[정보보안] 정보보안기사 필기 Part3. 어플리케이션 보안

정보보안기사 요약 Part3. 애플리케이션 보안.pdf

0.17MB

 

정보보안기사 필기 요약

Part3. 어플리케이션 보안

 

인터넷응용보안

1. FTP (File Transfer Protocol) : 파일 전송 프로토콜 (TCP 20 , 21 , 1024 ~ 65535)

(1) Active Mode :  접속 - 21번 Port  /  데이터 전송 - 20번 Port

(2) Passive Mode :  접속 - 21번 Port / 데이터 전송 - 1024~ Port

 

FTP 종류

(1) FTP : ID/PW 인증, TCP

(2) tFTP : 인증 X , UDP

(3) sFTP : 전송구간에 암호화 기법사용 (기밀성)

 

FTP log 기록  ( FTP 접속시 -l )

Xferlog 파일 기록

Sat Oct 29 21:35:39 2020 1 111.11.111.11 70 /home/aa.txt a _i r test ftp 0 * c

2020년 10월 29일 토요일 21시 35분 39초 111.11.111.11 IP에서 aa.txt 파일 업로드 성공

C (complete) : 성공

 

FTP 보안 취약점

Bounce Attack : 익명 FTP 서버 경유 호스트 스캔

Brute Force : 무작위 대입

tFTP Attack : 인증없이 접근

Anoymous FTP Attack

FTP Server week point
Sniffing

*FTP 사용자는 반드시 계정을 /etc/password nologin 으로 관리할 것

 

2. E-Mail 보안

Email 전송 방법

(1)  SMTP (Simple Mail Transfer Protocol) TCP 25 / DNS MX / 응용계층

전자우편 송신 통신 규약

(2)  POP3(Post Office Protocol Version3) TCP 110 / 응용계층

원격서버로 TCP/IP 통신으로 E-Mail 수신시 사용 수신 후 서버에서 메일 삭제

 

(3)  IMAP

메일 서버에 저장 , 소프트웨어 상관 X, 복잡성 / 보안문제 해결

 

Email 보안 기법

(1)  PGP (Pretty Good Privacy)

MIME(Multipurpose Internet Mail Extension) 객체 + 암호화 , 전자서명 프로토콜

송수신자 보안서비스 제공 / 평문 메시지 암호화

메세지 암호화(3DES, IDEA), 서명(DSS/SHA), 압축, 분할

전자우편 호환성, 세션키생성 (RSA, DiffieHelmen), 이메일 호환(ASC Code)

 

(2)  PEM (Privacy Enhanced Mail)

인터넷 이메일 보안 시스템 중 하나

중앙 집중화된 키 인증 방식 -> 구현 어려움

군사, 은행 사용

메시지암호화(DES-CBC), 디지털서명(RSA, MD2, MD5), 인증(DES, MD2, MD5)

세션키 생성(DES , RSA, MD2), 전자우편 호환성

 

(3)S/MIME (Secure Multi-PurPose Internet Mail Extension)

표준보안 메일규약

메일 전체 암호화 (RSA, DES, SHA-1)

CA로부터 공개키 인증필요

첨부파일 보안

RSA사에서 개발

 

/etc/mail/access 작성규칙

RELAY : 특정 도메인 relay허용

DISCARD : 메일 수신 후 폐기

501 : 전체, 부분 특정 도메인 일치 시 메일 거부

550 : 특정 도메인 메일 거부

 

Spam 메일 차단 방법

RBL(Real Time Blocking List) : 참조서버로부터 유해 메일 전송IP 차단

SPF(Sender Policy Framework) : 발신자 SPF레코드를 DNS 저장 후 정보 확인

 

Spam Assasin (Perl)

점수를 이용하여 스팸차단 ( 90% 이상 )

RBL 서버 참고

웹 서버 보안 (Web Server Security)

HTTPD(80)

Fork 함수를 통해 자식프로세스를 생성

설정파일 : /etc/httpd/conf/httpd.conf

 

아파치 웹서버 보안

주요 디렉터리 및 파일 접근 권한

Directory Listing

Server Tokens : 웹서버 정보 노출 (Prod : 최소한)

Server Signiture : 아파치 버전 및 서버 이름 노출

 

