오프라인 7일차 (웨협에 대응하기 위한 보안 환경의 이해)

기초가 중요 

 

http서버 = 웹서버 > iis, 아파치 > 80/tcp(default) =  변경가능

 

클라이언트 > 1024 이상 포트(미사용) 선택 > tcp/ip  sw가 선택

 

 

전송프로토콜 - tcp udp >헤더 (보내고 받는 포트) = (16bit = 655350) by 튜링상_it 최고상 (로버트칸, 빈트소프박사)

포트 만든 이유: 응용프로그램을 구분하기 위해서 

 

smtp서버 - 메일서버 = 25번 tcp 포트 

ftp서버 - 정보 = 21번 tcp 서버 (ftp 클라이언트 서버)   > 그래서 서버 프로그램으로 포트를 바꾼다(안들키기 위해)

ㄴ vsftp서버 알 ftp 서버 등등 많다. 

 

점령후 

c:\ 상대방 프롬폼트

 

svchost 는 시스템 32 안에만 있어야 한다.

 

ftp 백도어 자동실행

ftp -n -s :1.txt && svchost 7788

> 기본 1.txt가 실행시 백도어가 자동실행

 

해커가 로컬 네트워크를 스캔했더니 3389/tcp 포트가 열려있는걸 확인했다. > 윈도우 원격 데스크탑(터미널 서버)

 

pw 는 비밀번호

강력한 암호 >password 중요

윈도우 password > usb 부팅으로 패스워드 초기화 (물리적 보안 주의)

 

 

좋은 네트워크 문서

https://www.yumpu.com/xx/document/view/17490834/-arp

네트워크 통신의 비밀 ARP

 

tcp/ip 형제 자매들

라우터 L3

 

내부네트워크

tcp/ip > endpoint - 32bit 128bit

ipx/spx  > endpoint - 80bit 주소

mail slot

mcimed pipe

 

 

라우터는 사랑의 결정체?! 

 

 

 

메일작성(클라이언트 프로그램) 전송층 > 필요시 논리적 분할(segmentation)

헤더 내용 smtp

segmentation 

안에 tcp header > 순서번호, 응답번호, 6개의 플래그비트

 

라우터의 mtu 최대전송단위 fragmentation

 

 

ip헤더

보내고 받는 주소, fragmentdation에 관한 정보

ttl 

 

 

 

ip는 icmp가 도와준다 밑에서는 arp, rarp

icmp (type + 코드 = 메시지)

 

 

 

 

좋은 포렌식 툴 - encase

 

 

 

 

 

핀테크 = 금융 + it

IoT  = 사물인터넷

 

 

추천 구글 해킹 문서

http://coffeenix.net/data_repository/pdf/googledork.pdf

 

 

쇼단, 센시스 = 포트+ 파일서버 + iot기기 검색

 

 

 

WEB = 화이트 + 다크

darkweb - 특별한 브라우저  사이버 무림..? ㅋ

 

정보보안추천사이트

sk infosec

ahnlab.com - 회원가입

kisia.or.kr

kias.or.kr

kisa.or.kr

isms.kisa.or.kr

seed.kisa,or,kr

보안뉴스

데일리시큐

 

 

cve = 공통취약점 노출

cwe = 약점 weacknese enumeration

 

owasp

wasc

 

 

aws = 가장 큰 서버 서비스

 

 

esm 관제 - 전사적 보안관리

siem관제 - 자동화 - soar 관제

 

 

 

 

가상화 - 만잘해도 월 600

물리적 + 논리적,,,

 

 

 

 

제로트러스트

- 네트워크가 침해당한 경우 권한의 정확한 액새스 결정 불활실성 최소화 하는 설계된 개념과 아이디어의 집합체

 

방화벽

-장비의 내 외부망을 분리시키고 그 사이에 배치시켜 벙보의 악이적인 흐름 침투를 방지 

기능

1. 강제적 접근통제 - 군대

2. 임의적 접근통제 - (자율적) 특정한 것을 이용 {

ms 에서 만든 해시함수 ntlm v1, v1

패스워드 > 해시함수 > sam 파일에 저장(windows/system32/config 안에)

