www.uname.in

출처 : https://garamchoi.tistory.com/416

[단답형]
1. 텔넷으로 HTTP METHOD를 확인하는 방법
정답 : OPTIONS
2. 정량적 위험분석방법
정답 : 델파이법, 시나리오법, 순위결정법
3. 위험분석 접근법
정답 : 베이스라인(기준선) 접근법, 상세 위험 분석, 복합(통합) 접근법
4. 접근통제 방법
정답 : DAC, MAC, RBAC
5. 빈칸 집어넣기
정답 : 오탐(FALSE POSITIVE), 미탐(FALSE NEGATIVE)
6. IPSEC에서 지원하는 기능(서비스) 3가지
정답 : 기밀성, 비연결형 무결성, 재전송 공격방지
7. 비트코인
정답 : 비트코인, 블록체인, 채굴
8. 디렉터리 리스팅 취약점 옵션제거
정답 : INDEXES
9. ns 서브도메인에 cname할당 후 서브도메인 사용하지않는데 cname을 삭제하지 않는경우 서브도메인 피싱 등 사이트로 이용될수 있다. 이 취약점은 무엇인가
정답 : 서브도메인 테이크오버
10. 물리적 정보보호 대책
정답 : ① 각종 잠금장치
② 방문자 기록 및 동행
③ 직원의 신원 보증 및 신분증 배지(badge)
④ 경비원 및 감시카메라
⑤ 방문자 접근의 통제
⑥ 중요 구역의 이중 출입문 설치
⑦ 민감한 시설의 위치
⑧ 컴퓨터 단말기 잠금장치
⑨ 단일 출입구 및 경보시스템

[서술형]
11. 개인정보 수집 이용 가능한 4가지
정답 : 1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사 표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

12. 스위칭 허브의 기능 및 동작 원리
정답 :
스위칭 허브 기능 : 물리적 주소를 구분하여 해당 주소가 있는 포트로 데이터를 보내주는 장비
장점 : 콜리전 도메인을 나눠줌, 속도가 빠름
단점 : 테이블에 없는 목적지를 가진 패킷이 오면 모든 포트에 플러딩 하므로 트래픽이 많아짐
스위칭 허브 동작원리
1) Learning - Mac 주소 기반 MacAddress Table 학습
2) Flooding - Mac 주소가 MacAddress Table에 없을 경우 들어온 포트를 제외한 모든포트에 Broadcast
3) Fowarding - 목적지 주소에만 프레임을 전달
4) Filtering - 확인된 포트를 제외한 나머지 포트로 프레임 전달 방지
5) Aging - MacAddress Table의 효율적인 관리를 위해 일정시간 후 삭제

13. ids 룰 + 탐지결과 주고 공격자가 어떤 원리 이용해서 공격했는지
정답 : anonymous ftp
alert tcp any any -> any 21
{content:”anonymous”; nocase; msg:”Anonymous FTP 꿍시렁 꿍시렁”;}
snort룰 입니다.
저거로 탐지되는 거는 ftp포트(tcp21)로 들어오는 패킷 중 패킷페이로드에 대소문자 구분 없이 anonymous가 있냐 없냐를 보는 거기 때문에 탐지된 패킷에서 보면 USER 계정에 대소문자 섞어서 AnOnYmOuS 가 있었기 때문에 alert action이 수행된 거라고 봅니다.

[실무형]
14. mtp 릴레잉 deny관련.
smtp 릴레잉 deny관련
1./etc/mail/() | grep r*s$ | relaying denied
2. cat /etc/mail/access
span.com ()
3. () hash etc/mail/() < etc/mail/access
정답 :
1. access
2. reject
3. makemap
4. access.db
15. smurf attck 방지를 위한 라우터 설정을 순서대로 쓰시오
정답 :
conf t
int fa0/0 (인터페이스 예시)
no ip directed-broadcast 순입니다.
16.
1.위험수용의 의미
2.위험감소는 보안대책을 구성하는데,특정 보안대책의 평가기준을 결정하는 정량적인 방법
3.위험회피시 위험이있는 프로세스나 사업은 어떻게 대처하는지
4.위험인가 방법 2가지
1. 위험수용 이란 감수할만한 위험이라 판단하고 프로세스 및 사업을 진행하는 것
2. 재산가치x노출계수 (아닌듯)
3. 위험회피시 위험이 있는 프로세스나 사업은 포기 및 다른 프로세스, 사업으로 대체한다.
4. 보험가입, 위탁업체 선정

출처 : https://yurimac.tistory.com/54

출처 : https://blog.naver.com/PostView.naver?blogId=stereok2&logNo=222396448808&categoryNo=29&parentCategoryNo=25&viewDate=&currentPage=&postListTopCurrentPage=&isAfterWrite=true 

출처 : https://blog.naver.com/PostView.naver?blogId=stereok2&logNo=222587717690&parentCategoryNo=&categoryNo=28&viewDate=&isShowPopularPosts=true&from=search 

사이버 보안 회사인 Hive Systems ( CNBC 를 통해 )의 보고서에 따르면 일반적인 해커가 가장 중요한 온라인 계정을 보호하기 위해 사용하는 비밀번호를 알아내는 데 얼마나 걸릴 수 있는지 보여줍니다. 예를 들어 숫자만 사용하면 해커가 4~11자 길이의 암호를 즉시 찾을 수 있습니다.

암호에 소문자만 사용하는 경우 보호하고 있는 데이터를 해커에게 직접 제공할 수도 있습니다. Hive에 따르면 소문자로만 구성된 4~8자의 암호는 즉시 해독할 수 있으며 9개의 소문자로 구성된 암호는 10초 안에 발견할 수 있습니다. 비밀번호가 10자가 필요한 경우 그 시간은 4분으로 확장되고 소문자만 사용하는 11자 비밀번호는 2시간 내에 알아낼 수 있습니다.

기술의 발전으로 해커는 2년 전보다 더 빠르게 암호를 해독할 수 있습니다.

연구에 따르면 소문자와 대문자를 혼합하여 사용하면 4~6자의 암호를 즉시 해독할 수 있습니다. 7자리 비밀번호는 2초면 찾을 수 있지만 8자, 9자, 10자 비밀번호는 소문자와 대문자를 모두 사용하면 각각 2분, 1시간, 3일이면 알아낼 수 있다. 대문자와 소문자를 사용하는 11자 비밀번호는 최대 5개월 동안 해커를 차단할 수 있습니다.

숫자와 함께 소문자와 대문자를 섞어 쓴다고 해도 4~6자로 구성된 비밀번호는 전혀 안전하지 않다. 그리고 조합에 기호를 추가하면 6자리 비밀번호라도 즉시 해독될 수 있습니다. 결론은 비밀번호가 길어야 하고 문자를 하나 더 추가하면 개인 데이터를 안전하게 보호하는 데 큰 차이를 만들 수 있다는 것입니다. 예를 들어, 소문자와 대문자, 숫자, 기호를 사용하면 보고서에 따르면 10자리 비밀번호를 5개월 안에 풀 수 있다고 합니다. 동일한 문자, 숫자 및 기호를 사용하면 11자의 암호를 해독하는 데 최대 34년이 걸립니다.

온라인 비밀번호는 8자 이상이어야 합니다.

Hive는 온라인에서 사용되는 비밀번호가 숫자, 대문자, 소문자 및 기호를 혼합하여 사용하는 최소 8자 이상이어야 한다고 제안합니다. 당신의 마음이 날아가고 싶어? 앞서 언급한 숫자, 문자 및 기호 조합을 사용하는 18자 비밀번호는 평균적인 해커가 발견하는 데 최대 438조 년이 걸립니다.

단위테스트

통합테스트

시스템테스트

인수테스트

- Validation 과 Verification 차이

Validation : 시스템이 사용자의 요구사항을 만족하며 개발되고 있는가?

Verification : 시스템이 명세를 만족하면서 개발되고 있는가?

단위 테스트 (Unit test or Component test)

- 테스트가 가능한 최소 단위로 나누어진 소프트웨어 (모듈, 프로그램, 객체, 클래스 등) 내에서 결함을 찾고 그 기능을 검증하는것.

- 구현 단계에서 각  모듈이 구현된 후에,  단위 테스트를 수행

- 모듈을 단독적으로 실행할 수 있는 환경이 필요하다.

"테스트 데이터"를 "테스트 드라이버"에 입력으로 넣고

"모듈"을 호출하고 모듈아래의 "테스트 스텁"들을 호출하여 연산을 하고

"모듈"은 "테스트 드라이버"에 실행결과를 반환.

테스트 드라이버란?

- 테스트 대상이 되는 모듈을 호출하여 준비한 테스트 데이터를 제공하고 모듈의 실행 결과를 받는 모듈

- 일반적으로 상향식 테스트에서 아직 통합되지 않은 상위 컴포넌트의 동작을 시뮬레이션 하기 위해 사용.

테스트 스텁이란?

- 호출되는 모듈의 개발이 완료되지 않은 경우, 호출하는 모듈을 시험하기 위해 생성한 더미 모듈.

- 함수와 헤더 등의 코드 루틴만 정의하고 내부 코드는 제한적으로 구현하거나 구현하지 않는 경우가 많음.

통합 테스트 (Integration Test)

- 모듈을 통합하는 과정에서 수행되는 테스트

- 모듈 간의 상호 작용이 올바르게 되는지를 검사하는 테스트

- 통합 테스트에서 오류가 발생되는 경우

* 개별적인 모듈에 대한 테스트가 불충분하여 오류가 발생한다.

* 개별 모듈에서 동일한 전역변수를 사용하는 등의 실수로 인해 모듈간의 예기치 못한 상호작용이 발생하여 오류가 발생한다.

통합 테스트 전략.

=> 빅뱅 통합

- 개별적인 모듈에 대해 단위 테스트를 수행한 후에 전체 시스템에 대해 한번에 통합테스트를 수행한다.

- 단시간에 테스트가 가능하나 오류가 발생했을 경우 오류가 발생한 모듈 및 원인을 찾기가 매우 어려움.

=> 점진적 테스트

- 한번에 모듈들을 통합하지 않고 점진적으로 모듈들을 통합하면서 테스트.

- 하향식 통합, 상향식 통합, 샌드위치 통합 방식이 있음.

==> 하향식 통합 (상->하)

- 시스템을 구성하는 모듈들의 계층 구조에서 가장 상위에 있는 모듈부터 시작하여 하위에 있는 모듈들을 점진적으로 통합하는 방식.

- 상위 모듈을 테스트할때 하위 모듈을 대치할 테스트 스텁이 필요하다.

1. 가장 상위 모듈을 테스트하기 위해 하위 모듈을 테스트 스텁으로 대치한 후 테스트 수행.

2. 깊이 우선 방식이나 너비 우선 방식을 사용하여 테스트 스텁을 한번에 하나씩 실제 모듈로 대치하고 추가된 모듈이 호출하는 하위 모듈을 테스트 스텁으로 대치한 후 회귀 테스트를 수행한다.

장점: 설계상의 오류를 빨리 발견할 수 있음. (위에서 부터 보기 때문에 전체적으로 체크가능)

단점: 많은 수의 테스트 스텁이 필요하고 만약 테스트 스텁의 비용이 많이 든다면 비효율적, 

블랙박스 테스트만을 사용하는 경우에는 하위모듈이 충분하게 테스트되지 않을 수 있음.

==> 상향식 통합 (하->상)

- 하위 모듈을 먼저 통합하고 상위에 있는 모듈들을 통합하는 방식으로, 테스트드라이버가 필요함.

