DRP(재난 복구 계획) 7가지 요약
미러사이트 -> active-acive, 즉시
핫사이트 -> active-inactive, 4시간 이내
웜사이트 -> 중요한 데이터만 active 로, 수일 ~수주
콜드사이트 -> 장소만 준비하거나, 데이터를 가용할수있게끔만
상호지원협약 -> 사고시 유사 시스템 보유사간 백업지원
백업서비스 -> 제3의 장소로 데이터 백업
수작업 -> 전산센터 복구시까지 수작업
| 알기사 PART 04 침해사고 분석 및 대응 (0) | 2021.05.27 |
|---|---|
| 침입 탐지 시스템 SNORT (0) | 2021.05.24 |
| 2020년도 2차 정보보안기사 시험 문제(포렌식) (0) | 2021.05.24 |
| PE 파일 섹션 구조 (0) | 2019.09.19 |
| 침입 탐지 시스템(IDS: Instrusion Dection System) (0) | 2019.09.19 |
PE 파일 섹션 구조
개요
섹션 헤더는 각 섹션 데이터를 메모리에 로딩하고 속성을 설정하는 데 필요한 정보를 담고 있다.
섹션은 PE파일이 가상 주소 공간에 로드된 이후 프로그램 실행 코드,데이터,리소스 등 프로그램 실행에 필요한 정보를 배치한 영역을 말한다.
유형
코드(.text)
프로그램 실행 코드를 담고 있는 섹션
데이터
.data
읽기 쓰기가 가능한 데이터 섹션으로 전역변수와 정적변수 등이 위치한다.
rdata
읽기 전용 데이터 섹션으로 상수형 변수,문자열 상수 등이 위치한다.
bss
초기화 되지 않은 전역변수가 위치
import API
idata
임포트할 DLL과 그 API 함수들에 대한 정보를 담고 잇는 섹션으로 대표적으로 IAT 가 존재한다.
didat
지연 로딩 임포트 데이터를 위한 섹션
Export API
edata
익스포트할 DLL과 그 API 함수에 대한 정보를 담고 있는 섹션으로 일반적으로 API나 변수를 익스포트할 수 있는 경우는 DLL이기 때문에 DLL PE에 이섹션이ㅏ 존재한다.
리소스
rsrc
다이얼로그, 아이콘, 커서 등의 윈도우 어플리케이션 리소스 관련 데이터들을 담고 있는 섹션
재배치 정보
reloc
실행 파일에 대한 기본 재배치 정보를 담고 있는 섹션이다. 재배치란 PE이미지를 원하는 기본 주소에 로드하지 못하고 다른 주소에 로드했을 경우 코드 상에서의 관련 주소 참조에 대한 정보를 갱신해야 하는 경우를 말한다.
주로 DLL 파일에서 재배치가 일어난다.
| DRP(재난 복구 계획) 7가지 요약 (0) | 2021.05.24 |
|---|---|
| 2020년도 2차 정보보안기사 시험 문제(포렌식) (0) | 2021.05.24 |
| 침입 탐지 시스템(IDS: Instrusion Dection System) (0) | 2019.09.19 |
| 스펙터(Spectre)와 멜트다운(Meltdown) (0) | 2019.09.18 |
| DNS 정보보안 요점 정리 (0) | 2019.05.14 |
침입 탐지 시스템(IDS: Instrusion Dection System)
개요
침입 탐지 시스템은 다양한 보안 공격이 발생하였을 때 이를 탐지하고 관리자에게 알려 관리자가 적절한 대처를 할 수 있도록 해주는 보안 시스템을 말한다.
방화벽과의 차이점을 살펴보면, 방화벽은 패킷 필터링(IP,Port 기반의 차단) 기반의 차단 장비인 반면, IDS는 전달되는 패킷의 내용을 분석하거나 시스템 로그등을 분석하여 공격여부를 판단하는 탐지 장비이다.
