보안기사 중요 키워드 및 문제 정리

관리적, 기술적 관점에서 정보보호조직을 구성하고 임무와 책임을 부여하는 내용의 법규를 바탕으로 수행되어야 할 것은?
내부관리계획

원격 루트 로그인을 막기 위한 윈도우, 리눅스, 유닉스의 OS 설정 파일명은?
윈도우: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server의 키
리눅스: /etc/securetty
유닉스: /etc/security/user

위험분석의 3요소인 자산, 위험, 위협, 취약점에 대한 설명
자산: 조직에 가치가 있는 자원들
위험: 조직의 자산에 손실, 피해를 가져올 가능성
위협: 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위
취약점: 위협이 발생하기 위한 조건 및 상황

물리적 접근 통제: 설비 및 장비 등의 잠금장치, 외부 인력이 임의로 보호 장소에 대한 출입통제 등을 수행하는 것
논리적 접근 통제: 허가된 자만 허가된 곳에 접근을 보장하거나 로그온 시에 사용자 인증 수행, 관리자와 사용자 모두를 분리운영 하는 등 활동을 수행
예방통제: 바람직하지 못한 사건이 발생하는 것을 피하기 위해서 담장, 자물쇠, 경비원 등을 배치시키는 것

access-list 1 udp any any eq 53
iptables -A OUTPUT -p udp -m udp --dport 53 -j drop
alsert tcp any any -> any any (content:"|00FF|"; offset:9; depth:2)

SMURF: 송신자 IP를 스푸핑하여 ICMP Request 패킷을 증폭네트워크에 Directed Broadcast로 전송하여 증폭된 ICMP Reply를 피해자가 수신받아 서비스 불가상태에 빠지게하는 기법. Directed Broadcast 로 전송되는 ICMP 패킷에 응답을 거부.
DDoS 공격 중 DNS 증폭공격에서 IP 기반 공격과 그것을 사용하는 이유, 사용하는 Type과 그것을 사용하는 이유
IP Spoofing을 통하여 공격 근원지를 탐지하기 어렵게 하기위함이다, DRDoS공격의 경우 SYN+ACK 패킷에 대한 응답이 오지 않을시 재전송하여 공격 효율이 더 좋다.
사용하는 Type은 ANY, TXT 타입을 사용하는데 이 Type 들의 응답은 데이터의 크기가 커 DDoS 공격을 좀 더 효과적으로 가져갈 수 있기 때문이다.

Slow HTTP Read DoS: 공격자가 TCP 연결 후 자신의 TCP 윈도우 크기를 0바이트로 서버에 전달하여 서버와의 연결을 지속적으로 유지시키는 DoS 공격. 서버는 윈도우 크기가 0바이트임을 확인하고 데이터를 전송하지 않고 Pending 상태로 빠지게 됨.

ARP Spoofing: 공격자가 피해자의 MAC 주소를 위조(Spoofing)하여 Arp Reply를 지속적으로 전송해 피해자의 Arp 캐시 테이블을 변조하는 기법.

IPSEC의 6가지 기능
비연결형 무결성: MAC 인증코드를 이용하여 패킷 변조에 대한 무결성을 확인
기밀성: AH 제외. ESP를 이용하여 메시지를 암호화
송신처 인증: MAC 인증코드를 이용하여 올바른 송신자로부터 온 것임을 검증
재전송 공격 방지: SA별로 일련번호를 유지하여 재전송 공격을 방지
접근 제어: SP를 이용한 접근제어 정책을 설정
제한적 트래픽 기밀성: 터널링 모드일때 원본 IP패킷 전체를 암호화하여 출발지 목적지의 기밀성을 유지할 수 있으나 새로운 IP헤더를 통한 정보는 노출

복합적 모델의 장점과 단점
장점: 상세위험분석과 베이스라인 접근법을 같이 사용하므로 위험분석을 효율적으로 진행 가능하다.
단점: 고위험영역이 잘못 식별되었을 경우 위험분석 비용이 낭비되거나 부적절하게 대응할 수 있다.