1. 하위 모듈을 클러스터링한 후에 테스트 드라이버를 작성하여 테스트 수행.

2. 클러스터를 테스트한 후에 테스트 드라이버를 제거하고 결합.

3. 위 과정을 시스템이 완전히 통합될 때까지 반복하여 수행.

장점: 하위에 있는 모듈들을 충분하게 테스트할 수 있음.

테스트 스텁을 제공하는 비용이 들지않음.

단점: 설계오류를 조기에 발견하지 못함.

==>  샌드위치 통합.

- 상향식, 하향식 통합방식을 절충하여 통합하는 방식.

모듈별로 어떤경우는 테스트드라이버생성해서 상향식으로, 어떤경우는 테스트스텁을 생성해서 하향식으로 테스트.

시스템 테스트 (System test)

- 통합 테스트가 완료된 후에 완전한 시스템에 대해 수행하는 테스트.

- 단위 테스트나 통합테스트가 기능이 올바르게 수행되는지를 검증하는 것에 중점을 둔다면, 시스템 테스트는 시스템의 기능 측면에서 뿐만 아니라, 비기능적인 요구사항도 만족되는지를 검증한다.

* 비기능 : 사용성, 견고성, 신뢰성, 보안성, 성능

=> 견고성 테스트 (Robustness Test)

- 시스템이 비정상적인 경우에도 얼마나 동작이 원활하게 이루어지는가를 나타내는 속성.

- 네거티브테스트( 시스템이 기대하지 않는 입력들을 테스트 데이터로 이용 )

=> 신뢰성 테스트 (Reliability Test)

- 시스템이 어느 기간동안 요구되는 서비스를 제공하는 능력 측정.

- 가용성(availability): 시스템이 주어진 기간동안 서비스를 실제로 제공할 수 있는지를 나타내는 속성

ex) 가용성이 0.995이면 1000시간에 995시간 단위 동안 서비스를 제공한다는 뜻.

- 복구성: 이중화/백업/복구

- MTTF (mean time to failure): 시스템이 운영된 후 오류가 발생할 때 까지의 평균동작 시간.

ex) MTTF가 100이면 100시간단위 마다 1개의 오류가 발생할 수 있는것을 의미한다.

=> 성능 테스트 (Performance Test)

- Load Test

: 사전에 정의된 부하 모델을 기반으로 부하상태에서의 성능을 측정

- Stress Test

: 어플리케이션 및 서버 시스템의 성능적 한계를 측정.

- Endurance Test

: 시스템의 안정성 검증 (메모리 누수 등)

인수테스트 (Acceptance Test)

- 실제 사용자 환경에서, 사용자의 입장으로 테스트 수행.

- 인수 기준을 만족하는 가를 검사하는 것이 주요 목적이다.

- 시스템 테스트에서 사용한 테스트 케이스들을 이용할 수 있다.

- 인수테스트 유형에는 알파테스트/베타테스트가 있다.

* 알파테스트: 사용자에 의해 테스트하는데 개발자환경

* 베타테스트: 클로즈베타(제한된실유저, 실환경), 오픈베타(누구나실유저, 실환경)

==== 그 외 테스트 ====

* 스모크 테스트

: 빌드가 테스트할만한 수준인지를 확인하는 테스트.

모듈의 중요한 기능의 일부분, 화면이동 경로, 회귀테스트범위의 일부분 등을 체크하는 역할.

전체적으로 보면

단위테스트=>통합테스트=>시스템테스트=>인수테스트 인데

세부적으로 보면

단위테스트=>통합테스트=> (스모크테스트)+시스템테스트+(회귀테스트) => (스모크테스트)+인수테스트+(회귀테스트)

로 이루어진다.

* 회귀 테스트 (Regression Test)

- 소프트웨어가 수정된 후에 변경이 올바르게 되었는지를 검사하기 위한 테스트

- 프로그램 수정 전에 정상적으로 동작했던 기능들이 수정된 후에도 여전히 동작하는지 시험.

- 수정되기 전에 작성된 테스트 케이스를 실행하여 수정전의 기능들이 정상적으로 동작하는지 확인한다.

* 스크립트 테스트

- 테스트 계획 및 테스트 설계 후 테스트를 수행하는 방식

* 탐색적 테스트 (경험적 테스트)

- 테스트 계획이나 테스트케이스 설계 과정을 거치지 않고 테스터의 직관, 능력에 의지해 경험적으로 탐색하여 수행.

- 비형식적이고 창의적인 테스트

- 도메인 지식이 부족하면 테스트하기 어려움.

출처: https://zereight.tistory.com/545 [Zereight's Blog]

https://makeperfect.tistory.com/5

2013년 1회부터 2021년 18회까지 정보보안기사 합격률 현황입니다.

​

21년도 기사 합격률은 최악이였습니다. 17회에 너무 낮은 합격률이 였기에

​

18회 합격률이 좀 높지 않을까 싶었는데 극악을 보여주네요.

​

21년을 마지막으로 정보보안기사는 KISA에서 시행하지 않고

​

한국전파진흥원(KCA)로 이전된다고 합니다.

​

아마 극악의 합격률에서 조금 높은 합격률로 되지 않을까 기대합니다.

​

수험생 여러분 힘내시기 바랍니다.

스케줄링

목적

스케줄링 기법

▶선점 스케줄링 (preemptive scheduling)

▶비선점 스케줄링(non-preemptive scheduling)

프로세스(Process)가 구동하려면 다양한 시스템 자원이 필요하다. 대표적으로 CPU(중앙처리장치)와 입출력장치가 있는데, 최고의 성능을 내기 위해 자원을 어떤 프로세스에 얼마나 할당하는지 정책을 만드는 것을 CPU스케줄링이라고 한다. CPU스케줄링에 대해 알아보기 전에, 왜 필요한지 짚고 넘어갈 필요가 있다. (스케줄링 기법에 어떤 것들이 있는지 외우는 것보다 중요하다.)

프로세스의 생명주기

 라면을 끓일 때, 물이 끓을 때까지 멍하니 기다리지는 않을 것이다. 라면 봉투를 미리 뜯어 놓기, 스프 미리넣기, 각종 재료를 미리 준비하기 등을 물이 끓는 것을 기다리면서 할 것이다. 여기서 CPU스케줄링을 착안하면 되겠다. 프로세스는 작업(Job)을 완료할 때까지 다양한 상태가 되는데, 우리가 주목해야할 것은 'Waiting'이다. 

 프로세스가 CPU를 점유하여 작업을 수행하는 도중 I/O 또는 Interrupt가 발생하면 일시적으로 프로세스는 CPU를 사용하지 않게 된다. 하지만 계속 점유하고 있다. 이러한 상황을 줄여, CPU를 최대한 활용하면 시스템의 성능 개선을 꾀할 수 있다. 결국, "어떻게 프로세스들이 CPU를 효율적으로 사용하게 할 것인가?" 라는 고민에서 CPU 스케줄링이 출발한다고 할 수 있다.

중앙처리장치는 컴퓨터의 두뇌와 같은 역할을 한다.

 본격적으로 CPU 스케줄링에 대해 알아보겠다. CPU 스케줄링은 크게 두 가지로 분류되는데, 선점(Preemptive)스케줄링과 비선점(Non-Preemptive)스케줄링이다.

 선점 스케줄링의 경우 위와 같은 특징이 있으며, 비선점 스케줄링은 선점 스케줄링과 반대이다. 선점 스케줄링의 경우에는 I/O요청, I/O응답, Interrupt발생, 작업완료 등의 상황에서 스케줄링이 일어날 수 있다. 하지만 비선점 스케줄링의 경우 프로세스가 스스로 CPU를 놓아주는 시점(작업이 완료되는 시점)에만 스케줄링이 일어난다. 

(비)선점 스케줄링에 각각 속하는 CPU 스케줄링 알고리즘 기법은 다양하다. 그 알고리즘에 대해 간략히 소개하도록 하겠다.

1. 선점 스케줄링

1-1. SRT(Shortest Remaining Time) 스케줄링: 짧은 시간 순서대로 프로세스를 수행한다. 남은 처리 시간이 더 짧은 프로세스가 Ready 큐에 들어오면 그 프로세스가 바로 선점됨. 아래에 소개할 SJF의 선점 버전이라고 할 수 있다.

1-2. 라운드로빈(Round-Robin)스케줄링: 각 프로세스는 같은 크기의 CPU 시간을 할당 받고 선입선출에 의해 행된다. 할당시간이 너무 크면 선입선출과 다를 바가 없어지고, 너무 작으면 오버헤드가 너무 커진다.

   1-3. 다단계 큐(Multi-level Queue) 스케줄링: Ready큐를 여러 개 사용하는 기법. 각각의 큐는 자신의 스케줄링 알고리즘을 수행하며, 큐와 큐 사이에도 우선순위를 부여한다.

   1-4. 다단계 피드백 큐 스케줄링: 다단계 큐와 비슷하나 프로세스들이 큐를 이동할 수 있다.

2. 비선점 스케줄링

1-1.  HRN(Highest response ratio next) 스케줄링: 긴 작업과 짧은 작업간의 지나친 불평등을 어느 정도 보완한 기법. 수행시간의 길이와 대기 시간을 모두 고려해 우선순위를 정한다.

1-2. SJF(Shortest Job First) 스케줄링: 큐 안에 있는 프로세스 중 수행시간이 짧은 것을 먼저 수행. 평균 대기 시간을 감소시킨다.

1-3. 우선순위(priority) 스케줄링: 프로세스에게 우선순위를 정적, 혹은 동적으로 부여하여 우선순위가 높은 순서대로 처리한다. 동적으로 부여할 경우, 구현이 복잡하고 오버헤드가 많다는 단점이 있으나, 시스템의 응답속도를 증가시킨다.

1-4. 기한부(Deadline) 스케줄링: 작업을 명시된 시간이나 기한 내에 완료하도록 계획.

1-5. FIFO 스케줄링: 프로세스들은 Ready큐에 도착한 순서대로 CPU를 할당 받는다. 작업 완료 시간을 예측하기 매우 용이하다. 하지만 덜 중요한 작업이 중요한 작업을 기다리게 할 수도 있다.

지금까지 CPU 스케줄링과 알고리즘에 대해 간략히 알아보았다. CPU 스케줄링은 운영체제가 사용자도 모르는 새 자동으로 진행하는 작업이다. 프로세스와 비슷한 성질을 띠는 스레드의 경우, 프로그램 개발자가 스케줄링 관련 코드를 삽입해야 한다.

CPU 스케줄링에 대한 기법은 선점과 비선점 스케줄링이 있으며, 각 기법에 따른 알고리즘은 FIFO, 우선 순위, RR, SJF, 다단계 피드백 큐 스케줄링 등이 있다.

(1) 스케줄링 기법

스케줄링 기법은 사용중인 프로세스에서 자원을 빼앗을 수 있는지의 여부에 따라 선점 스케줄링 기법과 비선점 스케줄링 기법이 있다.

ⓐ 선점(Preemptive) 기법 - RR, SRT, MFQ 등

하나의 프로세스가 CPU를 점유하고 있을 때 다른 프로세스가 프로세서를 빼앗을 수 있는 방법을 선점 스케줄링이라고 한다. 선점 스케줄링 방식은 프로세스의 우선 순위가 높은 프로세스가 CPU를 먼저 차지하기가 용이하기 때문에 실시간 시분할 시스템에서 사용한다.

