- 스푸핑
- SQL 인젝션?
- buf overflow attack
- 전자서명(암호)
임의로 4명이 한 팀을 이루어 4개의 과제 진행
AAA
Authentication(인증): 자신의 신원(Identity)을 시스템에 증명하는 것으로 아이디와 패스워드를 입력하는 과정.
Authorization(인가): 지문이나 패스워드 등을 통해 로그인이 허락된 사용자로 판명되어 로그인하는 과정.
Accounting: 로그인을 했을 때 시스템이 이에 대한 기록을 남기는 활동.
AAA에 대한 로그 정보는 해커나 시스템에 접근한 악의적 사용자를 추적하는 사용.
책임 추적성(accountability): 추적에 대한 기록의 충실도. 책임 추적성이 높은 시스템일수록 로그가 충실하게 남아있음
운영체제의 로그 관리
윈도우의 로그
- 윈도우는 이벤트(Event)라고 불리는 중앙 집중화된 형태로 로그를 수집하여 저장.
- 윈도우 서버 2012의 경우 로깅 항목과 설정 사항은 [제어판]-[관리 도구]-[로컬 보안 정책]-[감사 정책] 메뉴에서 확인할 수 있음
- 윈도우의 감사 정책(audit policy), 즉 로깅 정책을 적용하면 [제어판]-[관리 도구]-[이벤트 뷰어]를 통해 쌓이는 로깅 정보를 확인
- 이벤트 뷰어에 표시되는 항목
| 항목 | 설명 |
|---|---|
| 종류 | 성공 감사와 실패 감사가 있다. 성공 감사는 어떤 시도가 성공했을 때, 실패 감사는 어떤 시도가 실패했을 때 남기는 로그이다. |
| 날짜, 시간 | 로그를 남긴 날짜와 시간이다. |
| 원본, 범주 | 로그와 관계있는 영역이다. |
| 이벤트 | 윈도우에서는 각 로그별로 고유한 번호를 부여한다. 로그를 분석할 때 이 번호를 알고 있으면 빠르고 효과적인 분석이 가능하다. |
| 사용자 | 관련 로그를 발생시킨 사용자이다. |
| 컴퓨터 | 관련 로그를 발생시킨 시스템이다. |
유닉스의 로그
UTMP
- 유닉스 시스템의 가장 기본적인 로그.
- 로그인 계정 이름, 로그인 환경, 로그인 디바이스, 로그인 셀의프로세스 ID, 로그인 계정의 형식, 로그오프 여부, 시간에 대한 저장 구조를 확인할 수 있음.
- utmp는 텍스트가 아닌 바이너리 형태로 로그가 저장됨.
- 로그 확인 명령어는 w, who, users, whodo, finger 등.
WTMP
- utmp 데몬과 비슷하게 사용자 로그인과 로그아웃 시스템 재부팅에 대한 정보를 확인 가능
- 내용 확인 명령어는 last
Secure
- 페도라와 CentOS, 레드헷 등의 리눅스는 secure 파일에 원격지 접속 로그와 su(switch user) 사용자 생성 등과 같이 보안에 직접적으로 연관된 로그를 저장.
- 일반 유닉스에서 su 로그는 /var/adm/sulog 파일에 텍스트 형식으로 남음.
[날짜][시간][+(성공) or -(실패)][터미널 종류][권한 변경 전 계정 - 변경 후 계정]
History
- 명령창에서 실행한 명령에 대한 기록은 history 명령으로 확인할 수 있음
Syslog
- 시스템 운영과 관련한 전반적인 로그로, /var/log/messages 파일에 하드웨어 구동, 서비스 동작과 에러 등의 로그를 남김.
데이터베이스의 로그 관리
MS-SQL의 로그
- Miscrosoft SQL Server Management Studio에서 서버를 선택한 뒤, 속성 대화상자의 [보안] 메뉴에서 '일반 로그인 감사'와 'C2 감사 추적'을 설정할 수 있음.
- C2 감사 추적은 데이터베이스가 생성, 삭제, 변경되는지에 대한 자세한 정보를 로그로 남기는 것.
- 빈번한 접속이 있는 데이터베이스의 경우 대량의 로그를 생성할 수 있음
오라클의 로그
- 오라클에서 감사 로그를 활성화하려면 먼저 오라클 파라미터 파일
($ORACLE_HOME/dbs/init.ora)의 AUDIT_TRAIL 값을 'DB'또는 'TRUE'값으로 지정.- AUDIT_TRAIL 값을 지정한 다음 '$ORACLE_HOME/rdbms/admin/cataudit.sql'을 실행함
오라클에서 남길 수 있는 데이터베이스 감사의 종류
- 문장 감사 : 저장된 문장을 실행했을 때 기록을 남김
- 권한 감사 : 특정한 권한을 사용했을 때 기록을 남김
- 객체 감사 : 특정 객체에 대한 작업을 했을 때 기록을 남김
이 정도 있다 하고 알아두기만 해도 됨
데이터베이스 모니터링
- 데이터베이스의 로그를 남기는 가장 좋은 방법은 별도의 데이터베이스 모니터링 툴을 도입하는 것.
- 네트워크 트래피긍ㄹ 모니터링할 수 있는 태핑(tapping)장비를 네트워크에 설치하고, 네트워크 패킷 중 데이터베이스 질의문을 확인하여 로그로 남김.
응용 프로그램의 로그 관리
IIS 웹 서버의 로그
- IIS(Internet Information Services)웹 서버의 로그는 [제어판]-[관리 도구]-[IIS 관리자]-[IIS]창에서 '로깅'항목을 통해 확인할 수 있음
- IIS 웹 서버의 로그는 기본 W3C 형식으로 남도록 설정. 이 외에 NCSA, IIS, 사용자 지정 방식의 로그 파일 형식을 사용할 수 있음
아파치 웹 서버의 로그
- 아파치 웹 서버에 대한 기본 접근 로그는 access_log 에 남고 형식은 'combined'로 지정됨. combined가 기본 로그 형식이며, httpd.conf 파일에서 combined 형식의 LogFormat을 확인 가능.
- LogFormat에서 설정된 combined 형식의 항목
네트워크 장비의 로그 관리
네트워크 보안 시스템의 로그
- 침입 차단 시스템, 침입 탐지 시스템, 침입 방지 시스템 등 다양한 보안 시스템의 로그를 확인할 수 있음
- 다양한 보안 시스템의 로그는 통합 로그 관리 시스템(SIEM, Security Information and Event Management)에 의해 수집 및 관리되기도 함.
네트워크 관리 시스템의 로그
- 네트워크 트래픽 모니터링 시스템(MTRG)과 네트워크 관리 시스템(NMS)의 로그를 참고할 수 있음.
네트워크 장비 인증 시스템의 로그
- 대규모 네트워크를 운영하는 곳에서는 라우터나 스위치의 인증을 일원화하기 위해 인증 서버로 TACACS + (Terminal Access Controller Access-Control System Plus)를 사용하기도 함.
- 이 인증 서버를 통해 네트워크 장비에 대한 인증 시도 및 로그인 정보 등을 확인할 수 있음.
네트워크 보안 시스템의 로그
- 대부분의 네트워크 장비 자체에는 하드디스크와 같은 저장 공간이 없어 로그를 남기지 않은 채로 운영. 대신 로그 서버를 별도로 두고 운영.
