*RAID(Redundant Array Of Independent Disk)
RAID는 디스크 고장시 백업디스크가 그대로 복구할 수 있도록 2개이상의 디스크에 데이터를 저장할 수 있는 기술
RAID0 : 최소 2개의 디스크로 구성된다.
작은 디스크를 모아 하나의 큰 디스크로 만드는 기술
중복저장은 없기 때문에 디스크 장애시 복구 불가.
RAID1: Disk Mirroring은 여러 디스크에 데이터를 완전 이중화하여 저장
고비용,병렬적,속도가 빠르다.
RAID2: ECC기능이 없는 디스크의 오류복구를 위하여 개발
Hamming Code를 이용하여 오류 복구
RAID3: Parity 정보를 별도 Disk에 저장
1개의 디스크 장애시 Parity를 통해 복구 가능
write 기능 저하
RAID4: Parity정보를 별도 Disk에 저장
Block단위로 데이터디스크에 분산저장
RAID5: 분산 Parity를 구현해 안정성 향상
최소3개디스크
RAID6: Parity를 다중 저장
*TTL
window 운영체제 기반: ttl = 128
unix 운영체제 기반: ttl = 64
others 운영체제 기반: ttl = 255
(but 최대 –30까지 가능)
*ping은 icmp를 사용
*MMC(Microsoft Management Console)은 다양한 application을 위한 관리 인터페이스 제공
*SAM(Security Account Manager)은 윈도우 사용자 계정정보를 가지고 있다.
*SRM(Security Reference Monitor)은 윈도우 사용자에게 고유하게 sid를 할당하고 권한을 부여한다.
*LSA(Local Security Authority)은 모든 윈도우 사용자에 대해 로그인을 검증하고 시스템 자원 및 파일에 대한 접근권한 검사
*mstsc: 윈도우 터미널 인증 명령어(원격 조종을 위해 쓰인다)
*VNC(Virtual Network Computing): 컴퓨터 환경에서 RFB프로토콜을 이용하여 원격으로 다른 컴퓨터를 제어하는 시스템
*teamviewer : 컴퓨터 간 원격 제어, 데스크톱 공유, 파일전송을 위한 소프트웨어
*레지스트리
HKEY_CLASSES_ROOT: 파일간 확장자에 대한 정보와 파일과 프로그램 간에 연결에 대한 정보
HKEY_LOCAL_MACHINE: 설치된 HW&SW 설치 드라이버 설정에 대한 정보
HKEY_USERS: 사용자에 대한 정보
HKEY_CURRENT_CONFIG: 디스플레이 설정과 프린트 설정에 관한 정보
*하이브 파일
레지스트리 파일을 가지고 있는 물리적 파일
rededit.exe는 하이브 파일을 읽어서 보여주거나 변경하는 것으로 레지스트 관련 모든 정보는 하이브, 커널에 의해 관리
C:\WINDOWS\SYSTEM32\CONFIG
->Regback : 하이브 백업
*HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION
:윈도우 버전 정보를 가지고 있는 레지스트리 키
*HKLM\System\ControlSet00X\Control\computerName\ActiveComputerName
:컴퓨터 이름을 가지고 있는 레지스트리 키
*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
:윈도우 시작과 관련된 레지스트리 키
*HKEY_USER\{USER}\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RUNMRU
:최근 실행한 명령어 레지스트리 키
*레지스트리: 시스템 구성정보를 저장한 데이터 베이스 프로세서의 종류, 주기억장치의 용량,접속된 주변장치의 정보등이 기억.
*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RECENTDOCS
:최근에 열어본 문서
*레지스트리에서 추출된 파일은 변환기로 읽을 수 있다(바이너리)
*APT(Advanced Persistent Threat)
:잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합. sns를 사용한 정보수집, 악성코드 배포를 수행하고 공격의 표적을 선정해 지속적 공격
Zero Day Attack: 소프트웨어 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에 이루어 지는 공격
MAIL APT: 악성코드를 메일에 첨부해 발송하고 이를 통해 정보를 획득
백도어 APT: 포적에 침투후 백도어를 설치하여 재 침입시에 유입 경로를 열어두는 것 이다.
바이너리 디핑(Binary Diffing): APT공격이 아니라 ZERO ATTACK 취약점을 찾을수 있는 기법이다. 디핑기술을 사용해 스크립트 된 바이너리 함수 정보를 획득한다.
*드라이브 바이 다운로드
:인터넷에서 컴퓨터 SOFTWARE의 의도되지 않은 다운로드와 관련해서 2가지를 의미한다.
