키

ESP(Encapsulation Security Payload)

:전송자료를 암호화 하여 전송하고 수신자가 받은 자룔르 복호화 하여 수신, 인증, 무결성, 기밀성, Reply Attack방지, 암호화, AH와 달리 암호화를 제공(대칭키, DES, 3DES), 전체 패킷 암호화=> 터널모드

*PPTP VPN

:IP패킷을 Encapsulation 하여 ip network에 전송하기 위한 터널링 기법, 2계층에서 사용, RSA 사용

*L2TP(Layer 2 Tunneling Protocol)

:L2F + PPTP 호환성 고려, 터널링 프로토콜, 2계층 동작

*NAC(Network Access Control)

:end-point 보안 솔루션, 등록된 단말기만 네트워크에 접솔 할 수 있게 해주는 보안 솔루션

*데이터 마이닝: 데이터 베이스에서 이미 발견되지 않은 사건이나 패턴을 추출하는 행위기반, 정해진 패턴을 발견 하는 것은 아니다.

*SSID(Service Set ID)

:무선 LAN서비스 영역을 구분하기 위한 식별자로 AP는 동일한 SSID를 가진 클라이언트만 접속 허용

*WEP(Wired Equivalent Privacy)인증

:RC4 대칭형 암호화 알고리즘을 사용한 40bit키, 24bit길이의 iv에 연결되어 64, 128bit wep키열을 생성해 해당키로 암호화, 정적키 사용

*WPA(Wi-Fi Protected Access)

:WEP의 정적 키 관리에 대한 문제 보안, 128bit 동적 암호화&복호화

*TKIP(Temporal Key Integrity Protocol)

:사용자, 네트워크 세션, 전송프레임 별로 동적 키 생성

*WPA2는 128bit, 블록기반, AES방식 => 4-way handshaking

*EAP(Extensible Authentication Protocol)

:무선 네트워크와 점대점 연결에 자주 사용되는 인증 프레임 워크이다. EAP는 EAP방식들이 만들어 내는 키 요소와 매개변수의 전송 및 이용을 제공하기 위한 인증 프레임 워크이다, 단지 메시지 포맷을 정의한다, 프로토콜의 메시지 내의 EAP메세지들을 캡슐화 하는 방법 정의, 인증 메시지와 인증에 필요한 메시지 저장 규격을 정의하는 프로토콜

*스텔스 스캔: TCP Half Open Scan, Fin패킷을 이용한 스캔(xmas, null), ack패킷 스캔, TCP Fragmentation 스캔, 시간차 이용스캔

*관계형 데이터 베이스에서 어떤 릴레이션 속성이 가질 수 있는 값의 허용 범위는 domain이다.

*카디널리티는 데이터베이스 entity간에 가질수 있는 인스턴스 수 이다.

*Prepared Statement 함수는 자주 변경되는 부분을 변수로 두고 매번 다른 값을 binding하여 사용하는데 binding 데이터는 sql문법이 아닌 내부 인터프리터나 컴파일 언어로 처리하기 때문에 문법적 의미를 가질수 없다.

*메타 데이터란 데이터에 관한 데이터로 다른 데이터를 설명해 주는 데이터, 일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터이다.

*집성은 낮은 보안등급으로 높은 등급의 정보를 알아내는 것으로 정보가 하나하나 가치는 없지만 합치면 유추 가능

*보안등급 없는 일반 사용자가 기밀정보를 유추하는 행위는 추론

*다중실증은 다른 말로 다중인스턴스화 라고 한다, 추론문제에 대한 보안대책이다.

*stack에는 지역변수와 파라미터값(매개변수), 함수의 복귀주소가 저장되어 있고 힙 공간은 실행시 할당 됨으로 메모리의 크기는 프로그램이 실행 될 때 결정.

*TPM, HSM, 스마트카드 : HW암호화 기술

*SIM: 유럽 통신 단말 사용자 식별칩

*FTP: 서버에 파일을 올리거나 다운로드 하는 Protocol, 내부적으로 TCP프로토콜을 사용, 2개의 포트가 특징

- 명령포트 : 21번(고정)

- 데이터포트 : 변경

1.Active Mode: 데이터 포트 20번(고정)

2.Passive Mode: FTP서버가 자신의 데이터 포트 선정, 클라이언트도 자기 포트 결정

특징: 명령채널과 데이터 전송 채널이 독립적으로 동작.

