본문 바로가기

분류 전체보기672

FTP(File Transfer Protocol) 보안 1. 2개의 포트를 이용한다.- 21번포트는 제어 연결용 포트이다. 로그인 상태를 유지하고 제어 명령을 주고 받는다.- 20번 및 1024번 이후 랜덤 포트 하나 : 파일 전송을 위해 별도로 사용한다. 2. Active 모드와 Passive 모드- Active모드가 기본이나, Active모드의 문제점을 보완하기 위한 Passive모드가 등장- Active모드는 서버가 클라이언트에 접속 해야 하므로 클라이언트의 Inbound가 열려 있어야 함- 일반적으로 클라이언트는 Outbound만 열려 있는 경우가 많으므로 데이터 전송 불가- FTP때문에 보안 정책을 예외적으로 허용하기가 곤란하여 Passive모드 사용 3. Active 모드- 21번포트와 20번 및 1024번 이후 랜덤 포트 사용- 클라이언트 -> .. 2018. 3. 22.

OTP(One-Time Password)의 동기화 방법 비동기 방식- 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다.- 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다.- 서버는 반환값을 검증한다. 동기 방식 시간 동기화- 현재 시간을 이용하여 난수를 생성한다.- 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다.- 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다.- 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다. 이벤트 동기화- 서버와 OTP기기의 카운트값으로 난수를 생성한다.- OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다. 기타 방식 거래인증 OTP- 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성- 인증번호 값이 일치하는 .. 2018. 3. 21.

포트 스캔 분류 1. Sweep시스템 활성화 여부를 판단한다. 포트에 무관하게 돌아가고 있는 서비스가 있는지 판단한다. (1) ICMP Sweep : ping 응답이 있다 -> 살아있다.(2) TCP Sweep : 응답이 있다 -> 살아 있다.(3) UDP Sweep : ICMP Port Unreachable 받지 못했다 -> 살아있다. 2. Open 스캔시스템의 특정 Port에 대한 오픈 여부를 판단한다. (1) TCP Scan : RTS를 받은 경우 -> 서비스가 죽었다.(2) TCP Half Open : SYN을 보낸 후 SYN/ACK이 온 경우 -> 살아있다.(3) UDP Scan : ICMP Port Unreachable 받지 못했다 -> 살아있다. 3. Stealth 스캔정상적인 연결을 시도 하는것이 아니라 .. 2018. 3. 21.

전자지불시스템의 보안 요구사항 전자지불 시스템의 보안요건 4가지 상호인증(authentication) : 거래상대방의 신분을 확인할 수 있도록 하는 기능(인가된 사용자인지 확인)기밀성(confidentiality) : 거래의 내용이 제3자에게 노출되지 않도록 하는 기능(비밀 유지)무결성(integrity) : 송수신 메시지가 전송 도중 변조되지 않았다는 것을 증명(변조여부 확인)부인방지(non-repudiation) : 이미 성립된 거래에 대한 부당한 번복을 방지하는 기능(왜곡방지) 관련 기출문제(클릭) 2018. 3. 20.

워터마크와 핑커프린팅 DRM(Digital Right Management)의 대표적인 기술적 대책으로 워터마크와 핑커프린팅이 있다. (국내에서 DRM이라 하면 문서 암호화 솔루션을 의미하는 경우가 많으나 여기선 보안 개론에서 이야기하는 DRM에 관한 것이다. 의미 그대로 디지털 저작권을 관리하는 것을 말한다.) 워터마킹 업무적인 예로, 문서를 출력하면 하단에 누가 출력했는지 찍히는 것이다.실생황에서의 예로는, 웹사이트에 이미지를 올리면 자동으로 웹사이트의 로고나, 당신의 아이디가 찍히게 되는 것이다. 의도가 무엇일까? 크게 2가지로 볼 수 있다. 1. 자산의 출처/소유자를 식별한다.2. 자산을 유출한 사람을 식별한다. 문서나 사진이나 영상에 주인의 이름이나 로고를 박아 둠으로써 이건 내 것이다! 라고 못박아 두는 것이다. 그.. 2018. 3. 19.