- 우선 순위가 높은 프로세스가 먼저 수행되어야 할 때 유용하다.

- 빠른 응답 시간을 요구하는 대화식 시분할 시스템이나 처리 시간이 제한되어 있는 실시간 시스템에 유용하다.

- 많은 오버헤드를 초래한다.

ⓑ 비선점(Non-preemptive) 기법 - SJF, FIFO, HRN 등

프로세스에게 이미 할당된 CPU를 강제로 빼앗을 수 없고, 그 프로세스의 사용이 끝난 후에 스케줄링을 하여야 하는 방법을 비선점 스케줄링이라고 한다.

- 모든 프로세스들에 대한 요구를 공정히 처리한다.

- 응답 시간의 예측이 용이하다.

- 짧은 작업이 긴 작업을 기다리는 경우가 종종 발생한다.

(2) 스케줄링 알고리즘의 종류

스케줄링 알고리즘의 종류에는 FIFO 스케줄링, 우선 순위 스케줄링, 기한부 스케줄링, RR 스케줄링 SJF 스케줄링, SRT 스케줄링, HRN 스케줄링, 다단계 피드백 스케줄링 등이 있다.

ⓐ FIFO(First In First Out) 스케줄링

가장 간단한 스케줄링 기법으로, 먼저 대기 큐에 들어온 작업에게 CPU를 먼저 할당하는 비선점 스케줄링 방식이다.

- 비선점 스케줄링 기법이다.

- 중요하지 않은 작업이 중요한 작업을 기다리게 할 수 있다.

- 대화식 시스템에 부적합하다.

- FCFS(First Come First Served) 스케줄링 기법이라고도 한다.

ⓑ 우선순위(Priority) 스케줄링

각 작업마다 우선순위가 주어지며, 우선 순위가 제일 높은 작업에 먼저 CPU가 할당되는 방법이다. 우선 순위가 낮은 작업은 Indefinite Bolcking 이나 Starvation에 빠질수 있고, 이에 대한 해결책으로 체류 시간에 따라 우선 순위가 높아지는 Aging 기법을 사용할 수 있다

ⓒ 기한부(Deadline) 스케줄링

작업이 주어진 제한 시간이나 Deadline 시간 안에 완료되도록 하는 기법이다.

ⓓ 라운드 로빈(RR; Round-Robin) 스케줄링

FIFO 스케줄링 기법을 Preemptive 기법으로 구현한 스케줄링 방법으로 프로세스는 FIFO 형태로 대기 큐에 적재되지만, 주어진 시간 할당량(Time Slice) 안에 작업을 마쳐야 하며, 할당량을 다 소비하고도 작업이 끝나지 않은 프로세스는 다시 대기 큐의 맨 뒤로 되돌아간다.

- 선점 스케줄링 기법이다.

- 시스템이 사용자에게 적합한 응답시간을 제공해 주는 대화식 시분할 시스템에 적합하다.

ⓔ SJF(Shortest Job First) 스케줄링

SJF는 비선점 스케줄링 기법으로, 처리하여야 할 자업 시간이 가장 적은 프로세스에 CPU를 할당하는 기법이다. 평균 대기 시간이 최소인 최적의 알고리즘이지만, 각 프로세스의 CPu 요구 시간을 미리 알기 어렵다는 단점이 있다.

ⓕ SRT(Shortest Remaining Time) 스케줄링

SJF 스케줄링 기법의 선점 구현 기법으로, 새로 도착한 프로세스를 비롯하여 대기 큐에 남아 있는 프로세스의 작업이 완료되기까지의 남아있는 실행 시간 추정치가 가장 적은 프로세스에 먼저 CPU를 할당한다.

ⓖ HRN(Highest Response Ratio Next) 스케줄링

Brinch Hansen이 SJF 스케줄링 기법의 약점인 긴 작업과 짧은 작업의 지나친 불평등을 보완한 스케줄링 기법이다.

- 비선점 스케줄링 기법이다.

- 서비스 받을 시간이 분모에 있으므로 짧은 작업의 우선 순위가 높아진다.

- 대기 시간이 분자에 있으므로 긴 작업도 대기 시간이 큰 경우에는 우선 순위가 높아진다.

ⓗ 다단계 피드백 큐(Multilevel Feedback Queue) 스케줄링

다양한 특성의 작업이 혼합된 경우 매우 유용한 스케줄링 방법으로, 새로운 프로세스는 그 특성에 따라 각각 대기 큐에 들어오게 되며, 그 실행 형태에 따라 다른 대기 큐로 이동한다. 예를 들어 연산 위주의 프로세스들은 처음에 RR 방식의 대기 큐에서 주어진 시간 할당량이 만료되면 다음 단계의 큐에 배치되고, 실행 시간이 길수록 점점 낮은 우선 순위를 지니게 되어 마지막 가장 낮은 우선 순위의 큐에 도달하면 작업이 끝날 대까지 RR 방식으로 스케줄된다.

1. 운영체제 개요

(1) 운영체제의 주요 기능

 - 운영체제 : 시스템 자원을 효율적으로 사용하게 하는, 사용자와 컴퓨터 간의 인터페이스 역할

(2) 운영체제의 구조

 - 1단계 : 프로세서 관리 ; 동기화 및 프로세스 스케줄링

 - 2단계 : 메모리 관리 ; 메모리 할당, 회수 기능

 - 3단계 : 프로세스 관리 ; 프로세스 생성, 제거, 메시지 전달, 시작과 정지

 - 4단계 : 주변장치 관리 ; 주변장치 상태 파악과 입출력 장치의 스케줄링

 - 5단계 : 파일 관리 ; 파일 생성, 소멸, 파일의 열기 닫기, 파일의 유지 및 관리

(3) 운영체제의 기술발전 흐름

 - 1세대 : 일괄처리시스템(Batch Processing System)

 - 2세대 : 다중프로그램 시스템(Multi-Programming System)

• I/O 장치와 CPU 사이의 속도 차이를 이용하여, 하나의 CPU와 주기억장치로 여러 프로그램을 동시에 처리하는 방식
• I/O 장치의 조작으로 CPU 유휴시간이 발생하면, 다른 작업을 처리함
• 시분할 시스템(Time Sharing System) : 라운드 로빈(Round Robin ; RR) 방식이라고도 함
• 다중처리 시스템(Multi-Processing System) : 여러개의 CPU와 하나의 주기억 장치를 이용해, 여러 프로그램을 동시에 처리하는 방식  

 - 3세대 : 다중모드처리(Multi-Mode Processing)

• 일괄처리 시스템, 시분할 시스템, 다중처리 시스템, 실시간 처리 시스템을 모두 제공하는 시스템

 - 4세대 : 분산처리 시스템(Distribute Processing System)

• 여러 개의 컴퓨터(프로세서)를 통신회선으로 연결해서 하나의 작업을 처리하는 방식
• 각 단말장치나 컴퓨터들은 고유의 운영체제와 CPU, 메모리를 가지고 있음

2. 운영체제의 주요 구성 기술

(1) 프로세스 관리

 - 프로세스와 스레드의 개념

• 프로세스 : 실행 중인 프로그램
• 스레드 : 프로세스 내에서 실행되는 여러 흐름의 단위

 - 프로세스 제어 블럭(PCB; Process Control Block)

• 운영체제가 프로세스에 대한 정보를 저장해 놓은 저장소
• 다른 프로세스로 제어를 넘겨줄 때, 현재 실행중인 프로세스의 정보를 PCB에 저장하고 제어를 넘김
• 각 프로세스가 생성될 때마다 PCB가 생성되고, 종료되면 제거됨
• 부모 프로세스와 자식 프로세스는 PCB를 공유하지는 않음

 - 프로세스 구성 요소

• Code 영역 : 프로그램 코드
• Data 영역 : 전역변수 저장
• Stack 영역 : 지역변수 및 함수의 매개변수 저장
• Heap 영역 : 동적 메모리 할당 영역

 - 프로세스 상태와 전이

• 준비 Ready : 프로세스가 프로세서를 할당받기 위해 기다리고 있는 상태
• 실행 Run :
  • 준비 상태 큐에 있는 프로세스가 프로세서를 할당 받아 실행되는 상태
  • 프로세스 수행이 완료되기 전에 프로세스에게 주어진 프로세서 할당 시간이 종료되면 프로세스는 준비상태로 전이된다.
  • 실행 중인 프로세스에 입출력(I/O) 처리가 필요하면 실행 중인 프로세스는 대기 상태로 전이된다.
• 대기 (wait), 보류, 블록(Block)
  • 입출력 요구가 발생되어 현재 실행 중인 프로세스가 중단되고, 입출력 처리가 완료될 때까지 대기하고 있는 상태

 - 프로세스 상태 전이도

- 프로세스 스케줄링 : CPU를 사용하려고 하는 프로세스 사이의 우선 순위를 관리하는 일

• 장기 스케줄링 : 어떤 프로세스를 커널에 등록할 것인가
• 중기 스케줄링 : 어떤 프로세스에게 메모리를 할당할 것인가
• 단기 스케줄링 : 어떤 프로세스에게 CPU를 할당할 것인가

 - 선점형 스케줄링 정책(Preemptive Scheduling Policy) : 처리 도중 뺏기 가능

• SJF(Shortest Job First : 최단작업 우선처리) : 버스트 시간이 짧은 프로세스를 우선 처리
• SRT(Shortest Remaining Time First : 최단 잔여 시간)
• RR(Round Robin : 순환할당 스케줄링) : Time slice 기반 스케줄링
• MLQ(Multi Level Queue : 다단계 큐)
• MFQ(Multi level Feedback Queue : 다단계 피드백 큐)

 - 비선점형 스케줄링 정책(Non-Preemptive Scheduling Policy) : 처리가 끝날 때까지 기다림

• FCFS(First Come First Served : 선입선출) : 먼저 CPU를 요청하는 프로세스를 우선 처리
• SJF(Shortest Job First : 최단작업 우선처리) : 버스트 시간이 짧은 프로세스를 우선 처리
• FIFO(First In First Out : 선입선출)
• HRN(Highest Response Ratio Next) : CPU 할당 받을 시간과 기다린 시간으로 계산한 우선 순위로 결정

 - 프로세스 교착 상태(Deadlock)

• 발생 조건 : 1.~4.까지 모두 만족해야 발생
  1. 상호배제(Mutual Exclusion) : 한 프로세스가 자원을 다른 프로세스가 사용 못하게 배제할 때
  2. 점유대기(Wait) : 프로세스가 자신에게 할당된 자원을 해제 안하고, 다른 자원을 기다릴 때
  3. 비선점(비선점 조건; Non-Preemption) : 프로세스에 할당된 자원을 끝날 때까지 해제 할 수 없을 때
  4. 순환대기(Circular Wait) : 각 프로세스는 순환적으로 다음 프로세스가 요구하는 자원을 가지고 있음
  5. 발생 조건 : 1.~4.까지 모두 만족해야 발생
• 해결방안
  1. 예방 : 교착 상태의 필요조건을 부정함으로써, 교착 상태가 발생하지 않도록 하는 방법
  2. 회피 : 교착 상태 가능성을 인정하고, 적절하게 피하는 방법 (은행원 알고리즘)
  3. 발견(탐지) : 교착 상태가 발생하면, 교착 상태의 프로세스와 자원을 발견하는 방법
  4. 회복(복구) : 교착상태를 일으킨 프로세스를 종료하고 할당된 자원을 회수하는 방법

(2) 기억장치 관리

 - 주기억장치

• 반입기법(Fetch) : 언제 보조기억장치의 데이터를 주기억장치로 옮기나
  • 요구 반입 정책(Demand Fetch Strategic) : 자료가 요구되는 시점에 주기억장치로 옮김
  • 예상 반입 정책(Anticipatory Fetch Strategic) : 프로그램 수행 중 요구될 가능성이 큰 자료를 예상하여 주기억장치로 미리 옮김
• 배치기법(Placement) : 보조기억장치의 데이터를 주기억장치의 어디로 위치시키나
  • 최초 적합
  • 최적 적합
  • 최악 적합
• 교체기법(Replacement) : 공간확보를 위해 어떤 데이터를 제거하고 새로운 데이터를 위치시키나
  • FIFO(First In First Out)
  • LRU(Least Recently Used) : 가장 오랫동안 사용안한 것을 바꾼다.
  • LFU(Least Frequently Used) : 가장 사용 횟수가 작은 것을 바꾼다.
  • NUR(Not Used Recently) : 최근에 전혀 사용되지 않은 것을 바꾼다.

