[정보처리기사] 5과목 - 로그/보안 솔루션 관련 암기항목

1. 리눅스 로그 저장경로 및 유형

저장경로

• /usr/adm : 초기 유닉스
• /var/adm : 최근 유닉스, Solaris
• /var/log : BSD, 리눅스
• /var/run : 리눅스

유형
※ 주로 텍스트 형식으로 저장

• wtmp/wtmpx : 최근 로그인/로그아웃 정보, 시스템 shutdown/reboot 정보(last)
• utmp/utmpx : 현재 시스템에 로그인한 사용자 정보(who, w users, finger)
• btmp/btmpx : 로그인에 실패한 정보(lastb)
• lastlog : 사용자별 로그인 시간 및 접근 소스 호스트 정보(lastlog)
• sulog : Switch User log(텍스트 파일, 명령어X)
• acct/pacct : 사용자별로 실행되는 모든 명령어에 대한 로그
• xferlog : FTP 서비스 데이터 전송 기록 로그
• messages : 부트 메시지 등 시스템의 가장 기본적인 시스템
• secure : 보안 관련 주요 로그 기록

2. 윈도우 로그 저장경로 및 유형

저장경로

• C\Windows\System32\winevt\Logs

유형

• 응용 프로그램 로그 : 응용 프로그램이 프로그램에서 기록한 이벤트가 포함된 로그
• 보안 로그 : 파일, 개체 만들기, 열기/삭제 등 리소스 관련 이벤트 기록
• 시스템 로그 : 윈도우 시스템 내 구성요소 내 기록한 이벤트 기록

3. 보안솔루션

• 방화벽(FireWall) : 기업 내/외부간 트래픽 모니터링, 시스템 접근 허용 및 차단, iptables는 리눅스 커널에서 동작하는 방화벽(패킷 필터링 등)
• 웹 방화벽 : 웹 애플리케이션 보안에 특화된 장비
• 네트워크 접근 제어(Network Access Control, NAC) : 단말기가 내부 네트워크 접속시 이를 제어, 통제(바이러스/웜)
• 침입 탐지 시스템(IDS, Intrusion detection system)
  ※ 오용탐지기법(misuse, signature base) : 이미 발견되고 정립된 공격 패턴 입력 및 탐지, 이상탐지기법(Abnormality Detection) : 알려지지 않은 공격 탐지, 오탐률 높음(행위 또는 통계치 기반)
  ※ 호스트기반 침입탐지시스템(HIDS, Host-based Intrusion..) : 유닉스, 윈도우 운영체제에 설정된 사용자 계정에 따라 사용자 작업 기록, 네트워크기반 침입탐지시스템(NIDS, Network-based Intrusion..) : 네트워크에 접근하는 공격을 탐지하는 시스템, 네트워크에서 독립적으로 운영
• IPS(Intrusion Prevention system) : 침입방지시스템, 네트워크 침입을 실시간 차단 및 유해트래픽 조치
• 무선침입방지시스템(WIPS, Wireless IPS) : 무선 단말기 접속에 대한 침입방지 시스템
  ※ WEP(Wired Equivalent Privacy) : wifi 표준 보안 프로토콜, 고정 암호키 사용하여 보안에 취약
  ※ TKIP(Temporal Key Integrity Protocol) : WEP대체, 임시키 무결성 프로토콜, 패킷당 키 할당 및 키 재설정(암호키 변경 가능)
  ※ WPA(Wifi Protected Access) : WEP의 취약점 대안으로, RC4(해시암호화) 및 TKIP 프로토콜 사용
  ※ WPA2 : AES 알고리즘 사용(대칭키 DES 발전), CCMP(TKIP대체 블록 체인 암호화 알고리즘)
• TCP Wrapper(TCP래퍼) : 컴퓨터 접속시 접속 인가, 클라이언트 IP를 확인하여 관리자가 승인
• 통합보안시스템(UTM, Unified Threat Management) : 다양한 보안 기능을 하나의 장비로 통합
• 가상사설망(VPN, Virtual Private Network) : 인터넷 공중망에 사설망 구축하여 전용망 사용 효과
• nmap : 윈도우, 리눅스 포트 정보를 스캐닝하여 보안 취약점 찾음

4. 침입 차단 시스템(방화벽) 구축 유형

• 스크리닝 라우터(Screening Router) : 망과망사이에 라우터 설치, 일반 라우터 기능에 패킷 헤더 내용을 확인
• 배스천 호스트(Bastion Host) : 침입 차단 소프트웨어 설치, 일종의 게이트 역할 수행, 가상서버설치함(Proxy server)
• 듀얼 홈드 게이트웨이(Dual Homed Gateway) : 2개의 네트워크 인터페이스를 가진 베스천 호스트 구성, 논리적 구분 + 물리적 구분
• 스크린드 호스트 게이트웨이(Screened Host Gateway) : 스크리닝 라우터 + 배스천 호스트, 1차적으로 네트워크 계층에서 스크리닝 라우터가 스크리닝, 그 후 배스천 호스트가 방어
• 스크린드 서브넷 게이트웨이(Screened Subnet Gateway) : 스크리닝 라우터 - 배스천호스트 - 스크리닝라우터(DMZ망 사이의 배스천호스트), 가장 안전하지만 비싸고 가장 느림