배스천 호스트와 스크린 호스트는 네트워크 보안 강화를 위해 사용됩니다. 각각 어떤 차이점이 있는지 알아보도록 하겠습니다. 배스천 호스트 배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트를 뜻합니다. 외부 공격을 방어하고 내부 시스템에 접근을 제어하는 역할을 합니다. 보안에 강력하지만 가격이 비싸고 복잡한 특성이 있습니다. 기업, 클라우드 네트워크에서 주로 사용됩니다. 스크린 호스트 외부 네트워크에 위치하며 배스천 호스트보다 상대적으로 보안에 약하지만 저렴하고 간단하게 구성이 가능합니다. 방화벽 뒤에 위치하여 외부에서 직접 엑세스 할 수 없게 구성합니다. 소규모, 개인 네트워크에서 주로 사용됩니다. 특징 배스천 호스..
칼리 리눅스를 통해서 와이파이 비밀번호를 알아내는 방법에 대해서 알아보겠습니다. 모의해킹 용도로 사용하며 악용은 절대 금지합니다. airmon에서는 무선랜 인터페이스에서 모니터 모드를 설정합니다. 가상머신 VirtualBox, VMWare에서 아무런 인터페이스가 나오지 않은 경우에는 USB 무선랜카드가 필요합니다. 참고 블로그 https://uniquez.tistory.com/54 [해킹강좌]04.와이파이 비밀번호 알아내기 Kali Linux 2015/01/22 - [IT/해킹] - [해킹강좌]01.Kali Linux 설치 와이파이 비밀번호 뚫는법을 알아봅시다. 옛날에 사용하던 WEP방식은 무조건 뚫렸지만 요즘은 WPA2방식을 주로 사용하기 때문에 현재까지는 사전대 uniquez.tistory.com
오피스 DDE(Dynamic Data Exchange) 악성코드 취약점 문서 작성 프로그램인 워드, 엑셀, 한글 등 이 있는데 이런 문서 프로그램에는 매크로 기능이나 , JAVA, VBS 등의 기능들이 존재합니다. 이런 기능들을 악용하게 되면 파일 내에 악성코드를 심어서 유포할 가능성이 존재하게 됩니다. 악성코드 유포 방식은 DDE 기능을 통해서 유포될 수 있습니다. DDE(Dynamic Data Exchange)란? 사용자의 편의를 위해 Windows에서 사용 가능한 응용 프로그램 간 데이터 전송을 위해 사용하는 기능입니다. DDE를 통해 스크립트를 삽입한 문서를 열게 되면 "이 문서에 다른 파일을 참조하는 링크가 있습니다." 라는 문구가 나오게 됩니다. 공격자가 스크립트를 심어 메일 전송 > 사용자가..
파일전송 프로토콜인 FTP는 많은 해커들의 타게팅이 될 수 있습니다. 해킹에 성공하기만 한다면 어떤 파일이든 가져가기가 수월하기 때문입니다. FTP 공격의 종류에는 크게 3가지로 알려져 있습니다. 물론 설명드릴 3가지 이외에도 많은 공격 기법들이 있지만, 주요한 공격 기법 3가지를 설명해 드리겠습니다. 1. FTP Bounce 공격 FTP 서버가 데이터를 데이터 포트(20/udp)로 전송할 때 목적지가 어딘지 검사하지 않는 프로토콜 구조적 문제점을 이용하는 것으로 버그는 아닌 프로토콜 설계 상 문제입니다. 익명 FTP 서버를 이용해 공격자가 자신을 숨기고 PORT 명령을 조작하여 공격대상의 네트워크 및 포트스캔, Fake Mail 전송, 데이터 전송이 가능 또한 방화벽 내부에 FTP 서버가 있으면 방화벽..
데이터 3법 개정을 통하여 데이터를 활용할 기회가 많이 주어졌지만 장점이 있다면 단점도 존재하겠죠? 기회가 많이 있는만큼 위험도 같이 뒤 따르게 되어 있습니다. 이러한 정보들에 대한 처리, 활용 목적이 명확해야 합니다. 데이터 3법에서의 정보 개념 설명 개인정보 살아있는 개인에 관한 정보로 성명, 주민등록번호 등을 통하여 개인을 알아볼 수 있는 정보, 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 가명정보 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합없이는 개인을 특정하여 알아볼 수 없는 정보 익명정보 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 개인을 특정할 수 없는 정보 GDPR에서는 가명처리는 p..
보안장비에는 다양한 솔루션들이 있습니다. 사용자의 Endpoint 단에서 네트워크까지 다양한 형태로 존재하는데요, 정보보안 솔루션에는 어떤 것들이 있는지 한 줄평으로 나타내 보도록 하겠습니다. 방화벽, 네트워크, 차단 솔루션에서는 Drop과 Reject 개념이 있습니다. 미리 알고 계시면 좋을 것 같습니다. drop 그냥버린다 reject 버리게 되면 동시에 메시지를 남긴다 둘의 차이점은 거부에 대하여 메시지를 전송해 주냐 안해주냐의 차이가 있습니다. TCP의 경우 연결 지향으로 RST Flag를 이용해 Reject 시킵니다. UDP의 경우 비연결 지향으로 ICMP 응답을 사용합니다. 응답을 중지 시킬 수 있습니다. 보안 솔루션 NAC(Network Access Control) 목표 : 네트워크 액세스 ..