대칭키 암호화 : 블록암호와 스트림암호 1. 블록 암호(Block Cipher) 특정 비트 묶음을 기준으로 전치, 또는 치환을 하여 암호를 만들어낸다. (1) P-박스(transPostion-Box) 전치(transposition)를 수행하는 모듈이다. 특정 블록에서 비트들끼리의 순서를 뒤바꾼다. (2) S-박스(Substitution-Box) 치환(substitution)을 수행하는 모듈이다. 특정 블록에서 비트들을 다른 비트들로 치환한다. (3) Confusion 과 Diffusion 암호 알고리즘의 성질이자 조건(요구사항)이다. - 혼란(confusion) : 암호문과 키의 관계를 숨김 - 흐림(diffusion) : 암호문과 평문의 관계를 숨김 (4) 합성 암호P-박스와 S-박스 등을 적절히 조합하여 Confusion과 Diffusio.. 2018. 3. 18.

암호 분석(암호 해독)의 공격 분류 각종 수험서에는 한글 번역되어서 나오나 한자어가 아주 가관이다. 차라리 영어로 보는 것이 이해하기가 쉽다. Plaintext : 평문Ciphertext : 암호문 해독이 어려운(공격자 입장에서 힘든 환경) 것 부터 쉬운 순으로 나열한다. 영어만 외우고 아래에 있는 약어나 한국어는 참고만 해 두자. 영여를 알고 있으면 한국어로 어떻게 번역되어서 나오든 약어로 나오든 매핑이 가능하다. Cipher-Text Only AttackCOA : 암호문 단독 공격 가진건 암호문 밖에 없다. 암호문을 가지고 평문을 추론해야 한다. 다빈치코드에 나오는 고전적인 치환 암호, 전치 암호 정도라면 가능 하겠지만 현대 암호학에선 현실적으로 불가능하다. Known Plain-Text AttackKPA : 기지 평문 공격 몇 가지 .. 2018. 3. 18.

종단간 암호화와 링크 암호화 종단간 암호화(End-to-End Encryption) 기밀성을 중요시하는 A씨는 B씨에게 편지를 보내는데 아무도 믿을 수 없어서 튼튼한 금고에다 편지를 넣고 B씨에게 보낸다. 배송과정이 어찌 되든 암호화 된 채로 움직이게 된다. 최초 출발지인 A에서 암호화하고 최종 도착지인 B에서 복호화 하는 것이 종단간 암호화이다. 내용은 철저히 보호되는 대신 전달 과정은 노출이 된다. 링크 암호화(Link Encryption) 기밀성을 중요시하는 C배송회사에서선 고객들의 정보를 보호하기 위해, 편지를 배달할 때 집결지마다 새로운 편지봉투를 씌운다. 편지봉투는 개봉할 수 없도록 되어 있으며 오로지 다음 집결지에 대한 정보만 나와있다. 최초로 보낸 A씨는 암호화를 하지 않았지만, 중간 전달 과정에서 각 링크마다 암호화.. 2018. 3. 18.

취약한 암호화 알고리즘 컴플라이언스를 하다 보면 암호화를 하되, 더불어 암호화엔 안전한 암호화 알고리즘을 사용해서 암호화 해야 한다는 말이 따라 온다. 여기서 "안전한 암호화 알고리즘"이란 무엇인가? 안전한 암호화 알고리즘이 무엇인지 명확히 말 해 줄 수 있는 사람은 없다. 난공불락이라 여겨졌던 이니그마가 튜링에 의해 정복 당하고, 일방향이라 이론적으로 매우 안전하다 여겨 널리 사용되면 해시 알고리즘도 일부 뚫렸다. 따라서 어떤 암호화 알고리즘이 안전하다고 말하기가 쉽지 않은 것이다. 그래서 일반적으론 널리 알려진 알고리즘 중 '안전하지 않다.' 내지는 '안전하지 않을 수 있다.'라고 알려진 암호화 알고리즘을 걸러내는 것을 1차적인 목표로 한다. 따라서 이 포스팅에선 안전하지 않거나, 안전하지 않을 수 있는 대표적인 알고리즘을.. 2018. 3. 18.

