외로운 Nova의 작업실

시스템 보안 - 이벤트 뷰어 이벤트 뷰어 : 윈도우에서 로그를 조회하고 관리하는 도구 애플리케이션 로그(application.evtx) : 응용 프로그램이 남기는 다양한 이벤트 시스템로그(system.evtx) : 시스템 시작 및 RDP 연결 등의 로그 보안 로그(security.evtx) : 로그인 성공 및 네트워크 로그인 로그 - 감사 정책 개체 액세스 : 파일 디렉터리등에대한 객체 기록 계정 액세스 : 계정 관리 이벤트 감사 계정 로그온 이벤트 : 도메인 계정에 대한 로그온 성공 권한 사용 : 권한 사용의 성공 및 실패 감사 디렉토리 서비스 액세스 : AD 개체의 사용자가 액세스 감사 로그온 이벤트 : 로컬 계정에 대한 로그온/오프 감사 시스템 이벤트 : 시스템 시작 또는 종료 감사 정책 변경 : ..

- 서버 보안 체계 아무런 서버 보안 체계가 없는 경우 접근해야할 부분은 아래와 같습니다. 1. 계정 관리 체계 구축 2. 서비스 관리 체계 구축 3. 파일 및 디렉토리 권한 체계 구축 4. 방화벽 관리 체계 구축 5. 로그 기록 및 감시 체계 구축

- 정보 주체 동의 시 고지 의무사항 왜 : 개인정보의 수집,이용 목적 무엇을 : 수집하려는 개인정보 항목 언제까지 : 개인정보의 보유 및 이용 기간 추가 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 - 제3자 제공에 따른 정보주체 동의시 고지 의무 사항 누구에게 : 개인정보를 제공 받는 자 왜 : 개인정보를 제공받자는 자의 개인정보 이용목적 무엇을 : 제공하는 개인정보의 항목 언제까지 : 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 추가 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 - 아동의 개인정보 수집 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야합니다. ..

- 침입탐지 시스템(snort) 스노트는 1998년 마틴 로시에의해 개발되었고 패킷 스니퍼, 패킷 로거, 네트워크 IDS/IPS로 이루어져있습니다. - snort 룰 설정 스노트는 룰 헤더로 무엇을 탐지할 것인지 결정하고 룰 바디로 어떻게 탐지할 것인지 결정합니다. 예시로 알아보겠습니다. #모든 tcp ip , 모든 포트에서 1.1.1.1:80으로 가는 패킷들을 감지합니다. alert tcp any any -> 1.1.1.1 80 #1.1.1.1:80과 2.2.2.2:80이 서로 통신하는 패킷을 감지합니다. log tcp 1.1.1.1 80 2.2.2.2 80 #외부와 내부가 서로 통신하는 패킷을 감지합니다. $변수는 snort.conf 파일에 정의합니다. log tcp $EXTERNAL_NET any ..

- DNS 1. 로컬 dns 캐시 2. hosts.ics(인터넷 연결 공유 기능 사용시 클라이언트의 IP를 강제로 지정하는 기능을 가진 설정파일) 3. hosts 4. 네임서버 ipconfig /displaydns dig는 리눅스와 유닉스 계열에서 nslookup을 대체하기위해 만들어진 명령어 입니다. 사용방법은 아래와 같습니다. dig @192.168.10.10 www.google.com 192.168.10.10 네임서버에게 www.google.com의 ip를 물어보고 있습니다. DNS는 반복적 질의를 요청하여 부하가 발생하는 것을 막기 위해 캐시를 사용하고 TTL 동안 이를 유지합니다. 단, 취약한 점이 있는데, 반복적 질의를 요청한후 응답이 도착하면 인증없이 그 정보룰 캐시에 저장한다는 점입니다. ..

