정보보안 기초 요약 1

1장

1. 와이어 샤크 패킷 분석

2장 

오어스 정의하기 Open Authentication

◆ 오어스

∙ 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있음특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없음

∙ 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해 줌 

∙ 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있음

◆ 오어스 동작 과정

사용자가 이미 특정 웹사이트나 서비스에 로그인 했다고 가정 

참고로 OAuth는 HTTPS만 작동 

사용자는 이후 다른 관련 없는 사이트나 서비스에 액세스 하기 위한 트랜젝션을 개시

1. 첫 번째 웹사이트가 사용자를 대신해 두 번째 웹사이트에 접속     OAtuh를 사용하고, 사용자의 확인된 ID를 제공

2. 두 번째 사이트는 해당 트랜젝션 및 관여 당사자에 고유한 1회성 암호와 1회성 토큰을 생성

3. 첫 번째 사이트는 이 토큰과 암호를 사용자의 클라이언트 소프트웨어에 제공

4. 클라이언트 소프트웨어는 요청 토큰과 암호를 인증(인가) 공급업체에 제시 (두 번째 사이트 또는 다른 사이트나 서비스)

5. 인증(인가) 공급업체에 인증이 되어 있지 않다면, 클라이언트가 인증을 요청할 것임 인증 후, 클라이언트는 두 번째 웹사이트에 인증 트랜젝션 승인을 요청

6. 사용자 또는 소프트웨어는 첫 번째 웹사이트에서 특정 트랜젝션을 승인

7. 그리고 사용자에게 승인된 액세스 토큰이 제공됨(더 이상은 요청 토큰이 아님)

8. 사용자는 첫 번째 웹사이트에 승인된 액세스 토큰을 제공함

9. 첫 번째 웹사이트는 사용자를 대신, 인증에 대한 증명인 액세스 토큰을 두 번째 웹사이트에 제공함

10. 두 번째 웹사이트는 사용자를 대신, 첫 번째 웹사이트가 사이트에 엑세스 할 수 있도록 허락함

11. 사용자는 트랜젝션이 성공적으로 완료된 것을 확인함

12. OAuth는 최종 사용자를 대신해 이런 방식으로 작동하는 첫 번째 인증/인가(승인) 시스템은 아님

유사하게 작동하는 인증 시스템이 많음 

OAuth의 차별점은 여러 웹에서 작동을 하고, 널리 도입되었다는 점

과거 다른 시스템과 달리, (여러 이유 덕분에) 도입률을 높이는 데 성공

◆ ARP(Address Resolution Protocol)

- 데이터를 전달하려는 IP 주소와 통신에 필요한 물리적인 주소(MAC)를 알아내는 프로토콜

- 선택된 매체에 브로드캐스트를 통해 특정 IP 주소를 사용하는 호스트가 응답을 하도록 요구하는 방식을 사용

◆ ICMP(Internet Control Message Protocol)

- 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 오류를 알려주는 프로토콜

- 대표적인 툴은 ping

- iP프로토콜의 단점을 보완하기 위해 나옴

- ip와 icmp메시지가 같이 가서 오류를 확인한다.

3장

◆ Whois(후이즈) 

- 1984년에 만들어진 도메인 확인, 도메인과 관련된 사람 및 인터넷 자원을 찾아보기 위한 프로토콜

- 초기에는 와일드카드(*) 문자열로 관련 도메인 검색이 가능했으나, 인터넷이 상업화되고 스팸 메일이 증가함에 따라 기능 삭제

◆ Whois 서버로 얻을 수 있는 정보

- 도메인 등록 및 관련 기관 정보

- 도메인 이름과 관련된 인터넷 자원 정보

- 목표 사이트의 네트워크 주소와 IP 주소

- 등록자, 관리자, 기술 관리자의 이름, 연락처, 이메일 계정

- 레코드의 생성 시기와 갱신 시기

- 주 DNS 서버와 보조 DNS 서버

- IP 주소의 할당 지역 위치

◆ DNS(Domain Name System)

