1주차(3) - 2022/02/09 정보보안개론

패스워드 점검기(Password Checkers)

• 취약한 패스워드 찾아내기 위해 사전공격(Dictionary Attack)을 수행하는 도구 이용해 사용자들 패스워드 점검
• 패스워드 취약점 도구는 사용자에 따라 두 가지 성격 지님
  • 패스워드 점검기 : 보안전문가들이 보안점검을 위해 사용
  • 패스워드 크래커 : 공격자들이 패스워드 취약점 이용해 공격 시도할 때 사용
    • 패스워드 크랙 
      • 사전파일 이용 
        • John The Ripper, Ophcracker
      • brute force (전사적 공격)
      • hybrid (혼합)
    • WPA2를 이용한 무선 해킹은 패킷을 어느정도 잡으면 사전파일을 이용해 PW Crack

 

LAN 카드(이더넷)

• NIC(Network Interface Card)
  • 자기에게 해당되지 않은 패킷은 받지 않음 (non-promiscuous 모드 = 정상)
    • 반대는 promiscuous 모드로 무차별적으로 패킷을 받아들임
    • SW적으로 스니핑함

Cain & Abel
- GUI 툴
- 기본 모드 : promiscuous 모드
- NTLM v1 4자리 숫자의 경우 5분만에 crack함

 

ROM

- BIOS(Basic Input/Output System) code(부팅관련 기계어)

- Read-Only지만 Refresh 가능하다

 

Prefetch(프리패싱, 캐싱 기능)

• 부팅 prefetch / 응용 프로그램 prefetch / H/D 조각모음 등이 있음
• .pf라는 자체포맷 이용
• 캐싱 하다 RAM이 부족한 경우 강제로 종료함
  • 이를 막기 위한 super fetch도 존재

 

NTFS 시스템

• 특징 : 여러 개의 $DATA 속성을 허용함
•  부팅
  • MBR 방식(512 byte)
  • GPT 방식
  • CIH바이러스
    • 1 byte 바꿔서 부팅 안되게 하는 바이러스
• VBR
  • OS 부팅 
• MFT(Mater File Table)
  • 1KByte(=1024byte)
  •  MFT Record(Entry) 15개 정도 있음
    
    • Header, 속성(Attribute, 보안설명자 포함), $DATA 속성으로 구성됨

 

패스워드 에이징

• 패스워드에 시간개념 도입해 사용자에게 패스워드 강제로 바꾸게 설정하는 것
  • 사용자가 현재 사용중인 패스워드 사용 기간과 패스워드 변경 불가 날짜 등을 추가
    • best practice - 선진사례 
    • secpol.smc(로컬 보안정책)에 암호 정책 이용해서 보안 강화
    • eventvwr.msc(이벤트 뷰어) -> auditpol(감사 정책)
      • 로그 종류
        • 응용 프로그램
        • 보안
        • Setup
        • 시스템
        • Forwarded(재전송) Events
      • 로그 경로 - 시스템(운영체제)마다 다름 
      • 로그는 탐지 통제
      • 로그 확장자 .evtx ==> 자체 포맷으로 열기 위해선 전용 프로그램 필요 
    • elsave.exe
      • 로그 삭제, 보관

일회용 패스워드(One-Time Password)

- 스트림 암호 사용

 

PCI-DSS(Payment Card Industry Data Security Standards)

• 지불결제산업 데이터 표안 표준
  • 글로벌 신용카드 회사들이 신용카드 정보 유출 사고를 막기 위해 보안 표준 협의회(PCI)를 결성하여 만든 글로벌 보안기준
• 인증 구조
  • PCI PTS(PIN Transaction Security)
  • PCI PA-DSS(Payment Application Data security Standard)
  • PCI DSS(Data security Standard)
  • PCI P2PE(Point to Point Encryption)

 

dir 명령어
- dir /r : 대체 데이터 스트림 표시

mstsc
- 원격 데스크톱 연결
- 3389 tcp port 사용함 (WIN OS)
- 서버포트는 registry에서 변경 가능함 (ex, 777번 포트로 변경시 >  1.1.1.1:777)

 

보안토큰(HSM : Hardware Security Module) = 보안모듈

• 필수 기능
  • 사용자 식별, 인증
  • 지정데이터 암, 복호화
  • 지정된 자료의 임의 복제 방지
  • 분실 시 데이터 보호를 위한 삭제

 

권한부여(Authorization) - 인가

1. 식별(Identification)
   • 객체에 접근하려는 주체가 스스로 본인이 누구라는 것을 확인 시키는 것
   • 식별은 각 개인의 신원을 나타내기 때문에 사용자의 책임추적성 분석에 중요한 자료가 됨
   • 사용자명, 계정번호(ID), 계좌번호, 메모리카드
2. 인증(Authentication)
   • 신원 검증하기 위한 사용증명(Verify, Prove) 활동
   • 본인 임을 주장하는 사용자가 본인이 맞음을 인증해주는 것
   • 패스워드, PIN, 토큰, 스마트카드, 생체인증(지문 등)
3. 인가(Authorization)
   • 인증된 주체에게 접근 허용하고 특정 행위를 수행할 권리를 부여하는 과정
   • 접근제어목록(ACL), 보안 등급
4. 책임추적성(Accountability)
   • 국가법령처
     • isms.kisa.or.kr
     • seed.kisa.or.kr - 암호모듈