실제로 기계어로 구성되어 Exploit의 본체에 해당하는 최소 프로그램 명칭은? Shell Code
x86 계열에서 NOP code를 hex로 표현한 값은? 0x90
x86 계열에서 EIP에 들어있는 값을 ESP로 이동하는 어셈블리 코드는? MOV ESP, EIP

Windows DNS 서버에서 Windows DNS 설정 시 도메인에 DNS 서버를 등록하는 존 영역 설정과 DNS 서버에 서비스 정보를 입력하는 Host 등록(리소스 레코드 설정)이 있다.

일반적인 다운로드가 아닌 사용자가 인식하지 못하게 악성코드에 감염시키며, 사용자의 시스템 내외부에서 다양한 경로로 악성코드를 감염시킨다. 드라이브 바이 다운로드

wireshark 응답 패킷 필터링:dns.flags.response==1

SLE: 단일 예상 손실액
SLE= 자산 가치(AV) * 노출 계수(EF)
ALE= SLE * ARO(연간 발생률)
ROI= (ALE-X)/X*100
※ X는 완전위험해결비용

정통망법 제27조 개인정보의 분실,도난,유출 이용자에게 알려야할 사항 5가지
1. 유출된 개인정보의 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자 등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

alert tcp any any -> any 80 (msg:"Shell Shock"; content:"() {")

==============

ISMS 인증 심사 시 요구되는 정보보호대책 인증기준
정보보호정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호교육, 인적보안, 물리적보안, 시스템개발보안, 암호통제, 접근 통제, 운영보안, 침해사고 관리, IT 재해복구

디지털 포렌식 조사의 일반원칙
정당성의 원칙
-입수증거가 적법절차를 거쳐 얻어져야 함
-위법수집증거배제원칙: 위법절차를 통해 수집된 증거의 증거능력 부정
-독수의 과실이론: 위법하게 수집된 증거에서 얻어진 2차 증거능력 부정
재현의 원칙
-같은 조건에서 항상 같은 결과가 나와야 함
신속성의 원칙
- 전 과정은 지체없이 신속하게 진행되어야 함
연계보관성의 원칙
-증거물 획득>이송>분석>보관>법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함
-수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 함
무결성의 원칙
-수집증거가 위변조 되지 않았음을 증명
-수집당시의 데이터 Hash 값과 법정 제출시점 데이터의 Hash 값과 같다면 Hash 함수의 특성에 따라 무결성을 입증
동일성의 원칙
-증거물은 증거 입수단계와 동일 해야 함

버퍼 오버플로우 공격의 대응책
스택 가드(Stack Guard): 메모리상에서 프로그램의 복귀주소와 변수 사이에 특정 값을 저장해 두었다가 그 값이 변경되었을 경우 오버플로우로 가정하여 프로그램 실행을 중단하는 방법.카나리워드
스택 쉴드(Stack Shield): 함수 시작 시 리턴주소를 Global RET라는 특수 스택에 저장해 두었다가 함수 종료 시 저장된 값과 스택의 RET 값을 비교해 다른 경우 프로그램을 종료하는 방법
ASLR(Address Space Layout Randomization): 메모리 공격을 방어하기 위해 주소 공간 배치를 난수화하는 방법 - 특정 주소값 호출 방지
취약한 함수 미사용: strcpy, gets, scanf 등

SSL/TLS 프로토콜의 구성요소
Handshake
- Client 와 Server 간의 Session을 설정
- 상호인증과정, 암호화 통신
- 암호화, 키 교환 알고리즘, MAC 암호화, HASH 알고리즘 방식 결정
Change Cipher Spec
- 암호화 SPEC을 서버에 알려준다.
Alert
- 경고 및 오류처리를 수행
- 1byte 위험수준 결정 level field 1 위험 field 2 통신 중단
- 2byte Description 필드
Record
- Handshake, ChangeCipherSpec, Alert 등의 제어 메시지와 응용 계층 메시지를 수납한다.
- 메시지 분할, 압축, 메시지 인증 코드(MAC), 메시지 암호화