}

3. 역할기반 접근통제 (과징 부장,,, 회사)

cmd 

netsh advfirewall set allprofiles atate off (or on)

확인은 firewall.cpl

/? 로 확인하면서 하자 >>>>>> 책사기

4. 주소변환

5. 인증

6. 감사기록

7. 추적기능

8. 백신{

클라이언트

서버백신

s/w 백신 - 이메일 백신, 방화벽

} vs 악성코드 ex) s/w , h/d 키로거, 라우터 악성칩

9. 프록시 (터널링) 

10. vpn 

 

 

대표적인 방화벽 > 칼리 리눅스 iptables 사용법 으로 이해하기

 

윈도우의 심장 레지스트리에 바뀐 포트번호가 적혀있다. 

 

 

메모리에 소켓이 형성되듯이 방화멱에는 상태유지기능(stateful)이 있다. 

소켓확인 netstat-an

 

 

 

tcp 연결시 3 way handshaking이 이루어진다. 

 

 

 

로그온 > id pw >> winlogin.exe > lsass.exe(인증) > access token (보안 식별자) 을 줌

보안식별자 

 

접근통제 

deny - 거부메시지를 줌 > reject

drop - 정보없이 아웃 보안상 더 우위

accept

 

ping  막는법(윈도우, 리눅스)

영구적

일시적

https://helpingbox.net/ko/ubuntu%EC%97%90%EC%84%9C-ping-%EC%9A%94%EC%B2%AD%EC%9D%84-%EC%B0%A8%EB%8B%A8%ED%95%98%EA%B1%B0%EB%82%98-%EC%B0%A8%EB%8B%A8-%ED%95%B4%EC%A0%9C%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95

Ubuntu에서 PING 요청을 차단하거나 차단 해제하는 방법 - HelpingBox.net

 

 

NAT 

가상 네트워크 구성 방법

1. ip 

2. mac주소

3. 응용 프로그램

 

 

인증

메시지 인증 (해시함수)

개체인증{

서버인증

클라이언트 인증

}

 

해시 함수 - 무결성 점검 . 하나로 결과값이 완전 달라진다, 압축기능이 있다 길이가 어떻든 정해진 비트로 나옴.

ex

미국

sha1 (160비트)

sha2

sha3

sha256

sha512

한국

has160

 

 

악성코드 점검 추천 출툴

everything

 

 

lsass.exe > lsasrv.dll > 어셈블코드 > bof취약점 > zotob 웜

 

윈도우 취약점은 대부분 dll에서 나타난다. 

패치(new dll)  > 과거dll 과 비교하는 기법 = binary diffing

 

 

proxy 사이트 

kproxy.com > 경찰청에서 막은것도 들어갈수 있다.

 

 

사설망 접근할수 있는 툴

스마트 포트 포워딩

https://www.softpedia.com/get/Network-Tools/Misc-Networking-Tools/Smart-Port-Forwarding.shtml#download

Download Smart Port Forwarding 1.0.0.1

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=youngram2&logNo=100188278180 

smart port forwarding / 포트포워딩 / 포트포워드

 

 

윈도우 로그 5가지

응용프로그램

보안

setup

시스템

forwarded events

 

 

강사님 추천책

성공 실패 네트워크 원리2

킹갓 구글신과 네이버 누나

 

싸가지 있는 해커

해킹을 하는 이유 - 보안책을 찾기 위해서 (control 통제)

countermeasure

safeguard

감사(auditor) > best control choicee & feedback

 

 

 

윈도우에서 www.naver.com을 치면

dns 캐시 영역을 확인  > ipconfig /display

없으면 dns 질의

hosts.ics (internet connection sharinng)

hosts 에서 찾고

dns 서버 질의

 

snmp

스푸핑 가능(속이는거)

종류

ip주소, dns, arp, icmp, rip, smtp

 

보내는이 이메일도 속일수가 있다

https://anonymousemail.me/

Anonymousemail.me

 

 

apt 공격 - 분업화, 전문화된 팀의 조직적 장기적 공격  

대표적으로 lg화학, nh농협사건 2010.9 ~ 2011.4, skmate 사건, sk컴즈, 인터파크

 

백신우회 공격

대표적인 툴

https://blog.naver.com/dlfrb2002/50126152650

senna spy exe one maker 2001 사용방법

> 백신 무용론? 