 

접근 기준(Access Criteria)

• 역할
• 그룹
• 위치
• 시간
• 업무 유형

 

접근 제어

• 주체(Subject) : 사용자(User)
• 객체(Object) : 파일(Record, Field), DB(Table, View 등), 프로그램 등
• 접근(Access) : 읽기(Read), 쓰기(Write), 변경(Update), 삭제(Delete) 등을 실행(Execute) 하는 것

 

기본적인 접근금지(Default to No Access)

• 개인과 그룹에 할당 가능하고 운영 시스템 보호할 수 있는 광범위한 영역의 접근 수준들이 존재
• 사용자는 읽기(Read), 쓰기(Write), 실행(Execute) 등의 권한 가질 수 있으며, 권한이 설정되지 않았으면 자원에 접근할 수 있어서는 안된다는 의미

 

최소 권한(Least Privilege) 원칙

• 관리자가 사용자에게 업무 수행 위한 권한을 그 이상으로 부여하는 것은 남용 가능성이 있어 위험함
• 기본적인 권한 그룹
  • 읽기전용(Read-Only)
  • 읽기와 쓰기(Read & Write)
  • 접근 변경(Access Change)

 

접근통제 모델 분류

• 권한 관리 방식에 따른 분류
  • 접근통제표(ACM) - 객체 먼저
  • 접근통제목록(ACL) - 주체 먼저
• 강제적 접근통제(Mandatory AC)
  • 벨 라파둘라(BLP) 모델에 기반
    • 단순 보안 속성(Simple Security Property) :  NRU(No Read Up)) - 위쪽으로 읽을 수 없음
    • 스타(*) 보안 속성(NWD : No Write Down) - 아래로 쓸 수 없음
    • BIBA 모델 - BL모델과 반대
      • NRD(No Read Down) : 단순 무결성 속성
      • NWU(No Write Up) : 스타 무결성 속성
  • 다단계보안 모델이라고 불리기도 함
  • 군사 환경과 같은 엄격한 보안 요구 되는 분야에 적합
• 자율적 접근통제(Discretionary AC) = 임의적
  • 객체에 대한 소유권(Ownership) 기반
  • 소유권 가진 주체가 객체에 대한 권한의 전부 또는 일부를 다른 주체에게 부여(Grant)
  • 제 3자로부터 부여 받은 권한을 다른 사용자에게도 부여 가능(위임도 가능)
  • A의 권한을 회수하면 B와 C의 권한도 자동으로 회수됨
  • 상호 신뢰가 전제되는 경우에만 적용
• 역할기반 접근통제(Role-Based AC) = 직무기반
  • 인가권한(Permission) : 사용자들이 쓸 수 있는 권한
  • 역할(Role) : 사용자들이 조직 내에서 부여받은 직무, 위치
  • 세션(Session) : 사용자가 시스템에 로그인 함으로써 자신에게 부여된 권한들을 사용할 수 있는 상태를 유지하는 것
  • 임무분리(Seperation Of Duty)를 이용한 접근통제 방식의 제약조건
    • 권한 남용을 막고 권한을 여러 사람에게 분산

 

단일 사용 승인(Single Sign On-SSO)

• 커버로스(Kerberos)
  • TGS를 통한 티켓 제공
  • 타임스탬프 사용
  • 38번 포트 사용
• 유럽식 보안 시스팀(SESAME)
• 크립토나이트(Kripptonight)

 

쿠키 

• Cli에 저장됨
• persistent(H/D(간단포맷) 저장)
  • 쿠키스니핑
  • 쿠크스푸핑
• 서버 => Session에 저장

 

SMB

1.0 - 1983 IBM에서 설계 SMB1은 LAN에서는 문제가 되지 않는 매우 수다스러운 프로토콜. 프로토콜이 핸드셰이킹 할 때 네트워크의 고유한 높은 대기 시간을 확대하므로 WAN(광역 네트워크)에서 속도가 매우 느려진다. SMB1을 사용하는 경우 중간자(man-in-the-middle)가 클라이언트 에게 사전인증 무결성, 암호화, 보안언어 협상, 안전하지 않은 게스트 인증 차단, 더 나은 메시지 서명 등 모든 것을 무시하도록 지시 할 수 있다는 것

2.0 - Windows Vista 및 Windows Server 2008에서 도입 SMB2는 명령 및 하위 명령의 수를 100개 이상에서 19개로 줄임으로써 SMB 1.0 프로토콜의 '수다'를 줄입니다.

3.0 - Windows 8 및 Windows Server 2012에서 도입. SQL 데이터 및 가상화 솔루션 간 파일 전송, 서버 클러스터 관리, 분산 전송을 통한 장애조치 등 데이터센터와 같은 서버 간 통신을 위한 것이며 보안, 가용성 및 성능에 대한 다양한 새로운 기능을 사용할 수 있습니다. 예를 들어, 서버리스로 인터넷을 통한 SMB 파일 공유를 제공하는 "Azure Files (서버 파일)"서비스는 SMB v3에 내장 된 "SMB 암호화"기능을 통해 공용 네트워크에서 개인 데이터 전송을 허용하는 보안을 보장합니다.