윈도우 웹서버 (IIS : Internet Information Server) : FTP, SMTP NNTP

서비스 : FTP, WWW, SMTP(메일), NNTP(뉴스)

계정 및 그룹 : IUSR_MACHINE(인터넷 접근 익명 계정)

IWAM_MACHINE(out-of-process 웹 애플리케이션 계정)

폴더 : %windir%\system32\inetsrv(IIS           프로그램)

      %windir%\system32\inetsrv\iisadmin(IIS 관리 프로그램)

      %windir%\help\iishelp(IIS 도움말)

      %systemdrive%\inetpub(웹, FTP, SMTP 루트폴더)

웹사이트 : 기본 80 : %systemdrive%\inetpub\wwwroot

                관리 3693 : %systemdrive%\system32\inetsrv\iisadmin

 

웹 로그 분석

서버에서 발생하는 log : /var/log/httpd/access_log

서버에서 발생하는 에러 log : SeverRoot/logs/error_log

 

ErrorLog Level

Crit : 중대한 에러 발생

Emerge : 에러

Warn : 경고

Error : 중대하지 않는 에러

 

HTTP 상태코드

200 OK

403 Forbidden

404 Not Found

502 Bad Gateway

504 Gateway Time-out

 

DNS보안

DNS 확인 : ipconfig /displaydns DNS Cache 테이블 확인

DNS Query (UDP 53) : Recursive Query(순환) - Local DNS에 질의

             Iterative Query(반복) – Local DNS – 외부 DNS Server 질의

DNSSEC : DNS 응답 정보에 전자서명 값 첨부

 

DB보안

DB위협요소

집합 (Aggregation) : 낮은 보안 등급의 정보들을 이용하여 높은 등급의 정보를 알아 내는 것

추론 (Inference) : 보안등급이 없는 정보를 접근하여 기밀정보를 유추

 

 

DB 보안 기법

Plugin : 데이터베이스 서버에 별도 암호화 솔루션 설치

API : 암호화 API 호출을 통해 암호화 수행

 

백업 방식

전체 백업

차등 백업 : 가장 최근에 수행된 전체 백업 이후 변경된 모든 DB 백업

증분 백업 : 가장 최근 백업 이후 변경된 것만 백업

 

전자상거래 보안

 

전자화폐: 전자기기에 전자기호 형태로 화폐적 가치를 저장, 전자적 지급수단으로 활용

전자화폐 요구조건

1 불추적성 (익명성) : 사생활 보호

2 가치이전성 : 즉시 양도 가능

3 분할성 : 똑같은 가치 분할 가능

4 독립성(완전 정보화) : 디지털 데이터 자체로서 완벽한 화폐가치를 가져야함

5 익명성 취소 : 불법적으로 사용될 경우 사용자 노출 허용

Ex) 몬덱스, 비자캐시, PC Pay, Ecash, NetCash, 비트코인

 

SET(Secure Electronic Transaction)

- 신용카드 촉진을 위해 VISA와 MASTER CARD 공동 개발한  프로토콜

- 전자 상거래 인증 상호 작용 보장

- SSL 보다 속도 느림

- 지급결제 처리 복잡

- 기밀성, 무결성, 인증, 부인봉쇄 지원

- 이중서명, 이중해시

- 대칭키, 공개키, 전자서명, 해시함수, 전자봉투, 공개키 인증(X.509), 이중서명

- 알고리즘 : DES, RSA, SHA

- 사용자가 전자지갑 소프트웨어가 필요함

 

SSL(Secure Socket Layer) 443

- Netscape 개발

- 안전한 통신 지원

- 전송, 응용계층

- http, ftp, telnet, mail

- 기밀성, 무결성, 인증

- Random : 재생공격방지를 위한 난수

 

 

 

 

 

SSL구성요소

1 Change Cipher Spec Protocol : SSL중 가장 단순한 프로토콜

협의된 알고리즘, 키교환 알고리즘, MAC 암호화, HASH 알고리즘 -> 클라이언트, 웹서버 공지

2 비정상적인 동작이 발생 될 때 사용되는 프로토콜 Level , Description 필드 있음

3 Record Protocol :  

송신 - 협의된 알고리즘을 사용해 데이터를 암호화하고 산출된 데이터를 SSL에서 처리가 가능한 크기의 블록으로 나눔 후 압축 MAC(Message Authentication Code)를 붙여 전송

