4 - 시스템 보안

시스템 보안 개요

---

 

NAC (network access control) : 사내 네트워크(LAN)에서  WI-FI AP 에 접속할려고 할 시 바로 IP를 주는 것이 아니라 

 

아이디 + PW 입력하여 로그인 하면 1. NAC에 접속 됐는지 확인  2. 사내 PC가 맞는지 3. 백신이 설치돼 있는가? 모든 절

 

차가 완료되면 접근을 허가해 준다.

 

접근제어 - 3요소 주체, 객체, 접근

 

보통 텔넷, FTP는 default로 허용을 접근하지 않는다. 보통 ssh, sftp만을 허락한다.

 

---

TCPwrapper

TCPwrapper는 아주 낮은 레벨의 방화벽 역활을 한다. 

 

화이트리스트와 블랙리스트중 어떤 것이 운영하기 쉬운가? 정답은 블랙리스트

 

화이트리스트 정책 :  다 막아 →  1번 2번 3번만 열어. 그러나 인원이 많으면 특정 사이트들을 막기 힘들다(업무적으로 어떤것들이 필요한지 알 수 없으므로)

 

블랙리스트 정책: 1번 2번 3번 막아 → 나머지는 다 열어.(특정 IP만 막고 나머지는 전부 허용해주기 때문에 관리 용이)

 

---

네트워크 장비

요즘은 네트워크 장비들도 GUI가 있다. ACL(IP목록으로)접근제어를 한다.

---

 

윈도우의 권한 관리 규칙

Windows에서는 허용권한이 없으면 거부를 의미하지 않는다. 특정한 사용자에게 명백한 접근을 거부하지 않을 시 위험할 수 있다. 그래서 Guest한테는 명백한 거부가 필요하다.

---

유닉스의 권한 관리 상세

---

데이터베이스 권한 관리

뷰 권한 관리(조회만 가능한 테이블)

뷰를 통해 권한을 관리할 수 있다.

---

로그관리

시스템의 처리 내용이나 이용상황을 시간의 흐름에 따라 기록한 것. 대량을  생성되므로 항상 관리가 필요, 취약점 관리 시에도 중요하다.

 

로그는 AAA관점에서 남겨야 한다.

Authentication(인증) Authorization(인가) Accouting(책임추적성)

인증하고 인가한 모든 행위에 대한 기록이 상세하게 남고, 법적으로 인정받을 수 있는 기록들이 책임 추적성이다.

 

---

윈도우 로그 종류

사고가 발생 시 계정 로그인 이벤트부터 확인 후 프로세스 추적, 객체 엑세스 등을 확인한다.

 

윈도우 로그 이벤튜 뷰어에는 로그의 종류, 날짜 및 시간, 로그 관련 영역, 해당 이벤트 사용자 및 컴퓨터의 정보를 확인 가능

---

유닉스 로그종류

utmp 로그는 w, who, finger 명령어를 사용하여 확인. 계정 이름, 로그린 디바이스 등이 뜬다.

 

wtmp 로그는 last 명령어를 통해 확인가능. 사용자들의 로그인, 로그아웃 등 확인 가능

 

syslog, history, secure, sulog, xferlog, lasglog 등이 있다.

 

---

 

아파치 웹 서버의 로그 확인 방법을 알아야 한다.

 

---

네트워크의 경우 대량의 트래픽 생성. 대부분 트래픽이 일시적 존재. 네트워크 보안 로그, 네트워크 관리시스템로그, 네트워크 인증 시스템로그 3가지 관점으로 네트워크를 봐라봐야 한다.

 

---

윈도우 서버

---

, 리눅스 등 운영체제를 무조건적으로 설치해봐라.

---

취약점 관리를 위해서는 패치(patch)가 중요하다.  자동 업데이트 또는 중요 서버는 패치 안정성 확인 후 수동 적용을 해야한다. (시스템이 먹통이 될 수 있다.)

---

운영체제

 

운영체제의 자원 관리

 

정말 중요한 시스템이 아니고서야 unix보다 리눅스를 많이 쓴다.