트래픽 분석 스니핑과 더불어 소극적 공격의 대표적인 예이다. 암호화되어 전송되는 메세지 트래픽을 감청하여 비록 메세지의 내용은 못 보더라도, 메세지의 송신자, 수신자를 파악하고 메세지가 송·수신되었다는 사실 자체를 통해 유의미한 결과를 도출 할 수 있다. 암호화된 메세지 트래픽에 관한 예는 아니지만, 트래픽 분석이라는 게 어떤 의미를 가지는지에 대한 적절한 예가 영화속에 있어서 간단히 언급하고 넘어간다. 영화 中 형사인 황정민이 어딘가 미심쩍은 류승범. 황정민의 통화기록을 검토한다. 건달 유해진과의 통화 기록이 다수 발견되고, 알수 없는 대포폰으로 통화한 기록도 다수 발견되는데 이 동선이 황정민의 동선과 거의 일치한다. 류승범은 이를 통해 황정민과 건달 간의 모종의 공모 관계가 있다는 사실을 파악하고 황정민을 압박하.. 2018. 3. 18.

정보보호에서의 위협(Threat)과 위험(Risk) 위협(Threat) 은 손실이나 손상의 원인이 될 가능성의 제공하는 환경을 말한다. 위협에 대한 예는, 취약점, 해커의 존재, 공격 대상이 될 수 있는 중요 자산등이 있다. 위험(Risk) 은 위협에 따라 생길 수 있는 손실에 대한 가능성이다. 위험에 대한 예는 취약점에 의한 정보 유출, 해커에 의한 실질적인 공격, 중요 자산에 대한 탈취 시도 등이 있다. 취약점(Vulnerability) 자산의 잠재적인 속성으로서 위협의 이용 대상이 되는 것 위험 = 자산 × 위협 × 취약점 으로 정의하기도 한다. 자산 위협 >> 위험 >> 손실 취약점 >> ▲ 자산의 손실로 이어지기까지 TVR Flow 2018. 3. 13.

보안의 3가지 대책, 기술적 관리적 물리적 대책 보안 대책을 크게 3가지로 구분 하자면 기술적, 관리적, 물리적으로 나눌 수 있다.한국의 ISMS도 그렇고 여러 국제 인증 기준들 또한 이 3가지로 구분하여 보안성을 검토한다. 기술적 보호대책은 접근통제, 암호화, 백업시스템 등이 포함된다. 관리적 보호대책은 보안계획, 결재·승인 절차, 관리대장 작성, 절차적 보안 등이 있다. 물리적 보호대책은 재해대비·대책, 출입통제 등이 해당된다. 이를 2가지로 줄인다면 기술적, 관리적 대책이 될 것이다. 물리적인 보호대책은 대부분 관리적인 관점에서 이루어지기 때문이다. 정보통신망법에서 구체적인 정보보호 대책을 다룬 고시 또한 "개인정보의 기술적, 관리적 보호조치 기준"이다. ISMS와 같은 큰 규모의 인증이 아니라 소규모의 점검에선 기술적, 관리적 대책으로 구분하여.. 2018. 3. 13.

보안 CIA Triad (CIA 삼각형) Triad는 '3개로 구성된' 이라는 뜻이다. 딱히 적절한 해석이 떠오르지 않아 CIA삼각형이라고 번역했다. 아래와 같은 3각형의 특징적인 모양을 가지기 때문이다. 보안은 3가지 원소로 균형을 맞출 수 있다. 1. 기밀성 Confidentiality 2. 무결성 Integrity 3. 가용성 Availability 기밀성은 데이터가 인가되지 않은 사람에게 새어나가지 않는 것이다.기밀성을 해치기 위한 공격은 스누핑(Snooping)과 트래픽 분석(Traffic Analysis)가 있다.무결성은 데이터가 변조되지 않는 것이다.무결성을 해치기 위한 공격은 변경(Modification), 가장(Masquerading), 재연(Replaying), 부인(Repudiation)이 있다.가용성은 둘을 충족 시키면서 .. 2018. 3. 12.