1. 결과에 대한 이해가 없는 개인이 허가한 다운로드들
2. 컴퓨터 바이러스, 스파이웨어 같은 개인의 인식없이 일어나는 것
*워터링 홀
:공격자는 표적에 대한 정보를 수집해 주로 방문한 웹사이트를 파악해서 미리 악성코드를 심어놓고 기다렸다가 공격
*메모리 구조
: 스택은 메모리의 연속된 공간에 할당된다. MALLOC과 FREE는 동적으로 메모리를 할당하거나 해제하는 것 으로 HEAP영역에서 사용되며 STACK과는 관련없다.
*IaaS(Infrastructure as a Service)
:서버를 운영하기 위해서는 서버지원, ip등을 구축하기 위해 여러 가지가 필요하다. iaas는 이러한 것들을 가상의 환경에서 쉽고 편리하게 이용 할 수 있게 서비스 형태로 제공함.
*PaaS(Platform as a Service)
:서비스를 개발할 수 있는 안정적인 환경과 그 환경을 이용하는 응용프로그램을 개발 할 수 있는 API까지 제공하는 형태
*클라우드 컴퓨터
:CLOUD COMPUTER는 인터넷 기반 컴퓨터의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술
*ASP(Active Server Page)
:마이크로 소프트사에서 동적으로 웹페이지들을 생성하기 위해서 개발한 서버 측 스크립트 엔진.
*스크립트
:매우 빠르게 배우고 작성하기 위해 고안, 보통 스크립트는 시작에서 끝날 때 까지 실행되며, 명확한 엔트리 포인트는 없다.
*컴파일: 어떤 언어의 코드를 다른언어로 바꾸어 주는 과정.
*스크립트 악성코드는 스크립트를 이해하고 실행하기 위해서 인터프린터가 있어야 한다.
*논리폭탄
: 특정날짜나 시간등이 충족되었을 때에 악의적인 function이 유발 할 수 있게 만든 코드의 일부분, 소프트웨어 시스템에 의도적으로 삽입 된 것이다.
*VBS(cript)
: 확장자는 vbs이다, 이메일에 첨부파일 형식으로도 전달 가능하다
*btmp: 로그인 실패 정보를 보관하고 있는 로그파일
*pacct: 사용자별 시간대 별로 명령어 보관
*utmp: 현재 로그인 중인 사용자 정보를 가지고 있는 로그 파일
*wtmp: 리눅스에 로그인과 로그아웃 정보를 가지고 있는 로그파일
*switch jamming
:스위치 장비가 mac주소 테이블을 사용해서 패킷을 포트에 스위칭 할 때에 스위치 기능을 마비 시키는 공격기법, 즉 스위치에 random으로 mac주소를 무한대로 전송하여 mac테이블의 저장용량을 초과하게 만들어 마비시킨다.
*icmp flooding: smurf라고도 불리며 공격자가 source ip address를 victim의 ip로 설정한 후, broadcast add로 icmp echo패킷을 전송하면 그 하위 모든 시스템들이 icmp echo reply패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 일으킨다.
*IDS(intrusion detection system): 침입탐지 시스템, 침입패턴정보를 db에 저장하고 지능형 엔진을 사용하여 네트워크나 시스템의 침입을 실시간으로 모니터링 할 수 있고 침입탐지 여부를 확인
- 정보수집
- 정보가공 및 축약
- 침입분석 및 탐지
- 보고 및 조치
1.오용탐지: 침입패턴 정보를 db에 저장하고 침입자가 네트워크 및 호스트를 사용하는 활동 기록과 비교하여 동일하면 침입으로 식별. false positive가 낮고 false negative가 높다.(시그니처 기반)
2. 비정상 행위 탐지: 정상패턴을 저장하고 정상과 다른 활동이 식별되면 모두 침입으로 식별, false positive가 높고 false negative가 낮다.(프로파일,statistical 기반)
*NIDS(Network Based Ids)
:네트워크에 흐르는 패킷들을 검사, 침입판단. 방화벽 외부의 dmz나 방화벽 내부의 내부 네트워크 모두 배치 가능, promiscuous모드로 동작하는 네트워크 카드나 스위치, 스캐닝,dos,해킹탐지 가능, 네트워크 자원의 손실 및 패킷 변조가 거의 불가능, 실시간 탐지, 부가장비 필요, 암호화 패킷은 분석안됨, false positive가 높다, 능동적 대응은 미비하다.
