정보보안기사&산업기사 필기 18장 요약 - 서버 보안 관리 (시스템보안)
정보보안기사 필기 18장 요약내용입니다.
* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.
Section 18. 서버 보안 관리 (시스템보안)
1. 서버 관리자
▶ 시스템 관리자 계정으로 작업 시 root 계정으로 바로 로그인하는 것보다 일반 사용자 로그인 후 su 명령을 통해 root로 계정을 변환하여 관리자 계정으로 변경하는 것이 좋다.
2. 시스템 관리 6가지
1) 계정과 패스워드 관리
- 적절한 권한을 가진 사용자에 대한 인증 관리
2) 세션 관리
- 사용자와 시스템 또는 두 시스템 간의 활성화된 접속에 대한 관리
3) 접근 제어
- 시스템에 대한 네트워크 관점의 접근 통제
4) 권한 관리
- 시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산에 접근할 수 있도록 통제
5) 로그 관리
- 시스템에 영향을 미치는 관련 사항을 기록
6) 취약점 관리
- 시스템 자체의 결함에 대한 관리
3. 네트워크 관련 주요 명령 - 보안관리에서 사용되는 주요 명령어
| 구분 | 설명 |
| — | — |
| ifconfig | 통신 디바이스 상태 |
| netstat -an | 현 시스템의 통신 서비스 상태 |
| top | 시스템 자원의 사용현황 |
| ps -elf | 현 시스템에서 수행 중인 프로그램과 데몬 상태를 보여줌 |
| who, w | 로그인되어 있는 사용자를 보여줌 |
| snoop | 네트워크를 흐르는 패킷을 캡처하여 분석 |
| nslookup | 도메인에 대한 IP정보 및 도메인 네임과 관련된 여러 검색이 가능 |
| hostname | 현 시스템에 할당된 호스트 이름을 보여줌 |
| traceroute | 특정 호스트까지의 네트워크 라우팅 경로 및 경유하는 IP를 보여줌 |
| inetd | 네트워크 슈퍼데몬인 inetd를 실행 |
4. 윈도우 시스템 이벤트 로그의 종류
1) 응용 프로그램 로그(AppEvent.Evt)
- 응용 프로그램이 기록한 다양한 이벤트가 저장됨. 저장되는 이벤트는 소프트웨어 개발자에 의해 결정된다.
2) 보안 로그(SecEvent.Evt)
- 로그인 시도, 파일 생성∙열람∙삭제 등의 리소스 사용에 관련된 이벤트를 기록한다.
3) 시스템 로그(SysEvent.Evt)
- Windows 시스템 구성요소가 기록하는 이벤트. 구성요소의 오류를 이벤트에 기록한다.
4) 디렉터리 서비스 로그
- windows active directory 서비스에 발생하는이벤트
5) 파일 복제 서비스
- 윈도우 파일 복제 서비스에서 발생하는 이벤트
6) DNS 서버 로그
- 윈도우 DNS 서비스에 발생하는 이벤트
5. 윈도우 감사 정책
| 종류 | 권장값 | 설명 |
|---|---|---|
| 개체 엑세스 감사 | 감사없음 | 특정 파일이나 디렉터리, 레지스트리 키, 프린터 등과 같은 객체에 대하여 접근을 시도하거나 속성 변경 등을 탐지 |
| 계정 관리 감사 | 실패 | 신규 사용자, 그룹의 추가, 기존 사용자 그룹의 변경, 사용자의 활성화나 비활성화, 계정 패스워드 변경 등을 감시 |
| 계정 로그인 이벤트 감사 | 성공, 실패 | 로그인 이벤트 감사와 마찬가지로 계정의 로그인에 대한 사항을 로그로 남김 [차이점] 전자 : 도메인 계정의 사용으로 생성 후자 : 로컬 계정의 사용으로 생성되는 것 |
| 권한 사용 감사 | 실패 | 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로깅 |
| 로그인 이벤트 감사 | 성공, 실패 | 로컬 계정의 접근 시 생성되는 이벤트를 감사 계정 로그인 이벤트 감사에 비해 다양한 종류의 이벤트를 확인 |
