'시스템 보안 및 실무' 카테고리의 글 목록 (3 Page)

TCP/IP 프로토콜 분석

TCP/IP Protocol StackApplication은 TCP계열과 UDP 계열의 서비스가 있습니다. DNS는 tcp, udp 둘 다 되는데 보통 udp로 돌아갑니다.*3계층 Network Layer에 IPv4, IP, ARP, RARP, ICMP로 수정*TCP는 데이터 전송 전에 3-way-handshaking 작업이 진행이 되어야함, 데이터 전송을 끝낼 때 4 -way-handshaking 작업이 진행이 되어야함. Paylaod와 Encapsulationdata에 http 데이터가 들어와 있다고 가정해 봅시다.7,6,5 계층에서 4계층으로 내려옵니다. (payload) payload와 함께 캡슐화 작업이 진행됩니다. http는 tcp계열 서비스이기 때문에 4계층에 TCP 헤더가 붙습니다.4계층에..

format_list_bulleted 시스템 보안 및 실무/시스템·네트워크 보안
· 2024. 2. 13.
textsms

TCP/IP 통신 모델

TCP/IP 통신 모델 OSI 모델을 일반적으로 참조모델이라는 말을 씁니다. 현업에서 사용되는 모델을 구현모델(간소화된 모델)이라고 합니다. TCP/IP 뿐만아니라 다양한 통신모델이 존재합니다. (IPX/SPX, Appltalk등) Internet이라는 망은 public 망이고, 이 pulbic망은 누구나 사용할 수 있는데, 이 공용망에 특정기업의 통신모델을 이용하는 것은 위험합니다. 그래서 비상업적 통신모델을 써야한다고 생각했는데, 그 대표적인 비상업적 통신모델이 TCP/IP입니다. 이것은 미국방성에서 만들었고 나중에 대학 연구소 쪽으로 넘어가서 발전을 한 통신모델입니다.OSI 모델 은 학자들이 만든 것이고, 현업에서 사용하는 것은 TCP/IP 모델입니다. 다양한 통신모델 통신체계프로토콜 종류용도TCP..

format_list_bulleted 시스템 보안 및 실무/시스템·네트워크 보안
· 2024. 1. 28.
textsms

OSI 참조모델

OSI 7 참조모델 ISO(국제 표준 기구)는 서로 다른 시스템 간의 통신을 허용하기 위해 OSI(Open System Interconnection) 모델을 만들었습니다. OSI 참조모델은 network가 제공하는 여러 가지의 기능을 7개의 계층으로 나누어 식별합니다. A컴퓨터는 랜카드, 케이블, ip, 공유 프로토콜도 운영되어 있어야 remote excess 해서 데이터를 읽을 수 있다. 이렇게 원격 접속이 가능한 시스템을 개방형 시스템이라고 한다. 개방형시스템들 간에 데이터를 주고받기 위해서는 통신기능이 최소 7개가 필요하다. 그것을 정리해 놓은 것이 osi 7 참조모델이다. 원격접속을 전면 차단한 망을 폐쇄망 시스템이라고 한다. 통신기능은 총 7개로, 물리, 데이터링크, 네트워크, 전송, 세션, 표..

format_list_bulleted 시스템 보안 및 실무/시스템·네트워크 보안
· 2024. 1. 23.
textsms

네트워크 개요

Attack 종류 공격유형은 시스템 공격, 애플리케이션 공격, 네트워크 공격으로 나뉩니다. 클라이언트와 서버는 운영체제를 설치하게 되는데 운영체제의 핵심은 커널입니다. 커널을 공격하는 기술을 시스템 공격이라고 합니다. 커널을 공격한다는 것은 관리자의 패스워드를 알아내서 시스템을 장악하는 것으로 권한탈취를 하는 것입니다. 운영체제 위에는 애플리케이션이 설치됩니다. ftp, telnet, 웹, 이메일 등 다양한 서비스를 받는데 WS_FTP, MS outlook과 같은 프로그램의 취약점을 이용한 공격을 애플리케이션 공격이라고 합니다. 애플리케이션 해킹 중 웹해킹 분야가 너무 커져서 따로 트랙이 나온 것입니다. 원래 웹 해킹은 애플리케이션 해킹에 속해있었습니다. 요즘 공격은 원격으로 합니다. 그래서 모든 공격은..

