*RAID(Redundant Array Of Independent Disk)

 

RAID는 디스크 고장시 백업디스크가 그대로 복구할 수 있도록 2개이상의 디스크에 데이터를 저장할 수 있는 기술

 

RAID0 : 최소 2개의 디스크로 구성된다.

작은 디스크를 모아 하나의 큰 디스크로 만드는 기술

중복저장은 없기 때문에 디스크 장애시 복구 불가.

 

RAID1: Disk Mirroring은 여러 디스크에 데이터를 완전 이중화하여 저장

고비용,병렬적,속도가 빠르다.

 

RAID2: ECC기능이 없는 디스크의 오류복구를 위하여 개발

Hamming Code를 이용하여 오류 복구

 

RAID3: Parity 정보를 별도 Disk에 저장

1개의 디스크 장애시 Parity를 통해 복구 가능

write 기능 저하

 

RAID4: Parity정보를 별도 Disk에 저장

Block단위로 데이터디스크에 분산저장

 

RAID5: 분산 Parity를 구현해 안정성 향상

최소3개디스크

 

RAID6: Parity를 다중 저장

 

*TTL

window 운영체제 기반: ttl = 128

unix 운영체제 기반: ttl = 64

others 운영체제 기반: ttl = 255

(but 최대 30까지 가능)

 

*ping은 icmp를 사용

 

*MMC(Microsoft Management Console)은 다양한 application을 위한 관리 인터페이스 제공

 

*SAM(Security Account Manager)은 윈도우 사용자 계정정보를 가지고 있다.

 

*SRM(Security Reference Monitor)은 윈도우 사용자에게 고유하게 sid를 할당하고 권한을 부여한다.

 

*LSA(Local Security Authority)은 모든 윈도우 사용자에 대해 로그인을 검증하고 시스템 자원 및 파일에 대한 접근권한 검사

 

*mstsc: 윈도우 터미널 인증 명령어(원격 조종을 위해 쓰인다)

 

*VNC(Virtual Network Computing): 컴퓨터 환경에서 RFB프로토콜을 이용하여 원격으로 다른 컴퓨터를 제어하는 시스템

 

*teamviewer 컴퓨터 간 원격 제어데스크톱 공유파일전송을 위한 소프트웨어

 

*레지스트리

HKEY_CLASSES_ROOT: 파일간 확장자에 대한 정보와 파일과 프로그램 간에 연결에 대한 정보

HKEY_LOCAL_MACHINE: 설치된 HW&SW 설치 드라이버 설정에 대한 정보

HKEY_USERS: 사용자에 대한 정보

HKEY_CURRENT_CONFIG: 디스플레이 설정과 프린트 설정에 관한 정보

 

*하이브 파일

레지스트리 파일을 가지고 있는 물리적 파일

rededit.exe는 하이브 파일을 읽어서 보여주거나 변경하는 것으로 레지스트 관련 모든 정보는 하이브커널에 의해 관리

C:\WINDOWS\SYSTEM32\CONFIG

->Regback : 하이브 백업

 

*HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION

:윈도우 버전 정보를 가지고 있는 레지스트리 키

 

*HKLM\System\ControlSet00X\Control\computerName\ActiveComputerName

:컴퓨터 이름을 가지고 있는 레지스트리 키

 

*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

:윈도우 시작과 관련된 레지스트리 키

 

*HKEY_USER\{USER}\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RUNMRU

:최근 실행한 명령어 레지스트리 키

 

*레지스트리시스템 구성정보를 저장한 데이터 베이스 프로세서의 종류주기억장치의 용량,접속된 주변장치의 정보등이 기억.

 

*HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\RECENTDOCS

:최근에 열어본 문서

 

*레지스트리에서 추출된 파일은 변환기로 읽을 수 있다(바이너리)

 

*APT(Advanced Persistent Threat)

:잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합. sns를 사용한 정보수집악성코드 배포를 수행하고 공격의 표적을 선정해 지속적 공격

 

Zero Day Attack: 소프트웨어 취약점을 공격하는 기술적 위협으로해당 취약점에 대한 패치가 나오지 않은 시점에 이루어 지는 공격

 

MAIL APT: 악성코드를 메일에 첨부해 발송하고 이를 통해 정보를 획득

 

백도어 APT: 포적에 침투후 백도어를 설치하여 재 침입시에 유입 경로를 열어두는 것 이다.

 

바이너리 디핑(Binary Diffing): APT공격이 아니라 ZERO ATTACK 취약점을 찾을수 있는 기법이다디핑기술을 사용해 스크립트 된 바이너리 함수 정보를 획득한다.

