[자격증] 정보보안기사/↘ 정보보안 실무41 [ 정보보안기사 / 정보보안산업기사 ] 스노트 (Snort) [ 정보보안기사 / 정보보안산업기사 ] 스노트 (Snort) 1. 스노트 (Snort) 네트워크 침입 탐지 시스템 2. 스노트 (Snort) 기능 - 스니퍼 : 네트워크 패킷 스니핑 - 패킷 로거 : 패킷을 로깅 - 네트워크 침입탐지 : 트랙픽 분석 후 침입탐지 3. 스노트 룰 (Snort Rule) 스노트 사용자 설정 헤더부분과 바디부분으로 나뉜다. 3-1. 룰 헤더 부분 탐지 후 행동들, 프로토콜, IP, 포트번호 명시, 방향 룰 헤더(head) Action protocal src_ip address src_port direction dst_ip address dst_port 탐지 후 행동들 탐지 프로토콜 출발 IP 출발 포트 탐지방향지정 목적지 IP 목적지 포트 3-1-1. Action : 탐지 후.. 2020. 6. 2. [ 정보보안기사 ] 쉘 ( Shell ) [ 정보보안 기사 ] - 쉘 ( Shell ) - ( ※ ) 하드웨어 : CPU, 메모리 등 쉘 : sh, bash 쉘 소프트웨어 : 응용프로그램 (한글,파워포인트 등 ) 쉘 ( Shell ) shell : 껍데기 운영체제(O/S)에서 사용자와 커널 사이에 대화를 가능하게 해주는 인터페이스. 즉, 사용자가 명령어를 입력하면 명령어를 해석하고 실행 시키는 명령해석기이다. 쉘 종류 sh : 본 쉘 ( Bourne shell ) 명령 프롬포트 : $ 최초의 쉘로 오랫동안 유닉스에서 기본 쉘로 인기를 누렸다. 최초 발표일이 1977년이니 약 40년 전의 쉘.. bash : 본 어게인 쉘 ( Bourne-again shell ) 명령 프롬포트 : $ (일반 사용자) , # (root) GNU 프로젝트 때 만들어졌.. 2020. 5. 13. [ 정보보안기사 ] 커널 ( Kernel ) [ 정보보안기사 ] - 커널 ( Kernel ) - ( ※ ) 하드웨어 : CPU, 메모리 등 쉘 : sh, bash 쉘 소프트웨어 : 응용프로그램 (한글,파워포인트 등 ) 커널( Kernel ) kernel: 핵심 주 기억 장치에 항상 상주하며 하드웨어와 소프트웨어 중간에서 소통해주는 프로그램이다. 운영체제의 많은 프로그램 중 핵심 컴퓨터 프로그램이다. 커널의 역할 메모리 관리 프로세스 관리 하드웨어 자원 관리 파일 시스템 관리 시스템 호출 제공 입출력서비스 제공 시스템 호출 ( System Call ) 운영체제 커널의 서비스를 이용하기 위하여 응용프로그램(S/W)이 접근하기 위한 인터페이스 사용자 모드에 있는 S/W가 커널의 기능을 사용 할 수 있다. Ex) www.goc1221.tistory.com.. 2020. 5. 13. [ 정보보안기사 / 정보보안산업기사 ] 인터럽트 ( Interrupt ) [ 정보보안기사 / 정보보안산업기사 ] 인터럽트 ( Interrupt ) Interrupt : (무엇을 잠깐) 중단시키다 시스템에서 예기치 않은 상황이 발생 했을 때, 하던 작업을 멈추고 일어난 상황을 해결한다. Ex) 제일 이해하기 쉬운 외부 인터럽트 = 정전 인터럽트 순서 1. 예기치 않은 상황 발생 -> 인터럽트 요청 2. 실행 중인 프로그램 중단 3. PC의 정보와 현재 수행 상태에 대한 정보를 저장 4. 인터럽트 서비스 루틴 실행 5. 중단한 프로그램 상태 복구 6. PC를 이용하여 중단한 프로그램 재게 용어 PC ( Program Counter 프로그램 카운터 ) ☞ 다음에 실행될 명령어의 주소를 저장한다. 인터럽트 서비스 루틴 ( ISR = Interrupt Service Routine ) .. 2020. 5. 12. [ 정보보안기사 / 정보보안산업기사 ] 비트로커 ( BitLocker ) [ 정보보안기사 / 정보보안산업기사 ] 비트로커 ( BitLocker ) 윈도우(Window) 시스템에서 드라이브를 암호화하는 기능으로 볼륨 전체에 대해 암호화를 실행한다. 노트북 분실이나 악의적인 디스크 분리로 인한 정보유출에 대해 기밀성을 보호 할 수 있고 TPM 칩을 이용하여 초기 시스템 시작 시 무결성을 검사 할 수 있다. 