탐지방법에 의한 분류
오용 탐지 : 지식 기반 탐지, 패턴(시그니처) 기반 탐지라고 함
특징
특정 공격에 관한 분석결과를 바탕으로 패턴을 설정
패턴(시그니처)과 비교하여 일치하는 경우 불법 침입으로 간주하는 방법
장점
오탐률이 낮음
전문가 시스템(추론기반,지식베이스) 이용
트로이 목마, 백도어 공격 탐지 가능
단점
미탐률이 높음(False Negative)
새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요
패턴에 없는 새로운 공격에 대해서는 탐지 불가능
이상 탐지 : 행위기반 탐지
특징
정상 행위를 벗어나는 데이터를 탐지해내는 기법
정량적인 분석, 통계적 분석을 사용
형태 관찰, 프로파일 생성,프로파일 기반으로 이상여부를 확인(I/O 사용량, 로그인 횟수, 패킷양등)
장점
미탐률이 낮음
인공지는 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요
알려지지 않은 새로운 공격탐지 가능
단점
오탐률이 높음
정상과 비정상 구분을 위한 임계치 설정이 어려움
미탐, 오탐
미탐(False Nagative)
공격을 탐지하지 못하는 경우를 말한다. 시그니처 기반 탐지 시스템의 경우 등록된 시그니처 외의 공격에 대해서는 탐지를 못하는 한계가 있다.
오탐(False Positive)
공격이 아닌 것을 공격으로 탐지하는 경우를 말한다. 행위기반 탐지 시스템의 경우 임계치 설정이 미흡하면 오탐이 다수 발생할 수 있다.
데이터 수집원에 의한 분류
호스트 기반
특징
서버에 직접 설치됨에 따라 네트워크 환경과 무관
장점
기록되는 다양한 로그 자료를 통해 정확한 침입방지 가능
호스트에 대한 명백한 침투에 대해 탐지 가능
트로이목마, 백도어, 내부자에의한 공격탐지/차단 가능
단점
공격자에 의한 로그 자료의 변조 가능성 존재 및 DoS 공격으로 IDS 무력화 가능
호스트 성능에 의존적이며, 리소스 사용으로 서버부하 발생
대표적인 시스템
트립와이어(Tripwire)
무결성 점검 기능을 통하여 시스템에 설치된 백도어나 설정 파일을 변경을 탐지한다.
동작 절차는 지정한 디렉터리나 파일에 대해 초기 데이터베이스를 생성한 후 주기적으로 점검을 수행하여 변경 유무를 탐지한다.
네트워크 기반
특징
네트워크 세그먼트 당 하나의 장비만 설치하면 되므로 설치 용이
장점
네트워크에서 실행되어 서버의 성능 저하가 없음
네트워크에서 발생하는 여러 유형의 침입을 탐지
공격자의 IDS 공격에 대한 방어가 가능하며 존재 사실도 숨길 수 있음
단점
네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능
네트워크 트래픽이 증가할 경우 성능 문제가 발생할 수 있음
오탐률이 높음(공격이 아닌것을 공격으로 탐지하는 경우)
대표적인 오픈소스 네트워크 기반 침입 탐지 시스템
스노트
| DRP(재난 복구 계획) 7가지 요약 (0) | 2021.05.24 |
|---|---|
| 2020년도 2차 정보보안기사 시험 문제(포렌식) (0) | 2021.05.24 |
| PE 파일 섹션 구조 (0) | 2019.09.19 |
| 스펙터(Spectre)와 멜트다운(Meltdown) (0) | 2019.09.18 |
| DNS 정보보안 요점 정리 (0) | 2019.05.14 |
2018년 연초를 장식한 보안이슈는 연초부터 화제의 중심에 선 인텔 CPU 취약점 결함이다.
스펙터(Spectre)와 멜트다운(Meltdown)으로 불린 해당 취약점들은 CPU 결함을 일으켜 인텔을 궁지에 빠트렸다.
멜트다운과 스펙터가 발생하는 이유는 하드웨어의 기본 설계 때문이다.
CPU에는 ‘비순차적 명령어 처리’라는 기능이 있다.
이는 CPU의 성능과 속도를 높여주는 기능으로, 입력된 순서대로 명령을 처리하는 게 아니라 가장 효율성을 높이는 순서로 명령을 처리하는 것이다.
이 때문에 명령을 수행하는 데 있어서 시간 차가 발생한다.
이 시간 차이를 악용하면 공격이 가능해지고 결국엔 민감한 정보가 유출되는 것이다.
