* Disadvantage of content-dependent => It increases processing overhead
- 객체지향
. 객체지향의 특징은 캡슐화(은닉화)->class, 추상화->class, 다형성->상속, 상속
- Encapsulation( 캡슐화)
. Data와 Operation을 묶는것 -> Class
. 정보은닉: 내부의 구현부분을 숨기고 인터페이스를 통해서 접근, Client 는 Interface 만 통해서 메시지 전달 -> Send Message
. Interface
1)유지 보수용이 및 비용절감(=> 내부구현이 바뀌어도 영향이 없음 => 과정 절차의 추상화)
2) Service 를 정의 하는 Operation 의 집합
3) 작업 분업화 가능
- Polymophism(다형성)
. 하나의 Interface 에 많은 다른 구현을 숨기는것=> 같은 이름의 Interface 를 허용
. Overriding(=>재정의) : 계층적 Operation 의 중첩
- Malware- 1(악성코드/의심코드)
. Virus (바이러스) : 독자적 실행 불가 , 복제기능-> 자가증식
. Worm( 웜) : 독자적 실행 가능 , 복제기능-> 자가증식
. Torjan Horse : 내부의 중요 정보를 유출 하는 Malware
. RAT(Remote Access Trojan) : 원격에서 내부의 중요 정보를 유출하는 Malware
. 논리폭탄 : 특정조건에 부한하면 악의적인 행동을 하는 Malware(수작업, 불만이 많은 내부자)
. BackDoor : 접근통제(인증) 을 우회 하는 경로 (Path), 로그남기지 않으며, 개발/관리 목적으로 사용
* 요소별 탐지 방안
. Virus : 백신(교정통제), AV(탐지/예방통제)-> 무결성
. Worm : N-IDS -> 가용성
. Trojan horse : H-IDS(Out bound contorol) -> 기밀성
. 논리폭탄 : 소스코드 리뷰 ->무결성
. Backdoor : 소스코드 리뷰 , H-IDS -> 기밀성
- Malware-2
1) RootKit : Hidden File/Process/Registry(Being absolutely invisible to os=>Kernel)
2) Bot : Short fo "Robor", Remote Control
: Relaying Spam
: Hosting phishing site
: Deinial of Service
3) Backdor : Trap Door, Worm Hole, Maintenance Hook
: Hidden mechanism to bypass protection measure
: Secure bypass : Undocumented access path
4) Worm : Self-Propagation
: Spread per instruction , Self-contained program
5) Virus : Self-Propagating
: Spread on content
: Infect, Parasitic(기생)
- Virus 증상/탐지
. 증상 : 파일 사이즈 증가
: 갱신 타임스탬프 변경
: 저장공간 급격히 변경
: 디스크 i/o 증가
. 탐지 : 백신,AV, 체크섬 등
. Infect 후 작업
1) 네트워크 차단(격리) , 추가 영향을 줄이기 위한 데이터 백업
2) Reinitialize system, reboot, copy virus protection
3) Reinstall applicaiton software, data
* Virus = Parasitic
* Trojan Horse = Minic
* BackDoor = TrapDoor = WormHole = Maintenanace Hook
* RATs 의 흐름은 밖에서 안으로 , Trojjan Horse,Spyware 는 안에서 밖으로
* Virus /Worm 은 Self-Propagation(자기복제) , Virus 의 감염대상은 FileBoot
- Mobile Code
. WWW 브라우저를 통하여 다운로드 되어 실행 되는 작은 어플리케이션
. JAVA applet, Active-X => 서버의 의도를 실행
. Mobile Code 의 소스는 서버에 있지만 , 코드의 실행은 Clie nt 에 의해서 수행
Q) Mobile Code 위협대상은 ? => Client 의 위협
- Mobile Code(JAVA applet)
. SAND BOX : 실시간 가상환경을 제공 함으로 , 네트워크나 컴퓨터가 받아들이기 의심스러운 코드를 격리 -> 보안성
- Mobile Code(Active-X)
. Trusted-relationship
. 사용자인증코드(Authenticode)-> Codesign 수행 (무결성)
* 악성실행코드의 Mobile Code 대응
1) SAND BOX( 실행중 보장-> 보안성 우수)
2) Authenticaticode (실행전 보장)
- 공격기술의 변화
. 오늘날 과거에 비하여 침입자수/공격 기술은 높아지는거에 비해, 침입자의 지식이 낮아지는 것은?
