천천히 하지만 나아가는

정보보안기사 필기 요약 Part2. 네트워크 보안 OSI 7계층 7 Application (응용) : 사용자에게 서비스 제공 (FTP, SNMP, HTTP, Mail ...) // 게이트웨이 6 Presentation (표현) : 포맷, 압축, 암호화, 텍스트/그래픽 16진수 변환 (GIF, ASCII, EBCDIC) 5 Session (세션) : 가상연결, 통신 방식(반이중, 전이중, 완전이중) 결정 (SSL) 4 Transport (전송) : 에러제어, 데이터흐름제어, 논리적 주소 연결, 신뢰도/품질 보증 (TCP, UDP) 3 Network (네트워크) : 라우팅, 논리적 주소 연결(IP), 데이터 흐름 제어 (IP, ICMP, ARP, RIP, OSPF, BGP) // 라우터 2 Data Link..

정보보안기사 필기 요약 Part3. 어플리케이션 보안 인터넷응용보안 1. FTP (File Transfer Protocol) : 파일 전송 프로토콜 (TCP 20 , 21 , 1024 ~ 65535) (1) Active Mode : 접속 - 21번 Port / 데이터 전송 - 20번 Port (2) Passive Mode : 접속 - 21번 Port / 데이터 전송 - 1024~ Port FTP 종류 (1) FTP : ID/PW 인증, TCP (2) tFTP : 인증 X , UDP (3) sFTP : 전송구간에 암호화 기법사용 (기밀성) FTP log 기록 ( FTP 접속시 -l ) Xferlog 파일 기록 Sat Oct 29 21:35:39 2020 1 111.11.111.11 70 /home/aa.t..

모의 해킹 관련 게시글은 학습활동으로 실습, 작성되었습니다. 실습환경은 모의로 구축한 것이므로 실제로 해킹을 시도할 시 법적 처벌을 받을 수 있습니다. 실습용으로 구축된 취약한 사이트에 대해 진행 되었으며, 실제 사이트에서 SQL Injection으로 해킹을 시도하는 것은 불법 행위입니다. SQL Injection : 응용프로그램에서 SQL구문을 삽입하여 DB를 조작하고 권한을 탈취할 수 있는 공격 1. DBMS (Data Base Management System) 정보 획득 1. 로그인 창 - DB 에있는 고객 Table 에서 SQL을 이용하여 로그인 확인을 하기 때문에 SQL : Select id from id_table from id table where id = '사용자 아이디 ' ; 로 유추 할..

정보보호 시스템 인증 정보보호 시스템 제품을 객관적으로 평가하여 정보보호 제품의 신뢰성을 향상시키려는 인증제도 TCSEC(Trusted Computer System Evaluation Criteria, Orange Book) - 독립적인 시스템 평가 - BLP(Bell-LaPAdula)모델 기반 - 기밀성 강조 - 정보 조달 요구사항 표준화 - 기능성 보증 구분x ITSEC(Infomation Technology Security Evaluation Criteria) - OS, 장치 평가 - 기밀성, 무결성, 가용성 - 기능성 보증 구분 CC(Common Criteria) - CCRA 가입국 간의 정보보호 제품에 대한 상호인증 - ISO15408인증 - 주요기능 PP(Protection Profile), ..

업무 연속성 계획 및 재난복구 계획 BCP (Business Continuity Planning, 사업 연속성 계획) - 상시에 기업의 존립 유지를 위한 프로세스를 정의한 복구 절차 - 업무의 중단상황 그 이후 업무 기능 및 프로세스 지원 BCP 절차 ① 연속성 계획 정책 선언서 개발 ② BIA(Business Impact Analysis) 수행 ③ 예방통제 식별 ④ 복구전략 개발 ⑤ 연속성 계획 개발 ⑥ 계획 및 테스트 및 훈련 ⑦ 계획의 유지 관리 DRP(Disaster Recovery Planning, 재해 복구 계획) - 비상 환경에서 기업의 존립을 위한 필수적인 IT자원에 대학 복구 절차 - 사이트의 목표시스템, 응용 프로그램, 컴퓨터 설비의 운영 재개와 같은 IT 중심 계획

정량적 위험분석과 정성적 위험분석 ① 정량적 위험분석 ALE(연간기대손실)= SLE(위험발생확률) X ARO(손실크기) 유형 : 수학공식 접근법, 확률 분포 추정법, 확률 지배, 몬테카를로 시뮬레이션, 과거 자료 분석법 분석시간, 노력, 비용⟰ ② 정성적 위험분석 위험에 대한 우선순위를 정하는 기법 유형 : 델파이 법, 시나리오법, 순위 결정법, 질문서법 주관적 분석

ISMS (infomation Security Management System) 정보보호 관리체계인증 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인터넷 인증기관이 증명하는 제도 관리체계 수립 및 운영, 보호대책 요구사항에 대한 인증 ISMS-P (infomation Security Management System - Personal) 정보보호 및 개인정보보호 관리체계 인증 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 ISMS＋개인정보 처리 단계별 요구사항에 대한 인증 법령 과학기술정보통신부 방송통신위원회 행정안전부 고시 정보보호 개인정보보호 ISMSーP

해시(Hash)함수 (MD5, SHA-256, LSH): 복호화가 불가능한 일방향 암호기술 무결성만 지원 해시함수 조건 ① 압축: x 길이 평문을 고정된 길이의 출력값으로 변환 ② 일방향 (One Way Function, 선이미지 회피성): 역방향 계산 불가능 ③ 효율성: 해시값 계산에 시간이 많이 소요되지 않아야 함 ④ 충돌회피 (Collision free, 강한 충돌회피성): h(M1)=h(M2) M1,M2 계산불가능 ⑤ 2차 선이미지 회피성 (약한 충돌회피성): h(M1) = h(M2) M1!= M2 계산불가능

대칭키 암호화 ⑴ 스트림암호화 기법(RC4, SEAL, OTP): 비트/바이트 단위로 암호화 수행 고속암호화, 하드웨어 구현용이 wifi, OTP ⑵ 블록암호화 기법(DES, 3DES, AES): 고정된 길이의 입력 블록 - 고정된길이 출력블록 변환하는 알고리즘 Feistel(역추적가능), SPN(역추적 불가능)구조 ① ECB(Electronic Code Book): 가장 단순한 모드 블록을 순차적으로 암호화 (독립적) ② CBC(Cipher Block Chain): 블록 / IV(Initialization Vector) XOR 연산 (독립적) ③ CFB(Cipher FeedBack): 암호화 IV / 블록 XOR 연산 (연쇄적) ④ OFB(Output Feedback): IV 암호화 - (블록2전송) ..

키분배 프로토콜 ① 대칭키 암호화 (=비밀키): 암호화키와 복호화키가 동일한 암호화 기법 키교환 알고리즘 중요도 높음 - 기밀성 제공 무결성 인증 부인방지 X - 암호화, 복호화 속도 빠름 - 대용량 Data 암호화 적합 스트림 암호 / 블록암호 구분 스트림암호 (Stream Cipher) 블록 암호(Block Cipher) 개념 Bit, 바이트 단위 암호화 Bit x n 블록단위로 암호화 방법 평문을 XOR 1Bit 단위 암호화 블록단위 치환 대칭 반복 (Feistel , SPN) 장점 실시간암호/복호화, 속도 대용량의 평문 암호화 종류 RC4, SEAL, OTP DES, 3DES, AES, IDEA, SEED ② 공개키 암호화 (=비대칭키, 개인키) : 공개키로 암호화 개인키로 복호화하는 암호화 방법..