시스템과 네트워크
시스템 보안
계정 관리
- 사용자를 식별하는 가장 기본적인 인증 수단은 아이디와 패스워드로, 이를 통한 계정 관리는 시스템 보안의 시작.
세션 관리
- 일정 시간이 지나면 세션을 종료하고 비인가자의 세션 가로채기를 통제하는 것.
접근 제어
- 네트워크 안에서 시스템을 다른 시스템으로부터 적절히 보호할 수 있도록 네트워크 관점에서 접근을 통제하는 것.
권한 관리
- 시스템의 각 사용자가 적절한 권한으로 적절하게 정보 자산에 접근하도록 통제하는 것.
로그 관리
- 시스템 내부나 네트워크를 통해 외부에서 시스템에 어떤 영향을 미칠 경우 그 내용을 기록하여 관리하는 것.
취약점 관리
- 시스템 자체의 결함을 체계적으로 관리하는 것.
보안의 네 가지 인증 방법
알고 있는 것
- 머리속에 기억하고 있는 정보를 이용하여 인증 수행. (패스워트)
가지고 있는 것
- 신분증이나 OTP 장치 등으로 인증 수행 (출입카드)
자신의 모습
- 홍채와 같은 생체 정보로 인증 수행 (지문 인식)
위치하는 곳
- 현재 접속을 시도하는 위치의 적절성을 확인하여 인증 수행 (콜백(call back))
계정관리
운영체제의 계정관리
윈도우의 계정관리
- 윈도우에서는 운영체제에 대한 관리자 권한을 가진 계정을 administrator라고 하는데 이는 시스템에 가장 기본으로 설치되는 계정
- 일반 사용자를 확인하려면 net user라는 명령 사용.
- 윈도우에서 시스템에 존재하는 그룹 목록은 net localgroup 명령으로 확인.
| 그룹 | 특징 |
|---|---|
| Administrators | - 대표적인 관리자 그룹으로 윈도우 시스템의 모든 권한을 가지고 있다. - 사용자 계정을 만들거나 없앨 수 있고 디렉터리와 프린터를 공유하는 명령을 내릴 수 있다. - 사용 가능한 자원에 대한 권한을 설정할 수 있다. |
| Power Users | - Administrators 그룹이 가진 권한을 대부분 가지지만 로컬 컴퓨터에서만 관리할 능력도 가지고 있다. - 해당 컴퓨터 밖의 네트워크에서는 일반 사용자로 존재한다. |
| Backup Operators | - 윈도우 시스템에서 시스템 파일을 백업하는 권한을 가지고 있다. - 로컬 컴퓨터에 로그인하고 시스템을 종료할 수 있다. |
| Users | - 대부분의 사용자가 기본으로 속하는 그룹으로, 여기에 속한 사용자는 네트워크를 통해 서버나 다른 도메인 구성 요소에 로그인할 수 있다. - 관리 계정에 비해 한정된 권한을 가지고 있다. |
| Guests | - 윈도우 시스템에서 Users 그룹과 같은 권한을 가지고 있다. - 두 그룹 모두 네트워크를 통해 서버에 로그인할 수 있으며 서버로의 로컬 로그인은 금지된다. |
유닉스의 계정관리
기본 관리자 계정으로 root 존재.
유닉스에서는 /etc/passwd 파일의 구성
root : x : @ : @ : root : /root : /bin/bash
1 2 3 4 5 6 7
1. 사용자 계정
2. 패스워드가 암호화 되어 shadow 파일에 저장되어 있음을 나타냄.
3. 사용자 번호.
4. 그룹 번호.
5. 실제 이름으로 시스템 설정에 영향을 주지 않으므로 자신의 이름을 입력해도 됨.
6. 사용자의 홈 디렉터리 설정으로, 이 예에서는 관리자 계정이므로 홈 디렉터리가 /root. 일반 사용자는 /home/wishfree 와 같이 /home 디렉터리의 하위에 위치.
7. 사용자의 셀 정의로 기본 설정은 bash 셀. 사용하는 셀을 이곳에 정의.유닉스에서 그룹은 /etc/group 파일에서 확인
/etc/group의 구조.
root : x : @ : root
1. 그룹 이름으로, 여기서는 root 그룹을 말함
2. 그룹에 대한 패스워드로,
데이터 베이스의 계정관리
- MS-SQL의 관리자 계정은 sa(system administrator), 오라클의 관리자 계정은 sys, system. 둘다 관리자 계정이지만 sys와 달리 system은 데이터베이스 생성할 수 없음.
- 오라클은 윈도우의 Guest 계정처럼 Scott이라는 기본 계정이 존재하고, 솔루션 설치 및 테이블 생성시 관련 계정이 자동으로 생성되는 경우가 많음
응용 프로그램의 계정 관리
취약한 응용 프로그램을 통해 공격자가 운영체제에 접근하여 민감한 정보를 습득한 뒤 운영체제를 공격하는 데 이용할 수 잇음. TFTP처럼 인증이 필요치 않은 응용 프로그램은 더욱 세심한 주의가 필요.
네트워크 장비의 계정 관리
네트워크 장비에는 계정 개념이 존재하지 않지만 네트워크 장비에 계정을 생성하여 각 계정으로 사용할 수 있는 명령어 집합을 제한할 수 있음. 네트워크각 대규모인 경우에는 계정 관리의 어려움 때문에 통합된 계정 관리를 위해 TACACS+와 같은 솔루션을 적용하기도 함.
