분류 전체보기
[정보보안기사 20] 유닉스/리눅스 서버 보안
[정보보안기사 20] 유닉스/리눅스 서버 보안
2020.06.24유닉스 시스템 대화식 운영체제 : Shell(셸) 멀티태스킹, 멀티유저, 호환성/이식성 우수 계층적 파일시스템 뛰어난 통신기능 및 다양한 유틸리티 제공 커널 항상 메모리에 상주하면서 하드웨어 자원을 제어 프로세스 스케줄링, 기억장치 관리, 파일관리, 시스템 호출, 입출력 서비스 제공 가장 하위 수준에서 하드웨어와 직접 관계 쉘 커널과 사용자 간의 인터페이스 기능 명령어 해석 기능 프로그래밍 기능 사용자 환경 설정 기능 파일 시스템 계층적 파일시스템으로 구성 i-node(index node) 파일에 대한 정보를 기억하는 약 120Byte의 고정된 크기의 구조체 구성요소 파일에 대한 정보(파일의 허가권, 소유권, 그룹, 최근 수정된 시간) 파일에 할당된 데이터 블록의 주소를 저장하는 필드 Super Bloc..
[정보보안기사 19] 윈도우 서버 보안
[정보보안기사 19] 윈도우 서버 보안
2020.06.24윈도우 시스템 5개의 링으로 구성됨 HAL(Hardware Abstraction Layer): H/W와 S/W가 원활히 통신할 수 있게 도움 마이크로 커널: 하드웨어와 통신만 하는 최소한의 커널 프로세스 스케줄링, 메모리 관리 등은 manager가 맡음 파일 시스템 항목 FAT16 FAT32 NTFS 용량 저용량(최대 2GB) 고용량(2GB~2TB) 대용량 암호화ㆍ압축 X X O 클러스터 1632KB 4KB 가변 클러스터(512B ~ 4KB) 장점 호환성 우수 저용량 볼륨에 최적화 강력한 보안기능, 감사 기능 디스크의 효율적 사용 대용량 볼륨, 긴 파일이름 단점 보안 취약 대용량 볼륨에 비효율적 NT계열외의 OS에는 호환 X 저용량 볼륨에서 FAT보다 속도 저하 NTFS 구조 항목 설명 MBR(Maste..
[정보보안기사 18] 클라이언트 보안
[정보보안기사 18] 클라이언트 보안
2020.06.24악성 소프트웨어 의도적으로 컴퓨터 보안 속성을 침해할 목적으로 작성된 프로그램 분류 구분항목설명 독립 가능 여부 독립형 자가적으로 구동될 수 있는 프로그램 운영체제에 의해 스케줄되어 구동 웜, 좀비 프로그램이 대표적 기생형 혼자 독립적으로 존재할 수 없음 바이러스, 논리 폭탄, 백도어 등 자기 복제 여부 바이러스성 자기 복제 가능 바이러스, 웜 등 비 바이러스성 자기 복제 불가능 트로이목마와 백도어 등 바이러스(Virus) 자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어의 집합 세대별 분류 원시형 코드의 변형이나 변화 없이 고정된 크기 기억장소에 상주하며 부트 영역이나 파일 감염 암호화 백신 프로그램이 진단할 수 없도록 일부 암호화 실행 시작점 부분에 위치하는 암호해독 데이터는 ..
[정보보안기사 17] 보안 운영체제
[정보보안기사 17] 보안 운영체제
2020.06.24기존 운영체제 내에 보안기능을 통합시킨 보안 커널을 추가로 이식한 운영체제 주요 제공 기능 메모리, 보조기억장치 데이터, 프로세스, 디렉터리, 하드웨어 장치 등을 보호한다. 물리적 분리: 사용자 별로 별도의 장비 사용 시간적 분리: 프로세스는 동일 시간에 하나만 실행 논리적 분리: 각 프로세스에 논리적 구역 지정 암호적 분리: 내부에서 사용되는 정보를 외부에서 알 수 없게 암호화 보안 기능 파일 시스템 보호 파일 소유자가 보호장치를 만들어 둔 것 파일의 공용문제와 병행하여 고려되어야 함 보호방법 이름 명명 패스워드 암호화 사용자 식별 및 인증 개별 사용자들의 안전한 식별을 요구하며, 각각의 사용자들은 고유하게 식별될 수 있어야 함 임의적/강제적 통제(DAC, MAC) 객체 재사용 보호 파일 삭제 시 OS..
