정성환의 IT개발 창고

네트워크관리사 2급 자격증은 60점 이상 받으면 취득할수 있습니다.

다른 사람들은 실기가 필기보다 쉬웠다고 하지만, 저는 실기가 조금 더 어려운 것 같습니다.

단답형9문제 뒤에 모두 골라라 문제는 어려워서 시간이 없다면 리눅스 명령어를 제외하곤 패스하시는게 좋을 거 같습니다.

라우터 설정과 Window 2008 server, 랜선만들기는 2번 정도 복습하여 거의 만점이 나온 것 같습니다.

굳이 책 살 필요없고 햄릿슈 채널을 보고 그대로 따라하시는게 좋을 거 같아요.

라우터 설정 문제

기본 설정 명령어

확인 명령어

1. Router1의 CPU process 리스트를 확인하시오.

(완료된 설정은 'Router#copy running-config startup-config'를 사용하여 startup-config'에 저장하고 이외 저장 명령어는 사용금지)

en

show process

copy r s

엔터

Router> en                            //enable이라는 뜻
Router# show process                   //입력 후 more가 나오면 쭉 엔터
Router# copy r s                       // 저장
Destination filename [startup-config]?  //엔터 눌러준다.
Building configuration... [OK]

2. RIP 환경이 구성되어 있을 때 라우팅 테이블에 등록되지 않는 목적지로 향하는 패킷은 192.168.1.1 네트워크로 보내도록 ROUTER1에 디폴트 네트워크를 설정하시오.

(단, ip route 0.0.0.0 명령어를 사용해서는 안됨.)

en

conf t

ip default-network 192.168.1.1

exit

copy r s

엔터

참고로 default-network뿐만아니라 default-gateway도 많이쓰입니다.

3. 아래의 제시문제와 같이 ROUTER1의 FastEthernet 0/0의 IP Address를 아래와 같이 설정하고 활성화 하시오.

(완료된 설정은 'Router#copy running-config startup-config'를 사용하여 startup-config'에 저장하고 이외 저장 명령어는 사용금지)

IP Address: 192.168.100.1/24

en

conf t

int fastethernet 0/0

ip add 192.168.100.1 255.255.255.0

no shutdown   <<활성화

exit

exit

copy r s 

엔터

4. 호스트 이름을 'ICQA'로 설정하시오.

en

conf t

hostname ICQA

exit

copy r s

5. 인터페이스 정보를 확인하고 저장하시오.

en

show interface

copy r s

6. 접속한 사용자를 확인하고 저장하시오.

en

show user

copy r s

7. 라우팅 테이블을 확인하고 저장하시오.

en

show ip route

copy r s

8. 플래쉬를 확인하고 저장하시오.

en

show flash

copy r s

9. 아래와 같이 Router1의 Ethernet 0 인터페이스를 설정하고, NVRAN에 저장하시오.

---------------

Router#show running-config

Building configuration...

Using #### out of #### bytes

!

version ##.#

!

Interface Ethernet 0

ip address 192.168.200.2 255.255.255.252

ip directed-broadcast

!

---------------

en

conf t

int e0

ip add 192.168.200.2 255.255.255.252

ip directed-broadcast

exit

exit

copy r s

10. serial 0의 대역폭을 2048k로 설정하고, NVRAM에 저장하시오.

Router> en

Router# conf t

Router(config)# int s0

Router(config-if)# ban 2048

Router(config-if)# exit

Router(config)# exit

Router# copy r s

11. serial 0의 clock rate를 72k로 설정하고, NVRAM에 저장하시오.

