반응형
1.FTP 보안
 
#FTP 서버사용 포트용도
21번 포트 : 서버 제어연결을 위한 포트
20번 포트 : 데이터터 연결을 위한 포트
 
 
 
#FTP 전송모드
디폴트는 Active 모드이며, passive 모드로의 변경은 FTP 클라이언트가 결정함.
 
Avtive 모드 특징
① 서버가 21, 20번 포트 사용
② 서버에서는 두 개의 포트만 열면 서비스 가능
③ 두 번째 connection은 서버에서 클라이언트로 접속
④ 클라이언트에 방화벽 설치 시 접속 불가
 
 
Passive 모드 특징
① 서버가 21, 1024번 이후 포트 사용
데이터 전송 위해 1024번 이후 포트 사용
③ 서버에서 클라이언트로 접속해야 하는 모순 해결을 위해 고안된 방식
④ 서버에서는 21번 포트와 1024번 이후의 모든 포트 오픈
⑤ 보안을 위해 서버에서 passive모드로 사용할 포트 제한
 
 
 
 
#FTP 보안 위협 및 대책
 
 
SFTP 프로그램
SSH 기반의 파일 전송 프로토콜로 기본적으로 22/tcp 포트 사용
 
 
TFTP 보안
TFTP는 잘 알려진 포트 69로 UDP의 서비스를 이용
TFTP는 사용자 확인이나 비밀번호가 없음
TFTP가 필요한 경우 Secure Mode로 운영
 
 
Bounce attack의 특징
제어 채널과 데이터 채널을 다르게 사용하고 데이터 채널을 생성할 때 목적지를 확인하지 않는 FTP 설계의 구조적 취약점을 이용하는 공격
FTP 클라이언트가 실행되는 호스트가 아닌 다른 호스트를 지정하더라도 서버는 충실하게 지정된 곳으로 정보를 보낸다.
클라이언트는  FTP 서버를 거쳐 간접적으로 임의의 IP에 있는 임의의 포트에 접근할 수 있으며 임의의 메세지를 보낼 수도 있다.
Bounce attack의 보안 대책
FTP의 원래 규약을 어느 정도 제한하는 방법
FTPd의 원래 규약은 인정하되 다른 서비스가 20번 port 접속을 요청하면 거절하는 방법
 
 
Anonymous FTP 취약점
보안 절차를 거치지 않은 익명의 사용자에게 FTP 서버로의 접근을 허용
익명 사용자가 서버에 쓰기 권한이 있을 때 악성 코드 생성이 가능
Anonymous FTP 보안 대책
반드시 사용해야하는 경우가 아니라면 서비스를 제거 해야함
anonymouys 사용자의 루트 디렉터리, bin, etc, pub 디렉터리의 소유자와 퍼미션을 관리
 
 
 
 
 
#FTP 서비스 운영
 
proftpd 특징
매우 안정적이고 빠름
xinetd / standlone 형태로 작동 가능
 
proftpd 설정 파일 옵션
ServerType standalone (inetd): 서버 타입 설정
RootLogin off 루트 계정 로그인 허용 안함
User nobody 데몬 동작 계정
Group no b o d y 데몬 동작 그룹
Serverldent On 'Welcom e to FTP': 버전 정보 숨기기
MaxClients 최대 잡속 허용
TimeOutLogin: 아이디/암호로 인증이 완료될 때까지의 제한 시간
Timeoutldleftp 접속 후 아무런 데이터 전송이 없는 idle 상태
TimeoutSession 일정 시간 후에는 무조건 접속 종료
Limit C ommand 시용 가능한 com m and를 제한
 
 
# vsftpd 특징
가상 IP별 별도의 환경 설정 기능
가상 사용자 설정
전송 대여폭 지정
PAM 지원
xferlog 표준 로그 파일보다 상세한 자체 로그 파일 형식 지원
Standalone 방식과 inetd(xinetd를 통한 운영 모두 지원
 
 
# vsftpd 서비스 관련 파일들
 
/etc/vsftpd : vsftpd의 메인 디렉터리
/etc/vsftpd/vsftpd.conf : vsftpd의 주된 메인 설정파일
/etc/vsftpd/ftpusers : PAM에서 사용하는 ftp 접속제한자 리스트 파일. 즉 이 파일에 등록된 사용자들은 ftp에 접속을 할 수 없음
/etc/rc.d/init.d/vsfptd : xinetd 환경에서 서비스하기 위한 vsftpd의 xinetd 설정 파일
/etc/xinetd.d/vsfptd : xinetd 환경에서 서비스하기 위한 vsftpd의 xinetd 설정 파일
/var/log/xferlog : FTP 업로드 및 다운로드 기록하는 로그 파일
 