1.tcp 3-way handshake 2.user, pass명령으로 인증 3. 성공시 230번 응답코드

FTP: TCP Protocol

tFTP: UDP기반, 인증X, 69번 포트

sFTP: 암호화

FTPUser : 특정사용자에 대한 FTP접근 제한

host.deny : ip접근 제한

host.allow : ip접근 허용

xferlog : FTP로그파일 (-L 옵션)

*PaaS(Platform as a Service)

:서비스를 개발할 수 있는 안정적인 환경과 그 환경을 이용하는 응용프로그램을 개발 할 수 있는 API까지 제공하는 형태

*클라우드 컴퓨터

:CLOUD COMPUTER는 인터넷 기반 컴퓨터의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술

*ASP(Active Server Page)

:마이크로 소프트사에서 동적으로 웹페이지들을 생성하기 위해서 개발한 서버 측 스크립트 엔진.

*스크립트

:매우 빠르게 배우고 작성하기 위해 고안, 보통 스크립트는 시작에서 끝날 때 까지 실행되며, 명확한 엔트리 포인트는 없다.

*컴파일: 어떤 언어의 코드를 다른언어로 바꾸어 주는 과정.

*스크립트 악성코드는 스크립트를 이해하고 실행하기 위해서 인터프린터가 있어야 한다.

*논리폭탄

: 특정날짜나 시간등이 충족되었을 때에 악의적인 function이 유발 할 수 있게 만든 코드의 일부분, 소프트웨어 시스템에 의도적으로 삽입 된 것이다.

*VBS(cript)

: 확장자는 vbs이다, 이메일에 첨부파일 형식으로도 전달 가능하다

*btmp: 로그인 실패 정보를 보관하고 있는 로그파일

*pacct: 사용자별 시간대 별로 명령어 보관

*utmp: 현재 로그인 중인 사용자 정보를 가지고 있는 로그 파일

*wtmp: 리눅스에 로그인과 로그아웃 정보를 가지고 있는 로그파일

*switch jamming

:스위치 장비가 mac주소 테이블을 사용해서 패킷을 포트에 스위칭 할 때에 스위치 기능을 마비 시키는 공격기법, 즉 스위치에 random으로 mac주소를 무한대로 전송하여 mac테이블의 저장용량을 초과하게 만들어 마비시킨다.

*icmp flooding: smurf라고도 불리며 공격자가 source ip address를 victim의 ip로 설정한 후, broadcast add로 icmp echo패킷을 전송하면 그 하위 모든 시스템들이 icmp echo reply패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 일으킨다.

*IDS(intrusion detection system): 침입탐지 시스템, 침입패턴정보를 db에 저장하고 지능형 엔진을 사용하여 네트워크나 시스템의 침입을 실시간으로 모니터링 할 수 있고 침입탐지 여부를 확인

- 정보수집

- 정보가공 및 축약

- 침입분석 및 탐지

- 보고 및 조치

1.오용탐지: 침입패턴 정보를 db에 저장하고 침입자가 네트워크 및 호스트를 사용하는 활동 기록과 비교하여 동일하면 침입으로 식별. false positive가 낮고 false negative가 높다.(시그니처 기반)

2. 비정상 행위 탐지: 정상패턴을 저장하고 정상과 다른 활동이 식별되면 모두 침입으로 식별, false positive가 높고 false negative가 낮다.(프로파일,statistical 기반)

*NIDS(Network Based Ids)

:네트워크에 흐르는 패킷들을 검사, 침입판단. 방화벽 외부의 dmz나 방화벽 내부의 내부 네트워크 모두 배치 가능, promiscuous모드로 동작하는 네트워크 카드나 스위치, 스캐닝,dos,해킹탐지 가능, 네트워크 자원의 손실 및 패킷 변조가 거의 불가능, 실시간 탐지, 부가장비 필요, 암호화 패킷은 분석안됨, false positive가 높다, 능동적 대응은 미비하다.

