쏘니헨리

인터넷 응용보안

 

1. FTP : 파일 전송 프로토콜(TCP 20, 21,1024 ~ 65535)

(1) Active Mode : 접속 - 21번 Port / 데이터 전송 - 20번 Port 

(2) Passive Mode : 접속 - 21번 Port / 데이터 전송 -1024 ~ Port

 

FTP 종류 

(1) FTP : ID/PW 인증,TCP 

(2) tFTP : 인증 x, UDP 

(3) sFTP : 전송구간에 암호화 기법사용 (기밀성)

 

FTP log 기록 (FTP 접속시 -I)

xferlog 파일 기록 

Sat Oct 29 21:35:39 2020 1 111.11.111.11 70 /home/aa.txt a _i r test ftp 0*c

2020년 10월 29일 토요일 21시 35분 39초 111.11.111.11 IP에서 aa.txt 파일 업로드 성공

C (complete) : 성공

 

FTP 보안 취약점 

 

Bounce Attack : 익명 FTP 서버 경유 호스트 스캔

Brute Force : 무작위 대입

tFTP Attack : 인증없이 접근 

Anoymous FTP Attack

FTP Server week point 

sniffing 

* FTP 사용자는 반드시 계정을 /etc/password nologin으로 관리할 것 

 

E-Mail 보안

Email 전송 방법

 

(1) SMTP// TCP 25/DNS MX/응용계층

전자우편 송신 통신 규약 

(2) POP3 TCP 110/응용계층

원격서버로 TCP/IP 통신으로 E-Mail 수신시 사용 수신 후 서버에서 메일 삭제

(3) IMAP 

메일 서버에 저장,소프트웨어 상관X,복잡성/보안문제 해결

 

Email 보안 기법 

 

(1) PGP 

MIME 객체 + 암호화,전자서명 프로토콜 

송수신자 보안서비스 제공/평문 메시지 암호화

메세지 암호화(3DES,IDEA), 서명(DSS/SHA),압축,분할

전자우편 호환성,세션키생성(RSA,DiffieHelmen),이메일 호환(ASC Code)

 

(2) PEM 

인터넷 이메일 보안 시스템 중 하나 

중앙 집중화된 키 인증 방식 -> 구현 어려움 

군사,은행 사용 

메시지암호화(DES-CBC), 디지털서명(RSA,MD2,MD5),인증(DES,MD2,MD5)

세션키 생성(DES,RSA,MD2),전자우편 호환성

 

(3) S/MIME 

표준보안 메일규약 

메일 전체 암호화 (RSA,DES,SHA-1)

CA로부터 공개키 인증필요 

첨부파일 보안 

RSA사에서 개발

 

/etc/mail/access 작성규칙

 

RELAY : 특정 도메인 relay 허용

DISCARD : 메일 수신 후 폐기 

501 : 전체,부분 특정 도메인 일치시 메일 거부

550 : 특정 도메인 메일 거부 

 

Spam 메일 차단 방법 

 

RBL : 참조서버로부터 유해 메일 전송IP 차단

SPF : 발신자 SPF레코드를 DNS 저장 후 정보 확인

 

Span Assasin (perl)

점수를 이용하여 스팸차단(90%이상)

RBL 서버 참고 

웹 서버 보안(Web Server Security)

HTTPD(80)

Fork함수를 통해 자식프로세스를 생성

설정파일 :/etc/httpd/conf/httpd.conf

 

아파치 웹서버 보안

주요 디렉터리 및 파링 접근 권한 

Directory Listing 

Server Tokens : 웹서버 정보 노출 (Prod : 최소한)

Server Signiture : 아파치 버전 및 서버 이름 노출

 

윈도우 웹서버 (IIS) : FTP,SMTP,NNTP

서비스 : FTP.WWW.SMTP(메일),NNTP(뉴스)

계정 및 그룹 : IUSR_MACHINE(인터넷 접근 익명 계정)

