정보보안기사9

agnusdei·2024년 7월 28일
정보보안기사

정보보안기사

목록 보기
9/15
  1. IDS (intrusion detection system)
    • 공격행위를 탐지하는 보안장비
    • 로그를 분석하여 악의적인 공격여부를 탐지
    • 차단장비인 firewall과는 다름
  1. 침입탐지 방식
    • 오용탐지 (misuse detection)
    • 이상탐지 (anomaly detection)
    • 수동적인 방어 개념 (IPS의 능동적인 방어 개념과 상반됨)
  1. 탐지할 데이터 수집 디바이스에 따른 구분
    • HIDS
    • NIDS
  1. 탐지 결과: https://maker5587.tistory.com/9
  1. misuse detection
    • 잘 알려진 공격패턴을 기반으로 탐지하는 방식
    • knowledge based detection, signature based detection이라고도 함
    • 지속적인 패턴 업데이트 필요
    • false positive rate가 낮지만 false negative rate가 높음
  1. anomaly detection
    • 평균적인 상태를 기준으로 이를 벗어난 행위를 감지하는 방식
    • behavior based detection, statistic based detection이라고도 함
    • 정량적인 통계를 기반으로 이상행위와 정상행위를 구분
    • 임계치 설정을 위한 학습 데이터 및 시간 필요
    • false negative rate는 낮지만 false positive rate은 높음
  1. HIDS: tripwire
    • host fs 무결성 검사
  1. HIDS 종류
    • single Host based IDS: 단일 호스트로부터 정보를 수집 및 탐지하는 방식
    • multi Host based IDS: 여러 호스트로부터 정보를 수집 및 탐지하는 방식
  1. NIDS
    • 대표적인 소프트웨어: snort
  1. suricata
    • snort 기반의 업그레이드 버전
    • IDS, IPS 기능 둘 다 있음
  1. NIDS 설치 모드
    • 주로 mirroring mode로 설치
    • 실시간 차단이 아닌 탐지 목적의 장비이므로 미러링 모드로 설치
  1. IPS (intrusion prevention system)
    • 공격행위 탐지 및 차단하는 장비
    • IDS와 달리 능동적으로 차단
    • 주로 inline 모드로 설치 (실제 트래픽이 통과해가도록 구성해야 차단 가능)
  1. Snort
    • SourceFire 사의 martin roesch에 의해 개발된 오픈소스 NIDS 제품
    • binary 비교와 text 비교 방식 있음
  1. snort sniffer mode
    • 단순히 네트워크의 패킷을 읽어서 콘솔에 출력하는 모드
  1. snort 작성법: https://velog.io/@agnusdei1207/snort
  1. iptables
    • 오픈소스로 linux에서 사용
    • 상태 검사, 추적, 로깅, 포트포워딩, NAT 및 다양한 모듈 제공
    • 리눅스 커널에 내장된 필터링 기능을 제공하는 netfilter를 관리하기 위한 툴
  1. FireWall
    • 내부와 외부 네트워크 사이에 위치하여 외부 침입을 1차로 방어하는 보안장비
  1. packet filtering
    • 방화벽의 가장 기본적인 기능
    • 설정된 규칙에 따라 접근을 제어
  1. statefull inspection (상태 검사 기능)
    • IPS 기능 중 하나
    • 패킷 일정 시간동안 상태정보를 유지 (세션 연결 유지 및 추적)
    • 보안과 성능에 이점
    • 세션 테이블에 패킷 정보가 저장되어 관리
  1. bastion host
    • 중세성곽을 의미하는 단어
    • 방화벽 시스템 관리자가 주요하게 관리하는 시스템
  1. screening router
    • 패킷 필터링 기능이 있는 라우터 (방화벽 + 라우터)
  1. dual homed gateway
    • 두 개의 네트워크 인터페이스가 설치된 배스천 호스트
    • 하나는 외부, 다른 하나는 내부 네트워크와 연결되어 접근 제어 실시
    • 라우팅 기능은 존재하지 않음
  1. screened host gateway
    • 가장 바깥쪽에 스크리닝 라우터를 설치
    • 라우터와 내부 네트워크 사이에 베스천 호스트를 설치하는 방식
  1. screened subnet gateway
    • 스크리닝 라우터들 사이에 베스천 호스트를 배치한 구조 (DMZ: demilitarized zone)
  1. NAC
    • 오픈 소스 packetFence와 같은 네트워크 통제기능을 수행하는 보안 솔루션
  1. NAC 특징
    • 내부 네트워크 보안 솔루션
    • device 네트워크 접근에 대한 격리, 차단, 통제, 모니터링, 인증 등을 수행
    • 보안성을 강제