[정보보안기사 16] 접근통제 보안위협 및 대응책
[정보보안기사 16] 접근통제 보안위협 및 대응책
2020.06.24접근통제 보안위협 및 대응책 패스워드 크래커 사전 공격(Dictionary Attack) 패스워드 사전 파일을 이용하여 접속 계정을 알아내는 해킹 방법 공격 대상의 개인 정보를 알고 있다면 효율적 무차별 공격(Brute-force Attack) 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 공격 하이브리드 공격 사전 공격 + 무차별 공격 레인보우 테이블 공격 패스워드를 해시 처리하여 패스워드와 해시로 이루어진 체인을 무수히 만든 테이블을 대입하여 공격 사전 공격, 무차별 공격보다 적은 시간 소요 패스워드에 솔팅 처리를 하여 예방 사회공학 공격 신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보를 빼내는 공격 기법 피싱(Phishing) 공격 대상에게 E-mail 을 발송하여 위조된 사..
[정보보안기사 15] 보안 모델
[정보보안기사 15] 보안 모델
2020.06.24강제적 접근통제(MAC, Mandatory Access Control) 자원의 보안 레벨과 사용자의 보안 취급 인가를 비교하여 접근 제어 관리자만이 접근제어의 규칙을 설정, 변경(중앙집중형 보안관리) 다중 수준 보안 정책에 기반함(서로 다른 분류 수준의 데이터가 보호되는 방법) 벨라파듈라(BLP), 비바 무결성 모델, 클락-윌슨 모델, 만리장성 모델이 대표적 모든 MAC 모델은 벨라파듈라(BLP) 모델을 근간으로 함 장점 매우 엄격한 보안 모든 객체에 대한 관리가 용이 단점 구현, 운영이 복잡 모든 접근에 대해 확인해야 하므로 성능 저하 상업적인 환경에 부적합 벨라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model) 기밀성을 강조하고 수학적 모델에 기반하는 최초의 MAC..
[정보보안기사 14] 통합인증체계(SSO)
[정보보안기사 14] 통합인증체계(SSO)
2020.06.24한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션 장점 각 시스템 별로 개별적인 ID/PW 설정이 필요 없음 패스워드 분실/망각 가능성 감소 관리의 간편함, 보안수준의 향상 단점 SSO서버 침해 시 모든 서버의 보안 침해 가능(단일 실패 지점) 자원별 권한관리 미비 엑스트라넷 접근 관리(EAM, Extranet Access Management) 인트라넷, 엑스트라넷 및 일반 클라이언트/서버 환경에서 자원의 접근 인증과 이를 기반으로 자원에 대한 접근 권한을 부여/관리하는 통합 인증 관리 솔루션 식별/접근 관리(IAM, Identity and Access Management) ID와 패스워드를 종합적으로 관리해주는 역할 기반의 계정 ..
[정보보안기사 13] 사용자 인증
[정보보안기사 13] 사용자 인증
2020.06.24인증에는 메시지 인증과 사용자 인증이 존재한다. 메시지 인증 메시지 전송 중 발생할 수 있는 수정, 삭제 등 무결성 검증 메시지 암호화, MAC(Message Authentication Code), 해시 함수 등 이용 사용자 인증 정당한 사용자의 접속인지 확인하는 절차 시스템 내 자원의 불법적인 접근을 막음 사용자 인증의 유형에는 지식, 소유, 존재, 행위가 있으며 이 중 둘을 결합하여 사용하는 것을 Two Factor, 그 이상을 결합하여 사용하는 것을 Multi Factor라고 한다. 지식 기반 인증 사용자가 알고 있는 것에 의존하는 방법 장점 다양한 분야에서 사용 가능 검증이 확실 관리 비용 저렴 단점 소유자의 분실 가능성 공격자의 추측 가능 사회 공학적 공격에 취약(피싱) 패스워드 가장 간단하면서..