*HIDS(Host Based IDS)

:시스템 상 설치, 사용자가 시스템에서 행하는 행위, 파일의 체크로 판단, 주로 WEB SERVER, DB SERVER등 중요서버에 위치, 시스템 로그, 시스템 콜, 이벤트 로그, 내부자 공격, VIRUS, 트로이, 백도어 등 탐지, 침입성공 여부 식별 가능, 설치 관리가 간단, 감시영역이 좁음, 탐지 가능 공격이 적음, 정상적 사용자가 사용하기 힘듬.

*지식기반 탐지: 전문가 시스템, 시그니처 분석, 상태전이, 신경망, 유전 알고리즘, 패트리넷

*행위기반 탐지: 통계적 방법, 전문가 시스템, 신경망, 컴퓨터 면역학, 데이터마이닝, 기계학습

*침입대응 시스템(Intrusion Protection System)

:꾸준한 모니터링 필요 없음, 경고 이전에 중단목적, 자동해결, 실시간 가능, IDS문제점 보완

*NIPS(Network Intrusion Protection System)

:공격탐지에 기초하여 트래픽 통과 여부를 결정하는 인라인 장치

*HIPS(Host IPS)

:호스트 OS위에서 수행, 공격 탐지후 실행전 공격프로세스 차단.

*모바일 가상화

:개인을 모바일 단말기에서 기업의 업무를 처리할 수 있는 기술은 모바일 가상화

*Get Flooding(HTTP Get Flooding)

:TCP연결 이후에 발생하는 공격 (HTTP, SMPT, FTP, TELNET)->7계층

*DrDos(Distributed Reflction Denial Of Service)

:기존의 DDOS가 좀비 PC와 같이 공격 에이전트를 감염시켜 공격하는 대신 서버(반사체)를 이용해 증폭 공격

*UTM(United Threat Management)

:통합 보안 솔루션으로 Firewall, IDS, IPS, Anti-virus 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션, 구매비용은 줄어든다, 일관성 있는 보안정책

*SNORT

:구성은 action, protocol, ip address, port address, option

option: content, offset, depth, flags, dsize ...

*IPv6

:IPv4는 32bit 주소, IPv6는 128bit 주소, 총 8개의 헤더필드, IPSEC탑재 -> ESP로 암호화, AH로 인증

*VPN(Virtual Private Network)

:가상 사설망, 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합, 보안성이 우수하고 사용자 인증, 주소 및 라우터 체계의 비공개와 데이터 암호화, 사용자 Access권한 제어

1. 인증: 패스워드 + usb + 2-factor인증

2. 터널링 : vpn클라이언트와 vpn 서버간 암호화 키 교환과정 수행후 암호화 message

(ssl vpn은 설치 필요 없음, ipsec vpn은 설치 필요, pptp vpn은 윈도우에 기본으로 존재)

*RAID(Redundant Array Of Independent Disk)

RAID는 디스크 고장시 백업디스크가 그대로 복구할 수 있도록 2개이상의 디스크에 데이터를 저장할 수 있는 기술

RAID0 : 최소 2개의 디스크로 구성된다.

작은 디스크를 모아 하나의 큰 디스크로 만드는 기술

중복저장은 없기 때문에 디스크 장애시 복구 불가.

RAID1: Disk Mirroring은 여러 디스크에 데이터를 완전 이중화하여 저장

고비용,병렬적,속도가 빠르다.

RAID2: ECC기능이 없는 디스크의 오류복구를 위하여 개발

Hamming Code를 이용하여 오류 복구

RAID3: Parity 정보를 별도 Disk에 저장

1개의 디스크 장애시 Parity를 통해 복구 가능

write 기능 저하

RAID4: Parity정보를 별도 Disk에 저장

Block단위로 데이터디스크에 분산저장

RAID5: 분산 Parity를 구현해 안정성 향상

최소3개디스크

RAID6: Parity를 다중 저장

*TTL

window 운영체제 기반: ttl = 128

unix 운영체제 기반: ttl = 64

others 운영체제 기반: ttl = 255

(but 최대 –30까지 가능)

*ping은 icmp를 사용

*MMC(Microsoft Management Console)은 다양한 application을 위한 관리 인터페이스 제공

*SAM(Security Account Manager)은 윈도우 사용자 계정정보를 가지고 있다.