예방법 -> 

https://www.virustotal.com/gui/home/upload

VirusTotal

여기서 꼭 다운받은 파일들을 확인해보자. 

 

정상+ 악성코드 합성 공격

 

 

 

 

snmp - 공유 문자열 인증

ex public, private

> 해시함수

> 암호인증

 

계정관리 통합기능

 

 

ips (protection 방지, prevention 방지   예방 아님)

문자열 차단 허용기능

 

 

 

 

 

다중 인코딩 기법으로 보안프로그램이 못잡게끔 우회하도록 한다. 

대표 인코딩 base64

https://www.base64decode.org/

Base64 Decode and Encode - Online

특징 마지막 문자 2개가 ==인게 많다. 

 

 

 

KISA ISMS > 통제 > IS27001 ISMS

핵심자산(scope) > 자산분석, 취약점 분석, 위협분석 > 일어날 가능성 > risk >위협분석 

CIA fh vudrk + impact, concern, 빈도수

기존의 틀을 파악해서 DOA (ASL acceptable security level ) 하는것

risk < DOA 하도록 통제하는것을 위럽 관리

 

위협

분석< 평가< 관리

 

Hash function (해쉬 함수)

1. one way function                         complexity theory

해시값 > 메시지 = computaionally infeasible 계산상 실행 불가능(hard)

2. 생일 역설 이론 160비트 이상인 해시함수가 안전

 

갑분 수학

f:a > b 

를 함수라고 한다. 

1. a의 모든 원소들은 b에 대응

2. 다대일 대응, 일대일대은

b는 a 의 image

a는 b의 preimage, incense image

다대 1일때 1이 적어서 같은값으로 수렵하는 것을 존재가능성이 있으나 실제로 찾는것은 불가능에 가까워야 한다.  

찾는것을 충돌 (conflict)라 한다. 

> 약한 충돌에 대한 저항성

강한 충돌에 대한 저항성

 

해커들이 많이 들어가는 진보 사이트

http://jabo.co.kr/

진보와 정론의 인터넷 신문 - 대자보 -

 

 

근거리 통신망 lan 

dhcp - 동적으로 ip 할당

dhcp 스푸핑

 

응용 -http

{표현 -인코딩 압축 암호                                                               }

{세션 - 쿠키(영구적, 세션 > 웹서버 세션 id 메모리에 저장)         } ssl by 네스케이푸사 짐클라크 > https 442/tcp

전송

네트

데이

물리 

 

{ssl3.0 (서버인증, 클라이언트 인증, 공개키교환 > 비밀키공유, 비밀키 암호통신)

비슷한거 TLS1.0 1.1 1.2} > 취약해서 말이 많다

 

 

 

IP ( 스니핑, 스푸핑, 트래픽 분석, 재전송가능) 약점이 있다.

+ security > ipv6, IPsec (AH 인증_전성모드+터널모드, ESP 인증+암호_전성모드+터널모드)

 

 

SSL > VPN 

IPSEC > VPN 

 

최근 cc인증 받았지만 취약점이 나와서 문제가 있었다. 

 

응용프로그램을 서비스로

'Apptoservice.exe'

https://basta.com/apptoservice

AppToService - Run applications as Windows services | Basta

 

 

방화벽 - 호스트기반, 서비스기반

 

 

정보보안은 하위호환성, 역호환성을 유지하면서 나아간다. 

compactabe downwood

 

 

요즘 방화벽은 stateful이다. - 상태 유지기능이 있다.