format_list_bulleted 시스템 보안 및 실무/시스템·네트워크 보안
· 2024. 1. 22.
textsms

보안관제 탐지·방어 기술 및 보안관제 시스템

보안관제 기술 작가 pch.vector 출처 Freepik 탐지기술 탐지기술은 패턴기반탐지, 행위기반탐지, 상관분석으로 분류합니다. 패턴기반탐지 - 공격방법과 공격도구에 대한 분석을 통해 특정 패턴 파악 - 장점 : 탐지속도 빠름, 정확성 높음 - 단점 : 사전에 분석된 공격형태만 탐지 가능 - 관련 보안 시스템 : IDS/IPS, WAF, DDos, Anti-Virus 행위기반탐지 - 일반적인 사용자와 구별되는 인터넷 사용패턴에 기반을 둔 탐지기법 - 공격유형과 사용자 행동을 기계 학습으로 모델링 - 장점 : 통계기반 비정상 행위 탐지에 효과적 - 단점 : 통계적 특징이 불명확한 공격은 탐지 불가 - 관련 보안 시스템 : IDS/IPS, WAF 상관분석 - 둘 이상 이벤트가 서로 의미를 부여하여 하나의..

format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
· 2024. 1. 17.
textsms

보안관제 이해 및 실무

보안관제 이해 및 실무 작가 pch.vector 출처 Freepik 보안관제란? 조직의 정보기술 자원 및 보안 시스템을 안전하게 운영하기 위하여 사이버 공격 정보를 탐지 및 분석하여 대응하는 일련의 업무와 사전 예방 및 관제시스템 운영에 관한 업무 => 모니터링과 컨트롤 => 탐지·분석·대응까지 포함하는 일련의 활동 국내 분야별 보안관제센터 역할 국가사이버안전센터 국가차원에서 사업공격에 대한 종합적이고 체계적인 대응 수행 인터넷침해대응센터 국내 민간 전산망 정보보호 - 침해사고 예방을 위한 기술 지원 - 실질적인 침해사고 대응 및 분석, 피해복구 기술 지원 각 부문별 사이버안전센터 사이버 위협으로부터 보안전문인력에 의해 예방, 탐지, 대응 활동을 통하여 정부 및 기관의 주요정보 자산을 보호 보안관제 기본..

format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
· 2024. 1. 16.
textsms

Endpoint 로그분석 + Sysmon 설치 및 설정

Endpoint zeek이 우리망 내에 떠도는 로그들을 수집하여 중앙관제서버(SplunkServer)로 넘겨줍니다. 중앙관제서버는 그 로그들을 분석합니다(http, dns, ...). WebServer에서 발생하는 트래픽 또한 zeek이 받아서 중앙관제서버로 넘겨줍니다. => **마지막으로 Sysmon!!** 그림에서 ZeekIDS, WebServer, Sysmon과 같은 것들을 endpoint라고 하는데, 밑에 더이상 부착되는 시스템이 없는 마지막 지점이라고 해서 endpoint 라고 합니다. endpoint는 서버보다는 클라이언트 PC를 의미하는 경우가 많습니다. 요즘 서버들은 리눅스 베이스로 설치되어 있는데, 직원들이 사용하는 PC들은 윈도우인 경우가 많습니다. 우리 직원들이 사용하고 있는 PC에서..

format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
· 2024. 1. 12.
textsms

HTTP 이상징후 분석

이전 포스트에 이어 작성하였습니다. [시스템 보안 및 실무/시스템 운영·구축 실무] - HTTP 로그분석(현황분석/이상징후) HTTP 로그분석(현황분석/이상징후) HTTP Log 환경구성 zeek이 http 로그를 수집하고, 그 로그를 중앙관제서버에 전송합니다. 중앙관제서버는 그 로그들을 로딩해서 저장소도 만들고, source type도 만드는 등의 작업해야합니다. 1. Index 만 psjin230.tistory.com HTTP 이상징후 분석 1. 비정상 메소드 사용 2. 외부행 데이터 전송 3. Mime-type과 파일 확장자 불일치 4. 사이트 이동 후 실행파일 다운로드 5. 프록시 서버 접속 1. 비정상 메소드 사용 ● Head, Delete, Trace, Option과 같은 메소드가 네트워크에서..

format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
· 2024. 1. 12.
textsms