 

*드라이브 바이 다운로드

:인터넷에서 컴퓨터 SOFTWARE의 의도되지 않은 다운로드와 관련해서 2가지를 의미한다.

1. 결과에 대한 이해가 없는 개인이 허가한 다운로드들

2. 컴퓨터 바이러스스파이웨어 같은 개인의 인식없이 일어나는 것

 

*워터링 홀

:공격자는 표적에 대한 정보를 수집해 주로 방문한 웹사이트를 파악해서 미리 악성코드를 심어놓고 기다렸다가 공격

 

*메모리 구조

스택은 메모리의 연속된 공간에 할당된다. MALLOC과 FREE는 동적으로 메모리를 할당하거나 해제하는 것 으로 HEAP영역에서 사용되며 STACK과는 관련없다.

 

*IaaS(Infrastructure as a Service)

:서버를 운영하기 위해서는 서버지원, ip등을 구축하기 위해 여러 가지가 필요하다. iaas는 이러한 것들을 가상의 환경에서 쉽고 편리하게 이용 할 수 있게 서비스 형태로 제공함.


*PaaS(Platform as a Service)

:서비스를 개발할 수 있는 안정적인 환경과 그 환경을 이용하는 응용프로그램을 개발 할 수 있는 API까지 제공하는 형태

 

*클라우드 컴퓨터

:CLOUD COMPUTER는 인터넷 기반 컴퓨터의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술

 

*ASP(Active Server Page)

:마이크로 소프트사에서 동적으로 웹페이지들을 생성하기 위해서 개발한 서버 측 스크립트 엔진.

 

*스크립트

:매우 빠르게 배우고 작성하기 위해 고안보통 스크립트는 시작에서 끝날 때 까지 실행되며명확한 엔트리 포인트는 없다.

 

*컴파일어떤 언어의 코드를 다른언어로 바꾸어 주는 과정.

 

*스크립트 악성코드는 스크립트를 이해하고 실행하기 위해서 인터프린터가 있어야 한다.

 

*논리폭탄

특정날짜나 시간등이 충족되었을 때에 악의적인 function이 유발 할 수 있게 만든 코드의 일부분소프트웨어 시스템에 의도적으로 삽입 된 것이다.

 

*VBS(cript)

확장자는 vbs이다이메일에 첨부파일 형식으로도 전달 가능하다

 

*btmp: 로그인 실패 정보를 보관하고 있는 로그파일

 

*pacct사용자별 시간대 별로 명령어 보관

 

*utmp: 현재 로그인 중인 사용자 정보를 가지고 있는 로그 파일

 

*wtmp: 리눅스에 로그인과 로그아웃 정보를 가지고 있는 로그파일

 

 

*switch jamming

:스위치 장비가 mac주소 테이블을 사용해서 패킷을 포트에 스위칭 할 때에 스위치 기능을 마비 시키는 공격기법즉 스위치에 random으로 mac주소를 무한대로 전송하여 mac테이블의 저장용량을 초과하게 만들어 마비시킨다.

 

*icmp flooding: smurf라고도 불리며 공격자가 source ip address를 victim의 ip로 설정한 후, broadcast add로 icmp echo패킷을 전송하면 그 하위 모든 시스템들이 icmp echo reply패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 일으킨다.

*IDS(intrusion detection system): 침입탐지 시스템침입패턴정보를 db에 저장하고 지능형 엔진을 사용하여 네트워크나 시스템의 침입을 실시간으로 모니터링 할 수 있고 침입탐지 여부를 확인

정보수집

정보가공 및 축약

침입분석 및 탐지

보고 및 조치

1.오용탐지침입패턴 정보를 db에 저장하고 침입자가 네트워크 및 호스트를 사용하는 활동 기록과 비교하여 동일하면 침입으로 식별. false positive가 낮고 false negative가 높다.(시그니처 기반)

2. 비정상 행위 탐지정상패턴을 저장하고 정상과 다른 활동이 식별되면 모두 침입으로 식별, false positive가 높고 false negative가 낮다.(프로파일,statistical 기반)

 

*NIDS(Network Based Ids)

:네트워크에 흐르는 패킷들을 검사침입판단방화벽 외부의 dmz나 방화벽 내부의 내부 네트워크 모두 배치 가능, promiscuous모드로 동작하는 네트워크 카드나 스위치스캐닝,dos,해킹탐지 가능네트워크 자원의 손실 및 패킷 변조가 거의 불가능실시간 탐지부가장비 필요암호화 패킷은 분석안됨, false positive가 높다능동적 대응은 미비하다.