 - 가상기억장치

• 구현방식
• 페이징(Paging) 기법 : 프로그램을 동일한 크기의 Page로 나누어 구현
  • 내부 단편화의 원인
  • 스레싱(Thrashing) : 자주 페이지의 교체가 일어나는 현상(프로세스 처리 시간 < 페이지 교체 시간)
  • 워킹 셋(Working Set) : 자주 사용되는 페이지들을 묶어서 주기억장치에 계속 상주시키는 방법
  • 페이지 교체 알고리즘
    • FIFO(First In First Out)
    • LRU(Least Recently Used) : 가장 오랜기간 사용하지 않은 페이지 교체
    • OPT(Optimal; 최적교체) : 가장 사용되지 않을 페이지를 교체, 실현 가능성 희박
    • SCR(Second Chance Replacement) : 참조 비트를 주고, 1이면 0으로, 0이면 교체
• 세그멘테이션(Segmentation) 기법 : 프로그램을 가변적 크기의 Segment로 나누어 구현
  • 외부 단편화의 원인

  ★ 단편화(Fragmentation)

    - 내부 단편화(Internal Fragmentation) : 할당 받은 페이지를 다 사용 못했을 때 생기는 자투리 공간들

        → 압축(Compaction)으로 해결 : 분산되어있는 단편화된 빈 공간들을 결합

    - 외부 단편화(External Fragmentation) : 할당과 제거를 반복하면서, 적재하기 애매해진 공간들

        → 압축(Coalescing)으로 해결 : 인접해있는 단편화된 공간을 하나의 공간으로 통합

 - 보조기억장치

• 디스크 스케줄링
  • FIFO(=FCFS)
  • SSTF(Short Seek Time First) : 현재 헤드에서 가장 가까운 트랙의 요청을 먼저 처리한다.
  • SCAN : 헤드가 한 방향으로 쭉가면서 처리하는 방법, 실린더 끝까지 가서 방향을 전환한다. (엘리베이터 기법)
  • C-SCAN : 헤드가 실린더 끝에서 안쪽으로 이동하며 처리한다. (항상 한쪽 방향에서 반대 방향으로 진행하며 트랙의 요청 처리)
  • N-Step SCAN : 헤드의 방향이 전환될 때, 이미 대기 중이던 요청만 처리한다. (도중에 생긴 요청은 무시)
  • C-LOOK(Circular-Look) : C-Scan의 보완, 대기시간을 좀 더 균형 있게 함, 진행 방향에 더 이상 요청이 없으면 Head는 진행 방향을 바꾼다.

(3) 파일 시스템 관리

 - 디렉토리의 구조

• 1단계 디렉토리 : 모든 파일이 같은 디렉토리에 존재하며, 파일 이름은 유일한 구조
• 2단계 디렉토리 : 중앙에 마스터 디렉토리(MDF)가 있고, 각 사용자의 디렉토리(UFD)가 하위에 있는 구조
• 트리 디렉토리 : 하나의 루트 디렉토리와 다수의 하위 디렉토리로 구성되며, 포인터로 탐색(일반적으로 OS에서 사용)
• 비주기 디렉토리(Acyclic Graph Directory) : 파일과 디렉토리의 공유가 허용될 수 있는 사이클이 없는 구조
• 일반 그래프 : 사이클이 허용되고, 기본 트리 디렉토리 구조에 링크를 첨가한 구조

 - Windows File System

• FAT(File Allocation Table)
  • DOS 때 부터 사용되고 있는 대표적인 File System. FAT16과 FAT32 등이 있다.
  • 하드디스크에 FAT라는 영역을 만들어 파일의 실제 위치 등의 정보를 기록하고 이를 이용함
  • 저용량에 적합 / 보안에 취약 / 호환성이 우수
• NTFS(NT File System)
  • MFT(Master File Table)를 사용하여 관리하며, Mirror와 파일로그가 유지되어 파일 복구가 가능함
  • FAT + 대용량 / 보안성 / 압축기능 / 원격저장소 등의 기능을 추가해서 만든 윈도우 전용 File System
  • 대용량 지원 / 강력한 보안 / 자동 압축 및 안정성 / 호환성이 낮음 / 저용량에선느 FAT보다 느림
• Unix & Linux File System
  • EXT2 : FSCK(File System Check)으로 시스템 손상 복구 가능
  • EXT3 : 저널링(Journaling) 기술로 더욱 빠르고 안정적인 복구가 가능
  • EXT4 : 빨라진 FSCK, 하위 호환성, 지연된 할당
  • ※ 저널링(Journaling) : 파일 시스템에 대하여 변경을 수행하기 전 원래의 로그를 기록하여 변경을 추적 관리하고 복구할 수 있는 시스템을 의미한다.

• Partition
  • 주 파티션 : 기본 파티션을 의미 / 주 파티션의 수 + 확장 파티션의 수 <= 4
  • 확장 파티션 : 논리 파티션을 만들게 해주는 그릇의 역할 / 디스크에 하나만 생성 가능
  • 논리 파티션 : 최대 12개 (NTFS에서는 제한이 없음)
• RAID(Redundant Array of Independent Disks)
  • 디스크 고장 시 그대로 복구할 수 있도록 2개 이상의 디스크에 데이터를 저장하는 기술
  • RAID 0(Stripe, Concatenate) : 데이터를 나누어 저장, 디스크 장애 발생 시 복구 불가능
  • RAID 1(Mirroring) : 여러 디스크에 데이터를 완전 이중화하여 저장, 가장 좋은 방식이나 많은 비용 발생
  • RAID 2(Hamming Code ECC) : ECC(Error Correction Code) 기능이 없는 디스크의 오류 복구를 위해 Hamming Code 이용
  • RAID 3(Parity ECC) : Parity 정보를 별도 Disk에 저장
  • RAID 4(Parity ECC, Block 단위 I/O) : Parity 정보는 별도의 디스크에, 데이터는 Block 단위로 데이터 디스크에 분산 저장
  • RAID 5(Parity ECC, Parity 분산 저장) : 분산 Parity를 구현하여 안전성 향상
  • RAID 6(Parity ECC, Parity 분산 복수 저장) : PAID 5의 안전성 향상을 위해 Prity를 다중화하여 저장

(4) 분산 시스템

 - 개념 : 분산되어 있는 컴퓨터에서, 작업이 나누어 처리되고 그 결과가 서로 호환되도록 연결되어 있는 시스템

 - 투명성(Transparency)를 보장해야 함

• 위치 투명성 : 컴퓨터의 실제 위치를 몰라도 접근 가능
• 이주 투명성 : 자원 이동에 제한이 없어야함
• 병행 투명성 : 사용자의 위치를 몰라도 다른 사용자와 자원의 공유 가능
• 복제 투명성 : 사용자에게 통지할 필요없이 자유롭게 복제 가능

3. 운영체제별 구조와 특징 (Unit, Linux, Windows)

(1) 유닉스/리눅스 구조 및 특징

 - 구조

• 커널(Kernel)
  • OS의 핵심으로 주기억장치에 상주하여 자원을 관리함
  • 크게 입출력 / 메모리 / 프로세스 / 파일관리의 부분으로 나눔
  • 쉘에서 지시한 작업을 수행함
• 쉘(Shell)
  • 커널과 사용자간의 인터페이스를 제공
  • 사용자가 입력하는 명령의 입/출력을 수행하며 프로그램을 실행시킴
  • 명령어 해석기/번역기라고 함
• 파일시스템(File System)
  • 계층적 트리 구조를 가지고 있고 다음과 같이 구성되어 있음
  • 부트 블럭(Boot Blocks) : 파티션의 첫 부분에 예약되어 있는 블럭, 부팅시 필요한 코드 저장(커널 적재 코드 등)
  • 슈퍼 블럭(Super Block) : 파일 시스템 당 한 개씩 생성 / 전체 파일 시스템에 대한 정보 저장
  • 아이노드(I-Nodes) : 리눅스 커널이 현재 사용하는 자료구조(파일 정보)를 유지하는 구조체
    • 파일 이름을 제외한 모든 파일과 디렉토리에 대한 정보를 저장
    • 파일 링크 정보를 가지며, 파일 링크는 심볼릭 링크(Simbolic Link)와 하드링크(Hard Link)로 구분
    • 심볼릭 링크 : 윈도우의 바로가기와 유사한 기능
      • 긴 파일/디렉토리 명을 대신하여 사용할 때 링크 정보만 가지고 있는 새로운 inode 생성
      • inode는 원래 파일의 포인터 정보만을 가짐
    • 하드 링크 : 원본파이을 복사해 동일한 inode 생성
      • 원본 파일을 삭제, 이동해도 하드링크는 존재
  • 데이터 블럭(Data Blocks) : 실제 데이터가 저장

 - 특징

• 대화식 운영체제
  • 명령어를 입력받기 위해 쉘 프롬프트($)를 화면에 나타낸다. 프롬프트가 나타난 상태에서 사용자가 명령을 입력하면 시스템은 그 명령을 수행하고 다시 새로운 명령을 받기 위해 대기하고 있다는 표시로 쉘 프롬프트($)를 나타낸다.
• 다중 작업 기능(multi-tasking)
  • 한 번에 하나 이상의 작업을 수행한느 것을 말한다.
• 다중 사용자 기능
  • 여러 대의 단말기(키보드와 모니터)가 하나의 컴퓨터에 연결되어 각 단말기에서 사용자들이 프로그래밍을 하거나 파일 편집을 동시에 수행할 수 있다.
  • 즉, 여러 사람이 동시에 유닉스 시스템을 사용하여 개개의 작업을 수행할 수 있다.
• 이식성(하드웨어 종류에 상관없이 운영되는 특성)
  • 유닉스는 90% 이상이 C 언어로 구현되어 있고, 시스템 프로그램이 모듈화 되어 있어 다른 하드웨어 기종으로 이식이 용이하다.
  • 즉, 다른 기종으로 이식할 경우 하드웨어에 의존하는 부분인 어셈블리어로 작성된 부분을 새로운 환경으로 변환시키고, C 언어로 구현된 나머지 부분을 재컴팡리하여 실행하면 된다.
• 계층적 트리 구조 파일 시스템
  • 유닉스는 계층적 트리 구조를 가짐으로써 파일 관리를 용이하게 한다.
• 개발 도구
  • 프로그래머가 여러가지 언어(Fortran, C, C++ 등)를 사용하여 프로그래밍할 수 있도록 많은 컴파일러(compiler)를 제공하고 있다.
• 통신
  • 유닉스 시스템은 서로 다른 컴퓨터와 통신 가능하도록 하기 위해 여러 가지의 통신 유틸리티(mail, ftp, telnet 등)를 제공한다.
• 가상 메모리
  • 한정된 메모리를 갖는 시스템에서 실제 메모리보다 더 큰 프로그램을 수행하기 위해 가상 메모리(virtual memory) 기법을 사용한다.