 
 
 
 
 
 
2.이메일 보안
 
 
#이메일 프로토콜 포트 종류(중요 포트번호 다 암기)
 
SMTP : TCP 25번
POP3 : TCP 110번
IMAP : TCP 143 번
IMAP3 : TCP 220번
 
 
 
#이메일 콘텐츠 보안을 위한 보안 기술
<PEM, PGP, S/MINE 비교 표>
항목
PEM
PGP
S/MIME
개발자
IETF
Phil Zimmermann
RSA Data Security Inc
 
 
 
 
 
특징
  • 중앙집중화된 키 인증
  • 인터넷 표준(안)
  • 구현의 어려움
  • 높은 보안성
  • 이론 중심
  • 많이 사용되지 않음
  • 분산화된 키 인증
  • 응용 프로그램
  • 구현의 용이성
  • 일반 용도의 보안성
  • 실세계 사용 중심
  • 현재 많이 사용
  • MIME 기반
  • 다양한 상용 툴킷
  • X.509 인증서 지원
 
 
 
PEM(Privacy Enhanced Mail)
IETF에서 인터넷 드래프트로 채택한 기밀성, 인증, 무결성, 부인방지를 지원하는 이메일 보안 기술
 
 
 
PGP(Pretty Good Privacy)
 
(1) PGP 개요
  • 1991년 미국의 Phil Zimmermann이 개발한 PGP는 대표적인 이메일과 파일보호를 위해 암호화를 사용하는 암호시스템
  • 전자서명을 이용하여 인증제공
  • 대칭 블록암호를 이용해서 기밀성 제공
  • ZIP 알고리즘 이용해서 압축을 제공
  • 기수 64 부호화 시스템을 이용하여 전자우편 호환성 제공
  • 긴 전자우편 데이터 전송할 수 있도록 단편화 조립 제공
 
(2) PGP 특징
  • DOS, 윈도우, UNIX, MAC 등 여러 기종에서 사용가능
  • 사용된 알고리즘들의 높은 보안성
  • 정부나 표준 기관이 아닌 개인의 작품으로 넓은 활용 분야를 가지고 있음
  • 저가의 상용 제품과 공개용 버전이 있음
  • 익명의 메시지 허용
  • 구현이 용이함
 
 
(3)PGP의 보안 서비스
  • 기밀성, 메세지 인증, 사용자 인증, 송신 부인 방지
  • 수신 부인 방지는 미지원
 
기능
알고리즘
설명
디지털서명
DSS/SHA
RSA/SHA
SHA-1을 이용해서 메시지의 해시코드를 생성한다. 이 메시지 다이제스트는 송신자의 개인키로 DSS나 RSA를 이용해서 암호화한다. 그리고 메세지에 첨부한다.
메세지 암호화
CAST, IDEA, 3DES,
Diffie-Hellman, RSA
송신자가 생성한 일회용 세션키로 CAST-128이나 IDEA 또는 3DES를 이용해서 메세지를 암호화한다. 수신자의 공개키로 Diffie-Hellman이나 RSA를 이용해서 세션키를 암호화하고 메시지에 첨부한다.
압축
ZIP
저장하거나 전송하기 위해 ZIP을 이용해서 메시지를 압축한다.
전자메일 호환성
기수-64 변환
(Radix-64 conversion)
전자메일 응용에 대한 투명성을 제공하기 위해서 암호화된 메시지를 기수-64 변환을 이용해서 ASCII 문자열로 변환할 수 있다.
 
 
 
 
S/MIME(Secure Multipurpose Internet Mail Extensions)
 
(1) S/MIME 개요
  • 기존 PEM 구현의 복잡성, PGP의 낮은 보안성과 기존 시스템과의 통합이 용이하지 않다는 점을 보완하기 위해 IETF의 작업그룹에서 RSADSI의 기술을 기반으로 개발된 전자 우편 보안 시스템
  • S/MIME이 제공하는 보안 서비스에는 메시지에 대한 기밀성, 무결성, 사용자 인증, 송신 사실 부인 방지가 포함 됨.
 