- 서문 필기와 겹치는게 많아 중요한 내용만 정리하겠습니다. - 허브 환경에서의 스니핑 더미 허브는 전달받은 패킷을 단순히 연결된 모든 노드로 전송하기때문에 허브에 연결되어 있는 모든 노드는 스니퍼를 통한 스니핑이 용이합니다. 네트워크 카드의 동작모드를 무차별 모드(promiscuous mode)로 설정하면 패킷을 모두 수신합니다. - 스위치 환경에서의 스니핑 공격 기법 스위치 MAC Address Table의 버퍼를 오버플로우를 시키면 스위치는 스위칭기능을 못하고 더미 허브처럼 연결된 모든 노드에게 패킷을 전송합니다. 따라서 MAC 주소를 변경하면서 패킷을 지속적으로 전송해 오버플로우를 시킨후 스니핑을 시전합니다. - 내가 특정 호스트이다! 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위..

- 계정 관리 기본 관리자 계정인 Administrator를 그대로 사용할 경우 악의적인 공격자에의해 패스워드 무차별 공격에 취약할 수 있습니다. 따라서 유추하기 어려운 계정명으로 변경할 것을 권장합니다. 로컬 보안정책 > 보안 옵션 > Administator 계정 이름 바꾸기 Guest 계정은 불특정 사용자의 시스템 접근을 허용하는 취약한 계정으로 사용 제한을 권장하며 불특정 다수의 접근이 필요한 경우 Guest가 아닌 일반 사용자 계정을 생성해 사용하도록 해야합니다. 컴퓨터관리 > 로컬및 사용자 그룹 > Guest > 계정사용 안함 불필요한 계정이 있을경우 삭제합니다. 관리자 그룹에는 최소한의 계정만을 포함하고 불필요한 계정이 있다면 제거 해야합니다. 컴퓨터 관리 > 로컬 사용자 및 그룹 > 그룹 >..

- 계정 관리 원격 접속 프로그램인 remote에 pam의 인증모듈중 root 계정의 원격접속을 금지하는 pam_securetty.so 모듈을 사용하도록 추가해야합니다. 이렇게 하면 telnet 서비스로 root 계정 원격 접속 하는 것을 막습니다. ssh도 막아야합니다. ssh는 sshd_config 설정 파일을 통해서 막을 수 있습니다. PermitRootLogin을 no로 바꿔줘야합니다. 무작위 대입 공격을 막기위해 계정 잠금 임계값을 지정(권장 5회이상)하여 초과시 계정을 일정 시간 잠궈야합니다. pam_tally2.so(또는 pam_tally.so)를 이용합니다. 먼저, system-auth 설정파일에 모듈을 추가합니다. 추가로 no_magic_root 옵션이 있는데 root 계정은 패스워드 잠..

- 윈도우 기본 학습 윈도우는 사용자를 LSA서버 서비스를 통하여 인증하고 접근제어를 합니다. 아래는 윈도우 인증 서비스를 그림으로 나타낸 것입니다. SAM파일에는 사용자와 그룹 계정의 패스워드 정보가 담겨있는 중요한 파일입니다. 이에따라 적절한 접근 통제가 필요합니다. Administrators 및 System 그룹 외에는 SAM 파일에대한 접근을 제한합니다. Lan Manager은 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업시 인증을 담당하는 서비스입니다. 이때 사용하는 알고리즘중에 NT와 NTLM의 해시함수는 취약하기때문에 NTLMv2 버전의 알고리즘만 사용해야합니다. - UNIX/LINUX 기본 학습 유닉스는 사용자가 계정과 패스워드를 입력하면 /etc/passwd의 계정, 패스워드를 비..

해당 문서는 시험 전에 다시한번 봐야할 부분을 정리해보도록 하겠습니다. 1. 동기식 스트림암호화 비동기식 스트림 암호의 특징 - 동기식 스트림 암호와 비동기식 스트림 암호 동기식 스트림 암호 : 스트림 암호에서 키 스트림은 평문 혹은 암호문 스트림과 독립적인 암호를 말합니다. ex) One time pad : 암호화를 수행할때 랜덤하게 생성된 키 스트림을 사용합니다. 전수공격법으로 해독을 하여도 여러가지 버전의 평문을 얻게되므로 이론적으로 해독 불가능하다고 알려져 있습니다. 암호화와 복호화에서 상호 동기화가 필수입니다. 암호화에서 만든 키스트림을 복호화에서도 똑같이 키스트림을 만들어야하기때문에 입을 맞춰야하기때문이빈다. 전송도중 변조되어도 후속 암호문에 오류의 영향이 파급되지 않습니다. 암호스트림을 전송..