[시스템 보안] 클라이언트 보안

1. 윈도우 보안

(1) 설치 및 관리

▶ 라이센스 모드

• Per Server : 서버에 동접하는 클라이언트 숫자에 따라 라이센스를 구매하는 방식
• Per Seat : 클라이언트 숫자에 따라 라이센스를 구매하는 방식

▶ 사용자 계정 관리

• 암호 설정 권장
• 사용자 계정 컨트롤(User Account Control) : 관리자 수준의 권한이 필요한 변경 사항이 있을 때, 사용자에게 이를 알려주는 것

 

(2) 공유자료 관리

▶ 공유폴더

• NTFS은 사용자 계정이나 그룹에 대해서, 파일과 폴더에 퍼미션(Permission)을 줄 수 있음

• Everyone 그룹에 대해서는 기본적으로 <읽기> 권한만 주어짐

  • 로컬에서 그냥 폴더 만들면 Everyone 그룹에 대해 <모든 권한>이 주어짐

• 숨긴 공유폴더 (공유 폴더 이름 마지막에 $를 붙이는 폴더)

  • 네트워크 공유 목록에서 공유 폴더를 안보이게 함

  • 접근하기 위해서는 공유 폴더 이름을 통해 직접 접근해야 함

• 관리를 목적으로하는 기본적인 공유 폴더(ADMIN$, IPC$, C$ 등)

  • 이름에서 알 수 있듯, 모두 숨은 공유로 만들어져 있음

  • CMD에서 net share 명령어로 확인 가능함

  • 네트워크 접근 사용만을 제한 할 수 있고, 로컬 접속은 제한할 수 없음

  • 보안상 사용하지 않을 땐 비활성화 하는 것이 좋음

  • 관리적 공유 폴더 제거하기(C$, D$ 등)

    • 위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

    • AutoShareWks의 값을 REG_DWORD 타입의 0으로 바꿈

  • Null 세션 제거하기(IPC$)

    • IPC$ 공유(Null 세션 연결) : 이 세션을 사용하면 Windows에서 익명 사용자가 도메인 계정 및 네트워크 공유 이름을 열회하는 등 특정 작업 수행이 가능

    • IPC$는 제거가 안되기에 Null 세션을 제거하는 방법을 이용

    • 위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • restrictanonymous의 값을 REG_DWORD 타입의 1로 바꿈(기본값은 0)

 

(3) 바이러스 및 악성코드와 백신

▶ 바이러스(Virus)

• 다른 프로그램에 기생해서 실행(독자적으로 실행X)
• 파일 전송 기능이 없어서, 네트워크 대역폭에는 영향을 끼치지 않음
• 대표적으로 1994년 4월 26일 CIH 바이러스
• 세대별 컴퓨터 바이러스
  • 제 1세대, 원시형 바이러스(Primitive Virus) : 돌(Stone), 예루살렘(Jerusalem)
  • 제 2세대, 암호화 바이러스(Encryption Virus) : 폭포(Cascade), 느림보(Slow)
  • 제 3세대, 은폐형 바이러스(Stealth Virus) : 맥가이버(MacGyver), 브레인(Brain), 512
  • 제 4세대, 갑옷형 바이러스(Armor Virus) : 다형성(Polymoriphic), 자체 변형(Self-encryption)
  • 제 5세대, 매크로 바이러스 : 전문 프로그래머가 아니더라도 누구나 쉽게 제작, 배포 가능

▶ Shellcode

• 작은 크기의 코드로 소프트웨어 취약점을 이용하는 짧은 기계어 코드
• 일반적으로 명령 쉘을 실행시켜 공격자가 피해자의 쉘 제어
• 어셈블리어로 작성, 기계어로 번역

▶ Heap Spray

• Heap 영역에 임의적으로 Shell Code를 삽입 실행하는 공격

▶ 버퍼 오버플로우(Buffer Overflow)

• 프로세스가 사용 가능한 메모리 공간을 초과해서 발생되는 공격, 보안 취약점
• ※ 프로세스가 사용하는 메모리 공간 : Text, Data, Stack, Heap 