 

*HIDS(Host Based IDS)

:시스템 상 설치사용자가 시스템에서 행하는 행위파일의 체크로 판단주로 WEB SERVER, DB SERVER등 중요서버에 위치시스템 로그시스템 콜이벤트 로그내부자 공격, VIRUS, 트로이백도어 등 탐지침입성공 여부 식별 가능설치 관리가 간단감시영역이 좁음탐지 가능 공격이 적음정상적 사용자가 사용하기 힘듬.

 

*지식기반 탐지전문가 시스템시그니처 분석상태전이신경망유전 알고리즘패트리넷

 

*행위기반 탐지통계적 방법전문가 시스템신경망컴퓨터 면역학데이터마이닝기계학습

 

*침입대응 시스템(Intrusion Protection System)

:꾸준한 모니터링 필요 없음경고 이전에 중단목적자동해결실시간 가능, IDS문제점 보완

 

*NIPS(Network Intrusion Protection System)

:공격탐지에 기초하여 트래픽 통과 여부를 결정하는 인라인 장치

 

*HIPS(Host IPS)

:호스트 OS위에서 수행공격 탐지후 실행전 공격프로세스 차단.

 

*모바일 가상화

:개인을 모바일 단말기에서 기업의 업무를 처리할 수 있는 기술은 모바일 가상화

 

*Get Flooding(HTTP Get Flooding)

:TCP연결 이후에 발생하는 공격 (HTTP, SMPT, FTP, TELNET)->7계층

 

*DrDos(Distributed Reflction Denial Of Service)

:기존의 DDOS가 좀비 PC와 같이 공격 에이전트를 감염시켜 공격하는 대신 서버(반사체)를 이용해 증폭 공격

 

*UTM(United Threat Management)

:통합 보안 솔루션으로 Firewall, IDS, IPS, Anti-virus 등의 보안 솔루션을 하나의 하드웨어에 통합한 보안 솔루션구매비용은 줄어든다일관성 있는 보안정책

 

*SNORT

:구성은 action, protocol, ip address, port address, option

option: content, offset, depth, flags, dsize ...

 

*IPv6

:IPv4는 32bit 주소, IPv6는 128bit 주소총 8개의 헤더필드, IPSEC탑재 -> ESP로 암호화, AH로 인증

 

*VPN(Virtual Private Network)

:가상 사설망공중망을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합보안성이 우수하고 사용자 인증주소 및 라우터 체계의 비공개와 데이터 암호화사용자 Access권한 제어

1. 인증패스워드 + usb + 2-factor인증

2. 터널링 : vpn클라이언트와 vpn 서버간 암호화 키 교환과정 수행후 암호화 message

(ssl vpn은 설치 필요 없음, ipsec vpn은 설치 필요, pptp vpn은 윈도우에 기본으로 존재)



*SSL VPN(Secured Socket Layer)

:웹 브라우저만 있으면 언제 어디서든 사용가능, ssl로 암호화서버와 client간 인증(RSA, X.509), 암호화 소켓 채널 이용, OSI 4~7계층세션기반 프로토콜대칭키비대칭키인증무결성기밀성부인봉쇄단점은 자체 부하클라우드 서비스와 함께 사용

 

*IPSEC VPN(IP Security Protocol)

:인터넷 상에서 전용 회선과 같이 이용가능한 가상적인 전용회선 구축해 도청등 방지

1. 터널모드출발지에서 일반 패킷-> 중간에 IPSEC을 탑재한 중계장비가 전체를 암호화중계장비에서 IP를 붙여서 전송 => 전체 암호화

2. 전송모드 패킷출발지에서 암호화 -> 목적지 복호화(END TO END) => 데이터만 암호화

3. ISAKMP:Security Association 키설정협상변경삭제등 sa관리와 키교환 정의

4. IKE: 키교환 담당, UDP 프로토콜, 500PORT 사용

 

AH(Authentication Header)

:데이터 무결성과 ip 패킷의 인증제공, mac기반, reply attack으로부터 보호, md5, sha-1인증 알고리즘 사용대칭키

 

ESP(Encapsulation Security Payload)

:전송자료를 암호화 하여 전송하고 수신자가 받은 자룔르 복호화 하여 수신인증무결성기밀성, Reply Attack방지암호화, AH와 달리 암호화를 제공(대칭키, DES, 3DES), 전체 패킷 암호화=> 터널모드