[정보보안기사 12] 접근 통제(Access Control)
[정보보안기사 12] 접근 통제(Access Control)
2020.06.24허가되지 않은 자원의 사용과 허가되지 않은 방법을 통한 자원 사용을 제어하는 것 절차 접근통제 3단계에 덛붙여 책임 추적성(부인 방지) 단계가 존재 식별 본인이 누구인지를 시스템에 밝히는 행위 ID, 계정번호, 메모리카드 인증 주체의 신원을 검증하기 위한 증명 패스워드, 스마트카드, 생채인증 인가 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여 접근제어목록, 보안등급 책임추적성 시스템에 인가된 주체가 시스템에 어떤 행위를 하고 있는지 기록 요구 사항 입력의 신뢰성 접근 제어 시스템은 입력되는 사용자 정보를 신뢰할 수 있어야 한다. 최소 권한 부여 사용자가 작업을 수행하는데 최소한의 자원과 최소한의 접근만 부여한다. 사용자가 의도적 혹은 실수로 자원에 대해 입힐 수 있는 피해를 최소화시킨다..
[정보보안기사 11] 공개키 기반 구조(PKI)
[정보보안기사 11] 공개키 기반 구조(PKI)
2020.06.22공개키 기반 구조(PKI) 공개키 암호 및 전자서명의 기술을 사회적인 기반구조로 만들어 가는 것 공개키 알고리즘을 위한 키 관리 구조 제공 서비스 기밀성, 무결성, 인증, 부인방지, 접근제어 구성요소 크게 인증기관, 검증기관, 등록기관, 저장소, 사용자로 구성 인증기관(CA, Certification Authority) 정책승인기관(PAA, Policy Approving Authority) 루트 인증기관으로, PKI 전반의 정책을 생성 및 수립 하위 기관들의 정책 준수 상태 및 적정성 감사 정책인증기관(PCA, Policy Certification Authority) PAA 하위 계층 도메인 내의 사용자와 CA의 정책 수립 인증서, 인증서 폐지 목록 등 관리 인증기관(CA) PCA 아래 계층으로 인증 정..
[정보보안기사 10] 전자서명
[정보보안기사 10] 전자서명
2020.06.22전자서명(Electronic Signature) 메시지에 전자적인 서명을 하는 것으로, 메시지와 메시지를 생성한 사람과의 인증을 의미한다. 전자서명 개념 송신자(서명자)는 서명 알고리즘을 이용하여 메시지에 서명 수신자(검증자)의 검증 알고리즘으로 서명자의 서명을 검증 형식 공개키 서명 방식 서명자의 검증 정보를 공개하여 누구나 검증 가능 서명 생성 및 검증 간편 중재 서명방식 서명 생성과 검증을 제 3자가 중재 제 3자의 참여 필요 제공 서비스 메시지 인증: 수신자는 메시지가 원하는 송신자로부터 왔다는 것을 확신할 수 있음 메시지 무결성: 메시지가 해시함수와 서명을 통해 전송되므로 변조되지 않음을 알 수 있음 부인방지: 신뢰받는 제 3자로부터 검증받을 수 있음 기밀성은 제공되지 않으므로 비밀키/공개키 암..
[정보보안기사 09] 메시지 인증 코드
[정보보안기사 09] 메시지 인증 코드
2020.06.22메시지 인증 코드(MAC) 해시함수는 데이터의 무결성을 보장하지만 발신자의 신원 확인이 불가능하다. 이러한 문제를 해결하기 위해 인증 절차를 추가한 것이 메시지 인증 코드(MAC)이다. 개념 변경 감지 코드(MDC) 변경 감지 코드(MDC, Modification Detection Code)는 메시지의 무결성을 보장하는 다이제스트이다. 인증 과정 Alice는 안전하지 않은 채널로 메시지 M을 Bob에게 전송 Hash(M)으로 도출한 해시값 MDC를 안전한 채널로 전송 Bob은 수신한 메시지를 해시 알고리즘을 통해 해시값 MDC' 도출 Bob은 안전한 채널로 수신한 해시값 MDC과 계산한 해시값 MDC'를 비교 동일하다면 전달받은 메시지의 무결성이 입증됨 문제점 안전한 채널이 보장됨이 전제임..