정보시스템 공통평가기준의 구성요소 중 아래의 설명에 해당하는 것은?
(PP 또는 프로파일): 평가대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합
(ST 또는 보안목표명세서): 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명세의 집합
(EAL 또는 평가보증등급): 공통평가기준에서 미리 정의된 보증 수준을 가지는 보증 컴포넌트로 이루어진 패키지

위험 기본요소 4가지
자산: 조직이 보호해야할 대상
위협: 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합
취약점: 자산의 내재적 속성으로, 위협에 이용되는 보안 약점
정보보호대책: 위협에 대응하여 자산을 보호하기 위한 관리적, 물리적, 기술적 대책으로 정의된다.

전자서명법에 따라 공인인증서의 효력이 소멸하는 4가지
공인인증서의 유효기간 만료
공인인증기관의 지정이 취소
공인인증서의 효력이 정지
공인인증서가 폐지

공인인증서의 폐지
가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
사망 실종선고 또는 해산 사실을 인지한 경우
분실 훼손 또는 도난 유출된 사실을 인지한 경우

정보통신기반 보호법 주요정보통신기반시설 지정
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생 가능성 또는 그 복구의 용이성

기업담당자는 방법에 의거하여 연 1회 이용자들에게 개인정보 이용내역을 통보해야한다. 항목은?
개인정보 수집 이용 목적 및 수집한 개인정보의 항목
개인정보의 제 3자 제공시 그 제공 목적 및 제공한 개인정보의 항목
개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용

스머프 공격 대응방법
rate-limit를 설정
URPF 설정
증폭 네트워크가 사용되는 것을 막기 위해서 directed broadcast 패킷 차단

비트락커(BitLocker)
TPM 버전 1.2와 함께 사용할 때 가장 많은 보호 기능을 제공하여 사용자 데이터를 보호하고 시스템이 오프라인 상태일 때 컴퓨터가 변조되지 않았는지 확인

영상정보처리기기 안내판
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항

서버기반 논리적 망 분리 중 인터넷망을 이용한 가상화 방식과 업무망 가상화 방식의 장점 2가지를 각각 서술하시오
1. 인터넷망을 이용한 가상화방식
- 가상화 서버 환경에 대한 사용자 통제 및 관리 정책 일괄적용 가능
- 가상화된 인터넷 환경 제공으로 인한 악성코드 감염 최소화
2. 업무망 가상화
- 가상화 서버 환경에 업무정보가 저장됨에 따라 업무 데이터에 대한 중앙관리 용이 및 내부정보 유출 방지 효과 증가
- 사용자 통제 및 관리 정책 일괄적용 가능

PHP.ini Magic_quotes_gpc ON
addslashes()
htmlspecialchar()
mysql_real_escape_string()

find -newer 특정 날짜 이후 설치된 파일을 검색

S/MIME 구성요소
- RSA, DSA, Diffie-Helman 공개키 암호화
- 3DES, RC4, IDEA, DES, RC2 대칭키 암호화
- X.509 ver3 인증서 지원
- 공개키 기반 구조 인증서 사용

님다: 2001년 9월에 발생한 컴퓨터 바이러스. 윈도우 계열의 서버를 사용하는 PC를 공격대상으로 하며 파일을 통해 서버를 감염. 첨부파일을 실행하지 않고 본문 내용을 보기만 해도 감염되며, 감염된 웹 사이트에 접속만 하여도 감염.
나이트드래곤: 2009년 11월 무렵부터 최소 1년 이상 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 업체를 대상으로 조직적으로 진행. 웹 서버 해킹, 악성코드 제작 및 유포 등등

전자서명 요구 조건
재사용 불가: 한 문서의 서명을 다른 문서의 서명으로 재사용 불가
서명자 인증: 전자서명을 생선한 서명인을 검증 가능
부인방지: 서명인은 자신이 서명한 사실을 부인 불가
위조 불가: 서명인의 개인키가 없으면 서명을 위조하는 것은 불가
변경 불가: 이미 한 서명을 변경하는 것은 불가
재생방지: 메시지를 유일하게 하기 위해 연속번호, 타임스탬프를 포함

