본문 바로가기

Work & Study/Study

(27)
OSI 7 Layer 정의와 계층별 정리 - 정 의 프로토콜을 기능별로 나눈 모델로써 각 계층은 하위 계층의 기능만을 이용하여 상위 계층에게 기능을 제공하게 된다. 각각의 계층은 1계층부터 물리, 데이터링크, 네트워크, 전송(Transport), 세션, 표현(Presentation), 응용(Appli cation)으로 나뉘어져 있다. 전송을 할때에는 7계층부터 1계층 순으로 전송할 데이터 가 이동하게 되며, 수신을 할 경우에는 반대방향으로 전송되어진 데이터가 인식 되게 된다. - 1계층 : 물리(Physical) 실제 장치들을 연결하기 위해 필요한 전기적, 물리적 세부 사항들을 정의한다. 물리 계층의 장비로는 허브나 리피터가 있다. 물리 계층에서는 물리적인 정보 전달 매개체에 대한 연결의 성립 및 종료를 담당하며, 통신자원들을 효율적으로 분배 ..
비밀번호 해킹과 방어방법 앞에서 우리는 리눅스상에서 암호가 passwd에 저장된다는 것과 shadow에 해시화 되서 저장된다는 것에 대해알아 보았습니다. http://tigernet.tistory.com/595 그리고 이러한 암호화가 결코 완벽하지만은 않다는 것에 대해서도 말씀을 드렸습니다. 아래 화면은 실제로 사용으로 쓰이는 도구를 이용하여 shadow에 해시암호화 된 문구를 해독한 결과입니다. 무료로 배포되고 있고 워낙 유명한 프로그램이니 따로 프로그램명은 말하지 않겠습니다. 군대를 다녀왔다면 익숙한 비밀번호가 위와같이 해독되어서 출력되는 것을 알 수 있습니다. 이처럼 리눅스에서의 암호에 대한 보안또한 안전하지 않은 것이 현실이고 그 해독 방법또한 너무나도 쉽게 해독이 되는 모습을 볼 수 있습니다. 겨우 4분이 채 되지..
리눅스의 암호저장 방법(passwd & shadow) 방학동안 복학 후 거의 하지 못했던 보안 공부를 처음부터 다시 시작하고 있습니다. 일단 교재의 경우 정보보호3형제 책을 사용하고 있습니다. 오랜만에 VM ware를 설치하고 리눅스를 써보니까 재미가 있습니다.역시 자기가 하고 싶은걸 공부할 때 제일 재미있고 밤새는것도 힘들지 않고 그런것 같습니다. 리눅스에서는 윈도우에서와 마찬가지로 각각의 사용자를 만들 수 있고 암호를 설정 할 수 있습니다. 그렇다면 우리가 리눅스를 사용하기 위해서 설정한 이런 암호들이 어딘가에 저장되어 있어야 로그인을 할때마다 해당 암호를 확인하고 일치 여부를 판명해서 로그인을 허기하거나 거부하는 로직이 필요하다는 것은 쉽게 생각해 볼 수 있는 사실입니다. 리눅스의 경우 /etc/passwd 란 위치에 각 유저와 암호정보들을 기본적으..
사회공학 해킹 - Social engineering 호환입니다. 흔히들 해킹이라는 것을 생각하면 오직 컴퓨터에 의해서만 이루어지는 것으로만 생각하는 분들이 많습니다. 하지만 해킹의 한 기법으로 바로 사회공학이라는 기법이 엄연히 존재하고 있습니다. 사회공학이란 바로 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를 통틀어서 사회공학적 기법이라고 합니다. 그렇다면 대표적인 사회공학기법엔 무엇이 있을까 궁금하실 겁니다. 가장 쉬운예로는 요즘 많은 문제가 되고 있는 보이스피싱을 예로 들 수 있습니다. 가족또는 알고있던 사람을 가장하여 돈을 빌린다거나 허위사실을 전달하여 원하는 이익을 취하는 것이 사회공학과 그 맥을 같이 한다고 볼 수 있습니다. 컴퓨터 보안의 분야에서 사회공학적 기법으로 예를 들수 있는 것으로는 클..
