본문 바로가기
Security/Cissp

Domain 8. Software Development Security -2




* Disadvantage of content-dependent => It increases processing overhead

- 객체지향
. 객체지향의 특징은 캡슐화(은닉화)->class, 추상화->class, 다형성->상속, 상속

- Encapsulation( 캡슐화) 
. Data와 Operation을 묶는것 -> Class
. 정보은닉: 내부의 구현부분을 숨기고 인터페이스를 통해서 접근, Client 는 Interface 만 통해서 메시지 전달 -> Send Message
. Interface
1)유지 보수용이 및 비용절감(=> 내부구현이 바뀌어도 영향이 없음 => 과정 절차의 추상화)
2) Service 를 정의 하는 Operation 의 집합
3) 작업 분업화 가능 

- Polymophism(다형성)
. 하나의 Interface 에 많은 다른 구현을 숨기는것=> 같은 이름의 Interface 를 허용 
. Overriding(=>재정의) : 계층적 Operation 의 중첩

- Malware- 1(악성코드/의심코드)
. Virus (바이러스) : 독자적 실행 불가 , 복제기능-> 자가증식
. Worm( 웜)         : 독자적 실행 가능 , 복제기능-> 자가증식
. Torjan Horse    : 내부의 중요 정보를 유출 하는 Malware
. RAT(Remote Access Trojan) : 원격에서 내부의 중요 정보를 유출하는 Malware
. 논리폭탄             : 특정조건에 부한하면 악의적인 행동을 하는 Malware(수작업, 불만이 많은 내부자)
. BackDoor         : 접근통제(인증) 을 우회 하는 경로 (Path), 로그남기지 않으며, 개발/관리 목적으로 사용

* 요소별 탐지 방안
. Virus              : 백신(교정통제), AV(탐지/예방통제)-> 무결성
. Worm            : N-IDS -> 가용성
. Trojan horse : H-IDS(Out bound contorol) -> 기밀성
. 논리폭탄         : 소스코드 리뷰 ->무결성
. Backdoor      : 소스코드 리뷰 , H-IDS -> 기밀성

- Malware-2
1) RootKit        : Hidden File/Process/Registry(Being absolutely invisible to os=>Kernel)
2) Bot        : Short fo "Robor", Remote Control
                  : Relaying Spam
                  : Hosting phishing site
                  : Deinial of Service
3) Backdor    : Trap Door, Worm Hole, Maintenance Hook
                       : Hidden mechanism to bypass protection measure
                       : Secure bypass : Undocumented access path
4) Worm        : Self-Propagation
                       : Spread per instruction , Self-contained program
5) Virus        : Self-Propagating
                       : Spread on content
                       : Infect, Parasitic(기생)

- Virus 증상/탐지
. 증상    : 파일 사이즈 증가
              : 갱신 타임스탬프 변경
              : 저장공간 급격히 변경
              : 디스크 i/o 증가

. 탐지    : 백신,AV, 체크섬 등

. Infect 후 작업
1) 네트워크 차단(격리) , 추가 영향을 줄이기 위한 데이터 백업
2) Reinitialize system, reboot, copy virus protection
3) Reinstall applicaiton software, data

* Virus = Parasitic
* Trojan Horse = Minic
* BackDoor = TrapDoor = WormHole = Maintenanace Hook
* RATs 의 흐름은 밖에서 안으로 , Trojjan Horse,Spyware 는 안에서 밖으로 
* Virus /Worm 은 Self-Propagation(자기복제) , Virus 의 감염대상은 FileBoot

- Mobile Code
. WWW 브라우저를 통하여 다운로드 되어 실행 되는 작은 어플리케이션
. JAVA applet, Active-X => 서버의 의도를 실행
. Mobile Code 의 소스는 서버에 있지만 , 코드의 실행은 Clie  nt 에 의해서 수행
Q) Mobile Code 위협대상은 ? => Client 의 위협

- Mobile Code(JAVA applet)
. SAND BOX : 실시간 가상환경을 제공 함으로 , 네트워크나 컴퓨터가 받아들이기 의심스러운 코드를 격리 -> 보안성

- Mobile Code(Active-X)
. Trusted-relationship
. 사용자인증코드(Authenticode)-> Codesign 수행 (무결성) 

* 악성실행코드의  Mobile Code 대응
1) SAND BOX( 실행중 보장-> 보안성 우수)
2) Authenticaticode (실행전 보장)

- 공격기술의 변화 
. 오늘날 과거에 비하여 침입자수/공격 기술은 높아지는거에 비해, 침입자의 지식이 낮아지는 것은?
=> 좋은 Tools발달로 인한 Script Kiddies