- 숫자로 구성된 네트워크 주소인 IP 주소를 사람이 이해하기 쉬운 명칭인 도메인 이름으로 상호 매칭시켜주는 시스템

4장

◆ 공인 IP :: 특수 목적으로 사용

- IPv4 주소는 임의로 우리가 부여하는 것이 아니라 전세계적으로 ICANN이라는 기관이 국가별로 사용할 IP 대역을 관리하고 우리 나라는 인터넷 진흥원(KISA)에서 우리나라 내에서 사용할 주소를 관리 중 

- 임의로 아무 IP 주소나 내 컴퓨터에 지정한다고 인터넷이 되는 것이 아니라 할당받은 주소를 부여해야만 인터넷에 접속할 수 있게 됨

◆ 사설 IP :: 할당받아 사용

전체 IP 대역 중에서 특수한 목적으로 사용하기 위해서 몇 개의 대역을 제외하고 공인 IP 대역으로 할당하고 있는데, 제외된 대역 중에서 사설 IP로 사용되는 대역은 사용자가 임의로 부여하고 사용할 수 있지만 인터넷 상에서 서로 연결되지 않도록 되어 있음 

전체 IP 대역 중에서 다음의 대역이 사설 IP 대역임

A 클래스 : 10.0.0.0 ~ 10.255.255.255

B 클래스 : 172.16.0.0 ~ 172.31.255.255

C 클래스 : 192.168.0.0 ~ 192.168.255.255

◆ 고정 IP와 유동 IP

- 고정 IP는 컴퓨터에 고정적으로 부여된 IP로 한번 부여되면 IP를 반납하기 전까지는 다른 장비에 부여할 수 없는 IP 주소 

- 유동 IP는 장비에 고정적으로 IP를 부여하지 않고 컴퓨터를 사용할 때 남아 있는 IP 중에서 돌아가면서 부여하는 IP

- 부여받은 IP가 10개이고 접속해야 할 컴퓨터가 20대라면 10대는 고정 IP를 부여할 경우 IP가 모자라므로 유동 IP로 10개를 20대가 돌아가면서 사용할 수 있다.

◆ IP

- 인터넷 상에서 서버를 운영하고자 할 때는 공인 IP를 고정 IP로 부여해야 한다는 것이 중요함 

- 즉, 공인 IP를 부여받지 못하면 다른 사람이 내 서버에 접속할 수가 없고, 고정 IP를 부여하지 않으면 내 서버가 아닌 다른 사람의 서버로 접속이 될 수도 있기 때문

- 반면에 우리가 집에서 사용하는 인터넷 서비스 업체는 각 가정마다 공인 IP를 유동 IP로 부여하고, 공유기 내부에서는 사설 IP를 유동 IP로 부여하는 것이 일반적임

◆ 수신된 메일의 구조

정상적 :SPF(메일서버 등록제) 패스 아니면 논패스 된다.

◆ traceroute(트레이스라우트)의 정의

- 패킷이 목적지까지 도달하는 동안 거쳐가는 라우터의 IP를 확인하는 툴

- UDP와 ICMP, IP의 TTL 값을 이용

- 상대방의 IP 주소를 알고 있는 상태에서, 상대방이 속한 인터넷 구성 등을 짐작할 수 있음

- traceroute를 수행할 때 경로가 매번 다르게 형성되다가 하나로 고정된다면 역추적을 당하고 있는 것일 수 있음

◆ traceroute(트레이스라우트) 동작과정

◆ IP 프로토콜의 단점

5장

◆ 풋프린팅(Footprinting)

- 발자국을 살펴보는 일

- 공격 대상의 정보를 모으는 방법 중 하나 

- 사회 공학 기법(Social Engineering)