용어 TPM ( Trust Platform Module ) 신뢰 플랫폼 모듈 ☞ H/W, S/W, 펌웨어 인증을 검사하는 칩으로 시스템 실행 시 무결성(디스크, BIOS 정보, 메인보드 정보 등)을 검사하고 승인 없는 변경이 감지 되면 제한된 모드로 부팅되어 무결성을 보호 할 수 있다. 2020. 5. 12. 윈도우 O/S 감사 정책 윈도우 O/S 감사 정책 개체 엑세스 ( 권장값 : 감사안함 ) 객체(파일, 디렉터리, 프린터 등)에 대한 접근 성공/실패 여부를 기록할지 결정하는 항목입니다. 검사안함 값은 객체에 대한 접근을 성공하든 실패하든 로그를 기록 안함을 뜻합니다. 계정 관리 감사 ( 권장값 : 실패 ) 계정 관리 이벤트( 사용자 계정or그룹의 생성, 변경, 삭제, 암호 설정 등의 이벤트 성공/실패 로그 기록)를 감사할지 여부를 결정하는 항목입니다. 실패 값은 계정 관리 이벤트가 실패 했을 때 생성되는 로그를 뜻합니다. 계정 로그온 이벤트 감사 ( 권장값 : 성공,실패 ) 도메인 계정의 로그온 성공/실패 로그를 기록할지를 결정하는 항목입니다. 성공,실패 값은 다른계정이 도메인으로 접속 하였을때 로그인 성공 시 , 실패 시 모두.. 2020. 5. 12. 윈도우 O/S - 이벤트뷰어 (Event Viewer) 이벤트뷰어 (Event Viewer) 윈도우 운영체제의 로그를 조회하고 관리 할 수 있는 유틸리티이다. 이벤트뷰어 3가지 로그 1. 응용프로그램(application) 로그 - 응용프로그램이 남기는 다양한 이벤트가 저장된다. - 이벤트 유형으로는 Application error, Start service, Add/Del member in group이 있다. - 파일명은 C:\WINDOWS\System32\winevt\Logs\Application.evtx 로 저장된다. 2. 보안(security) 로그 - 사용자 계정 추가, 삭제, 권한변경, 로그온 시도, 성공, 실패 등 시스템 보안 관련 이벤트가 저장된다. - 이벤트 유형으로는 Attempt login , Login Success/Fail, Netwo.. 2020. 5. 12. 윈도우 서버 계정관리방식 - 워크그룹(Workgroup) vs 도메인(Domain) 윈도우 서버 계정관리방식 워크그룹(Workgroup) vs 도메인(Domain) 워크그룹(Workgroup) 피어 투 피어 방식 - 서버와 관리자가 존재하지 않으며 각각의 컴퓨터가 하나의 서버 및 클라이언트로 서로 동등하다. 보안은 접근하는 컴퓨터 시스템의 SAM DB에 의해 제공된다. 컴퓨터 끼리 연결하는 "피어 투 피어" 방식이라고도 불리우며 소규모 네트워크에 적합하다. 도메인(Domain) 특정 서버에서 관리하는 중앙 집중식 방식 공용 디렉터리 (액티브 디렉터리)를 공유하며 계정들이 접속을 하여 자원을 공유한다. 이 디렉터리 DB는 사용자 계정 및 서버를 이용하기 위한 보안 정보를 보관하고있고 사용자들은 각 자 계정의 부여된 접근권한에 맞는 자원과 기능을 사용한다. 도메인 안에는 도메인 컨트롤러 역.. 2020. 5. 11. 링크파일 링크파일 윈도우의 바로가기 아이콘과 같은 기능. 기존 파일에 또 다른 접근 포인트 생성. 종류 1. 하드 링크 (Hard link) 명령어 : ln who.txt (원본파일명) who_hl.txt (링크파일명) 유닉스 초기시절부터 지원해주던 방식 동일한 inode number를 가지는 파일을 생성하고 접근하는 방식 동일 파일시스템 내에서만 가능, 디렉터리는 하드 링크 불가능 하드 링크 파일 생성 마다 링크 카운트 1 증가 rm 시 링크 카운트 1 감소 원본이 삭제 되도 링크가 정보를 다 가지고 있음 2. 심볼릭 링크 (Symbolic link) 명령어 : ln –s 원본파일명 링크파일명 (심볼릭) 하드링크의 단점 동일 파일시스템 내에서만 링크가 가능한 단점을 보완 원본 파일에 대한 파일 경로를 파일 내용.. 2020. 5. 4. 이전 1 2 3 4 5 다음