*HIDS(Host Based IDS)
:시스템 상 설치, 사용자가 시스템에서 행하는 행위, 파일의 체크로 판단, 주로 WEB SERVER, DB SERVER등 중요서버에 위치, 시스템 로그, 시스템 콜, 이벤트 로그, 내부자 공격, VIRUS, 트로이, 백도어 등 탐지, 침입성공 여부 식별 가능, 설치 관리가 간단, 감시영역이 좁음, 탐지 가능 공격이 적음, 정상적 사용자가 사용하기 힘듬.
*지식기반 탐지: 전문가 시스템, 시그니처 분석, 상태전이, 신경망, 유전 알고리즘, 패트리넷
*행위기반 탐지: 통계적 방법, 전문가 시스템, 신경망, 컴퓨터 면역학, 데이터마이닝, 기계학습
*침입대응 시스템(Intrusion Protection System)
:꾸준한 모니터링 필요 없음, 경고 이전에 중단목적, 자동해결, 실시간 가능, IDS문제점 보완
*NIPS(Network Intrusion Protection System)
:공격탐지에 기초하여 트래픽 통과 여부를 결정하는 인라인 장치
*HIPS(Host IPS)
:호스트 OS위에서 수행, 공격 탐지후 실행전 공격프로세스 차단.
*모바일 가상화
:개인을 모바일 단말기에서 기업의 업무를 처리할 수 있는 기술은 모바일 가상화
*Get Flooding(HTTP Get Flooding)
:TCP연결 이후에 발생하는 공격 (HTTP, SMPT, FTP, TELNET)->7계층
*DrDos(Distributed Reflction Denial Of Service)
:기존의 DDOS가 좀비 PC와 같이 공격 에이전트를 감염시켜 공격하는 대신 서버(반사체)를 이용해 증폭 공격
*UTM(United Threat Management)
:통합 보안 솔루션으로 Firewall, IDS, IPS, Anti-virus 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션, 구매비용은 줄어든다, 일관성 있는 보안정책
*SNORT
:구성은 action, protocol, ip address, port address, option
option: content, offset, depth, flags, dsize ...
*IPv6
:IPv4는 32bit 주소, IPv6는 128bit 주소, 총 8개의 헤더필드, IPSEC탑재 -> ESP로 암호화, AH로 인증
*VPN(Virtual Private Network)
:가상 사설망, 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합, 보안성이 우수하고 사용자 인증, 주소 및 라우터 체계의 비공개와 데이터 암호화, 사용자 Access권한 제어
1. 인증: 패스워드 + usb + 2-factor인증
2. 터널링 : vpn클라이언트와 vpn 서버간 암호화 키 교환과정 수행후 암호화 message
(ssl vpn은 설치 필요 없음, ipsec vpn은 설치 필요, pptp vpn은 윈도우에 기본으로 존재)
*SSL VPN(Secured Socket Layer)
:웹 브라우저만 있으면 언제 어디서든 사용가능, ssl로 암호화, 서버와 client간 인증(RSA, X.509), 암호화 소켓 채널 이용, OSI 4~7계층, 세션기반 프로토콜, 대칭키+ 비대칭키, 인증, 무결성, 기밀성, 부인봉쇄, 단점은 자체 부하, 클라우드 서비스와 함께 사용
*IPSEC VPN(IP Security Protocol)
:인터넷 상에서 전용 회선과 같이 이용가능한 가상적인 전용회선 구축해 도청등 방지
1. 터널모드: 출발지에서 일반 패킷-> 중간에 IPSEC을 탑재한 중계장비가 전체를 암호화+ 중계장비에서 IP를 붙여서 전송 => 전체 암호화
2. 전송모드 : 패킷출발지에서 암호화 -> 목적지 복호화(END TO END) => 데이터만 암호화
3. ISAKMP:Security Association 키설정, 협상, 변경, 삭제등 sa관리와 키교환 정의
4. IKE: 키교환 담당, UDP 프로토콜, 500PORT 사용
AH(Authentication Header)
:데이터 무결성과 ip 패킷의 인증제공, mac기반, reply attack으로부터 보호, md5, sha-1인증 알고리즘 사용, 대칭키
ESP(Encapsulation Security Payload)
:전송자료를 암호화 하여 전송하고 수신자가 받은 자룔르 복호화 하여 수신, 인증, 무결성, 기밀성, Reply Attack방지, 암호화, AH와 달리 암호화를 제공(대칭키, DES, 3DES), 전체 패킷 암호화=> 터널모드
*PPTP VPN
:IP패킷을 Encapsulation 하여 ip network에 전송하기 위한 터널링 기법, 2계층에서 사용, RSA 사용
*L2TP(Layer 2 Tunneling Protocol)
:L2F + PPTP 호환성 고려, 터널링 프로토콜, 2계층 동작
*NAC(Network Access Control)
:end-point 보안 솔루션, 등록된 단말기만 네트워크에 접솔 할 수 있게 해주는 보안 솔루션
*데이터 마이닝: 데이터 베이스에서 이미 발견되지 않은 사건이나 패턴을 추출하는 행위기반, 정해진 패턴을 발견 하는 것은 아니다.