- 리눅스 특징

• 다중처리 다중 사용자 시스템
• 다양한 유형의 시스템에서 사용
• 여러 파일을 동시에 지원
• 안정적인 네트워크 기능 제공
• 공개 소프트웨어, 오픈소스

(3) 윈도우 구조 및 특징

 - 구조

 - 특징

• 그래픽 기반(GUI)
• 멀티 태스킹 기능
• 메시지 구동 시스템
  • 운영체제가 대신 입력을 받아 전달해주는 방식
• 독립된 장치
  • 디바이스 드라이버에 의해 다양한 주변 장치들을 제어하고 관리한다.
  • 장치가 바뀌면 디바이스 드라이버를 교체하면 될 뿐 응용 프로그램은 이에 영향을 받지 않음
• 일관성
  • 사용자가 프로그램에게 명령을 내리는 인터페이스 구성이 표준화 되어 있음
• 리소스 분리
  • 응용 프로그램은 코드와 리소스가 분리되어 있어 개발자와 디자이너가 분담 작업을 쉽게 할 수 있음

 - 윈도우 인증 처리

• 인증 프로세스 구성요소
  • Winlogon : 윈도우 로그인 프로세스
  • GiNA : Winlogon은 msgina.dll을 로딩해 사용자가 입력한 계정, 암호를 LSA로 전달
  • LSA : 게정과 암호 검증을 위해 NTLM 모듈 로딩, 계정 검증
  • SAM : 사용자 계정정보(해시 값)에 저장 (리눅스의 /etc/shadow 파일과 같은 역할)
• 윈도우 운영체제 관련 프로세스 세부 내역
  
  • wininit.exe : 윈도우 시작 프로그램
  • services.exe : 윈도우 서비스 관리
  • lsm.exe : Local Session Manager, 호스트 컴퓨터와 서버의 연결 관리
  • lsass.exe : Local Security Authority Subsystem Service, 사용자 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성
  • svchost.exe : 서비스를 관리하기 위한 프로세스
  • conhost.exe : 쉘의 기본 기능 수행

(4) 보안운영체제 특징

 - 접근 권한 통제(Authorization) ; Authorization = Authentication + Access Control

• 사용자 인증(Authentication)
• 접근 통제(Access Control)

 - 칩임 탐지 및 방어(Intrustion Detection & Prevention)

참고 자료 : 

2021 이기적 정보보안기사 필기 이론서

1. 인증과 접근 통제

(1) 계정과 패스워드 보호

▶ Linux Server

• 리눅스 Booting 순서
  1. ROM BIOS를 읽고 디스크의  MBR(Master Boot Record)에 있는 부트로더(Boot Loader)가 실행
  2. 부트로더(LILO or GRUB)는 보조 기억장치에 저장되어 있는 리눅스 커널 탐색 및 실핵
  3. 리눅스 커널은 하드웨어 확인 후 root의 읽기 전용으로 mount 수행
  4. 디스크 검사 후 root의 쓰기 전용으로 다시 mount 수행
  5. 리눅스 커널은 init 프로세스 실행, PID 1번 할당
  6. init 프로세스는 /etc/initab 파일을 읽어 디바이스 및 프로세스 활성화
• Linux Run Level
  • 0 : PROM 감사단계
  • 1 : 관리 상태의 단계, 암호 변경 시 사용
  • 2 : 공유된 자원을 갖지 않은 다중 사용자 단계
  • 3 : 공유된 자원을 가진 다중 사용자 단계, 텍스트 유저 모드 (기본실행 단계)
  • 4 : 현재 사용되지 않음
  • 5 : Run Level3으로 기동 후 그래픽 모드인 X-Windows 실행
  • 6 : 재부팅 단계로 실행단계 3의 상태로 재부팅
• 계정 생성, 수정, 삭제 : useradd / usermod / userdel
• 계정과 패스워드에 관련된 파일
  • /etc/passwd : 사용자 계정 정보
  • /etc/shadow : 사용자 패스워드
  • /etc/group : 그룹 ID / 목록
  • /etc/gshadow : 그룹 정보
  • /etc/login.defs : 사용자 전체에 자동 할당되는 UID, GID 범위, 패스워드 유효 기간, useradd 설정사항
  • /etc/default/useradd : useradd 명령어로 계정 생성 시, 어떤 환경과 파일을 참조할 것인가에 대한 정보
  • /etc/skel : 계정생성시 필요한 파일, 디렉토리를 저장하고 있는 디렉토리, 새 계정 생성 시 그대로 해당 계정은 홈 디렉토리로 복사
• /etc/passwd 구성
  • 
    

    

  • [User Name] : [password] (x : 패스워드가 암호화되어 Shadow 파일에 저장) : [UID] : [GID] : [계정정보] : [홈디렉토리] : [쉘]
  • root : x : 0 : 0 : root : /root : /bin/bash
  • ※ Linux에서 사용자 계정 잠구는 법
    • /etc/passwd에서 쉘 정보에다가 /bin/false 또는 /bin/nologin을 기술함
    • passwd -l [계정명]
• /etc/shadow 구성

▶ Windows Server

• 컴퓨터 관리나 net user 명령어로 계정 생성, 수정, 삭제
• 계정 생성 시 옵션
  • 다음 로그온 시 반드시 암호 변경
  • 암호 변경 불가
  • 암호 사용기간 제한 없음
  • 계정 사용 안 함(사용할 때까지 로그인 X)
• 기본 제공 계정인 Administrator(리눅스 root)는 계정 사용 안함으로 설정하거나 이름을 변경하는게 보안상 이득
• Guest 계정은 불필요하면 계쩡 사용 안함으로 설정(기본값은 사용안함)
• 암호 정책
  • 암호의 복잡성
  • 최근 암호 기억
  • 최대 암호 사용기간
  • 최소 암호 사용기간
  • 최소 암호 길이
  • 해독 가능한 암호화를 사용해 암호 저장
• 계정 잠금 정책
  • 계정 잠금 기간 : 0으로 하면 명시적으로 잠금 해제 할 때까지 유지(0부터 99999까지; 분 단위)
  • 계정 잠금 임계값 : 실패한 로그인 시도 최대 횟수를 설정(0부터 999까지 적용가능; 0이면 잠금 적용 X)
  • 다음 시간 후, 계정 잠금 임계값을 0으로 설정(1에서 99999까지; 분 단위)

(2) 파일 시스템 보호

▶ Windows

• FAT12 / FAT16 / VFAT / FAT32
•  NTFS
• 관리 공유 폴더 제거 / 마지막에 로그인한 계정 숨김 / 예약작업 수시로 체크 / 이동식 디스크의 자동실행방지 / 원격 레지스트리 서비스 중지

▶ Linux

• minix / ext2 / ext3 / ext4

▶ 클라우드 파일 시스템

• Ceph
• GlusterFS(글러스터)
• Google 파일시스템(GFS)
• Hadoop 분산파일시스템(하둡)
• Lustre 파일시스템
• Panasa 파일시스템
• PVFS2
• OASIS : 한국전자통신연구원 저장 시스템 연구팀에서 개발한 객체 기반 클러스터 파일 시스템

(3) 시스템 파일 설정과 관리

▶ 리눅스 디렉토리 구조(트리 구조)

• /bin : 필수 바이너리 파일, 시스템 기본 명령어
• /dev : 장치 파일
• /etc : 시스템 설정 파일
• /usr : 각종 서드 파티 응용 프로그램이 설치되는 프로그램
• /var : 시스템에서 운영되는 임시파일 및 로그 파일
• /home : 사용자 홈 디렉토리
• /lib : 시스템 운영 및 프로그램 구동 시 필요한 공유 라이브러리
• /sbin : 관리자가 사용하는 시스템 운영에 필요한 명령어
• /tmp : 임시파일 디렉토리
• /boot : 부팅에 필요한 커널과 핵심 파일
• /mnt : CD-ROM과 플로피의 마운트 포인트를 제공하는 디렉토리
• /proc : 시스템 상태를 제공하기 위한 디렉토리와 파일들이 존재

▶ Mount 하기

• 디바이스와 디렉토리의 연결
• # mount <디스크or 파티션> <마운트될 디렉토리>
• 재부팅 시 마운트가 풀리기에, /etc/fstab에 기술해서 자동 마운트

▶ Shell 설정 변경

• /etc/profile : 시스템 전역 쉘 변수 초기화
• /etc/bashrc : 쉘 함수와 Alias를 위한 시스템 전역 변수 정의
  • 파일 안에 alias rm='rm -i'처럼 기술하면, rm이란 명령어는 rm-i와 동일하게 처리하라는 의미
• ~/.bash_profile : 사용자의 환경 설정 파일
• ~/.bash_history : 사용자 최초 로그인 후 생성, 사용자가 쉘에 입력한 명령어를 기록

▶ 쿼타(Quota)

• 디스크에 사용량을 체크 감시하고, 한 파티션에 너무 많은 디스크를 사용하게 되면 관리자에게 알리도록 제한

▶ 파일 시스템 점검(File System Check & Recovery) : FSCK를 사용함

• 저널링 파일 시스템으로 자동 복구가 되지만, 복구가 불가능한 경우 수동으로 복구해야할 경우 사용
• 많은 시간을 요구하는 경우가 많음
• 반드시 검사하고자 하는 파일 시스템은 unmount하고 검사해야 함

▶ 퍼미션(Permission)

• umask : 파일은 666에서 빼고, 디렉토리는 777에서 뺌
• setuid(s, 4000) / setgid(s,2000) / sticky bit(t, 1000)
  • setuid, setgid 해당 파일이 실행될 떄에만, 실행한 사용자에게 소유자(그룹)의 권한을 부여함
  • sticky bits는 주로 공유 디렉토리에 지정하는데,sticky bit가 부여된 디렉토리는 누구나 사용할 수 있지만, 삭제 및 수정은 root와 소유자만이 가능
• setuid 파일 찾기 : find / -user root -perm -4000 -print -xdev

▶ find로 악성코드 탐지하기

1. find 명령으로 악성코드 파일과 중요 파일 존재 여부 확인
2. 과도하게 부여된 권한이 있는 파일 확인
3. 최근에 변경된 파일 확인
4. 특정 사용자가 소유자인 파일 화가인

(4) 시스템 접근통제 기술

▶ Linux의 iptables

• 방화벽 정책을 수립할 수 있는 도구로 특정 패킷을 분석해 패킷 차단 및 허용 가능
• iptables -A FORWARD -p udp -m udp --dport 53 -j DROP : DNS를 사용하는 서비스 모두 차단

▶ Windows의 ipsec

▶ 통제 방식

• 강압적 접근통제 : MAC(Mandatory Access Control)
  • 주체, 객체 등급 기반 접근권한 부여
• 임의적 접근통제 : DAC(Discretionary Access Control)
  • 접근 주체 신분 기반 접근권한 부여
• 역할기반 접근통제 : RBAC(Role-Based Access Control)
  • 주체, 객체 역할기반 접근 권한 부여