- 일반적인 공격의 과정
1) 정보수집(Foot Printing) 
2) scanning
3) 목록화(Enumeration) -> 취약점 열거 
4) 취약점공격( Vulerability Attack ) 
5) 권한획득 -> 대부분의 공격의 목적
6) 권한상승
7) BackDoor
8) Denial of Service

- Network Attack 의 유형
1) Sniffing       :  소극적인 공격, 훔쳐보기, 모니터링 ( 기밀성) 
2) Spoofing     :  적극적인 공격, 위변조 ( 무결성) 

- Hub 환경의 Sniffing
. 취약한 호스트를 점령한뒤 Promiscuous mode 로 변경 Sniffing 수행 
. 대응방안 : 암호화(IPsec,SSL,VPN) 

- SW 환경의 Sniffing(-> Spoofing) 
. 대응방안 : 암호화(IPsec, SSL, VPN)

- DOS-TCP Syn-flooding
. TCP 3-way handshaking 문제점을 이용 , 지속적인 half-open 유발
. IP Spoofing 과 함께 이용 
. 대응방안     : Packet Filtering
                      :  Back log que를 늘림
                      : connection time-out 을 줄임
                       : syn-cookie 이용

- Session Hijacking
. Session Hijacking = Kevin mitnic Attack  = IP spoofing 
. 대응방안 : 지속적인 인증, 시퀀스번호 복잡성 상승, 스니핑 방지

- IP spoofing 
. 대응방안 : 시퀀스 번호 복잡성 상승

- DOS-ICMP Smurf
. HOST IP 를 가장한뒤 , ICMP Broadcast 로 icmp request 전달, 전달 받은 호스트는 victim으로icmp reply 유발 
. 대응방안 : Router 에서 Direct Broadcast 차단 , ICMP reply 차단 


- DoS-UDP Storming
. UDP 포트에 IP주소를 속인 데이터그램을 보내서 Loop 유발=> 네트워크 트래픽/시스템 부하 증가
. 대응 방안 : 불필요한 UDP포트 제거

- IP Fragmentation - Ping of Death
. 큰 아이피 패킷을 보내서 DoS 유발
. 대응 방안 : OS stack vulnerability patch(예외처리 주체: OS)

- IP Fragmentation - Tear Drop, Bonk, Boink
. 서로 중첩되는 해더 조작
. 대응 방안 : TCP/IP stack 구현오류 패치 ( 예외처리 주체: OS)

- IP Fragmentation - Tiny Fragmentaion
. 첫번째 Fragment 를 아주 작게 보내서 패킷 필터링이나 방화벽 등을 우회 공격
. 대응 방안 : 패치 (예외처리 주체 : 패킷 필터링 장비)

- War Driving
. 차량 이동하면서 무선 보안이 취약한 지점을 찾아내는 행위
, 비인가 AP는 사내 랜이 공개 된것과 동일
. 대응 방안    : SSID Broadcating 방지 => 수동 SSID 입력 및 Hidden SSID 사용
         : 128bit 이상의 WEP 적용
                        : Mac Filtering

- Attack Tool Mapping
1) Filei Integrity checker          : AIDE, LANGuard, Trip wire
2) Network sniffer                       : snort, ethereal , sniffit, tcpdump,windump
3) Password cracker                  : john the ripper
4) Vulnerability assessment     : nessus, SATAN,SAiNT
5) DoS Tools                                 : Trinoo, Stacheldrant
6) War Dialing                            : telesweep, phonesweep, thc
7) IP Fragmentation Tool              : FragRouter

- Honey Pot
. 취약점 공개를 통한 취약점 점검
. 예방통제 및 zeroday 공격 탐지 
. honeypot network => honynet

- Port scan / Network mapping 
. 불필요한 port/service 제거 
. 운용/응용 프로그램의 배너 제거 => Banner Grabbing
. Banner Grabbing : 프로토콜의 정보, 웹서버 종류 등을 파악 할 수 있음
. NMAP : Port scanner

. TCP Wrapper : 프로그램 접근 통제 ( 시스템 사용자아이디기반  통제)


반응형

'Security > Cissp' 카테고리의 다른 글

Domain 1. Security Risk Management -1  (0) 2017.04.16
Domain 7. Security Operation  (0) 2017.04.16
Domain 8. Software Development Security -1  (0) 2017.03.30
Domain 3. Security Engineering(1)-2  (0) 2017.03.27
Domain 3. Security Engineering(1)-1  (0) 2017.03.21