---

시스템 부팅 과정

BIOS가 부트로더를 로딩을 한다 →  부트로더는 부트섹터의 OS(부트코드 로드)를 열 수 있는 섹터를 찾아가서 실행 →

커널이지미 실행 → 운영체제 실행

 

---

커널 : 시스템 하드웨어와 유저 애플리케이션 연동을 위하여 보안, 자원관리, 추상화, 보안을 수행하는 운영체제 제공서비스 프로그램

 

주기능 : 프로세스 스케줄링, 보안 등

리눅스 커널 맵(한 번 정도 사이트 들어가서 확인해보는 게 좋다)

---

시스템 콜 : 사용자에게 커널 레벨의 작업을 수행할 수 있도록 특권을 부여하는 인터페이스/함수

---

프로세스와 스레드 차이

 

스레드는 프로세스에 포함되어 프로세스의 특성 중 일부기능만 수행하도록 된 프로세스이다.

---

프로세스가 구동되는 메모리 공간

 

프로세스 상태

프로레스 관리자, 메모리관리자, 주변장치 관리자가 있다.

 

생성 → 준비 →  실행→  대기 → 종료의 단계를 거친다.

 

---

프로세스 제어 블록(PCB)를 통해 상태제어를 한다.

---

CPU 스케줄링의 기준

처리능력 : 최대한 많은 작업처리

대기시간 : 기다리는 시간 최소화

등이 있다.

 

---

비선점 스케쥴링 기법

 

선점 스케줄링 기법

---

상호배제 : 다수의 프로세스가 동일 자원에 접근 시 무결성을 보장하기 위한 기법

임계 영역 : 한 순간에 반드시 프로세스 하나만 진입해야 하는데, 프로그램에서 임계 자원을 이용하는 부분으로 공유 자원의 독점을 보장하는 코드 영역을 의미한다.

---

세마포어 : 운영체제 자원을 경쟁적으로 사용하는 다중 프로세스에서 행동을 조정 또는 동기화 시키는 기술

---

모니터를 이용한 상호배제 구현 기법

모니터에 진입하면 따른 프로그래밍 필요없이 상호배제(프로그램코드수준) 수준의 기능을 제공한다.

---

교착상태 : OS의 취약점이 될 수 있다. 

 

교착상태 발상 조건 

상호배제, 점유와 대기, 비선점(프로세드들 자신이 점유한 자원을 해제할 수 없음), 환형대기가 있다.

 

교착상태 해결방안으로 예방, 회피(은행원 알고리즘), 발견, 회복이 있다.

---

파일시스템

운영체제의 중요한 기능 중 하나로, 사용자가 생성한 파일을 저장소에 저장하고 관리하는 것을 결정

NTFS에서 가장 중요한 점은 트랜잭션 로깅을 통한 복구/오류 수정이 가능하다.

Delaaed allocation은 디스크 조각화를 방지. 조각화 시 디스크 기능 저하.

 

---

RAID : 목적에 따라 디스크를 구성한다. Data Stripping은 데이터를 여러 조각으로 나누어 여러 Disk로 분산 저장하고 동시 Access 가능하다. 

 

RAID 0은 분산

RAID1은 미러링(Mirroing)으로 데이터를 복사해서 한쪽 Disk가 사용이 불가능하더라도 반대쪽 Disk가 있으므로 

안전성은 가장 높으나 비용이 많이 든다. 오류 복구가 빠르다.

 

RAID 2 :Hamming code를 이용하여 오류를 복구한다. ECC(오류정정 디스크)를 사용한다.

 

RAID 3 : ECC를 쓰지만 Parity 정보를 별도의 Disk를 써서 1개의 디스크 오류 발생시에 복구가 가능하다.

RAID 5 : 분산 Parity 분산 저장

 

기업에서는 RAID 0+1 또는 1+0을 많이 쓴다.

---

프로세스 권한 SetUID

SetUID 파일은 해당 파일이 실행될 때 누가 실행하든지 관계없이 파일 소유자의 권한을 갖는 것이 특징 (매우중요)

---

버퍼 오버플로우

프로그램이 할당된 메모리 버퍼의 크기의 한계보다 더 많은 데이터로 덮어 쓴 것.