사용자 인증 유형 인증이란 사용자가 정당한 권한을 가지고 있는 인가자인지 확인하는 과정입니다. 사용자 인증 유형으로는 크게 지식, 소유, 존재, 행위 등으로 나누어 집니다. 지식 기반 인증(What you know) • 고객이 알고있는 정보 기반으로 인증 • 비밀번호 등 • 유추가 가능하고 유출의 우려가 있음 ex) 패스워드, PIN 번호 소유 기반 인증(What you have) • 고객이 소유하고 있는 것을 기반으로 인증 • 공인인증서, 시크리트 카드, OTP, 문자인증 등 • 지식 기반 인증과 함께 사용되면 강력함 • 복제/분실의 우려 존재 ex) 토큰, 스마트카드 생체(존재) 기반 인증(What you are) • 고객이 가지고 있는 고유한 생체적 특징을 기반으로 인증 • 지문인증, 홍체인증 등 ..
FIDO(Fast IDentity Online) FIDO는 Fast IDentity Online의 약자로 기존 비밀번호 방식의 보안 문제점을 해결하기 위한 목적으로 생겨난 인증 기법입니다. 인증 정보를 주고 받기 위한 인증 프로토콜을 분리하는 것을 핵심으로 생겨났습니다. FIDO는 쉽게 말해서 지문, 홍채, 안면 인식 등의 생체인증에 적용하기 위해 주로 사용된다고 생각하시면 됩니다. 2013년 페이팔과 레노버 등에서 일하던 보안 전문가들이 여러 비밀번호 보안 취약점을 비판하며 FIDO 얼라이언스(동맹, 연합)를 결성했습니다. FIDO 얼라이언스가 비밀번호 방식을 없애려고 하는 이유는 다음과 같습니다. 암호화는 완벽하지 않으며 항상 완벽하게 구현되는 것이 아닙니다. 강력한 암호화도 결국에는 풀릴 수 밖에 ..
전 세계적으로 화제가 되고 있는 보안 취약점 log4j가 또 다른 영향도가 발생하였습니다. KISA에서 12월 20일 오전10시반쯤 발표한 내용에 따르면 서비스 거부 취약점이 발견되었다고 합니다. 이 내용에 대해서 알아보겠습니다. 취약점코드 CVE-2021-45105 영향도 버전 - 2.0-beta9 ~ 2.16.0 버전(2.12.3 버전은 제외) 대응방안 JAVA 8의 경우 2.17.0 버전으로 업데이트 (만약 core-.jar 파일 없이 api-.jarq 파일만 사용할 경우 취약점의 영향을 받지 않음) 업데이트 불가할 경우 대안 - Log4j 로깅 구성의 PatternLayout에서 ${ctx:loginId} 또는 $${ctx:loginId}를 (%X, %mdc, or %MDC)로 변경 - ${ctx..
개인정보보호법과 정보통신망법에는 어떠한 정보들이 들어가 있는지에 대해서 알아보겠습니다. 개인정보를 식별할 때에는 고유한 식별 번호가 필요합니다. 개인을 알아볼 수 있는 정보입니다. 해당 정보의 경우 약관 등에서 수집 항목, 이용 목적, 보유 및 이용 기간, 수집 거부 시에 생기는 불이익에 관련해서 명시되어 있어야 합니다. 또한 개인정보보호법과 정보통신망법 상의 대략 7가지의 주요 정보들은 암호화하여 저장하는 것이 원칙입니다. 개인정보보호법상 고유식별정보 주민번호, 여권번호, 운전면허번호, 외국인등록번호 정보통신망법상 주요정보 계좌번호, 신용카드번호 및 바이오정보 현재는 데이터 3법을 통해서 개인정보보호법 정보통신망법 신용정보법 세가지의 개인정보보호 소관 부처를 하나로 모아 중복 규제를 없애고 개인과 기업..
강제적 접근통제 모델(MAC)의 종류 벨라파둘라, 비바 강제적 접근통제 Mandatory Access Control은 주체와 객체의 보안 등급을 비교하여 접근 권한을 부여하는 접근통제입니다 관리자가 취급 인가를 허용한 개체만 접근이 가능하도록 강제적으로 통제합니다 기밀성 모델 벨-라파둘라 Bell-LaPadula Confidentiality Model; BLP; • 미 국방부 지원 보안 모델로 보안 요소 중 기밀성 강조 • 최초의 수학적 모델로 강제적 정책에 의해 접근 통제하는 모델 • 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지 • 벨-라파둘라모델 속성 • (No Read Up): 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음 • (No Write Down): 높은 등급의 주..
안녕하세요 오늘은 2020년에 일어났던 보안 이슈 7가지에 대해서 정리해 볼게요 1. 데이터 3법 시행 빅데이터 시대가 도래하면서 데이터 3법 개정안이 올해 2월 4일 공포되어 6개월 후인 8월 5일 데이터3법이 시행됐습니다 가명 처리된 정보는 정보주체의 동의 없이 제3자 제공이 가능해졌습니다 개인정보 이동권이 확대되어 마이 데이터 사업자, 마이 페이먼트 사업이 활성화될 것으로 보이고요 이와 함께 개인을 식별할 목적으로 가명 정보를 처리할 경우 전체 매출의 3%를 과징금으로 부과하는 처벌규정이 신설되었습니다 4차 산업혁명 시대에 신사업 육성을 위해서는 데이터의 이용이 필수인 만큼 그동안 데이터 활용에 어려움을 겪어왔던 기업들은 향후 개인정보 활용 사업에 있어서 큰 변화를 가져올 것이라고 생각됩니다 아직까..