2. 보안관리

(1) 시스템 최적화(Unix/Linux)

▶ CPU

• top : CPU와 Memory, swap에 대한 전체적인 모니터링 가능
• ps aux : CPU와 Memory 사용량이 큰 PID를 확인 가능
• pstree : 시스템에서 프로세스간의 연결구조를 트리 구조로

▶ Memory

• free : 사용되는 메모리와 여유가 있는 메모리가 얼마인지 알려주는 간단한 명령어
• vmstat : 가상 메모리 상태를 확인

▶ Disk I/O

• df : 파일 시스템의 상태를 기초로 용량을 출력(df -k(KB단위) / df -h(다양한 단위))
• du : 실제 디렉토리와 파일의 크기를 확인해서 용량을 출력
• iostat : 디스크에 I/O가 얼마나 나타나는 모니터링

▶ Network

• netstat : 포트 정보
• ping : IP 네트워크를 통해 특정한 호스트가 도달할 수 있는지의 여부를 테스트
• traceroute : 목적지로 이동할 때 패킷이 실제로 사용하는 경로를 검색하는데 사용
• tcpdump : 네트워크 카드를 통해 송수신 되는 패킷을 가로채고 표시함

(2) 시스템 로그 설정과 관리

▶ 시스템 로그는 시스템의 정확한 시간이 필수

• #rdate -s time.bora.net

▶ Linux의 /var/log 디렉토리

• messages
  • 로그인 기록에서 디바이스에 관련된 정보와 네트워크 등등 다양한 정보
  • 콘솔에 출력되는 메시지들이 저장됨. 시스템 장애가 생기면 이 파일을 점검해서 취약점 점검
• pacct(binary)
  • 로그인부터 로그아웃까지 입력한 명령과 시간, 작동된 tty 등에 대한 정보 수집
  • 명령어 : lastcomm
• histroy
  • 사용자별로 실행한 명령을 기록하는 로그
• lastlog(binary)
  • 사용자별로 최근 로그인 시간 
  • 명령어 : lastlog
• wtmp(binary)
  • 전체 로그인 기록(최근에 사용자 로그인 및 로그아웃한 정보)
  • 시스템 관련 정보
  • 시스템 종료 및 부팅 정보, 재부팅 정보
  • 명령어 : last
• utmp(binary)
  • 현재 로그인이 되어 있는 사용자에 대한 정보(/var/run/utmp에 있음)
  • 로그인 사용자 ID, 사용 터미널, 로그인 시간 등을 확인 가능
  • 명령어 : w / who / users / finger
• btmp(binary)
  • 로그인 실패 정보
  • 명령어 : lastb
• sulog
  • Su 명령어와 관련된 로그
• dmesg
  • 부팅부터 HW적인 에러
• secure
  • 보안과 관련된 중요한 로그(사용자 인증 관련된 로그 ; FTP나 SSH 같은 것)
•  httpd access_log, error_log
  • 웹 서버에 대한 로그
• xferlog
  • FTP로 어떤 자료가 오갔는지 보여주는 로그

(3) 서버 해킹 원리의 이해

▶ 정보수집단계

• 포트스캐닝 등

▶ 시스템 침입단계(root 권한 획득이 목적)

• exploit : 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점
• 서버 설정 오류 / 원격 버퍼 오버플로우 취약점 / 계정 도용 / 패스워드 파일 획득 / 기타 취약점을 이용해 침입함
• 가장 단순하지만 강력한 대책은 업데이트(패치)

▶ 공격 경유지나 혹은 거점 마련

• 백도어 등을 설치하거나, 또 다른 공격의 공유지로 삼음

(4) 서버관리자의 업무

• 시스템의 시작과 종료 및 재시작
• 사용자 계정관리
• 프로세스 및 디스크, 메모리
• 네트워크 연결 및 상태관리

3. 서버 보안용 S/W 설치 및 운영

(1) 시스템 취약점 점검 도구

▶ NESSUS : 서버-클라이언트 구조로 작동하는 취약점 점검 도구

▶ SARA (SATAN 기반) : 서버, IDS, 라우터 등의 보안 분석 도구

▶ nikto2 : 웹 서버 스캔해서 취약점 점검(오픈 소스)

(2) 시스템 침입 탐지 시스템

(3) 무결성 점검도구

▶ trpwire : 가장 대표적인 무결성 점검도구로써, 시스템의 모든 파일에 대해 DB를 만들어서 추후 변동 사항을 점검

▶ Fcheck : tripwire보다 조금 더 간편한 설치와 설정

(4) 접근통제 및 로깅도구

▶ TCP Wrapper

• 슈퍼데몬(Xinetd)의 영향을 받는 데몬들은 TCP Wrapper로 접근 제어와 로깅이 가능
• 도식화 : 클라이언트의 요청 → Xinetd → TCP Wrapper → 데몬 실행
• /etc/host.deny 파일과 /etc/host.allow 파일을 통해 접근 통제를 할 수 있음
  • Deny 정책 적용 시, host.deny에 ALL:ALL을 적어 놓고, host.allow에 [데몬종류]:[클라이언트 주소]를 적음
• 접근 통제기록은 secure나 message 파일 등에 기록됨

(5) 스캔 탐지도구

▶ 방어적인 관점에서, 스캔 탐지가 일어나면 이에 따라 방어 대책을 세워야 함

▶ Portsentry

• 포트스캔을 실시간으로 탐지하고 TCP_Wrapper와 결합해, host.deny 파일에 자동으로 등록해 방어

▶RTSD(Real Time Scan Detector) : 실시간 네트워크 불법 Scan 자동탐지 도구

(6) 로깅 및 로그 분석 도구

▶ syslog

• 백그라운드 프로세스로 돌면서, 로그 메시지를 하나 이상의 개별 파일에 기록하는 데몬
• /etc/syslog.conf에 각종 로그 환경 설정을 추가, 변경, 삭제할 수 있음
  • 형식 : Facility.Priority Logfile-Location
  • Priority : Emerg > Alert > Crit > Error > Warn > Notice > Info >Debug > None
• webalizer
  • 아파치 웹로그를 분석해주는 멀티 웹 로그 분석도구

참고 자료 :

1. 윈도우 보안

(1) 설치 및 관리

▶ 라이센스 모드

• Per Server : 서버에 동접하는 클라이언트 숫자에 따라 라이센스를 구매하는 방식
• Per Seat : 클라이언트 숫자에 따라 라이센스를 구매하는 방식

▶ 사용자 계정 관리

• 암호 설정 권장
• 사용자 계정 컨트롤(User Account Control) : 관리자 수준의 권한이 필요한 변경 사항이 있을 때, 사용자에게 이를 알려주는 것

(2) 공유자료 관리

▶ 공유폴더

• NTFS은 사용자 계정이나 그룹에 대해서, 파일과 폴더에 퍼미션(Permission)을 줄 수 있음
• Everyone 그룹에 대해서는 기본적으로 <읽기> 권한만 주어짐
  • 로컬에서 그냥 폴더 만들면 Everyone 그룹에 대해 <모든 권한>이 주어짐
• 숨긴 공유폴더 (공유 폴더 이름 마지막에 $를 붙이는 폴더)
  • 네트워크 공유 목록에서 공유 폴더를 안보이게 함
  • 접근하기 위해서는 공유 폴더 이름을 통해 직접 접근해야 함
• 관리를 목적으로하는 기본적인 공유 폴더(ADMIN$, IPC$, C$ 등)
  • 이름에서 알 수 있듯, 모두 숨은 공유로 만들어져 있음
  • CMD에서 net share 명령어로 확인 가능함
  • 네트워크 접근 사용만을 제한 할 수 있고, 로컬 접속은 제한할 수 없음
  • 보안상 사용하지 않을 땐 비활성화 하는 것이 좋음
  • 관리적 공유 폴더 제거하기(C$, D$ 등)
    • 위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • AutoShareWks의 값을 REG_DWORD 타입의 0으로 바꿈
  • Null 세션 제거하기(IPC$)
    • IPC$ 공유(Null 세션 연결) : 이 세션을 사용하면 Windows에서 익명 사용자가 도메인 계정 및 네트워크 공유 이름을 열회하는 등 특정 작업 수행이 가능
    • IPC$는 제거가 안되기에 Null 세션을 제거하는 방법을 이용
    • 위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • restrictanonymous의 값을 REG_DWORD 타입의 1로 바꿈(기본값은 0)

(3) 바이러스 및 악성코드와 백신

▶ 바이러스(Virus)

• 다른 프로그램에 기생해서 실행(독자적으로 실행X)
• 파일 전송 기능이 없어서, 네트워크 대역폭에는 영향을 끼치지 않음
• 대표적으로 1994년 4월 26일 CIH 바이러스
• 세대별 컴퓨터 바이러스
  • 제 1세대, 원시형 바이러스(Primitive Virus) : 돌(Stone), 예루살렘(Jerusalem)
  • 제 2세대, 암호화 바이러스(Encryption Virus) : 폭포(Cascade), 느림보(Slow)
  • 제 3세대, 은폐형 바이러스(Stealth Virus) : 맥가이버(MacGyver), 브레인(Brain), 512
  • 제 4세대, 갑옷형 바이러스(Armor Virus) : 다형성(Polymoriphic), 자체 변형(Self-encryption)
  • 제 5세대, 매크로 바이러스 : 전문 프로그래머가 아니더라도 누구나 쉽게 제작, 배포 가능

▶ Shellcode

• 작은 크기의 코드로 소프트웨어 취약점을 이용하는 짧은 기계어 코드
• 일반적으로 명령 쉘을 실행시켜 공격자가 피해자의 쉘 제어
• 어셈블리어로 작성, 기계어로 번역

▶ Heap Spray

• Heap 영역에 임의적으로 Shell Code를 삽입 실행하는 공격

▶ 버퍼 오버플로우(Buffer Overflow)

• 프로세스가 사용 가능한 메모리 공간을 초과해서 발생되는 공격, 보안 취약점
• ※ 프로세스가 사용하는 메모리 공간 : Text, Data, Stack, Heap 

▶ 경쟁조건(Race Condition) : 다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행될 때 발생

▶ APT(Advance Persistent Threat) 공격

• 다양한 공격 기법을 사용하여 지속적으로 공격을 수행하는 행위
• Zero Day Attack : 소프트웨어 패치 전 취약점을 이용한 공격
  • 바이너리 디핑(Binary Diffing) : 자동으로 Malware 탐지, 오픈소스 라이센스 준수 여부 확인가능; 으로 발견 가능 
• MAIL APT : 악성코드를 메일에 첨부하여 정보를 획득하는 공격
• BACKDOOR APT : 표적에 침투 후 백도어를 설치하여 재침입 경로 오픈 공격
• APT 공격단계:
  1. 침투(Incursion)
  2. 탐색(Discovery)
  3. 수집/공격(Capture/Attack)
  4. 유출(Exfiltration)

▶ 웜(Wrom)

• 독자적으로 실행(기억장소에 코드나 실행파일로 존재)
• 네트워크를 사용해서 자신을 복사하기에, 네트워크 대역폭을 잠식함
• 대표적으로 2001년 9월에 발생한 님다(Nimda)

▶ 트로이목마

• 자기 자신을 복제하지는 않지만, 악의적 기능을 포함하는 프로그램
• 유틸리티 프로그램에 내장되거나, 그것으로 위장해 배포됨
• 대표적으로 백오리피스같은 프로그램