 
(2) S/MIME 동작
 
(3) S/MIME 보안서비스
기능
일반적 알고리즘
기본 동작
디지털 서명
RSA/SHA-256
SHA-256 메세지 해시 코드를 생성
이 메세지 다이제스트를 송신자 개인키를 가지고 RSA로 암호화하고 메세지에 포함
메세지 암호화
AES-128 with CBC
송신자가 생성한 일회용 세션키를 이용해 CBC 모드의 AES-128로 메세지를 암호화
세션키를 수신자의 공개키를 이용하여 RSA로 암호화하고 메세지에 포함
압축
제한 없음
메세지를 압축하여 저장하거나 전송
이메일 호환성
Radix-64 변환
이메일 응용이 투명하도록 암호화된 메세지를 Base64(Radix-64)로 변환하여 ASCII 스트링으로 만든다.
 
 
(4) S/MIME 기능
 
  • 동봉된 데이터(enveloped data) : 임의 유형의 암호화된 내용과 하나 혹은 여러 수신자를 위해 암호화된-내용 암호화키로 구성
  • 서명된 데이터(Singed data) : 서명데이터는 실질적으로 한 명 또는 그 이상의 서명자에 의해 사용될 수 있다.
  • 명문-서명 데이터(Clear-singed data) :서명된 데이터로서 내용에 대한 디지털 서명을 하나 디지털 서명만 base64로 부호화하고 내용은 부화하하지 않는다.
  • 서명되고 동봉된 데이터(Signed and enveloped data) : 암호화된 데이터는 서명될수 있고 서명된 데이터나 명문-서명 데이터는 암호화
 
 
(5) S/MIME의 인증서 처리
  • S/MIME은 X.509 버전 3 규정을 준수하여 공개키 인증서를 사용
  • 베리사인은 S/MIME이 다양한 다른-응용 프로그램과 호환되도록 하는 CA서비스를 제공한다. 베리사인 Digital ID라는 제품명으로 X.509 인증서를 발행
 
 
 
 
 
#스팸 메일 보안 대응 기술
 
스팸 메일의 기술적 대응 방안
 
(1) 메일 서버 수신 차단
  • 콘텐츠 필터링
  • 송신자 필터링
  • 네트워크 레벨 필터링
  • 발송량 기준 차단
  • 시간대별 차단
 
(2) 메일 서버 보안
  • 릴레이 스팸 방지
  • Anti-SPAM 솔루션 도입
 
(3) 메일 클라이언트 보안
  • 콘텐츠 필터링
  • 송신자 필터링
 
 
 
SPF(Sender Policy Framework)
 
 
 
 
 
 
 
#악성 메일 및 웜 차단 대책
 
라우터에서 class-map을 이용한 차단
라우터에서 policy-map을 이용한 차단
메일서버 프로그램(MTA)에서의 패턴 매칭에 의한 차단
Virus wall을 이용한 차단
 
 
#SPF(Sender Policy Framework)
 
 
 
 
 
  1. 웹 보안
 
# 아파치 로그 기록 내용
① 접속한 클라이언트의 IP주소 혹은 도메인
② 사용자 이름(사용자 id)
③ 클라이언트(브라우저)의 접속시간정보
④ 클라이언트(브라우저) 요청종류(GET, POST)
⑤ 클라이언트가 요청한 홈페이지 URL 주소
⑥ 프로토콜 버전
⑦ 상태코드
⑧ 전송데이터 크기
 
 
  1. DHCP & DNS 보안
 
 
#DHCP 프로토콜 
 
 
#DNS에서 사용되는 포트
 
UDP 53번 포트
일반적인 클라이언트는
 
TCP 53번
대용량의 zone 데이터베이스 정보는 
 
 
 
  1. 데이터베이스 보안
 
 
 
  1. 전자상거래 보안
 
 
 
 
  1. 침해사고대응 (디지털 포렌식)
 
 
 
  1. 각종 어플리케이션 보안위협
 
 

'CERTIFICATE > 정보보안기사' 카테고리의 다른 글

210529 17회 정보보안기사 실기 시험 후기  (1) 2021.05.29
[정보보안기사 필기 요점정리] - 네트워크보안  (0) 2020.11.20
[티스토리 블로그 업로드용] 정보보안기사 요점정리 - 시스템 보안  (0) 2020.05.09
[정보보안기사] 필기 기출문제 공부할 때 유용한 사이트  (0) 2019.11.26

티스토리툴바