 

▶ 경쟁조건(Race Condition) : 다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행될 때 발생

 

▶ APT(Advance Persistent Threat) 공격

• 다양한 공격 기법을 사용하여 지속적으로 공격을 수행하는 행위
• Zero Day Attack : 소프트웨어 패치 전 취약점을 이용한 공격
  • 바이너리 디핑(Binary Diffing) : 자동으로 Malware 탐지, 오픈소스 라이센스 준수 여부 확인가능; 으로 발견 가능 
• MAIL APT : 악성코드를 메일에 첨부하여 정보를 획득하는 공격
• BACKDOOR APT : 표적에 침투 후 백도어를 설치하여 재침입 경로 오픈 공격
• APT 공격단계:
  1. 침투(Incursion)
  2. 탐색(Discovery)
  3. 수집/공격(Capture/Attack)
  4. 유출(Exfiltration)

 

▶ 웜(Wrom)

• 독자적으로 실행(기억장소에 코드나 실행파일로 존재)
• 네트워크를 사용해서 자신을 복사하기에, 네트워크 대역폭을 잠식함
• 대표적으로 2001년 9월에 발생한 님다(Nimda)

▶ 트로이목마

• 자기 자신을 복제하지는 않지만, 악의적 기능을 포함하는 프로그램
• 유틸리티 프로그램에 내장되거나, 그것으로 위장해 배포됨
• 대표적으로 백오리피스같은 프로그램

▶ 스파이웨어(Spyware)

• 사용자 몰래 PC에 설치되어 정보를 수집하는 프로그램

 

(5) 레지스트리 활용

▶ 레지스트리 : 시스템을 구성하기 필요한 정보를 저장한 중앙계층형 데이터베이스

▶ 루트 키(Root Key) 역할

• HKEY_CLASSES_ROOT (HKCR) : 파일의 각 확장자에 대한 정보와 파일과 프로그램 간의 연결에 대한 정보
• HKEY_CURRENT_USER (HKCU) : 현재 로그인한 사용자와 관련된 정보 등
• HKEY_LOCAL_MACHINE (HKLM) : 하드웨어와 프로그램 설정 정보
• HKEY_USERS (HKU) : 컴퓨터의 모든 사용자에 대한 정보
• HKEY_CURRENT_CONFIG(HKCC) : 시스템 시작 시 컴퓨터에서 사용하는 하드웨어 프로필 등(디스플레이, 프린트 설정)
• HKEY_PERFORMANCE_DATA : 런타임 성능 데이터 정보를 제공
• 악성코드 구동을 위해 주로 HKEY_CURRENT_USER와 HKEY_LOCAL_MACHINE이 이용됨

▶ 하이브(Hive) 파일

• 레지스트 정보를 가지고 있는 물리적인 파일
• SYSTEM, SOFTWARE, SECURITY. SAM, HARDWARE, COMPONENTS, BCD00000000

 

2. 인터넷 활용 보안

(1) 웹브라우저 보안

▶ 검색 기록 / 쿠키 삭제 / 임시파일 삭제

▶ 익스플로어에서는 보안 수준을 설정하기

• 보통 이상으로 사용하고, 세부 설정 가능

▶ 브라우저에서 개인정보를 수집하는 기술

• 쿠키(Cookie) & 슈퍼쿠키(Super Cookie) : 슈퍼쿠키는 일반적인 쿠키와는 다른 경로에 저장 돼 발견자체가 어려움
• 비콘(Beacon ; Web Bug)
• History Stealing
• Fingerprint

(2) 메일 클라이언트 보안

▶ PGP(Pretty Good Privacy)

• 데이터 암호화와 복호화하는 프로그램으로 전자 메일의 보안성을 높이기 위해 자주 사용
• IETF에서 표준으로 채택한 PEM과 비교
• 수신 부인방지와 메시지 부인 방지 기능이 없음
• 메시지의 비밀성을 위해 공개키 암호기술 사용(RSA, IDEA 등)
• 메시지의 무결성을 위해 메시지 인증 사용
• 메시지의 생성, 처리, 전송, 저장, 수신 등을 위해 전자서명을 사용