▶ 스파이웨어(Spyware)

• 사용자 몰래 PC에 설치되어 정보를 수집하는 프로그램

(5) 레지스트리 활용

▶ 레지스트리 : 시스템을 구성하기 필요한 정보를 저장한 중앙계층형 데이터베이스

▶ 루트 키(Root Key) 역할

• HKEY_CLASSES_ROOT (HKCR) : 파일의 각 확장자에 대한 정보와 파일과 프로그램 간의 연결에 대한 정보
• HKEY_CURRENT_USER (HKCU) : 현재 로그인한 사용자와 관련된 정보 등
• HKEY_LOCAL_MACHINE (HKLM) : 하드웨어와 프로그램 설정 정보
• HKEY_USERS (HKU) : 컴퓨터의 모든 사용자에 대한 정보
• HKEY_CURRENT_CONFIG(HKCC) : 시스템 시작 시 컴퓨터에서 사용하는 하드웨어 프로필 등(디스플레이, 프린트 설정)
• HKEY_PERFORMANCE_DATA : 런타임 성능 데이터 정보를 제공
• 악성코드 구동을 위해 주로 HKEY_CURRENT_USER와 HKEY_LOCAL_MACHINE이 이용됨

▶ 하이브(Hive) 파일

• 레지스트 정보를 가지고 있는 물리적인 파일
• SYSTEM, SOFTWARE, SECURITY. SAM, HARDWARE, COMPONENTS, BCD00000000

2. 인터넷 활용 보안

(1) 웹브라우저 보안

▶ 검색 기록 / 쿠키 삭제 / 임시파일 삭제

▶ 익스플로어에서는 보안 수준을 설정하기

• 보통 이상으로 사용하고, 세부 설정 가능

▶ 브라우저에서 개인정보를 수집하는 기술

• 쿠키(Cookie) & 슈퍼쿠키(Super Cookie) : 슈퍼쿠키는 일반적인 쿠키와는 다른 경로에 저장 돼 발견자체가 어려움
• 비콘(Beacon ; Web Bug)
• History Stealing
• Fingerprint

(2) 메일 클라이언트 보안

▶ PGP(Pretty Good Privacy)

• 데이터 암호화와 복호화하는 프로그램으로 전자 메일의 보안성을 높이기 위해 자주 사용
• IETF에서 표준으로 채택한 PEM과 비교
• 수신 부인방지와 메시지 부인 방지 기능이 없음
• 메시지의 비밀성을 위해 공개키 암호기술 사용(RSA, IDEA 등)
• 메시지의 무결성을 위해 메시지 인증 사용
• 메시지의 생성, 처리, 전송, 저장, 수신 등을 위해 전자서명을 사용

(3) 공개 해킹도구에 대한 이해와 대응

▶ 트로이 목마 S/W

• 대표적인 툴 : AOL4FREE.COM / Shark2 / NetBus / Back Orific

▶ 크랙킹 S/W

• 루트킷(RootKit) : 서버 내에 침투해서 백도어를 만들고 로그를 삭제하는 등의 패키지들
  • 대표적으로 lrk5
  • 루트킷을 찾아내는 프로그램은 안티루트킷(Anti-RootKit) : 대표적으로 Icesword
• 패스워드 크랙(Password Crack)
  • Brute Force Attack / Dictionary Attack / Password Guessing / Rainbow Table 등의 공격 방법으로 크랙
  • 대표적인 툴 : John the Ripper / pwdump / LOphtCrack /ipccrack / chntpw(to reset pw) / ERD Commander
• 포트 스캐닝(Port Scanning)
  • 다중 취약점 스캔 : SAINT / sscan2k /vetescan /mscan 등
  • 특정 취약점 스캔 : cgiscan / winscan / rpcscan
  • 은닉 스캔 : Nmap / stealthscan
  • 네트워크 구조 스캔 : firewalk / Nmap
  • 스캐닝 기법
    • Openning Scanning : TCP connect Scaning
    • Half-Open Scanning : SYN Scanning
    • Stealth Scanning : FIN / X-MAS / NULL Scanning
    • More Advanced Scanning : Spoofed Scanning
  • 포트 스캐닝의 구분
    • TCP 포트 스캐닝 : 특정 Flag값을 설정한 뒤, 패킷을 보내고 그에 대한 응답으로 확인
    • UDP 포트 스캐닝 :
      • 포트가 열린 상태 : 아무런 응답 X
      • 포트가 닫힌 상태 : UDP 패킷이 목적지에 도달하지 못했다는 메시지
      • 패캣이 유실되어도 아무런 응답이 없기에 신뢰성이 떨어진다.
  • Nmap 사용법
    • 스캔 타입
      • -sS : TCP Syn Scan
      • -sF /-sX / -sN : FIN / X-MAS / Null Scan
      • -sU : UDP Scan
      • -sP : Ping Sweep
      • -b : FTP Bounce Attack
    • 스캔 옵션
      • -P0 : Don't ping before scanning : ping으로 사전 조사하는 과정 제외(네트쿼크 생존 여부를 알고 있을 때 사용
      • -PT <PORT_NUMBER> : ICMP Request Packet 보내고, 응답을 기다리는 대신 TCP ACK를 보내 응답 기다림. 살아있으면 RST 수신
      • -PS
      • -PB
      • -O : 운영체제 확인
      • -p <PORT_NUMBER>
      • -S <IP_ADDRESS> : Spoofing
      • 예 : #./Nmap -p 1-30,110,65535 203.x.x.x
        • 203.x.x.x의 1~30번, 110번, 65535를 스캔한다.

▶ 키로그 S/W

• 대표적인 툴 : Winhawk, Key~~로 시작되는 툴들

(4) 도구활용 보안관리

▶ 클라이언트 보안도구 활용

• BlackICE
  • 일종의 방화벽
  • 외부에서 자신의 컴퓨터에 접근하는 것을 탐지 / 제어하는 프로그램
  • 침입 차단 / 어플리케이션 보호 / IDS 기능 제공
• Snort
  • 공개 네트워크 IDS
  • 다양한 OS 지원 / Rule 설정가능

▶ 클라이언트 방화벽 운영

• Windows 방화벽(ipsec)
• Linux/Unix 방화벽(iptalbes)

참고 자료 :

2021 이기적 정보보안기사 필기 이론서

1. 네트워크 일반

(1) 네트워크 개념

 ▶ 거리에 따른 네트워크 유형

• PAN(Personal Area Network) : 3m 이내의 인접 지역간의 통신, 짧은 거리로 인해 유선보다는 무선의 WPAN으로 주로 활용
• LAN(Local Area Network) : 근거리 영역의 네트워크, 동일한 지역 내의 고속의 전송 회선으로 연결하여 구성, Client/Server와 Peer-to-Peer 모델, WAN보다 빠른 통신 속도
• WAN(Wide Area Network) : 광대역 네트워크로 LAN 간의 상호 연결망, LAN에 비해 에러율, 전송 지연 높음, 라우팅 알고리즘(두 목적지 사이의 최단거리) 중요
• MAN(Metropolian Area Network) : LAN과 WAN의 중간 형태의 네트워크, 전송매체는 동축 케이블, 광케이블

 ▶ 회선교환 방식과 패킷교환 방식

• 회선교환(Circuit Switching) : 교환기를 통해 통신 회선을 설정하여 직접 데이터를 교환하는 방식 (ex. 전화)
  • 고정적인 대역폭을 사용하며, 대용량의 데이터를 고속으로 전송할 때 좋음
  • 연결된 두 장치는 서로 전송률과 기종이 동일해야 송수신 가능
• 패킷교환(Packet Switching) : 송신측에서 모든 메시지를 일정한 크기의 패킷으로 분해/전송, 이를 수신측에서 원래의 메시지로 조립
  • 고신뢰성, 고품질, 고효율
  • 패킷별 헤더 추가로 인한 오버헤드 발생 가능
  • 가상회선(Virtual Cicuit) : 패킷을 전송하기 전에 논리적인 연결을 먼저 수행
  • 데이터그램(Datagram) : 각 전송 패킷을 미리 정해진 경로 없이 독립적으로 처리하여 교환하는 방식

 ▶ 네트워크 토폴로지

• 각 형태 별 장단점 알아놓기
• 계층형(트리형)
• 수평형(버스형)
• 망형(그물형)
• 성형(스타형)
• 원형(링형)

(2) OSI 7 Layer

1. 각 레이어의 기능 및 역할

 ▶ OSI(Open System Interconnection) : 국제표준화기구(ISO)에서 개발한 모델로, 컴퓨터 네트워크 프로토콜 디자인과 통신을 계층으로 나누어 설명한 것

 ▶ SDU(Service Data Unit) : 상향/하향 두 통신 계층 간에 전달되는 실제 정보(실제 데이터 단위량)

 ▶ PDU(Protocol Data Unit) : 동일 통신계층(Peer-to-Peer) 간에 운반되는 전체 데이터량(실제 데이터 + 운반 수단)

• PDU 구성 :
  • PCI(Protocol Control Unit) : 헤더 정보(발신지 주소, 수신지 주소, 순서 번호, 오류검출용 FCS 등)
  • SDU(Service Data Unit) : 실제 사용자 정보

 ▶ OSI 7 Layer

1. 물리 계층(Physical Layer)
   • PDU : Bit Stream(0과 1의 연속 / 전기적 신호)
   • Protocol : Ethernet RS-232C
   • Equipment : Repeater / Hub
2. 데이터링크 계층(Datalink Layer)
   • PDU : Frame
   • Protocol : Ethernet / HDLC / PPP / ...
   • Equipment : Bridge / L2 Switch
3. 네트워크 계층(Network Layer)
   • PDU : Packet
   • Protocol : IP / ARP / ICMP
   • Equipment : Router / L3 Switch
4. 전송 계층(Transport Layer)
   • PDU : Segment
   • Protocol : TCP / UDP
   • Equipment : L4 Switch, Gateway
5. 세션 계층(Session Layer)
6. 표현 계층(Presentation Layer)
   • 입출력 데이터를 하나의 표현 형태로 변환 (이해할 수 있는 포맷으로 변환)
   • Protocol : JPEG, MPEG, SMG, AFP
7. 응용 계층(Application Layer)
   • PDU : Data or Message
   • Protocol : Telnet / HTTP / FTP / SSH  ...
   • Equipment : PC / Server / ...