OECD 개인정보 8원칙

• 정보 정확성의 원칙: 개인정보는 사용 목적과 범위가 부합되어야 하며, 정확하고 안전하며 갱신되어야 한다.
• 목적 명확화의 원칙: 개인정보를 수집할 때에는 목적이 명확해야 하고, 이를 이용할 경우에도 최초의 목적과 모순되지 않아야 한다.
• 이용 제한의 원칙: 개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 명확화된 목적 이외의 용도로 공개되거나 이용 되어서는 안 된다.
• 안전보호의 원칙: 기업이 수집, 보존하고 있는 개인정보가 분실, 불법적인 접근, 파괴, 정보수정 및 공개와 같은 위험에 대비하여 합리적인 안전보호 장치를 마련해야 한다.
• 개인 참가의 원칙: 개인정보를 제공한 개인은 자신과 관련된 정보의 존재 확인, 열람 요구, 이의제기 및 정정, 삭제, 보완 청구권을 가진다.
• 공개의 원칙: 개인정보에 관한 개발, 운용 및 정책에 있어 일반적인 공개의 원칙이 적용되어야 한다.
• 책임의 원칙: 개인정보를 관리하는 자는 이에 대한 책임을 져야 한다.

방화벽의 종류

• 스크리닝 라우터: IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 Perm/Drop하는 라우터이다.
• 베스천호스트: 내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치한다. Lock down 된 상태에 있으며 인터넷에서 접근이 가능한 서버이다.
• 듀얼 홈드 호스트: 2개의 NIC를 가진 베스천호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결한다. 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 프록시 기능을 부여한다.
• 스크린드 호스트: 패킷 필터링 호스트와 베스천 호스트로 구성. 패킷 필터링 라우터는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부에서 내부로 유입되는 패킷에 대해서는 배스천호스트로 검사된 패킷을 전달한다. 배스천호스트는 내부 및 외부 네트워크 시스템에 대한 인증을 담당한다.
• 스크린드 서브넷: 스크린드 호스트의 보안상 문제점을 보완한 모델. 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조.

라우터 모드
Intercept 모드: 라우터로 들어오는 SYN 패킷을 서버에 바로 넘기지 않고 라우터에서 클라이언트와 연결을 맺으며 연결이 정상적으로 이루어지면 클라이언트 대신 서버와 연결을 맺고 두 연결을 포워딩 시켜주는 방식이다.
watch 모드: SYN 패킷을 그대로 통과시키고 일정시간 동안 연결이 이루어지지 않으면 라우터가 중간에서 SYN 패킷을 차단한다.

HKEY_CLASSES_ROOT: 파일 확장자 정보, 파일과 프로그램 간 연결 정보가 들어있다.
HKEY_LOCAL_MACHINE: 하드웨어와 소프트웨어 설치 드라이버 설정 정보가 들어있다.
HKEY_CURRENT_USER: 현재 로그인한 사용자의 환경설정 정보(응용 프로그램에 대한 정보)가 들어있다.
HKEY_USER: 데스크톱 설정, 네트워크 환경정보, 사용자 정보가 들어있다.
HKEY_CURRENT_CONFIG: 디스플레이와 프린터에 관한 정보가 들어있다.

코드레드: 웜 바이러스의 일종으로 서버에 숨어 있다가 정해진 시간에 공격 대상 웹 사이트로 대량의 쓰레기 정보를 보내 해당 웹 사이트를 마비시키는 악성 웜 바이러스

WEP: RC4 암호화 알고리즘, 40 or 104Bit 공유키, IV 사용

WebDAV: HTTP 사양에 대한 확장판으로서 분산형 저작 및 버전처리이다. 인가된 사용자에게 원격으로 웹 서버 상에서 콘텐츠를 추가하고 관리할 수 있는 기술이다.

