[정보보안기사] 시스템 보안 : 클라이언트 보안

2. 클라이언트 보안

(1)윈도우 보안

1) 윈도우 시스템

• GUI환경, 다중 사용자, 다중 프로세스 구조를 지원하는 운영체제
• 다양한 하드웨어를 Plug&Play 기능을 이용하여 자동 인식으로 사용
• 윈도우 세부 내용
  • HAL(Hardware Abstraction Layer)
  • Micro Kernel
  • IO Manager
  • Object Manager
  • Security Reference Manager
  • Process Manager
  • Local Precedure Call
  • Virtual Memory Manager
  • POSIX
  • Security Sub System
  • 파일시스템 FAT / NTFS 지원

2) 윈도우 인증 시스템

• 윈도우 인증 프로세스
  • Winlogon은 내부적으로 msgina.dll 이라는 GINA프로그램을 실행시킨 후 아이디를 LSA에 전달하여 검증
  • NTLM값과 SAM파일에 저장된 NTLM 값을 비교하여 SRM에 권한 부여

3)윈도우 운영체제 관련 실행 프로세스

• 윈도우 운영체제 관련 프로세스는 C:\Windows\system32 /  폴더에 위치

4) NTFS 파일 시스템

• NTFS 파일 시스템은 기존의 FAT 파일 시스템을 개선하고 윈도우 서버용으로 개발된 시스템
• NTFS 파일 시스템은 VBR, MFT, Data Area로 구성
  • VBR(Volume Boot Record) : NTFS 파일시스템의 전체적인 정보를 저장하는 부분으로 섹터 0번에 위치
  • MFT(Master File Tabel) : NFTS의 메타정보, 파일 및 디렉터리 등의 정보를 관리하는 부분
  • Data Area : 실제 데이터를 저장하는 부분

5) 공유 폴더

• 공유 권한을 설정하여 특정 사용자 혹은 여러 사용자에게 폴더를 공유하는 기능
• 명령프롬프트를 통해 net share 명령을 입력하면 현재 공유되고 있는 공유폴더 확인 가능
• 기본 공유 폴더 (C$, ADMIN$, IPC$) 폴더 존재(기본 공유는 재부팅시 기본 설정)
• 기본 공유 폴더 제거 후 사용 필요

6) 레지스트리

• MS 윈도우 운영체제에서 운영체제 및 응용 프로그램 등에게 필요한 정보를 저장하고 관리하기 위한 계층형 데이터베이스
• 실행 창에 regedit를 입력하면 레지스트리 편집기를 통해 등록된 레지스트리 정보 확인 가능

레지스트리 루트 경로	설명
HKEY_CLASSES_ROOT	해당 클래스의 속성 및 문서 클래스 정의
HKEY_CURRENT_USER	현재 사용자의 기본정보
HKEY_LOCAL_MACHINE	로컬 컴퓨터에 대한 구성 데이터
HKEY_USERS	기본 사용자 구성에 대한 정보
HKEY_CURRENT_CONFIG	사용자와 관련 없는 컴퓨터 구성 정보

• 레지스트리 정보는 하이브 파일에 저장
• 하이브 파일은 에디터로 변경 불가하며 커널에 의해서 관리
• SAM, SECURITY, SYSTEM, SOFTWARE, Default, NTUSER.DAT 파일등이 하이브 파일에 속한다

7) 이벤트 로그

• 윈도우 이벤트 로그 : 윈도우 시스템 사용중 발생하는 모든 이벤트 기록
• 응용 프로그램 / 보안 / 시스템로그 각 분야에 대한 로그 기록 설정을 통해 로깅 가능

 

(2) 인터넷 활용 보안

1) 웹브라우저 보안

• 검색 기록 / 쿠키 / 임시파일 삭제 필요
• 익스플로러에서는 보안 수준 설정을 통해 보안
• 웹 브라우저에서 개인정보를 수집하는 기술(쿠키, 슈퍼쿠키, 비콘 등)
• HTTP 프로토콜
  • HTTP 요청 방식
    • GET 방식 : 클라이언트가 서버로 전송하는 정보를 URL을 통해 전달
    • POST 방식 : 서버로 전송하는 정보를 HTTP 헤더에 포함하여 전달
  • HTTP 1.0 : GET, HEAD, POST 방식 
  • HTTP 1.1 : 1.0 방식에 추가 Method(OPTION, PUT, TRACE, CONNET, DELETE)
  • HTTP 응답코드
    • 1XX : 작업 진행중 
      • 100 : Continue
      • 101 : Switching Protocols
    • 2XX : 성공
      • 200 : 성공적으로 처리
      • 201 : 요청이 성공적으로 처리되어 리소스가 생성
      • 202 : 요청이 받아들여졌지만 처리되지 않음
    • 3XX : 리다이렉션
    • 4XX : 클라이언트 오류
      • 400 : Bad Request(잘못된 요청)
      • 401 : Unauthorized(권한 없음)
      • 403 : Forbidden(거부됨)
      • 404 : Not Found(찾을 수 없음)
    • 5XX : 서버측 오류
      • 500 : Internal Server Error(내부 서버 오류)
      • 502 : Bad Gateway(게이트웨이 불량)

 

(3) 공개 해킹 도구에 대한 이해와 반응

1) 루트킷 : lrk5

2) 패스워드 크랙

• Brute Force Attack / Dictionary Attack / Password Guessing / Rainbow Table 공격 기법 활용
• 툴 : John the ripper / pwdump / LOphtCrack / ipccrack / chntpw

3) 포트 스캐닝

• NMAP 

(4) 도구활용 보안 관리

1) 클라이언트 방화벽 운영

• Windows 방화벽(IPSEC)
• Unix / Linux 방화벽(IPTABLES)
  • 필터링 
    • INPUT : 서버로 들어오는 패킷에 대한 필터링
    • OUTPUT : 서버에서 밖으로 나가는 패킷에 대한 필터링
    • FORWARD : 서버를 통해 경유하는 패킷에 대한 필터링
  • 규칙
    • ACCEPT : 패킷 허용
    • DROP : 패킷 차단
    • REJECT : 패킷 차단(차단 메시지 전송)
  • 옵션
    • -A : 새로운 규칙을 추가
    • -D : 규칙을 제거
    • -s, -source : 출발지에 대한 IP 설정
    • -d, --destination : 목적지에 대한 IP 설정
    • -p, --portocol : 프로토콜 유형
    • -m [] : 매치되는 유형
    • --src-range : 시작 IP 범위
    • --dport : 목적지 포트
    • -j, --jump : 정챌 실행