인터넷 응용보안
1. FTP : 파일 전송 프로토콜(TCP 20, 21,1024 ~ 65535)
(1) Active Mode : 접속 - 21번 Port / 데이터 전송 - 20번 Port
(2) Passive Mode : 접속 - 21번 Port / 데이터 전송 -1024 ~ Port
FTP 종류
(1) FTP : ID/PW 인증,TCP
(2) tFTP : 인증 x, UDP
(3) sFTP : 전송구간에 암호화 기법사용 (기밀성)
FTP log 기록 (FTP 접속시 -I)
xferlog 파일 기록
Sat Oct 29 21:35:39 2020 1 111.11.111.11 70 /home/aa.txt a _i r test ftp 0*c
2020년 10월 29일 토요일 21시 35분 39초 111.11.111.11 IP에서 aa.txt 파일 업로드 성공
C (complete) : 성공
FTP 보안 취약점
Bounce Attack : 익명 FTP 서버 경유 호스트 스캔
Brute Force : 무작위 대입
tFTP Attack : 인증없이 접근
Anoymous FTP Attack
FTP Server week point
sniffing
* FTP 사용자는 반드시 계정을 /etc/password nologin으로 관리할 것
E-Mail 보안
Email 전송 방법
(1) SMTP// TCP 25/DNS MX/응용계층
전자우편 송신 통신 규약
(2) POP3 TCP 110/응용계층
원격서버로 TCP/IP 통신으로 E-Mail 수신시 사용 수신 후 서버에서 메일 삭제
(3) IMAP
메일 서버에 저장,소프트웨어 상관X,복잡성/보안문제 해결
Email 보안 기법
(1) PGP
MIME 객체 + 암호화,전자서명 프로토콜
송수신자 보안서비스 제공/평문 메시지 암호화
메세지 암호화(3DES,IDEA), 서명(DSS/SHA),압축,분할
전자우편 호환성,세션키생성(RSA,DiffieHelmen),이메일 호환(ASC Code)
(2) PEM
인터넷 이메일 보안 시스템 중 하나
중앙 집중화된 키 인증 방식 -> 구현 어려움
군사,은행 사용
메시지암호화(DES-CBC), 디지털서명(RSA,MD2,MD5),인증(DES,MD2,MD5)
세션키 생성(DES,RSA,MD2),전자우편 호환성
(3) S/MIME
표준보안 메일규약
메일 전체 암호화 (RSA,DES,SHA-1)
CA로부터 공개키 인증필요
첨부파일 보안
RSA사에서 개발
/etc/mail/access 작성규칙
RELAY : 특정 도메인 relay 허용
DISCARD : 메일 수신 후 폐기
501 : 전체,부분 특정 도메인 일치시 메일 거부
550 : 특정 도메인 메일 거부
Spam 메일 차단 방법
RBL : 참조서버로부터 유해 메일 전송IP 차단
SPF : 발신자 SPF레코드를 DNS 저장 후 정보 확인
Span Assasin (perl)
점수를 이용하여 스팸차단(90%이상)
RBL 서버 참고
웹 서버 보안(Web Server Security)
HTTPD(80)
Fork함수를 통해 자식프로세스를 생성
설정파일 :/etc/httpd/conf/httpd.conf
아파치 웹서버 보안
주요 디렉터리 및 파링 접근 권한
Directory Listing
Server Tokens : 웹서버 정보 노출 (Prod : 최소한)
Server Signiture : 아파치 버전 및 서버 이름 노출
윈도우 웹서버 (IIS) : FTP,SMTP,NNTP
서비스 : FTP.WWW.SMTP(메일),NNTP(뉴스)
계정 및 그룹 : IUSR_MACHINE(인터넷 접근 익명 계정)
IWAN_MACHINE(out-of-process 웹 어플리케이션 계정)
폴더: %windir%/system32/inetsrv/iisadmin(IIS 관리 프로그램)
%windir%/system32/inetsrv(IIS 도움말)
%systemdrive%/inepub(웹,FTP,SMTP 루트폴더)
웹사이트 : 기본80: %systemdrive/inetpub/wwwroot
관리 3693 :%systemdrive%/system32/inetsrv/iisadmin
웹 로그 분석
서버에서 발생하는 log :/var/log/httpd/access_log
서버에서 발생하는 에러 log : SeverRoot/logs/error_log
ErrorLog Level
Crit : 중대한 에러 발생
Emerge : 에러
Warn : 경고
Error : 중대하지 않는 에러
HTTP 상태코드
200 OK
403 Forbidden
404 Not Found
502 Bad Gateway
504 Gateway Time-out
DNS보안
DNS확인 : ipconfig/displaydns DNS Cache 테이블 확인
DNS Query (UDP 53) : Recursive Query(순환) - Locasl DNS에 질의
lterative Query(반복) - Local DNS - 외부 DNS Server 질의
DNSSEC : DNS 응답 정보에 전자서명 값 첨부
DB보안
DB위협요소
집합 : 낮은 보안 등급의 정보들을 이용하여 높은 등급의 정보를 알아 내는 것
추론 : 보안등급이 없는 정보를 접근하여 기밀정보 유추
DB 보안 기법
Plugin : 데이터베이스 서버에 별도 암호화 솔루션 설치
API : 암호화 API 호출을 통해 암호화 수행
백업 방식
전체 백업
차등 백업 : 가장 최근에 수행된 전체 백업 이후 변경된 모든 DB 백업