이로 인해 컴퓨터, 모바일 디바이스의 CPU 메모리에 저장되어 있는 중요 정보(식별번호, 로그인 비밀번호 등)가 해킹 위협에 노출될 수 있고, 해커의 악성코드에 중요 정보가 탈취될 수 있다는 것을 의미했다.
| DRP(재난 복구 계획) 7가지 요약 (0) | 2021.05.24 |
|---|---|
| 2020년도 2차 정보보안기사 시험 문제(포렌식) (0) | 2021.05.24 |
| PE 파일 섹션 구조 (0) | 2019.09.19 |
| 침입 탐지 시스템(IDS: Instrusion Dection System) (0) | 2019.09.19 |
| DNS 정보보안 요점 정리 (0) | 2019.05.14 |
출장시 vpn을 사용하여 내부 업무망에 접근하는 경우가 종종 있을 것이다.
vpn을 사용하면 필현적으로 내부 DNS 정보를 가지고 오기 위하여 hosts 파일 의 변경이 있는데,
백신프로그램에서 차단하거나 비정상 종료로 인하여 변경된 hosts 파일로 인하여 기존에 접속이 잘되던 웹사이트가 안되는 현상이 있을때마다.
직접 system32\drivers\etc 폴더의 host 파일의 vpn으로 인한 찌꺼기 값들을 직접 삭제하여 사용하는 불편함이 없도록
배치파일을 만들어서 관리자 실행을 통하여 변경하면 편리하겠다고 생각하여 배치파일을 만들었고
회사에 배포하여 잘 사용하고 있다.
@Echo off
ChDir /d %WinDir%\system32\drivers\etc
If Exist hosts Copy hosts hosts.bak /y & Erase hosts /q
For /F "Tokens=1*" %%j In ('Type hosts.bak') Do (
if %%j == # Echo %%j %%k >> hosts
if %%j == 127.0.0.1 Echo. >> hosts & Echo %%j %%k >> hosts
)
::echo ######################################################################
::echo Created by ckhong
::echo ######################################################################
배치파일은 메모장으로 작성한다음 확장자를 .txt 에서 .bat 으로 변경하면 쉽게 배치 파일을 만들수 있다.
| 개인 PC 윈도우 로그인 기록 확인 방법 (4) | 2019.05.03 |
|---|---|
| CredSSP 암호화 Oracle 수정 때문일 수 있습니다. (0) | 2019.05.03 |
| 내가 자주 사용하는 실행 명령어 모음 (윈도우+R) (0) | 2019.04.30 |
| 윈도우 관리자 아이디 변경 방법 (0) | 2019.04.02 |
가끔 회사에서 네트워크 정보를 확인하기 위하여 윈도우 PC로 스니핑 도구인 nmap을 종종 사용한다.
사진과 같이 다양한 symbol들이 나오는데 의미를 확인해 보도록 하겠다.
네트워크의 각 정규 호스트는 작은 원으로 표현이 되는데, 원의 색과 크기는 호스트의 열린 포트 수에 따라 결정이 된다.
즉, 포트가 많이 열리면 열수록 원이 커진다.
흰색 원은 포트 검색되지 않은 네트워크 경로에 있는 중간 호스트를 의미한다
호스트가 열려있는 포트가 3개 미만일 경우
호스트가 열려있는 포트가 3개에서 6개 사이
호스트가 열려있는 포트가 6개 이상이 열려있으면 빨간색이다.
*생각보다. 많은 포트가 정리가 안되어 있음을 요번 Topology 확인을 통해서 알수 있었다.
하나하나 정리해 나가야지.
그리고
https://nmap.org/book/zenmap-topology.html 링크에 잘 설명이 되어있고, 또한
Lengend 버튼을 찾아서 클릭하면 잘 설명이 되어있는것을 나중에.. 알게 되었다..
| HTTP 주요 상태 코드 (0) | 2021.05.26 |
|---|---|
| 워드프레스 미디어 추가에 PDF 파일을 업로드 HTTP 오류 해결 (0) | 2021.05.25 |
| SecureCRT Session Manager 파일 경로 (0) | 2019.06.13 |
| 웹메일 아웃룩 연동 (인터넷 보안 경고) (0) | 2019.05.29 |
| 아웃룩 읽은 메일만 필터 하는 방법 (0) | 2019.05.13 |