=================================
SAINT: 유닉스 시스템에서 작동하는 네트워크 취약점 분석도구로 HTML 형식의 보고서 기능, 원격 취약점 점검 기능이 있음
SARA: SATAN을 기반으로 개발된 취약점 분석도구로 유닉스 시스템에서 작동, 네트워크 기반의 컴퓨터, 서버, 라우터, IDS에 대한 취약점 분석이 가능하며 HTML 형식의 보고서 기능이 있음.
COPS: 유닉스 시스템에서 동작하는 시스템 취약성 점검 도구로 시스템 내부의 취약점 검사 기능이 있음
Nessus: 유닉스 시스템에서 동작하는 네트워크 취약점 점검 도구이며 클라이언트/서버 구조로 클라이언트의 취약점을 점검. 약 600여개 이상의 보안 취약점 점검이 가능
NMAP: 대표적인 포트 스캐닝 도구

은닉서명: 서명자가 서명문 내용을 알지 못하는 상태에서 서명하는 것
대리서명: 본인이 부재 시 자신을 대신하여 다른 사람이 서명
이중서명: 사용자의 지불정보는 상점에 숨기고 주문정보는 은행에 숨김

pasd: iptables 로그 메시지를 이용하여 탐지, 경고, 포트 스캔, 의심스러운 트래픽 방지의 기능을 가진다.
kmsgsd: /var/lib/pasd/pasdfifo에 쓰인 모든 메시지를 읽고 특정 정규표현식과 일치하는 메시지를 /var/log/pasd/fwdata에 작성
psdwatchd: 데몬이 비정상적으로 종료되면 다른 2개의 데몬을 재시작시켜주는 경비견 소프트웨어

/etc/sysctl.conf : sysctl
/etc/system : ndd

Solaris 원격 계정 접속
/etc/default/login : CONSOLE=/dev/console

restrictanonymous: 익명의 계정 접근제어

tcpip\parameters\TcpMaxHalfOpen : HalfOpen의 최대치
TcpMaxHalfOpenRetried : 재시도된 HalfOpen 최대치

침해사고 대응 단계
사고전 준비-사고 탐지-초기 대응-대응 전락 체계화-사고 조사-보고서 작성-해결

개인정보 영향도 평가
1. 구축 운용 또는 변경하려는 개인정보파일로서 5만 명 이상의 정보주체에 관한 법 제23조에 따른 민감 정보 또는 고유 식별 정보의 처리가 수반되는 개인정보 파일이다.
2. 구축 운용 또는 변경하려는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일이다.
3. 구축 운용 또는 변경하려는 개인정보파일로서 100만 명 이상의 정보주체에 관한 개인정보파일이다.

베이스라인 접근법: 위험분석을 위한 자원이 필요하지 않고, 보호대책 선택에 들어가는 시간과 노력이 줄어든다. 큰 노력 없이 많은 시스템에 같은 또는 비슷한 안전요소가 적용될 수 있다.
수학공식 접근법: 과거자료 획득이 어려울 경우 위험발생 빈도를 추정하여 분석하는데 유용하고 위험을 정량화하여 매우 간결하게 나타낼 수 있다.
시나리오법: 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능하게 한다. 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여.

정보시스템 (위험관리)는 정보보호 정책을 바탕으로 각 조직에 적합한 전략을 결정하는 것으로 (위험 식별), (위험 평가), (위험 대응)을 수행한다.

개인정보 안전성 확보조치
관리적
- 내부 관리 계획의 수립 및 시행
기술적
- 접근권한의 관리
- 접근 통제
- 개인정보 암호화
- 접속기록의 보관 및 점검
- 악성 프로그램 등 방지
물리적
- 물리적 접근 방지
- 개인정보 파기

노출 계수: 자산의 위협에 대한 잠재적 손실 계산

================================

정보보호 정책을 수립하고 공표 및 승인받기 위해서 수행하여야 할 단계별 활동은 무엇인가?
정책의 승인: 이해관계자 및 최고 경영자에게 문서로서 승인을 받아야 한다.
정책의 공표: 모든 임직원 및 관련자에게 이해하기 쉬운 형태로 전달
상위 정책과의 연관성: 정보보호정책은 법 및 상위기관의 정책과 연계성을 유지하여야 한다.
정책시행 문서 수립: 정보보호정책의 구체적인 시행을 위한 지침, 절차를 수립하고 관련 문서 간의 일관성을 유지하여야 한다.
정책의 검토: 정기적으로 정보보호정책 및 시행문서의 타당성을 검토하고 분석하여야한다.
정책문서관리: 정보보호정책 및 정책 시행문서의 운영기록을 생성하고 유지하여야 한다.