OWASP10 2010 - 10대 보안취약점 한글판 호환입니다. 매년마다 발간되는 10대 웹취약점인 OWASP10 2010년 버전이 드디어 한글로 나왔습니다. 활동은 별로 안하지만 언제나 좋은 자료와 공부할거리를 주시는 Security Plus에 언제나 감사드립니다. 다운로드 사실 한글판 업로드는 6월29일에 올라왔는데 제가 확인을 오늘에서야 하게 되어서 이렇게 올립니다. 출력해서 읽어본후에 하나씩 포스팅을 다시 해봐야겠네요. Injection, XSS, 세션취약점, CSRF 등 기존에 있던 정보들과 구성문제와 리다이렉션등이 새로이 등장한 모습이 일단 보입니다. 실제 기능까지 구현하고 실습해볼 실력이 되면 좋겠지만 일단 아직도! 공부중이어서 일단 개념에 관한 포스팅을 차차 진행해 보도록 하겠습니다. 가능하다면 실습도 병행하구요. *************..
OWASP 2010 정식 릴리즈 - 해킹취약점에 대하여 알아보자 매년 발표되는 보안10대 취약점인 OWASP의 2010 정식버전이 릴리즈 되었다.  injection과 XSS, CSRF등 기존에 있던 공격유형들과 새로운 공격유형도 몇개 보인다. 다 읽어보는건 시험이 끝나고 나서야 해보겠지만..얼른 읽어보고 싶다. OWASP_Top_10_-_2010.pdf (Google Code) OWASP_Top_10_-_2010.pdf(Google Docs)
[정보보호개론]보안의 3대요소 컴퓨터 보안을 하는데에 있어서 최소한 세가지의 원칙이 지켜져야 하는데 그 원칙은 다음과 같다. Confidentiality(기밀성) / Integrity(무결성) / Availability(가용성) 위의 세가지는 각기 독립적으로도 역할을 하지만 사실상의 정보보호나 보안에 있어서 서로 깊은 연계성을 가지고 동시에 동작한다. 기밀성의 경우에는 정보의 소유자가 원하는대로 비밀이 유지되어야 하는 원칙을 말하는 것으로써, 허기되지 않은 유저나 노드에 데이터나 전송되거나 접근이 허가되는것을 방지하는것이다. 이러한 기밀성을 유지하기 위해서 반드시 비인가자가 아닌 인가자에게만 접근이 허용되어야 한다. 무결성은 정보의 전송과정에서 비인가자에 의한 정보의 변경, 삭제, 생성등이 원천적으로 봉쇄되어 전송되는 데이터의 정확..
리눅스 쉘의 이해와 변경 쉘을 설명하면서 흔히 커널과 같이 설명을 하고는 한다. 하지만 쉘은 운영체제의 전부라고 할 수 있는 커널의 한 부분이 아닌 독립된 하나의 유틸 또는 프로그램으로써, 쉘이라는 그이름과 같이 운영체제의 핵심인 커널을 둘러싸고 있는 껍데기에 불과하다. 간단히 그림으로써 나타내고자 한다면, 왼쪽의 그림과 같은 형태를 이루고 있다고 생각하면 되겠다. 우리가 운영체제를 사용하는데 있어서 작은 작업 하나에도 명령어들이 발생하고 그렇게 발생하는 명령어들을 처리해야 하는데 있어서 쉘의 역할은 바로 유저와 커널간의 통역이라고 생각하면 간단하겠다. 유저가 내린 명령은 쉘을 통하여 커널에 전달되어지고 커널은 쉘을 통해 전달된 명령어를 통해서 시스템을 제어할수가 있게 되는것이다. 리눅스에서 사용하고 있는 쉘의 종류는 다양하며..