IWAN_MACHINE(out-of-process 웹 어플리케이션 계정)

폴더: %windir%/system32/inetsrv/iisadmin(IIS 관리 프로그램) 

%windir%/system32/inetsrv(IIS 도움말)

%systemdrive%/inepub(웹,FTP,SMTP 루트폴더)

웹사이트 : 기본80: %systemdrive/inetpub/wwwroot

              관리 3693 :%systemdrive%/system32/inetsrv/iisadmin

웹 로그 분석

 

서버에서 발생하는 log :/var/log/httpd/access_log

서버에서 발생하는 에러 log : SeverRoot/logs/error_log

 

ErrorLog Level 

Crit : 중대한 에러 발생

Emerge : 에러 

Warn : 경고 

Error : 중대하지 않는 에러 

 

HTTP 상태코드

 

200 OK 

403 Forbidden

404 Not Found 

502 Bad Gateway

504 Gateway Time-out

 

DNS보안

DNS확인 : ipconfig/displaydns DNS Cache 테이블 확인

DNS Query (UDP 53) : Recursive Query(순환) - Locasl DNS에 질의

       lterative Query(반복) - Local DNS - 외부 DNS Server 질의

DNSSEC : DNS 응답 정보에 전자서명 값 첨부 

 

DB보안 

DB위협요소

집합 : 낮은 보안 등급의 정보들을 이용하여 높은 등급의 정보를 알아 내는 것 

추론 : 보안등급이 없는 정보를 접근하여 기밀정보 유추

 

DB 보안 기법 

Plugin : 데이터베이스 서버에 별도 암호화 솔루션 설치

API : 암호화 API 호출을 통해 암호화 수행

 

백업 방식 

전체 백업 

차등 백업 : 가장 최근에 수행된 전체 백업 이후 변경된 모든 DB 백업

증분 백업 : 가장 최근 백업 이후 변경된 것만 백업 

 

전자상거래 보안 

 

전자화폐 : 전자기기에 전자기호 형태로 화폐적 가치를 저장,전자적 지급수단으로 활용

전자화폐 요구조건

1 불추적성(익명성) : 사생활 보호 

2 가치이전성: 즉시 양도 가능 

3 분할설 : 똑같은 가치 분할 가능 

4 독립성(완전 정보화) : 디지털 데이터 자체로서 완벽한 화폐가치를 가져야함

5 익명성 취소 : 불법적으로 사용될 경우 사용자 노출 허용 

EX) 몬덱스,비자캐시,PC Pay Ecash,NetCash,비트코인

 

SET(Secure Electronic Transaction)

 

- 신용카드 촉진을 위해 VISA와 MASTER CARD 공동 개발한 프로토콜

- 전자 상거래 인증 상호 작용 보장 

- SSL 보다 속도 느림

- 지급결제 처리 복잡

- 기밀성,무결성,인증,부인봉쇄지원

- 이중서명,이중해시 

- 대칭키,공개키,전자서명,해시함수,전자봉투,공개키 인증(x.509),이중서명

- 알고리즘 : DES,RSA,SHA

- 사용자가 전자지갑 소프트웨어가 필요함

 

SSL 443

- Netscape 개발

- 안전한 통신 지원 

- 전송,응용계층

- http,ftp,telnet,mail

- 기밀성,무결성,인증

- Random : 재생공격방지를 위한 난수

 

SSL구성요소

1 Change Cipher Spec Protocol : SSL중 가장 단순한 프로토콜

협의된 알고리즘,키교환 알고리즘,MAC암호화,HASH 알고리즘 -> 클라이언트,웹서버 공지

2 비정상적인 동작이 발생될 때 사용되는 프로토콜 Level, Description 필드 있음 

3 Record Protocol : 

송신 - 협의된 알고리즘을 사용해 데이터를 암호화하고 산출된 데이터를 SSL에서 처리가 가능한 크기의 블록으로 나눔 후 압축 MAC를 붙여 전송

수신 - 데이터 복호화,MAC유효성 검사,압축 해제,재결합 -> 상위계층 전달 

 