Supply Chain Attack(공급사슬공격)

HTTP Response Splitting Attack %0d %0a CR LF

접속기록이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보(접속 주소), 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.

마이크로소프트 오피스와 어플리케이션 사이 데이터를 전달하는 프로토콜로, 이 기능을 활용한 악성 문서파일들이 많이 성행하였다. 엑셀 등 오피스 프로그램에서 이 기능이 활성화 될 시 악용이 될수있다. DDE(Dynamic Data Exchange)

한국인터넷진흥원에서 발령하는 사이버 위협정보 경보단계 5가지
정상 -> 관심 -> 주의 -> 경계 -> 심각

Apache 웹서버의 설정파일인 httpd.conf에서 전송 가능한 최대사이즈를 제한하고자 한다.
LimitRequestBody

정보통신망 이용 촉진 및 정보보호등에 관한 법률
정보통신기반보호법
위치정보의 보호 및 이용 등에 관한 법률

1. 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별 · 분류하고, ( 중요도 )를 산정한 후 그 목록을 최신으로 관리하여야 한다.
2. 조직의 대내외 환경분석을 통해 유형별 ( 위협 정보 )를수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 ( 경영진 )의 승인을 받아 관리하여야 한다.

PAM 설정
deny=5 : 5회 틀릴시 계정잠금
unlock_time=120 : 계정잠금후 120초후 잠금해제
no_magic_root : 루트계정 잠금설정 안함
reset : 접속성공시 실패회수 초기화

/etc/shadow 2번째 항목
1) ① 패스워드 방식(암호 알고리즘), ② salt 값, ③ 패스워드 해시
2) 레인보우 테이블이란 자주 쓰이는 패스워드에 대한 해시값 사전으로, salt를 사용함으로써 레인보우 테이블에 있는 같은 패스워드라도 전혀 다른 해시값처럼 보이게 한다.
3) pwconv는 구형 리눅스에서 사용하던 /etc/passwd 방식을 /etc/shadow로 변환해준다. pwunconv는 /etc/shadow 방식을 /etc/passwd 방식으로 변환한다.

1) 벨 라파듈라 모델
2)
(No Read Up): 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음
(No Write Down): 높은 등급의 주체는 낮음 등급의 객체를 수정할 수 없음
3)
(No Read Down): 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음
(No Write Up): 낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음

1. TCP ACK 스캔
2. 방화벽 필터링 여부 판별
3. 방화벽에서 필터링 하지 않고 있음

KeepAlive On 설정은 클라이언트와 연결된 작업프로세스가 지속적인 요청 작업들을 계속해서 처리하도록 하는 설정이다.
MaxKeepAliveRequests 100 설정은 KeepAlive 옵션값이 On 인경우, 요청 작업의 최대 갯수를 지정하는 옵션으로 100으로 지정하여 해당 횟수를 초과하면 현재 프로세스는 종료하고 다른 프로세스가 처리한다는 설정이다.
KeppAliveTimeout 100 설정은 KeepAlive의 옵션값이 On 인경우, 설정한 시간(초 단위)동안 요청이 없다면 해당 프로세스는 연결을 종료한다는 설정이다.
DirectoryIndex index.htm index.html 설정은 디렉토리로 접근할 경우 index.htm을 먼저 읽고, 없으면 index.html을 읽는다는 설정이다.
CustomLog /www/logs/access_log common 설정은 웹 접근로그 access_log 를 /www/logs 경로에 저장하고, 아파치 기본 로그 포맷을 사용하여 로그 내용을 기록한다는 설정이다.