=> 좋은 Tools발달로 인한 Script Kiddies
- 일반적인 공격의 과정
1) 정보수집(Foot Printing)
2) scanning
3) 목록화(Enumeration) -> 취약점 열거
4) 취약점공격( Vulerability Attack )
5) 권한획득 -> 대부분의 공격의 목적
6) 권한상승
7) BackDoor
8) Denial of Service
- Network Attack 의 유형
1) Sniffing : 소극적인 공격, 훔쳐보기, 모니터링 ( 기밀성)
2) Spoofing : 적극적인 공격, 위변조 ( 무결성)
- Hub 환경의 Sniffing
. 취약한 호스트를 점령한뒤 Promiscuous mode 로 변경 Sniffing 수행
. 대응방안 : 암호화(IPsec,SSL,VPN)
- SW 환경의 Sniffing(-> Spoofing)
. 대응방안 : 암호화(IPsec, SSL, VPN)
- DOS-TCP Syn-flooding
. TCP 3-way handshaking 문제점을 이용 , 지속적인 half-open 유발
. IP Spoofing 과 함께 이용
. 대응방안 : Packet Filtering
: Back log que를 늘림
: connection time-out 을 줄임
: syn-cookie 이용
- Session Hijacking
. Session Hijacking = Kevin mitnic Attack = IP spoofing
. 대응방안 : 지속적인 인증, 시퀀스번호 복잡성 상승, 스니핑 방지
- IP spoofing
. 대응방안 : 시퀀스 번호 복잡성 상승
- DOS-ICMP Smurf
. HOST IP 를 가장한뒤 , ICMP Broadcast 로 icmp request 전달, 전달 받은 호스트는 victim으로icmp reply 유발
. 대응방안 : Router 에서 Direct Broadcast 차단 , ICMP reply 차단
- DoS-UDP Storming
. UDP 포트에 IP주소를 속인 데이터그램을 보내서 Loop 유발=> 네트워크 트래픽/시스템 부하 증가
. 대응 방안 : 불필요한 UDP포트 제거
- IP Fragmentation - Ping of Death
. 큰 아이피 패킷을 보내서 DoS 유발
. 대응 방안 : OS stack vulnerability patch(예외처리 주체: OS)
- IP Fragmentation - Tear Drop, Bonk, Boink
. 서로 중첩되는 해더 조작
. 대응 방안 : TCP/IP stack 구현오류 패치 ( 예외처리 주체: OS)
- IP Fragmentation - Tiny Fragmentaion
. 첫번째 Fragment 를 아주 작게 보내서 패킷 필터링이나 방화벽 등을 우회 공격
. 대응 방안 : 패치 (예외처리 주체 : 패킷 필터링 장비)
- War Driving
. 차량 이동하면서 무선 보안이 취약한 지점을 찾아내는 행위
, 비인가 AP는 사내 랜이 공개 된것과 동일
. 대응 방안 : SSID Broadcating 방지 => 수동 SSID 입력 및 Hidden SSID 사용
: 128bit 이상의 WEP 적용
: Mac Filtering
- Attack Tool Mapping
1) Filei Integrity checker : AIDE, LANGuard, Trip wire
2) Network sniffer : snort, ethereal , sniffit, tcpdump,windump
3) Password cracker : john the ripper
4) Vulnerability assessment : nessus, SATAN,SAiNT
5) DoS Tools : Trinoo, Stacheldrant
6) War Dialing : telesweep, phonesweep, thc
7) IP Fragmentation Tool : FragRouter
- Honey Pot
. 취약점 공개를 통한 취약점 점검
. 예방통제 및 zeroday 공격 탐지
. honeypot network => honynet
- Port scan / Network mapping
. 불필요한 port/service 제거
. 운용/응용 프로그램의 배너 제거 => Banner Grabbing
. Banner Grabbing : 프로토콜의 정보, 웹서버 종류 등을 파악 할 수 있음
. NMAP : Port scanner
. TCP Wrapper : 프로그램 접근 통제 ( 시스템 사용자아이디기반 통제)
반응형
'Security > Cissp' 카테고리의 다른 글
Domain 1. Security Risk Management -1 (0) | 2017.04.16 |
---|---|
Domain 7. Security Operation (0) | 2017.04.16 |
Domain 8. Software Development Security -1 (0) | 2017.03.30 |
Domain 3. Security Engineering(1)-2 (0) | 2017.03.27 |
Domain 3. Security Engineering(1)-1 (0) | 2017.03.21 |