실제로 패스워드가 노출되는 사건의 대부분이 사회 공학에 의한 것

친구끼리 사용자 계정이나 패스워드 정보를 주고 받거나, 패스워드를 잊지 않으려고 수첩이나 

컴퓨터 옆에 적어 놓은 것들을 이용하는 해킹

◆ 데몬 (Daemon)

- 시스템의 사용자 인터페이스에는 나타나지 않지만, 서비스가 요청되었을 때 이에 반응할 수 있도록 항상 실행되는 프로그램

- 따라서 웹 서비스에 대한 데몬과 FTP 서비스를 위한 데몬이 별도로 존재한다각각의 데몬을 실행해야만 포트가 열리며, 해당포트에서 적절한 서비스를 제공받을 수 있다.

- 각각의 데몬은 하나의 프로그램이기 때문에 취약점이 존재할 수 있는데, 이러한 점을 이용하여 해커는 공격 대상 시스템에 침투한다.

◆ Well-Known 포트

◆ 스캔(Scan)

- 서비스를 제공하는 서버의 작동 여부와 서버가 제공하는 서비스를 확인하기 위한 작업

- 전화를 걸었을 때 한 쪽에서 ‘여보세요’라고 말하면 다른 쪽도 ‘여보세요’라고 말하며 서로를 확인하는 것과 같음

◆ 스캔: ICMP를 이용한 Ping 스캔

- CMP를 이용해 공격 대상 시스템의 활성화 여부를 알아보는 방법

Echo Request(Type 8)와 Echo Reply(Type 0) 이용하기 **

Timestamp Request(Type 13)와 Timestamp Reply(Type 14) 이용하기

Information Request(Type 15)와 Information Reply(Type 16) 이용하기

ICMP Address Mask Request(Type 17)와 ICMP Address Mask Reply(Type 18) 이용하기

→ 가장 일반적인 방법은 Echo Request(Type 8)와 Echo Reply(Type 0)를 이용하는 것

- 쓰리웨이 핸드셰이킹이 이뤄지기 전에 클라이언트가 연결을 끊어버린다.

- 기록이 안남겨져서 일반적으로 사용됨

- ack을 보낼 수 있는 방법이 없다  icmp의 언리쳐블 패킷을 보내서 도착할 수 없다고 알려준다. 그러면 닫혀있다는 것을 알 수 있다.

- 응답이 없으면 열려있다는 것을 알 수있다.

6장

◆ 스니핑

sniff의 사전적 의미 : 코를 킁킁거리다

수동적(Passive) 공격 : 공격할 때 아무것도 하지 않아도 충분하기 때문 (스니핑 공격을 수행할 때는 아무것도 하지 않고 공격 대상의 통신을 지켜 봄)

◆ 스니핑의 개념

도청(Eavesdropping)과 엿듣기가 스니핑

전화선이나 UTP에 탭핑(Tapping)해서 전기 신호를 분석하여 정보를 찾아냄

전기 신호(Emanation)을 템페스트(전자파, Tempest) 장비를 이용해 분석하는 일

◆ 스니핑 공격: 프러미스큐어스 모드 설정하기

① 랜 카드 확인하기  

# ifconfig

② 프러미스큐어스 모드로 변경하기

 # ifconfig eth0 promisc

 # ifconfig

스위칭 재밍이란?

특정 사용자에게 가는 정보를 라이팅 테이블을 조작해서 본인도 정보를 

받아볼 수 있도록 하는 것

◆ Fragrouter(프래그라우터)

- 스니핑을 보조해주는 툴로, 받은 패킷을 전달하는 역할

- 스니핑을 하거나 세션을 가로챘을 때 공격자에게 온 패킷을 정상적으로 전달하려면 

패킷 릴레이가 반드시 필요함

◆ ARP　리 다이렉트 공격 226p

◆ ICMP 리다이렉트  229p 

한글 요약본

정보보안 기초 요약1.hwp