alert any any - > any 80 ( msg "XSS"; content "GET"; offset:1; depth:3: content:"/login.php.. XSS"; distance 1;) Content :"/Login.php?id=...";

2번째 바이트부터(offset:1) 3바이트 범위 내에(depth:3) 서 GET 문자열 패턴이 있는지(content:"GET") 검사하라.
이전 content 패턴에 매치된 이후 바이트부터, 1바이트 떨어진 위치에(distance:1) /login.php XSS 문자열 패턴이 있는지(content:"/login.php XSS") 검사하라.
alert any any - > any 80 ( msg:"XSS"; content:"GET"; offset:1; depth:3; content:"/login.php XSS" ; distance:1; nocase; )
nocase; 옵션을 추가하여 페이로드 검사 시 대/소문자를 구분하지 않게 하여, /login.php XSS 문자열 패턴이 있는지(content:"/login.php XSS") 검사 시, /Login.php XSS 문자열 패턴도 같이 탐지되도록 한다.


1) 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지하는 방법이다. 오탐률이 낮지만 새로운 공격 패턴은 탐지가 어렵다. 지식기반 침입탐지(오용 탐지)
2) 패턴을 미리 등록해두진 않지만 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분하는 방법이다. 행위기반 침입탐지(이상 탐지)
3) 비정상적인 접근(공격)을 정상적인 접근(공격x)이라고 잘못 판단하는 오류 False Negative

최근 Github은 ( 괄호 )를 통한 DDoS 공격을 받았다. ( 괄호 )는 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴이다. 통상 캐시가 필요한 시스템에만 사용되고, 인터넷에 노출되지 않기 때문에, 별도 권한설정을 요구하지 않는다. 하지만 현실은 인터넷에 노출된 ( 괄호 ) 서버가 적지 않고, 이들은 DDoS 공격 수단으로 전락할 수 있다.
memcached 서버

이것은 리눅스의 "/etc"에 위치하고 있으며 패스워드의 사용기간 만료, 패스워드 최대 사용기간, 패스워드의 최소 변경기간 등의 패스워드 정책을 설정 할 수 있다.
/etc/login.defs

===========================================

유닉스/리눅스 시스템별 root 계정 원격 접속 제한 설정

SOLARIS	#cat /etc/default/login CONSOLE=/dev/console
LINUX	#cat /etc/pam.d/login auth required /lib/security/pam_securetty.so #cat /etc/securetty pts/0 ~ pts/x 관련 설정이 존재하지 않음
AIX	#cat /etc/security/user rlogin = false
HP-UX	#cat /etc/securetty console

SSH root 원격 접속 제한 설정
/etc/ssh/sshd_config
PermitRootLogin no

유닉스/리눅스 시스템별 계정 잠금 임계값 설정

SOLARIS	#cat /etc/default/login RETRIES=5 5.9 이상일 시 "policy.conf" #cat /etc/security/policy.conf LOCK_AFTER_RETRIES=YES
LINUX	#cat /etc/pam.d/system-auth auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root account required /liv/security/pam_tally.so no_magic_root reset
AIX	#cat /etc/security/user loginretries=5
HP-UX	#cat /tcb/files/auth/system/default u_maxtries=5 11.v3 이상일 경우 "security" 확인 #cat /etc/defualt/security AUTH_MATRIES=5

루트권한 확인 및 변경

SOLARIS, LINUX, HP-UX	#cat /etc/passwd usermod -u 2016 algisa 알기사 계정의 UID를 2016으로 변경
AIX	chuser id=2016 algisa 예) chuser id=2016 algisa

패스워드 최소 길이 설정

SOLARIS	#cat /etc/default/passwd PASSLENGTH=8
LINUX	#cat /etc/login.defs PASS_MIN_LEN 8
AIX	#cat /etc/security/user minlen = 8
HP-UX	#cat /etc/default/security MIN_PASSWORDL_LENGTH=8