    • 대표적인 제품: packetFence, FreeNAC
  1. NAC 역할
    • 기업/조직의 엔트포인트 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어
    • 단말기 무결성 검사, 제어 통제, 바이러스 검사 등 수행
    • 안전한 단말기들로만 이루어질 수 있도록 강제
  1. SSO (Single Sign On)
    • 한 번의 인증으로 여러 애플리케이션에 로그인(접근)이 가능한 통합인증 솔루션
  1. EAM (Extranet Access Management)
    • 모든 사용자에 대한 통합 인증 SSO와 접근 권한을 관리하는 솔루션 (SSO + ACL)
  1. IAM (Identity Access Management)
    • EAM을 확장한 솔루션
    • 자동으로 사용자 계정을 만들고 직무에 따라 권한을 부여
    • 사용자 정보의 변경과 삭제를 실시간으로 반영 가능 (EAM + 자동화)
  1. SSO, EAM, IAM 설명: https://velog.io/@agnusdei1207/sso-eam-iam
  1. CASTLE
    • KISA(한국인터넷진흥원)에서 제공하는 공개 웹 방화벽
  1. ModSecurity
    • Trustwave 사에서 개발한 웹 방화벽
    • apache, iis에서도 동작
  1. WebKnight
    • AQTRONIX 사에서 개발한 MS사의 IIS 웹서버 방화벽
  1. EDR (Endpoint Detection and Response)
    • 엔트포인트에서 발생하는 악성 행위를 실시간으로 감지, 분석, 대응하여 피해 확산을 막는 솔루션
  1. UTM (Unified Threat Management)
    • firewall, IPS, IDS, VPN, anti Virus, email filter 등 다양한 보안 기능을 하나의 장비로 통합하고 제공 관리하는 보안 장비
    • 장애 발생 시 모든 장비에 영향이 가는 단점 있음
  1. Trust zone
    • 프로세서 안에 독립적인 보안 구역을 두어 보호하는 하드웨어 기반의 보안기술
    • ARM에서 개발
    • normal world, secure world를 분할하여 monitor mode로 관리
  1. DRM (Digital Rights Management)
  1. ESM (Enterprise Security Management)
    • 기업 환경의 보안 관리를 위해 IPS, IDS, VPN 등 다양한 보안 장비를 관리하는 시스템
  1. ESM agent
    • 관리 대상 보안장비에 설치되어 로그나 이벤트를 manager에게 전달
  1. ESM manager
    • 전달 받은 정보를 저장 및 분석하여 결과를 ESM console에 전달
  1. ESM console
    • 매니저로부터 전달받은 분석 결과에 대한 시각화 조회, 리포팅 등 기능 수행
    • 매니저/에이전트 관리 기능 수행
  1. ESM 구성 요소
    • console, manager, agent
  1. SIEM (Security Information & Event Management)
    • 빅데이터 기반 로그 데이터의 상관관계를 분석한 보안관제 솔루션
  1. SIEM 보안 관제 순서
    • 정보수집 -> 정보분류 -> 정보변환 -> 정보분석
  1. CTI (Cyber Threat Intelligence)
    • 고도화된 사이버 위협에 대응하기 위해 내부 조직 뿐만 아니라 외부 조직에서 겪었던 위협 정보를 수집 분석 활용
    • 보안관제(SIEM, SOAR)와 협업 수행
  1. SOAR
    • 편의성 증대를 위해 자동화에 초점이 맞추어진 보안 관제 솔루션
    • SIEM의 업그레이드 버전

https://www.servicenow.com/kr/products/security-operations/what-is-soar.html

  1. 보안관제 대응 절차
    1. 트래픽 현황 모니터링
    2. 관제 담당자에게 연락 및 공격 탐지 여부 결정
    3. 초동조치 시행
    4. 공격유형 식별 및 피해범위 분석
    5. 대응 메뉴얼 적용
  1. 보안장비 기본 계정 변경 취약점
    • 보안장비의 default 계정을 변경하지 않을 경우 발생하는 취약점
  1. NCSC (국가사이버안전센터) 파급력에 따른 분류
    • 정상, 관심, 주의, 경계, 심각 (정관주경심)
  1. KISA 사이버 위기 경보 단계
  1. wireshark 필터링
    • dns.flags.response == 1 : DNS 응답만을 조회하는 필터링 (0: 질의, 1: 응답)
  1. wireshark 필터링
    • dns.flags.authorititavie == 1 : authoritative 네임서버로부터 온 응답만을 조회하는 필터링
profile
agnusdei
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent
이전 포스트

정보보안기사8

다음 포스트

정보보안기사10

0개의 댓글