시스템 보안 공부할거

논리적 분리(Logical Seperation)

- 프로그램의 접근을 제한하여 허용된 영역 밖의 객체에 대해 접근하지 못하게 함.

물리적 분리(Physical separation)

- 사용자별로 별도의 장비만 사용하도록 제한하는 방법. 강한 형태의 분리이나 실용적이지 못함.

시간적 분리(Temporal Separation)

- 프로세스가 동일 시간에 하나씩만 실행되도록 하는 방법. 동시 실행으로 발생되는 문제를 제거해 운영체제의 일을 단순화

암호적 분리(Cryptographic Separation)

- 내부에서 사용되는 정보를 외부에서는 알 수 없도록 하는 암호화 방법

 

파일 보호 기법

접근 제어 행렬(Access control matrix)

- 접근 주체와 접근 객체에 대한 접근 권한을 제어하는 방법의 하나. 사용자나 프로세스 등 접근 주체와 시스템 자원, 통신 자원 등 접근 객체를 접근 제어 행렬의 테이블 형태로 유지하는 방식으로, 주체별 객체별 접근 권한을 나타낸다.

파일 이름의 명명(Naming)

- 다른 사용자가 파일의 이름을 알 수 있는 기법이 없고, 그 이름을 추측하기 어렵다는 가정하에 사용

패스워드(Password)

- 각 사용자마자 서로 다른 패스워드를 제공해 그 패스워드를 알아야만 파일을 이용할 수 있게 하는 방법

암호화(Cryptography)

- 파일 내용 자체를 암호화하여 누구나 공유할 수 있지만 인가된 사용자만 그 내용을 파악할 수 있게함

 

참조 모니터

- 주체의 객체에 대한 모든 접근통제를 담당하는 추상머신, 승인되지 않는 접근이나 변경으로부터 객체를 보호하기 위해 객체에 대한 모든 주체의 접근통제를 중재하는 개념

 

신뢰 컴퓨팅 기반(TCB, Trusted Computing Base)

- 하나의 컴퓨터 시스템(HW, FW, SW) 내의 모든 보호 메커니즘의 총체로서, 시스템과의 조화를 통하여 보안 정책을 적용할 책임을 가짐

로컬 프로시저 호출 관리자(Local Procedure Call Manager)

- 각 프로세스는 서로의 메모리 공간을 침범하지 못하므로 프로세스 간 통신이 필요한 경우에 이를 대신해 줄 수 있는 장치

 

제 3의 신뢰기간(Trusted Third Party) 

- 사용자 인증, 부인 방지, 키 관리 등에서 당사자들로부터 신뢰를 얻고 중재, 인증, 증명, 관리 등을 하는 기관,TTP

 

신뢰 플랫폼 모듈(TPM, Trusted Platform Module)

- 암호화된 키, 패스웓, 디지털 인증서 등을 저장하는 안전한 저장 공간을 제공하는 보안 모듈, PC 주기판에 부착됨. 부팅 단계에서 시스템 무결성 검증에 이용

 

트로이 목마

- 원격 조정, 패스워드 가로채기, 키보드 입력 가로채기, 시스템 파일 파괴

- 자가복제를 하지 않음. 다른 파일을 감염시키거나 변경 안함. 하지만 트로이목마가 포함된 프로그램 실행시, 공격자에게 시스템 통제 권한을 주게됨

 

폴리모픽 바이러스(Polymorphic Virus)

- 감염시킬 때마다 변형하는 바이러스, 특징을 이용한 탐지가 불가능

 

메타모픽 바이러스(Metamorphic Virus)

- 폴리모픽 바이러스와 마찬가지로 감염시킬 때마다 변형하고 추가로 활동하는 방법도 변형

 

패키지 버전 검사는 무결성을 점검하는 것이 아니라, 패키지에 대한 일방적인 정보만을 제공하기 때문에 변조되었는지 확인하기 어려움

 

Netbus

원격 공격자에게 피해 시스템애 대한 전체 권한을 부여하는 원격 조정 트로이 목마. 파일 업로드, 응용 프로그램 실행, 문서 유출, 파일 삭제 등을 수행. 일반적으로 일단 싱행되면 특정 시스템 폴더에 자신을 복사한 후, 운영체제를 시작할 때마다 트로이 목마가 실행되어 레지스트리 값을 만듬. 또한 피해 시스템에 키로거 파일을 삽입해 사용자가 입력한 사항을 검사하고 기록함.

 

크라임웨어(Crimeware)

- 온라인상에서 불법 활동을 조장하기 위해 만들어진 컴퓨터 프로그램, 스파이웨어, 하이제커, 키로거 등

 

디지털 객체 식별자(Digital Object Identifier, DOI)

- 인터넷 주소가 변경되더라도 사용자가 그 문서의 새로운 주소로 다시 찾아 갈 수 있도록 웹 파일이나 인터넷 문서에 영구적으로 부여된 식별자 IP. 모든 디지털 객체에 부여된 고유 식별 번호

 

NTFS(New Technology File System)

- 기본 NTFS 보안의 공유 보안과 동일헤가 Everyone 그룹에 대해서는 모든 권한이 '허용'

- 기본 NTFS 보안 변경을 사용하면 사용자마다 서로 다른 NTFS 보안을 적용시킬 수 있음

- 파일과 폴더에 대한 보안강화 및 접근 제어 가능

- 윈도우 NT에서도 지원

- 파티션에 대한 접근 권한 설정 가능

- 사용자별 디스크 사용공간 제어 가능

- 미러와 파일로그 유지, 비상 시 파일 복구 가능

- HotFixing 기법을 이용해 데이터를 저장하다 에러가 발새앻도 안전하게 데이터 보호 가능, 파일 압축 기능이 파일 시스템의 고유 기능으로 구현됨(암호화 가능)

 

 

윈도우 XP 부팅 순서

1. Post(Power On Self Test)

- 하드웨어가 스스로 시스템 문제가 있는지 체크하는 과정, BIOS에서 실행되며 라우터나 스위치 등의 장비도 처음에 키면 Post를 실시함

2. CMOS(Complemntary, Metal-Oxide Semiconductor)

- BIOS는 CMOS 셋업에 저장한 정보를 바탕으로 기본적인 설정을 읽음

3. MBR(Master Boot Record)

- MBR에 부팅 매체에 기본적인 파일 시스템 정보가 들어있음. MBR 정보는 운영체제가 부팅된 뒤에 편집할 수 없음

4. NTLDR

- 하드디스크 부팅 파티션에 있는 프로그램으로 윈도우 2000이 부팅 될 수 있도록 간단한 파일 시스템 실행, BOOT.ini파일 읽음

5. NTDETECT.com

- 설치된 하드웨어 검사

6. NTOSKRNL.exe

- HAL.dll 로드

 

SRM(Security Reference Monitor)

- 커널모드에서 수행, 사용자나 프로세스가 객체를 열려고 시도하면 접근 권한 확인

 

SAM이 사용자의 계정과 패스워드의 일치 여부를 확인해 SRM에 알리면, SRM은 사용자에게 SID(를 부여. SRM은 SID에 기반해 파일이나 디렉터리에 대한 접근을 허용할지 결정하고 감사 메시지 생성

 

dxdiag

- 컴퓨터 사양 확인 명령어

msconfig

- 윈도우 시동 절차의 문제 해결하는 데 사용

regedit

- 레지스트리 편집기

MSTSC

- MS Terminal Service Client의 약자로 윈도우 운영체제에서 해당 PC를 원격으로 접속할 수 있도록 하는 서비스