리눅스 /etc/passwd파일, /etc/shadow파일 필드 /etc/passwd root:x:0:0:root:/root:/bin/bash① ② ③ ④ ⑤ ⑥ ⑦ ① 사용자명(ID) ② 패스워드. x로 되어 있는건 /etc/shadow파일에 암호화하여 저장되어 있다는 뜻이다. ③ 필드 3 : 사용자 계정 uid ④ 필드 4 : 사용자 계정 gid ⑤ 필드 5 : 사용자 계정 이름(정보) ⑥ 필드 6 : 사용자 계정 홈 디렉토리 ⑦ 필드 7 : 사용자 계정 로그인 쉘 /etc/shadow raisonde:$6$7sqr8$b6...:17132:0:99999:7: : :① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ① 사용자명(ID) ② 암호화된 패스워드. 앞에 ! 가 있으면 잠긴 상태이다. ③ 패스워드 최종 수정일(1970-01-01로부터의 일수) ④ 패스워드 최소 유지기간 ⑤ 패.. 2018. 3. 10.

[리눅스마스터] rsync 사용법과 옵션 rsync [OPTION]... SRC [SRC]... DEST 주요 옵션r : recursivel : 심볼릭 링크 보존p : 퍼미션 보존t : 타임스탬프 보존g : 그룹 소유권 보존o : 소유권 보존D : 디바이스 파일 보존a : rlptgoD 옵션 모두 적용z : 압축v : verbose 가장 일반적으로 사용되는 사용법은 아래와 같다. # rsync -av /home /home/backup 2018. 3. 10.

리눅스 가상화(Xen, KVM, Docker, OpenStack) XENCPU 전가상화와 반가상화를 모두 지원한다.CPU 반가상화 지원으로 다른 기술과 비교해서 물리적 서버 대비 효율성이 가장 좋다.베어메탈(Bare Metal)방식의 하이퍼 바이저이다.전가상화 구성 시에는 QEMU 기반으로 동작한다.Domain 0이라는 컨트롤 스택을 사용한다.가상머신 내에서 실행하는 주장치 드라이버를 허용하는 기능이 있다. KVMCPU 전가상화만 지원하며 반가상화는 지원하지 않는다.이더넷 카드, Disk I/O, VGA 등은 반가상화도 지원한다.상용화된 제품으로 RHEV가 있다. Docker경량화된 가상화 기술의 일종으로 하이퍼바이저(Hypervisor)나 게스트 운영체제(Guest OS) 없이 서버 운영에 필요한 프로그램과 라이브러리만 격리해서 설치 및 사용 가능하다. OpenSta.. 2018. 3. 10.

[리눅스] 슈퍼데몬 xinetd 정리 데몬에는 2가지 종류가 있다.슈퍼데몬 방식(xinetd 방식), standalone 방식이 있다. standalone방식은 말 그대로 단독으로 메모리에 상주하고 있는 방식이다. 자주 사용되는 데몬이라면 문제가 없지만 어쩌다 한번 가끔 사용하는데 항상 메모리에 상주 하고 있는 것도 비효율적이다. 그래서 슈퍼데몬이라는 것이 있는데, 슈퍼데몬이 메모리에 상주 해 있으면서 슈퍼데몬에서 관리하는 데몬이 호출 될 경우 그 데몬을 잠깐 올렸다가 처리가 끝나면 다시 종료시킨다. standalone보다는 느리겠지만 간혈적으로 사용되는 많은 데몬들을 효율적으로 운용할 수 있다. xinetd 리눅스 커널 2.2 시절까진(아주 옛날엔) inetd를 사용하였다. 거기다 접근 제어 기능을 가진 TCP Wrapper를 같이 사용했.. 2018. 3. 9.

[리눅스] mount 명령어 정복 "장치를 마운트한다" 장치를 특정 파일/폴더에 할당한다는 뜻이다. 예를 들어 CD-ROM을 마운트 한다는 것은, 특정 폴더에 들어가면 해당 CD-ROM의 내용을 볼 수 있도록 한다는 것이다. 윈도우에선 CD를 넣고, USB를 꽂고 하드를 연결하면 하나의 내컴퓨터에 새로운 드라이브가 생긴다. 리눅스는 드라이브 개념이 따로 없으므로 CD-ROM을 읽으려면 CD를 넣고 #mkdir cdrom#mount /dev/cdrom /cdrom 이렇게 하면 된다. mout명령어는 아래와 같이 쓴다. # mount [option] [device] [directory] [option] option은 3가지이다. -a : /etc/fstab 에 있는 파일 시스템을 모두 마운트 한다.-t : 파일시스템을 지정한다. -t ext.. 2018. 3. 9.

이전 1 ··· 9 10 11 12 13 14 15 ··· 38 다음

티스토리툴바