| 디렉터리 서비스 액세스 감사 | 실패 | 시스템 액세스 제어 목록이 저장되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공 |
| 정책 변경 감사 | 성공, 실패 | 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로깅 |
| 프로세스 추적 감사 | 감사없음 | 사용자 또는 응용 프로그램이 프로세스를 시작하거나 중지할 때 해당 이벤트가 발생 |
| 시스템 이벤트 감사 | 감사없음 | 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남김 |
6. 리눅스/유닉스 시스템 로그 정리
| 로그 | 설명 |
|---|---|
| wtmp | - 사용자 태도의 정보 및 시스템의 정보를 가진 파일 - 바이너리 형태 / last 명령어로 정보 확인 |
| utmp | - 현재 로그인한 사용자 정보를 담고 있는 DB파일 - 바이너리 형태 / w, who, users, finger 등의 명령어로 확인 |
| btmp | - 로그인 실패 시 로그인 실패 정보를 기록 - lastb 명령어 |
| pacct | - 사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 시간 - 작동된 tty 등에 대한 정보를 수집 - lastcomm, acctcom 명령어를 이용하여 분석 |
| history | - 사용자별로 실행한 명령을 기록하는 로그 - vi 편집기, history 명령어로 로그분석 |
| lastlog | - 각 사용자들의 최근 로그인 시각 - 접근한 소스 호스트에 대한 정보를 가진 파일 - lastlog, finger 명령어로 분석 |
| sulog | - su 명령어 이용시 변경 전 사용자 계정과 변경 후 사용자 계정 및 시간 정보가 저장되는 파일 - vi 에디터 이용 |
| dmesg | - 부팅될 때 출력되는 모든 메세지를 기록 |
| cron | - 시스템의 정기적인 작업에 대한 로그 |
| messages | - 시스템 운영에 대한 전반적인 메시지를 저장 |
| secure | - 원격 로그인 정보를 기록 - TCP_WRAPPER의 접속제어에 관한 로그 기록 |
7. 서버보안용 S/W
1) 취약점 분석 도구
-
SATAN: 시스템 보안상의 약점을 찾아 보완할 수 있는 네트워크 분석용 보안 관리 도구
-
SARA : SATAN 기반. UNIX에서 동작하고 HTML 형식의 보고서 기능
-
SAINT : UNIX에서 동작하고 HTML 형식의 보고서 기능. 원격에서 취약점을 점검하는 기능 포함
-
COPS : UNIX에서 동작하고 시스템 내부에 존재하는 취약점 점검. 취약한 PW를 점검.
-
Nessus : 대부분의 OS에서 동작하고 클라이언트-서버 구조로 클라이언트의 취약점을 점검하는 기능, GUI 형태로 인터페이스가 편리하고 다양한 포맷으로 결과를 저장할 수 있다.
-
nmap: 포트 스캐닝 도구
2) 스캔 탐지 도구
-
mscan: 메인 전체를 스캔하여 최근 많이 이용되는 주요 취약점을 한 번에 스캔할 수 있다.
-
sscan: 네트워크를 통해 취약점 점검을 수행할 수 있는 도구
-
portsentry : 실시간으로 포트 스캔을 탐지하고 대응하기 위한 프로그램. 공격 호스트를 경유하여 오는 모든 트래픽을 자동 재구성하는 기능이 있다.
3) 무결성 점검 도구
- tripwire, MD5, Fcheck, AIDE 등
4) 침입탐지 및 방화벽
-
Snort : 실시간 트래픽 분석, IP 네트워크에서의 패킷 처리를 담당하는 IDS
-
IPchain / IPtable : 패킷 필터링 방화벽
Leave a comment