*SSID(Service Set ID)
:무선 LAN서비스 영역을 구분하기 위한 식별자로 AP는 동일한 SSID를 가진 클라이언트만 접속 허용
*WEP(Wired Equivalent Privacy)인증
:RC4 대칭형 암호화 알고리즘을 사용한 40bit키, 24bit길이의 iv에 연결되어 64, 128bit wep키열을 생성해 해당키로 암호화, 정적키 사용
*WPA(Wi-Fi Protected Access)
:WEP의 정적 키 관리에 대한 문제 보안, 128bit 동적 암호화&복호화
*TKIP(Temporal Key Integrity Protocol)
:사용자, 네트워크 세션, 전송프레임 별로 동적 키 생성
*WPA2는 128bit, 블록기반, AES방식 => 4-way handshaking
*EAP(Extensible Authentication Protocol)
:무선 네트워크와 점대점 연결에 자주 사용되는 인증 프레임 워크이다. EAP는 EAP방식들이 만들어 내는 키 요소와 매개변수의 전송 및 이용을 제공하기 위한 인증 프레임 워크이다, 단지 메시지 포맷을 정의한다, 프로토콜의 메시지 내의 EAP메세지들을 캡슐화 하는 방법 정의, 인증 메시지와 인증에 필요한 메시지 저장 규격을 정의하는 프로토콜
*스텔스 스캔: TCP Half Open Scan, Fin패킷을 이용한 스캔(xmas, null), ack패킷 스캔, TCP Fragmentation 스캔, 시간차 이용스캔
*관계형 데이터 베이스에서 어떤 릴레이션 속성이 가질 수 있는 값의 허용 범위는 domain이다.
*카디널리티는 데이터베이스 entity간에 가질수 있는 인스턴스 수 이다.
*Prepared Statement 함수는 자주 변경되는 부분을 변수로 두고 매번 다른 값을 binding하여 사용하는데 binding 데이터는 sql문법이 아닌 내부 인터프리터나 컴파일 언어로 처리하기 때문에 문법적 의미를 가질수 없다.
*메타 데이터란 데이터에 관한 데이터로 다른 데이터를 설명해 주는 데이터, 일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터이다.
*집성은 낮은 보안등급으로 높은 등급의 정보를 알아내는 것으로 정보가 하나하나 가치는 없지만 합치면 유추 가능
*보안등급 없는 일반 사용자가 기밀정보를 유추하는 행위는 추론
*다중실증은 다른 말로 다중인스턴스화 라고 한다, 추론문제에 대한 보안대책이다.
*stack에는 지역변수와 파라미터값(매개변수), 함수의 복귀주소가 저장되어 있고 힙 공간은 실행시 할당 됨으로 메모리의 크기는 프로그램이 실행 될 때 결정.
*TPM, HSM, 스마트카드 : HW암호화 기술
*SIM: 유럽 통신 단말 사용자 식별칩
*FTP: 서버에 파일을 올리거나 다운로드 하는 Protocol, 내부적으로 TCP프로토콜을 사용, 2개의 포트가 특징
- 명령포트 : 21번(고정)
- 데이터포트 : 변경
1.Active Mode: 데이터 포트 20번(고정)
2.Passive Mode: FTP서버가 자신의 데이터 포트 선정, 클라이언트도 자기 포트 결정
특징: 명령채널과 데이터 전송 채널이 독립적으로 동작.
1.tcp 3-way handshake 2.user, pass명령으로 인증 3. 성공시 230번 응답코드
FTP: TCP Protocol
tFTP: UDP기반, 인증X, 69번 포트
sFTP: 암호화
FTPUser : 특정사용자에 대한 FTP접근 제한
host.deny : ip접근 제한
host.allow : ip접근 허용
xferlog : FTP로그파일 (-L 옵션)
'시험 > 정보보안기사' 카테고리의 다른 글
시스템보안 (1) | 2019.07.08 |
---|---|
1 (0) | 2019.06.28 |
정보보안기사 시험과목 및 시험방법 , 응시자격 (0) | 2017.02.09 |
정보보안기사 요약정리자료 (0) | 2017.01.18 |
2017년도 정보보안 국가기술자격검정 시험일정 (0) | 2017.01.02 |