정보보안기사&CISSP관련172 [Day 35] Switch 환경에서의 Sniffing 공격 기법 5가지 스위치 환경에서는 기본적으로 목적지로만 패킷을 전송하기 때문에 스니핑이 불가능하므로, 아래와 같은 공격을 통해 스니핑 시도 Switch Jamming/MAC Flooding Attack Switch MAC Address Table의 buffer를 Overflow 시켜서 Switch가 Hub처림 동작하게 만드는 기법 MAC Address Table을 Overflow시키기 위해 source MAC 주소를 계속 변경하면서 패킷을 지속적으로 전송 ARP Spoofing Attack 공격자가 특정 호스트의 MAC 주소를 공격자의 MAC 주소로 위조한 ARP Reply 패킷을 만들어서 희생자에게 지속적으로 전송 -> 희생자의 ARP Cache Table에 특정 호스트의 MAC 정보가 공격자 MAC 주소로 변경됨 이.. 2020. 9. 14. [Day 33] Linux/Unix Log file 로그 저장 일반적으로 리눅스는 /var/log, 유닉스는 /var/adm에 로그 저장 로그파일이 텍스트 파일일 경우에는 cat명령이나 vi 편집기로 확인 가능하나, binary file일 경우 전용 명령어를 통해 확인 가능 Linux/Unix 주요 로그 파일 로그파일의 역할 로그파일명 로그확인명령 Linux Unix Linux/Unix 현재 로그인한 사용자의 상태정보 보관 /var/run/utmp /var/adm/utmpx w, who, finger 성공한 로그인/로그아웃 정보, 시스템 Boot/Shutdown 정보에 대한 히스토리 보관 /var/log/wtmp /var/adm/wtmpx last 마지막으로 성공한 로그인 기록 보관 /var/log/lastlog /var/adm/lastlog [Linux.. 2020. 9. 12. [Day 32] PAM(Pluggable Authentification Modules) PAM(Pluggable Authentification Modules) 리눅스 시스템 내에서 각종 서비스 또는 애플리케이션에서 다양한 인증 처리를 위해 제공되는 라이브러리 실행 시 참조하여 사용하는 공유(동적) 라이브러리 형태로 제공됨 PAM을 사용하는 애플리케이션은 독자적으로 인증모듈을 개발하지 않고 플러그인 방식의 PAM 모듈을 사용하여 인증함 /etc/pam.d : PAM 라이브러리를 이용하는 각 응용 프로그램의 설정 파일이 위치함. 설정파일명은 응용프로그램(서비스)명과 동일함 PAM 활용 사례 root 계정의 원격 접속 제한 root 계정은 직접 로그인이 가능하면 공격자의 타겟이 될 수 있으므로 원격 접속을 금지해야 함 대신 아래와 같은 절차로 root 계정 원격 접속 사용자에게 발급된 별도의 관.. 2020. 9. 11. [Day 31] TCP Wrapper, hosts.allow, hosts.deny TCP Wrapper 외부에서 들어오는 클라이언트에 대해 접근통제 기능 제공 클라이언트 IP 주소를 확인하여 시스템 관리자가 접근을 허용한 호스트에 대해서만 서비스를 허용함으로써 외부 해킹으로부터 시스템 보호 TCP Wrapper 사용 전/후 비교(예시 : telnet 서비스) TCP wrapper를 사용할 경우 해당 서비스의 실행경로에 "usr/sbin/tcpd"를 명시한다. inetd 데몬은 외부로부터 서비스 요청이 올 경우 inetd.conf 파일을 참조하여 실행경로에 설정된 /usr/sbin/tcpd(tcp-wrapper 프로세스)를 실행한다. 사용전 : /usr/sbin/in.telnetd 사용후 : /usr/sbin/tcpd TCP Wrapper 접근 허용/차단 기준 접근허용 및 차단은 /et.. 2020. 9. 10. 이전 1 ··· 39 40 41 42 43 다음