(3) 공개 해킹도구에 대한 이해와 대응

▶ 트로이 목마 S/W

• 대표적인 툴 : AOL4FREE.COM / Shark2 / NetBus / Back Orific

▶ 크랙킹 S/W

• 루트킷(RootKit) : 서버 내에 침투해서 백도어를 만들고 로그를 삭제하는 등의 패키지들
  • 대표적으로 lrk5
  • 루트킷을 찾아내는 프로그램은 안티루트킷(Anti-RootKit) : 대표적으로 Icesword
• 패스워드 크랙(Password Crack)
  • Brute Force Attack / Dictionary Attack / Password Guessing / Rainbow Table 등의 공격 방법으로 크랙
  • 대표적인 툴 : John the Ripper / pwdump / LOphtCrack /ipccrack / chntpw(to reset pw) / ERD Commander
• 포트 스캐닝(Port Scanning)
  • 다중 취약점 스캔 : SAINT / sscan2k /vetescan /mscan 등
  • 특정 취약점 스캔 : cgiscan / winscan / rpcscan
  • 은닉 스캔 : Nmap / stealthscan
  • 네트워크 구조 스캔 : firewalk / Nmap
  • 스캐닝 기법
    • Openning Scanning : TCP connect Scaning
    • Half-Open Scanning : SYN Scanning
    • Stealth Scanning : FIN / X-MAS / NULL Scanning
    • More Advanced Scanning : Spoofed Scanning
  • 포트 스캐닝의 구분
    • TCP 포트 스캐닝 : 특정 Flag값을 설정한 뒤, 패킷을 보내고 그에 대한 응답으로 확인
    • UDP 포트 스캐닝 :
      • 포트가 열린 상태 : 아무런 응답 X
      • 포트가 닫힌 상태 : UDP 패킷이 목적지에 도달하지 못했다는 메시지
      • 패캣이 유실되어도 아무런 응답이 없기에 신뢰성이 떨어진다.
  • Nmap 사용법
    • 스캔 타입
      • -sS : TCP Syn Scan
      • -sF /-sX / -sN : FIN / X-MAS / Null Scan
      • -sU : UDP Scan
      • -sP : Ping Sweep
      • -b : FTP Bounce Attack
    • 스캔 옵션
      • -P0 : Don't ping before scanning : ping으로 사전 조사하는 과정 제외(네트쿼크 생존 여부를 알고 있을 때 사용
      • -PT <PORT_NUMBER> : ICMP Request Packet 보내고, 응답을 기다리는 대신 TCP ACK를 보내 응답 기다림. 살아있으면 RST 수신
      • -PS
      • -PB
      • -O : 운영체제 확인
      • -p <PORT_NUMBER>
      • -S <IP_ADDRESS> : Spoofing
      • 예 : #./Nmap -p 1-30,110,65535 203.x.x.x
        • 203.x.x.x의 1~30번, 110번, 65535를 스캔한다.

▶ 키로그 S/W

• 대표적인 툴 : Winhawk, Key~~로 시작되는 툴들

(4) 도구활용 보안관리

▶ 클라이언트 보안도구 활용

• BlackICE
  • 일종의 방화벽
  • 외부에서 자신의 컴퓨터에 접근하는 것을 탐지 / 제어하는 프로그램
  • 침입 차단 / 어플리케이션 보호 / IDS 기능 제공
• Snort
  • 공개 네트워크 IDS
  • 다양한 OS 지원 / Rule 설정가능

▶ 클라이언트 방화벽 운영

• Windows 방화벽(ipsec)
• Linux/Unix 방화벽(iptalbes)

 

참고 자료 :

2021 이기적 정보보안기사 필기 이론서

정보보안기사 필기 정리 - 1과목 시스템 보안