SSL HandShaking

 

1 Client Hello : 클라이언트 브라우저 (암호알고리즘,키교환 알고리즘,MAC암호화,HASH 알고리즘) > 서버 

2 ServerHello : 서버 > 클라이언트 

2.5 Server Hello Done : 서버 > 클라이언트 

3 Certificate : 클라이언트 > 서버 > 인증서 

4 Exchange Key (Premaster key 전송) : 클라이언트 > 서버 

5 인증서 확인 : 서버 > 복호화 

6 Master key 생성 : 서버,클라이언트 (PremasterKey 사용) > Session key 생성 

7 Client Finished : 클라이언트 (완료 공지) > 서버 

8 Server Finished : 서버 (동의,알고리즘공지) > 서버 

 

* Open SSL 취약점 (Heart Bleed) 

오픈 암호화 라이브러리 하트비트라는 확장모듈에서 웹브라우저 요청시 데이터 길이 검증 없이 메모리 데이터 

 

IPSEC(IP Security) : 안전한 인터넷 통신 규약,가상 전용 회선 구축 

전송방법 

1 터널모드 : IPsec탑재한 중계 장비가 패킷 전체를 암호화 + 새로운 IP header 

                New IP + ESP AH + IP...

2 전송모드 : 출발지에서 암호화 목적지에서 복호화 End to End,Payload(데이터)만 암호화

                IP + ESP AH + Payload ...

AH : 데이터 무결성,IP 패킷 인증/ESP : 암호화 전송,Replay Attack 방지

 

OTP : 한번만 생성된 난수를 패스워드로 사용

1 동기식 (시간,이벤트): 고정된 시간 간격 주기로 난수 값 생성(시간), 인증횟수 기준값(이벤트)

2 비동기식 (질의응답): 사용자(로그인) > 서버(질의값) > 사용자 (OTP질의입력) > OTP 생성

 

SQL lnjection 

 

입력값을 우회해 SQL쿼리를 전송하여 DB값을 얻어내거나 권한 탈취 ('or1=1 #)

공격 도구 : Havij,Panglin,HDSL 

인증우회,Blind SQL Injection, Mass SQL lnjection,Union SQL Injection

 

XSS 

 

실행가능한 스크립트를 재전송하는 공격 기법

세션갈취

공격대상 : 클라이언트

 

CSRF 

 

사용자의 권한을 탈취하여 웹사이트를 요청

서버와 클라이언트의 신뢰관계를 이용 

공격대상 : 서버 

 

DRM : 디지털콘텐츠 저작권 저작자의 권리,이익을 보호 및 관리하는 시스템 

WaterMarking : 디지털 콘텐츠 소유권 추적 기술

Fingerprint : 디지털 콘텐츠 구매자 정보 삽입

 

디지털 포렌식 : 디지털 기기를 대상으로 한 특정 행위의 사실관계 증명을 위한 방법 및 절차

(준비-획득/이송- 분석-분석서 작성 - 보관)

 

디지털 포렌식 원칙

 

1 정당성 원칙(적법 절차) :수집된 자료의 적법절차

2 재현 원칙 : 재현가능성

3 신속성 

4 절차 연속성 : 담당자 및 책임자 명확

5 무결성 : 증거 위변조 금지 

 

휘발성데이터 수집 우선순위 

 

Register/Cache > RoutingTable,ARPCache,ProseccTable,Kernal Statics > Memory > 임시파일 > Disk > 

Remote logging, Monitoring Date > Physical Configuration, Network Topology > Archival media

 

비휘발성 데이터 수집 우선순위 

Registry,시간,Cache,Cookie,History,Email

암호화된 파일,윈도우 로그