 

프로세스 메모리 구조 

main함수 이외에서 쓰일 시 전역변수(Globa)이다. 전역변수는 data영역에 쓰인다. 반대로 main함수 안에 쓰이면 지역변수(정적변수)이다.

 

스택버퍼 오버플로우 공격

스택 버퍼 오버플로우 공격 원리 설명 취약 코드

 

버퍼오버플로우 공격에 대한 대응정책

 

취약한 함수를 사용하지 않는다. 최신 운영체제를 사용한다.

---

포맷 스트링 공격 

 

---

레이스 컨디션(Race Condition) 

프로레스 또는 스레드간에 자원을 사용하기 위한 경쟁을 의미

 

---

멜트다운, 스펙터 공격 : CPU 구조적 결함을 이용하여 공격하는 기법

 

멜트다운 : 유저프로그램이 커널 영역을 훔쳐보는 취약점.,

 

스펙터 : 유저 프로그램이 다른 유저 프로그램 메모리를 탈취 하는 것.

 

 

 

 

멜트다운, 스펙터 공격 취약점

 

대응 방안 (구글이 리트폴린이라는 프로젝트를 통해 인텔CPU 보안패치를 했다.)

---

APT(Advanced Persistent Threat) 공격기법

 

APT 공격의 유명한 사례 : 이란 발전소를 멈추게한 공격이 있었다. 

 

---

리눅스 서버 보안

리눅스는 GPL라이센스를 사용. 즉 GNU 정신에 입각해서 오픈소스가 적용된 라이센스 = 즉 무료다.

 

 

 

리눅스 특징

 

리눅스 운영체제의 기능

 

리눅스 취약점 Shell Shock 취약점

환경변수에 빈 깡통 함수(비어있는 함수)를 넣으면 그 뒤에 오는 코드는 무조건 실행되는 심각한 버그.

---

 

리눅스 로그파일에서 WORM(Write Once Read Many)스포리지가 중요하다.

리눅스 syslog 위험 유형 분류

 

---

리눅스 OS 공격자의 행위 패턴이 여러가지가 있고 이것을 찾는 명령어로 find가 있다.

 

추가적인 find 명령어

---

 

Tripwire : 파일 무결성을 검사하기 위한 도구

tripwire를 작동 시키기 위해서는 검사하고자 하는 모든 파일을 초기화 시켜야 한다.

 

---

윈도우 인증 시스템 

LSA : 계정과 암호를 검증

SAM :  사용자 계정 정보 데이터 베이스, 사용자 계정보보(해시값)저장

SRM : 사용자에게 고유 SID 부여.

 

 

 

---

데이터 은닉기술 ADS(Alternative Data Stream)

---

공유폴더 취약점

 

NetBIOS환경 안에서 패스워드 없이 자료 공유가 가능했다.(과거)

 TCP 445포토 오픈 확인 후 SMB를 사용하여 윈도우 운영체제 종류 확인 후 패스워드 무작위 공격 취약점 이용 등 공격 수행

 

---

레지스트리 

 

레지스트리 루트키

 

하이브(Hive)파일 레지스트리 정보를 가지고 있는 물리적인 파일

---

윈도우 이벤트 로그 종류

 

웹 이용 로그 분석

히스토리 분석 도구

 

WebBrowserPassView는 해당 사이트에 접속한 비밀번호까지 알려준다.

---

세대별 바이러스

감염 대상에 따른 바이러스 종류

 

보안솔루션의 구성과 시스템 보안

 

서버백시 시스템 아키텍처

백신 작동원리

 

---

Secure OS : 커널위에 Secure OS를 한 단 더 쌓는 것.

기능은 사용자 인증 및 계정관리, 해킹방지, 접근제어 등이 있다.

 

Secure OS 구성도

---

네트워크 보안 아키텍처 참조

 

보안이란 계층적으로 완벽히 조화를 이루어야 뚫리지 않는다. 어느 한 부분만 강화된다 해서 뚫리지 않는 것이 아니다. 골고루 강화가 되야 우수한 보안이다.