수신 – 데이터 복호화, MAC유효성 검사, 압축 해제, 재결합 -> 상위계층 전달

                                                                    

SSL HandShaking

1 Client Hello : 클라이언트 브라우저 (암호알고리즘, 키교환 알고리즘, MAC암호화, HASH 알고리즘 ) > 서버

2 ServerHello : 서버 (서버지원 알고리즘) > 클라이언트

2.5 Server Hello Done : 서버 (요청종료 공지)> 클라이언트

3 Certificate : 클라이언트 (인증서 요청) > 서버(인증서) > 클라이언트(인증서 확인)

4 Exchange Key (Premaster Key 전송) : 클라이언트(서버 공개키 암호화) > 서버

5 인증서 확인 : 서버(Premaster Key) > 복호화

6 Master Key 생성 : 서버 , 클라이언트 (PremasterKey 사용) > Session key 생성

7 Client Finished : 클라이언트 (완료 공지) > 서버

8 Server Finished : 서버 (동의, 알고리즘공지) > 서버

 

*Open SSL 취약점 (Heart Bleed):

오픈 암호화 라이브러리 하트비트 라는 확장모듈에서 웹브라우저 요청 시 데이터 길이 검증 없이 메모리 데이터 64kb 평문 노출

 

IPSEC(IP Security) : 안전한 인터넷 통신 규약, 가상 전용 회선 구축

전송방법

1 터널모드 : IPsec탑재한 중계 장비가 패킷 전체를 암호화 + 새로운 IP header

            New IP + ESP AH + IP …

2 전송모드 : 출발지에서 암호화 목적지에서 복호화 End to End , Payload(데이터)만 암호화

             IP + ESP AH + Payload …

AH : 데이터 무결성, IP 패킷 인증 / ESP : 암호화 전송, Replay Attack 방지

 

OTP(One Time Password): 한번만 생성된 난수를 패스워드로 사용

1 동기식 (시간,이벤트): 고정된 시간 간격 주기로 난수 값 생성(시간), 인증횟수 기준값(이벤트)

2 비동기식 (질의응답): 사용자(로그인) > 서버 (질의값) > 사용자 (OTP질의입력) > OTP 생성

 

SQL Injection

입력값을 우회해 SQL쿼리를 전송하여 DB값을 얻어내거나 권한 탈취 ( ‘ or 1=1 # )

공격 도구 : Havij, Panglin, HDSL

인증우회, Blind SQL Injection, Mass SQL Injection, Union SQL Injection

 

 

 

XSS(Cross Site Scripting):

실행가능한 스크립트를 재전송하는 공격 기법

세션갈취

공격대상 : 클라이언트

 

CSRF(Cross Site Request Forgery):

사용자의 권한을 탈취하여 웹사이트를 요청

서버와 클라이언트의 신뢰관계를 이용

공격대상 : 서버

 

DRM(Digital Right Management): 디지털콘텐츠 저작권 저작자의 권리, 이익을 보호 및 관리하는 시스템

WaterMarking: 디지털 콘텐츠 소유권 추적 기술

Fingerprint(Dual Water Marking) : 디지털 콘텐츠 구매자 정보 삽입

 

디지털 포렌식: 디지털 기기를 대상으로 한 특정 행위의 사실관계 증명을 위한 방법 및 절차

(준비- 획득/이송- 분석 – 분석서 작성 - 보관)

디지털 포렌식 원칙

1 정당성 원칙(적법 절차) : 수집된 자료의 적법절차

2 재현 원칙: 재현가능성

3 신속성

4 절차 연속성: 담당자 및 책임자 명확

5 무결성: 증거 위변조 금지

 

휘발성데이터 수집 우선순위

Register/Cache > RoutingTable, ARPCache, ProcessTable, Kernal Statics > Memory > 임시파일 > Disk >

Remote Logging, Monitoring Date > Physical Configuration, Network Topology > Archival media

 

비휘발성 데이터 수집 우선순위

Registry , 시간, Cache, Cookie, History, Email

암호화된 파일, 윈도우 로그