패스워드 최대 사용기간 설정

SOLARIS	#cat /etc/default/passwd MAXWEEKS=12
LINUX	#cat /etc/login.defs PASS_MAX_DAYS 90
AIX	#cat /etc/security/user maxage = 12
HP-UX	#cat /etc/default/security PASSWORD_MAXDAYS=90

패스워드 최소 사용기간 설정

SOLARIS	#cat /etc/default/passwd MINWEEKS=1
LINUX	#cat /etc/login.defs PASS_MIN_DAYS 1
AIX	#cat /etc/security/user minage = 12
HP-UX	#cat /etc/default/security PASSWORD_MINDAYS=90

패스워드 파일 보호

SOLARIS, LINUX	#cat /etc/passwd /etc/passwd 두 번째 필드 'x' 확인
AIX	AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드 암호화
HP-UX	#cat /etc/default/security 2. /etc/passwd 파일 'x' 확인

세션 타임아웃 설정

SOLARIS, LINUX, AIX, HP-UX

<sh,ksh,bash> #cat /etc/profie(.profile) TMOUT=600 export TMOUT <csh> #cat /etc/csh.login 또는 cat /etc/csh.cshrc set autologout=10

=============
정보분석.공유센터(ISAC)
1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
2. 침해사고가 발생하는 경우 실시간 경보.분석체계 운영

한국인터넷진흥원(KISA)
정보보호 전문서비스기업
정보분석.공유센터(ISAC)
한국전자통신연구원(ETRI)

물리적 접근 통제: 설비 및 장비 등의 잠금장치, 외부 인력이 임의로 보호 장소에 대한 출입통제 등을 수행하는 것
논리적 접근 통제: 허가된자만 허가된 곳에 접근을 보장하거나 로그온 시에 사용자 인증 수행, 관리자와 사용자 모두를 분리운영 하는 등의 활동
예방통제: 바람직하지 못한 사건이 발생하는 것을 피하기 위해서 담장, 자물쇠, 경비원 등을 배치시키는 것

php.ini
session.cookie_httponly: 쿠키를 스크립트에서 접근하지 못하도록 차단하는 설정
session.cookie_secure: HTTPS를 적용하여 암호화 통신을 할때만 쿠키를 송신한다.
session.gc_maxlifetime=600

httpd.conf
<LimitExcept GET POST>

Mysql
File_Priv
- select into outfile 출력파일명
- load data infile 입력파일명
Process_Priv
- show processlist
SHutdown_Priv
- mysqladmin shutdown

============
BCP: 장애 시 핵심시스템의 가용성과 신뢰성 회복, 사업 연속성을 유지하기 위한 사업지속성계획과 절차
프로젝트 범위 및 설정/기획: 프로젝트 범위, 조직, 시간, 인원정의
BIA(사업영향평가): 신속한 복구를 위해 업무 중단 시의 손실 영향도 파악
복구전략개발: 사업영향평가에서 수집된 정보를 기반으로 복구 전략 세움
복구계획수립: 사업을 지속하기 위한 실제 복구계획의 수립 및 문서화
프로젝트 수행 Test 및 유지보수: 향후 수행 테스트 및 유지보수 관리 절차 수립

RequestReadTimeout header=5 body=10

====================

운영체제 5계층
1계층(프로세서 관리) : 동기화 및 프로세서 스케줄링
2계층(메모리 관리) : 메모리 할당, 회수 기능
3계층(프로세스 관리) : 프로세스 생성, 제거, 메시지 전달, 시작과 정지
4계층(주변장치 관리) : 주변장치 상태 파악과 입출력장치의 스케줄링
5계층(파일관리) : 파일 생성, 소멸, 파일의 열기・닫기, 파일의 유지 및 관리

/var/log/lastlog 가장 최근 로그인 기록 lastlog -u 계정명
/var/log/wtmp 사용자의 로그인/로그아웃 정보, boot/shutdown last
/var/log/btmp 사용자의 로기인 실패 lastb

과거자료 분석법, 수학공식 접근법, 확률 분포법, 점수법

델파이기법, 시나리오법, 순위결정법, 질문서법, 브레인스토밍, 스토리보딩