 

*PPTP VPN

:IP패킷을 Encapsulation 하여 ip network에 전송하기 위한 터널링 기법, 2계층에서 사용, RSA 사용

 

*L2TP(Layer 2 Tunneling Protocol)

:L2F + PPTP 호환성 고려터널링 프로토콜, 2계층 동작

 

*NAC(Network Access Control)

:end-point 보안 솔루션등록된 단말기만 네트워크에 접솔 할 수 있게 해주는 보안 솔루션

 

*데이터 마이닝데이터 베이스에서 이미 발견되지 않은 사건이나 패턴을 추출하는 행위기반정해진 패턴을 발견 하는 것은 아니다.

 

*SSID(Service Set ID)

:무선 LAN서비스 영역을 구분하기 위한 식별자로 AP는 동일한 SSID를 가진 클라이언트만 접속 허용

 

*WEP(Wired Equivalent Privacy)인증

:RC4 대칭형 암호화 알고리즘을 사용한 40bit, 24bit길이의 iv에 연결되어 64, 128bit wep키열을 생성해 해당키로 암호화정적키 사용

 

*WPA(Wi-Fi Protected Access)

:WEP의 정적 키 관리에 대한 문제 보안, 128bit 동적 암호화&복호화

 

*TKIP(Temporal Key Integrity Protocol)

:사용자네트워크 세션전송프레임 별로 동적 키 생성

 

*WPA2는 128bit, 블록기반, AES방식 => 4-way handshaking

 

*EAP(Extensible Authentication Protocol)

:무선 네트워크와 점대점 연결에 자주 사용되는 인증 프레임 워크이다. EAP는 EAP방식들이 만들어 내는 키 요소와 매개변수의 전송 및 이용을 제공하기 위한 인증 프레임 워크이다단지 메시지 포맷을 정의한다프로토콜의 메시지 내의 EAP메세지들을 캡슐화 하는 방법 정의인증 메시지와 인증에 필요한 메시지 저장 규격을 정의하는 프로토콜

 

*스텔스 스캔: TCP Half Open Scan, Fin패킷을 이용한 스캔(xmas, null), ack패킷 스캔, TCP Fragmentation 스캔시간차 이용스캔

 

*관계형 데이터 베이스에서 어떤 릴레이션 속성이 가질 수 있는 값의 허용 범위는 domain이다.

 

*카디널리티는 데이터베이스 entity간에 가질수 있는 인스턴스 수 이다.

 

*Prepared Statement 함수는 자주 변경되는 부분을 변수로 두고 매번 다른 값을 binding하여 사용하는데 binding 데이터는 sql문법이 아닌 내부 인터프리터나 컴파일 언어로 처리하기 때문에 문법적 의미를 가질수 없다.

 

*메타 데이터란 데이터에 관한 데이터로 다른 데이터를 설명해 주는 데이터일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터이다.

 

*집성은 낮은 보안등급으로 높은 등급의 정보를 알아내는 것으로 정보가 하나하나 가치는 없지만 합치면 유추 가능

 

*보안등급 없는 일반 사용자가 기밀정보를 유추하는 행위는 추론

 

*다중실증은 다른 말로 다중인스턴스화 라고 한다추론문제에 대한 보안대책이다.

 

*stack에는 지역변수와 파라미터값(매개변수), 함수의 복귀주소가 저장되어 있고 힙 공간은 실행시 할당 됨으로 메모리의 크기는 프로그램이 실행 될 때 결정.

 

*TPM, HSM, 스마트카드 : HW암호화 기술

 

*SIM: 유럽 통신 단말 사용자 식별칩

 

*FTP: 서버에 파일을 올리거나 다운로드 하는 Protocol, 내부적으로 TCP프로토콜을 사용, 2개의 포트가 특징

명령포트 : 21(고정)

데이터포트 변경

 

1.Active Mode: 데이터 포트 20(고정)

2.Passive Mode: FTP서버가 자신의 데이터 포트 선정클라이언트도 자기 포트 결정

 

특징명령채널과 데이터 전송 채널이 독립적으로 동작.

1.tcp 3-way handshake 2.user, pass명령으로 인증 3. 성공시 230번 응답코드

FTP: TCP Protocol

tFTP: UDP기반인증X, 69번 포트

sFTP: 암호화

 

FTPUser : 특정사용자에 대한 FTP접근 제한

host.deny : ip접근 제한

host.allow : ip접근 허용

xferlog : FTP로그파일 (-L 옵션)

 

+ Recent posts