2. 레이어별 네트워크 장비

 ▶ Physical Layer

• Cable : Twisted Pair Cable, Coaxial, Fiber-Optic Cable
• Repeater : 전기신호 증폭
• Hub : Repeater 기능 + Hub에 붙은 모든 장비로 신호 전달(이 때문에 Hub에 붙은 모든 장비는 하나의 Collision Domain)

 ▶ Data Link Layer

• Bridge : Frame의 MAC주소와 MAC Table을 참조해, 어떤 포트로 Frame을 재조립해 내보낼지 결정할 수 있는 장비
  • Frame을 S/W로 처리되는 방식이기에 Switch보단 느림
  • 모든 포트가 동일한 속도
  • Store-And-Forward 방식만 사용
• Switch  : Mac 주소와 포트 번호가 기록된 Mac Address Table를 가지고 있어, 목적지 MAC 주소를 가진 장비가 연결된 포트로만 프레임 전송
  • Frame 처리 절차를 칩에 구워서 H/W적으로 구현(ASIC; Application Specific Integrated Circuit) 비교적 Bridge보다 빠름
  • Repeater 기능 + Bridge기능
  • 포트 별로 속도를 다르게 처리 가능
  • Store-And-Forward / Cut-Through 방식 사용

 ▶ Network Layer

• Router : Packet의 목적지 IP를 보고 목적지와 연결된 인터페이스로 전송해줌(경로결정) / 네트워크 보안 / QoS
• L3 Swtich

 ▶ Transport Layer

• L4 Switch : 부하분산(트래픽 분산)

 ▶ Application Layer

• Gateway : 서로 다른 네트워크망과 연결, 패킷 헤더의 주소 및 포트 외 거의 모든 정보 참조

※ Store-And-Forward : 들어오는 프레임을 전부 일단 버퍼에 담아두고, 어러검출과 같은 처리를 완전히 수행한 후에 목적지를 향해 포워딩하는 스위칭 기법

※ Cut-Through : 수신된 패킷의 헤더 부분만 검사하여, 곧바로 스위칭하는 기법

(3) TCP/IP 일반

 ▶ TCP/IP Layer

• 1 Layer (Network Access Layer)
• 2 Layer (Internet Layer)
• 3 Layer (Transport Layer)
• 4 Layer (Application Layer)
  • 관련 서비스 : FTP, DNS, HTTP, Telnet, SMTP, DNMP

 ▶ IPv4, IPv6 Addressing

• IPv4
  • 네트워크 주소와 호스트 주소로 이루어진 32bit 주소 체계
    • 네트워크를 A,B,C,D Class로 나누어 구분
  • IP주소의 고갈로 기형적인 기술인 NAT와 DHCP, Subnet같은 기술 생성
    • NAT(Network Address Translation) : 1개의 공인 IP로 다수의 사설 IP 통신 가능, 내부에 있는 IP 보안 가능
    • Subnet : 네트워크를 Class로 나누는 체계가 아닌, 임의대로 Classless하게 네트워크를 나누는 기술
    • DHCP(Dynamic Host Configuration Protocol) : 동적으로 IP를 할당하고 필요없는 IP를 회수하는 기술
  • IPv4 Address Classes
    • 
      

      

    • Class A : 0.0.0.0 to 127.255.255.255
    • Class B : 128.0.0.0 to 191.255.255.255
    • Class C : 192.0.0.0 to 223.255.255.255
    • Class D : 224.0.0.0 to 239.255.255.255
  • 데이터 전달 방법 : Unicast / Multicast / Broadcast
• IPv6
  • IPv4의 주소 고갈의 대응책으로써 128bit의 주소 체계
  • Header의 간소화로 라우팅이 빨라짐(IPv4와 IPv6의 Header가 다름)
  • 데이터 전달 방법 : Unicast / Multicast / Anycast

• 

  https://driz2le.tistory.com/69

 ▶ Subnetting 설계 및 활용

• Subnet Mask : IP주소에서 네트워크 주소와 호스트 주소를 구분하는 구별자 역할
  • 비트열이 1이면 네트워크 주소 부분, 0이면 호스트 주소 부분
  • CIDR(Classless Inter-network Domain Routing) :  Subnet Mask 값을 십진수로 변환해 '/24/ 같이 IP주소 뒤에 붙여서 표현
  • VLSM(Variable Length Subnet Mask) : 서로 다른 크기의 Subnet을 지원하고 필요한 호스트의 수를 계산해서 호스트의 수가 많은 Subnet을 먼저 계산하는 방식
• Supernetting : 여러 개의 네트워크를 하나의 네트워크의 주소로 묶는 것
• Subnetting : 하나의 네트워크 구소를 여러 개의 하위 네트워크 영역으로 분할하는 것 / 하위 네트워크를 Subnet이라 함

 ▶ 데이터의 캡슐화

• 캡슐화(Encapsulation) : 사용자 데이터가 각 계층을 지나면서, 상위 계층으로부터 온 데이터에 자신의 계층 특성을 담은 제어 정보를 헤더화 시켜 이를 결합하는 과정

 ▶ 포트주소 의미와 할당 원칙

• 포트 주소는 16bit의 정수 형태(0~65535)
  • Well-known Port(0~1023) : 잘 알려진 서비스에 할당된 포트 주소
    • FTP (TCP 20,21)
    • SSH (TCP 22)
    • Telnet (TCP 23)
    • SMTP (TCP 25)
    • DNS(TCP 35 / UDP 53)
    • HTTP(TCP 80)
    • POP3(TCP 110)
    • NetBIOS(TCP 137,138,139)
    • HTTPS(TCP 443)
  • Registered Port(1024~49151) : 특정 프로그램에서 등록한 포트 주소
  • Dynamic Port(49152~65535) : 임의로 사용하는 포트 주소

 ▶ IP, ARP, IGMP, ICMP, UDP, TCP 등 각 프로토콜의 원리 및 이해

• IP(Internet Protocol)
  • TPC/IP 네트워크에서 출발지, 목적지 IP 주소를 지정하는 프로토콜
  • Packet의 목적지 주소를 보고 최적의 경로를 찾아 패킷을 전송해주는게 주된 역할
  • 신뢰성이 없고 비연결 지향적임(신뢰성보다는 효율성에 중점)
  • IHL(HLEN) : (Header의 길이/4)로써 Option이 없으면 20Byte이므로 5라는 값을 가짐
  • Flags(3 Bits) :
    • Reserved(Must be zero)
    • DF(Don't Flagement) : Datagram의 분할을 방지
    • MF(More Flagment) : Datagram이 분할될 때 마지막 조각이면 0, 아니면 1
• ARP(Address Resolution Protocol)
  • IP주소를 MAC 주소로 변환하는 표준 프로토콜
    • 해당 IP주소가 동일 네트워크에 있음 : 해당 목적지의 MAC 주소
    • 해당 IP주소가 외부 네트워크에 있음 : Router의 MAC 주소
  • ARP Request는 Broadcast, ARP Reply는 Unicast
  • ARP 한 번 찾은 MAC주소를 ARP-Cache에 일정 기간동안 IP주소-MAC주소 형태로 보관함
    • ARP-Cache 확인 : arp -a
    • ARP-Cache 생성 : arp -s <IP주소> <MAC주소>
    • ARP-Cache 삭제 : arp -d <IP주소>
  • 취약점 : 무조건 응답 수용함(요청하지 않은 응답도 수용해버림)
    • 이런 취약점을 노린 공격을 ARP Cache Posisoning이라 함
• RARP(Reverse ARP)
• ICMP(Internet Control Message Protocol)
  • IP의 특징인 비신뢰성과 비연결성의 한계를 보완하기 위해, 노드 간의 에러사항이나 통신 제어를 위한 메시지를 보고 할 목적으로 만들어진 프로토콜
  • 에러를 Report할 뿐, 해결하는 기능은 없음 / 대표적인 프로그램으로 PING이 있음
  • ICMP는 TCP/UDP Header가 필요없고 IP Header와 IP Data 부분에 ICMP 메시지를 포함해서 보냄
  • ICMP 메시지의 종류(일부만)
    • Type 8 : Echo Request
    • Type 0 : Echo Reply
    • Type 3 : Destination Unreachable (CODE 영역에 원인 설명)
    • Type 4 : Source Quench(Flow Control 할 때, 전송속도 줄이라는 의미)
    • Type 5 : Redirect ; Route를 변경하라는 메시지
    • Type 11 : Time Exceeded
• IGMP(Internet Group Management Protocol)
  • 멀티캐스트 그룹을 관리하기 위한 프로토콜(멀티 캐스트 멤버 가입, 수정, 탈퇴)
  • 멀티캐스트 호스트와 라우터 사이에서 동작하게 됨(같은 네트워크에서만 동작함 / TTL1)
• TCP(Transmission Control Protocol)
  • Transport Layer의 프로토콜로써, 신뢰성과 연결 지향적 특징을 가짐
  • 혼잡 제어와 흐름 제어 기능을 제공(Sliding Window) / 에러 제어도 가능(Checksum)
  • 재전송 방법 : GO-Back-N 방법 (되돌아온 ACK 번호 이후의 것 전부 재전송)
  • ICMP 프로토콜로 주기적으로 송수신 가능 여부 체크
  • 클라이언트와 서버의 데이터 교환을 위해 TCP 3-Way Handshake를 통해 TCP Session을 확립해야 함
  • TCP Header Flag
  • 
    

    

    • URG : Urgent Pointer가 유효함
    • ACK : 확인응답 필드에 확인응답번호(Acknowledgement Number)값이 셋팅됐음을 알림
    • PSH : 버퍼링된 데이터를 가능한 발리 상위 계층 응용프로그램에 즉시 전달할 것
    • RST : 연결확립(ESTABLISHED)된 회선에 강제 리셋 요청
    • SYN : 연결시작, 회선개설 용도
    • FIN : 연결해제, 회선종결 용도
  • 에러제어(Error Control)
    • FEC(Forward Error Correction)
      • 수신받은 데이터에 에러가 없는지 확인
      • 패리티 검사(Parity Check), 볼록합계 검사, 해밍코드(Hamming Code)
    • BEC(Backward Error Correction)
      • 수신측이 에러 검출 후 송신측에게 에러가 발생한 데이터 블록을 다시 전송 요청하는 방식
      • Stop-and-Wait, Go-back-N, Selective Repeat ARQ, Adaptive ARQ
  • 흐름제어(Flow Control)
    • 흐름제어 : 송수신 측 사이 전송 패킷의 양, 속도를 조절하여 네트워크를 효율적으로 사용
    • 슬라이딩 윈도우(Sliding Window) 
      • 호스트 간에 송수신 혹은 수신할 수 있는 Size 정보를 제공
      • Stop-and-Wait의 단점을 보완한 방식
      • 불필요한 네트워크 부하 최소화
  • 혼잡제어(Congestion Control)
    • 송신 단말의 전송률을 제어하여 혼잡으로 인해 손실된 데이터를 재전송
    • TCP Slow Start : TCP가 시작될 때 전송속도를 초기값부터 지속적으로 올리는 법
    • 혼잡회피(Congestion Avoidance)
• UDP
  • Transport Layer의 프로토콜로써, TCP와 달리 비신뢰성과 비연결지향적인 특징을 가짐
  • Sequence Number와 Ack Number가 없어서 순서 제어와 흐름 제어가 불가능
  • 따로 연결하는 과정이 없어서 빠른처리와 실시간성을 요구하는 서비스에 적합

 ▶ 데이터 전달 방식

• Broadcast
  • Broadcast Domain(=Subnet) 범위 이내에 모든 시스템에 Frame을 보냄
    • 외부로 나가면 Router 단에서 Drop
  • Broadcast를 받은 시스템은 CPU가 Packet을 처리하도록 함(Broadcast가 많아지면 네트워크 트래픽도 증가하고, CPU 성능도 낮아짐)
• Anycast
  • IPv4의 Broadcast가 사라지고 IPv6에서는 Anycast로 대체
• Multicast
  • 네트워크에 연결되어 있는 시스템 중, 일부분에게만 정보를 전송할 수 있는 것
  • Router가 Multicast를 지원해야만 사용가능
  • Multicast Group에 가입, 탈퇴시에 IGMP를 사용
• Unicast
  • 정보 전송을 위해 Frame에 자신의 MAC와 목적지의 MAC을 첨부해 전송하는 방식
  • 가장 많이 사용되는 방식으로, Broadcast와 달리 CPU 성능에 문제를 주지 않음

(4) Unix/Windows 네트워크 서비스