증분 백업 : 가장 최근 백업 이후 변경된 것만 백업
전자상거래 보안
전자화폐 : 전자기기에 전자기호 형태로 화폐적 가치를 저장,전자적 지급수단으로 활용
전자화폐 요구조건
1 불추적성(익명성) : 사생활 보호
2 가치이전성: 즉시 양도 가능
3 분할설 : 똑같은 가치 분할 가능
4 독립성(완전 정보화) : 디지털 데이터 자체로서 완벽한 화폐가치를 가져야함
5 익명성 취소 : 불법적으로 사용될 경우 사용자 노출 허용
EX) 몬덱스,비자캐시,PC Pay Ecash,NetCash,비트코인
SET(Secure Electronic Transaction)
- 신용카드 촉진을 위해 VISA와 MASTER CARD 공동 개발한 프로토콜
- 전자 상거래 인증 상호 작용 보장
- SSL 보다 속도 느림
- 지급결제 처리 복잡
- 기밀성,무결성,인증,부인봉쇄지원
- 이중서명,이중해시
- 대칭키,공개키,전자서명,해시함수,전자봉투,공개키 인증(x.509),이중서명
- 알고리즘 : DES,RSA,SHA
- 사용자가 전자지갑 소프트웨어가 필요함
SSL 443
- Netscape 개발
- 안전한 통신 지원
- 전송,응용계층
- http,ftp,telnet,mail
- 기밀성,무결성,인증
- Random : 재생공격방지를 위한 난수
SSL구성요소
1 Change Cipher Spec Protocol : SSL중 가장 단순한 프로토콜
협의된 알고리즘,키교환 알고리즘,MAC암호화,HASH 알고리즘 -> 클라이언트,웹서버 공지
2 비정상적인 동작이 발생될 때 사용되는 프로토콜 Level, Description 필드 있음
3 Record Protocol :
송신 - 협의된 알고리즘을 사용해 데이터를 암호화하고 산출된 데이터를 SSL에서 처리가 가능한 크기의 블록으로 나눔 후 압축 MAC를 붙여 전송
수신 - 데이터 복호화,MAC유효성 검사,압축 해제,재결합 -> 상위계층 전달
SSL HandShaking
1 Client Hello : 클라이언트 브라우저 (암호알고리즘,키교환 알고리즘,MAC암호화,HASH 알고리즘) > 서버
2 ServerHello : 서버 > 클라이언트
2.5 Server Hello Done : 서버 > 클라이언트
3 Certificate : 클라이언트 > 서버 > 인증서
4 Exchange Key (Premaster key 전송) : 클라이언트 > 서버
5 인증서 확인 : 서버 > 복호화
6 Master key 생성 : 서버,클라이언트 (PremasterKey 사용) > Session key 생성
7 Client Finished : 클라이언트 (완료 공지) > 서버
8 Server Finished : 서버 (동의,알고리즘공지) > 서버
* Open SSL 취약점 (Heart Bleed)
오픈 암호화 라이브러리 하트비트라는 확장모듈에서 웹브라우저 요청시 데이터 길이 검증 없이 메모리 데이터
IPSEC(IP Security) : 안전한 인터넷 통신 규약,가상 전용 회선 구축
전송방법
1 터널모드 : IPsec탑재한 중계 장비가 패킷 전체를 암호화 + 새로운 IP header
New IP + ESP AH + IP...
2 전송모드 : 출발지에서 암호화 목적지에서 복호화 End to End,Payload(데이터)만 암호화
IP + ESP AH + Payload ...
AH : 데이터 무결성,IP 패킷 인증/ESP : 암호화 전송,Replay Attack 방지
OTP : 한번만 생성된 난수를 패스워드로 사용
1 동기식 (시간,이벤트): 고정된 시간 간격 주기로 난수 값 생성(시간), 인증횟수 기준값(이벤트)
2 비동기식 (질의응답): 사용자(로그인) > 서버(질의값) > 사용자 (OTP질의입력) > OTP 생성
SQL lnjection
입력값을 우회해 SQL쿼리를 전송하여 DB값을 얻어내거나 권한 탈취 ('or1=1 #)
공격 도구 : Havij,Panglin,HDSL
인증우회,Blind SQL Injection, Mass SQL lnjection,Union SQL Injection
XSS
실행가능한 스크립트를 재전송하는 공격 기법
세션갈취
공격대상 : 클라이언트
CSRF
사용자의 권한을 탈취하여 웹사이트를 요청
서버와 클라이언트의 신뢰관계를 이용
공격대상 : 서버
DRM : 디지털콘텐츠 저작권 저작자의 권리,이익을 보호 및 관리하는 시스템
WaterMarking : 디지털 콘텐츠 소유권 추적 기술
Fingerprint : 디지털 콘텐츠 구매자 정보 삽입
디지털 포렌식 : 디지털 기기를 대상으로 한 특정 행위의 사실관계 증명을 위한 방법 및 절차
(준비-획득/이송- 분석-분석서 작성 - 보관)
디지털 포렌식 원칙
1 정당성 원칙(적법 절차) :수집된 자료의 적법절차
2 재현 원칙 : 재현가능성
3 신속성
4 절차 연속성 : 담당자 및 책임자 명확
5 무결성 : 증거 위변조 금지
휘발성데이터 수집 우선순위
Register/Cache > RoutingTable,ARPCache,ProseccTable,Kernal Statics > Memory > 임시파일 > Disk >
Remote logging, Monitoring Date > Physical Configuration, Network Topology > Archival media
비휘발성 데이터 수집 우선순위
Registry,시간,Cache,Cookie,History,Email
암호화된 파일,윈도우 로그