*SRM(Security Reference Monitor)은 윈도우 사용자에게 고유하게 sid를 할당하고 권한을 부여한다.

*LSA(Local Security Authority)은 모든 윈도우 사용자에 대해 로그인을 검증하고 시스템 자원 및 파일에 대한 접근권한 검사

*mstsc: 윈도우 터미널 인증 명령어(원격 조종을 위해 쓰인다)

*VNC(Virtual Network Computing): 컴퓨터 환경에서 RFB프로토콜을 이용하여 원격으로 다른 컴퓨터를 제어하는 시스템

*teamviewer : 컴퓨터 간 원격 제어, 데스크톱 공유, 파일전송을 위한 소프트웨어

*레지스트리

HKEY_CLASSES_ROOT: 파일간 확장자에 대한 정보와 파일과 프로그램 간에 연결에 대한 정보

HKEY_LOCAL_MACHINE: 설치된 HW&SW 설치 드라이버 설정에 대한 정보

HKEY_USERS: 사용자에 대한 정보

HKEY_CURRENT_CONFIG: 디스플레이 설정과 프린트 설정에 관한 정보

*하이브 파일

레지스트리 파일을 가지고 있는 물리적 파일

rededit.exe는 하이브 파일을 읽어서 보여주거나 변경하는 것으로 레지스트 관련 모든 정보는 하이브, 커널에 의해 관리

C:\WINDOWS\SYSTEM32\CONFIG

->Regback : 하이브 백업

*HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION

:윈도우 버전 정보를 가지고 있는 레지스트리 키

*HKLM\System\ControlSet00X\Control\computerName\ActiveComputerName

:컴퓨터 이름을 가지고 있는 레지스트리 키

*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

:윈도우 시작과 관련된 레지스트리 키

*HKEY_USER\{USER}\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RUNMRU

:최근 실행한 명령어 레지스트리 키

*레지스트리: 시스템 구성정보를 저장한 데이터 베이스 프로세서의 종류, 주기억장치의 용량,접속된 주변장치의 정보등이 기억.

*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RECENTDOCS

:최근에 열어본 문서

*레지스트리에서 추출된 파일은 변환기로 읽을 수 있다(바이너리)

*APT(Advanced Persistent Threat)

:잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합. sns를 사용한 정보수집, 악성코드 배포를 수행하고 공격의 표적을 선정해 지속적 공격

Zero Day Attack: 소프트웨어 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에 이루어 지는 공격

MAIL APT: 악성코드를 메일에 첨부해 발송하고 이를 통해 정보를 획득

백도어 APT: 포적에 침투후 백도어를 설치하여 재 침입시에 유입 경로를 열어두는 것 이다.

바이너리 디핑(Binary Diffing): APT공격이 아니라 ZERO ATTACK 취약점을 찾을수 있는 기법이다. 디핑기술을 사용해 스크립트 된 바이너리 함수 정보를 획득한다.

*드라이브 바이 다운로드

:인터넷에서 컴퓨터 SOFTWARE의 의도되지 않은 다운로드와 관련해서 2가지를 의미한다.

1. 결과에 대한 이해가 없는 개인이 허가한 다운로드들

2. 컴퓨터 바이러스, 스파이웨어 같은 개인의 인식없이 일어나는 것

*워터링 홀

:공격자는 표적에 대한 정보를 수집해 주로 방문한 웹사이트를 파악해서 미리 악성코드를 심어놓고 기다렸다가 공격

*메모리 구조

: 스택은 메모리의 연속된 공간에 할당된다. MALLOC과 FREE는 동적으로 메모리를 할당하거나 해제하는 것 으로 HEAP영역에서 사용되며 STACK과는 관련없다.

*IaaS(Infrastructure as a Service)

:서버를 운영하기 위해서는 서버지원, ip등을 구축하기 위해 여러 가지가 필요하다. iaas는 이러한 것들을 가상의 환경에서 쉽고 편리하게 이용 할 수 있게 서비스 형태로 제공함.