Router> en

Router# conf t

Router(config)# int s0

Router(config-if)# clock rate 72000

Router(config-if)# exit

Router(config)# exit

Router# copy r s

12. Ethernet 0의 description을 설정하고 NVRAM에 저장하시오.

Description : ICQA

Router> en

Router# conf t

Router(config)# int e0

Router(config-if)# des ICQA   <<description 설정

Router(config-if)# exit

Router(config)# exit

Router# copy r s

13. Ethernet 0의 IP Address를 192.168.2.1/30과 192.168.3.1/30 Secondary로 설정하고 저장하시오.

Router> en

Router# conf t

Router(config)# int e0

Router(config-if)# ip add 192.168.2.1 255.255.255.252

Router(config-if)# ip add 192.168.3.1 255.255.255.252 secondary

Router(config-if)# exit

Router(config(# exit

Router# copy r s

14. Default-Gateway를 설정하고, 저장하시오.

IP : 192.168.0.10

Router> en

Router# conf t

Router(config)# ip default-gateway 192.168.0.10

Router(config)# exit

Router# copy r s

15. Router1 Telnet에 접근하는 Password를 "TELPass"로 설정하고, 상태를 저장하시오.

Router> en

Router# conf t

Router(config)# li v 0 4

Router(config-line)# password TELPass

Router(config-line)# login

Router(config-line)# exit

Router(config)# exit

Router# copy r s

16. Telnet에 5분 50초 동안 신호가 없을 시 해당 세션을 자동으로 종료하도록 라우터를 설정하시오.

Router> en

Router# conf t

Router(config)# li v 0 4

Router(config-line)# exec-t 05 50

Router(config-line)# login

Router(config-line)# exit

Router(config)# exit

Router# copy r s

17. Router1 console의 패스워드를 ICQACon으로 설정하고, 저장하시오 (대소문자는 구분한다.)

Router> en

Router# conf t

Router(config)# li c 0

Router(config-line)# login

Router(config-line)# password ICQACon

Router(config-line)# exit

Router(config)# exit

Router# copy r s

18. Router2의 Interface Serial 0을 활성화 시키고 저장하시오.

Router> en

Router# conf t

Router(config)# int s0

Router(config-if)# no sh

Router(config-if)# exit

Router(config)# exit

Router# copy r s

19. Hostname을 network2로 변경하고, Console 0의 Password를 route5로 변경하고 login하라.

Router> en

Router# conf t

Router(config)# host network2

network2(config)# li c 0

network2(config-line)# password route5

network2(config-line)# login

network2(config-line)# exit

network2(config)# exit

network2#copy r s

20. domain-name을 'DOMAIN'으로 설정하고 저장하시오.

Router> en

Router# conf t

Router(config)# ip domain-name DOMAIN

Router(config)# exit

Router# copy r s

21. DHCP 네트워크를 192.168.100.0/24 서버이름은 'icqa'로 설정하시오.

Router> en

Router# conf t

Router(config)# ip dhcp pool icqa

Router(dhcp-config)# network 192.168.100.0 255.255.255.0 

Router(dhcp-config)# exit

Router(config)# exit

Router# copy r s

네트워크관리사 실기 정리 (2)- TCP/IP, 리눅스, 신경향 문제

10번 부터 15번까지의 문제로써 단답형 또는 보기가 주어지는 문제입니다.

단답형 문제

* ICQA 예제에 나오는 문제

10.

 (A)는 시스템의 상태정보나 데이터를 그래프로 그려주는 일종의 그래픽 툴이다.

 - 대부분의 ISP는 (A)를 이용하여 네트워크 장비의 트래픽 처리능력과 동작상태를 모니터링하고 있다.

- (A)는 설치하기가 쉽고 수치적인 데이터를 시각적으로 출력해주면 freeware이기 때문에 모니터링 장비가 많지 않고 값비싼 NMS 솔루션 대신에 많이 사용한다.

- script에 익숙하다면 SNTP로 읽을 수 있는 데이터 외에 시스템과 관련된 다양한 정보를 그래픽으로 출력할 수 있다.

정답:

11.

정답:

12.

정답:

13.

정답:

14.

정답:

15.

정답:

* 기출문제

1. 아래의 설명과 관련된 네트워크 기술은 무엇인가?

-------------

외부에 공개된 웹 서비스로 HTTP, HTTS 프로토콜에 대한 보안 능력이 미흡하다.

IPS는 웹 보안에 대해서는 패킷 필터링 방식의 한계로 인해 검사 정확도 결여 및 SSL 통신에 대해 검사가 불가능하므로 웹 보안에 취약하다.

웹 어플리케이션의 취약점을 이용한 홈페이지 변조. 사용자 ID 도용. 관리자 권한 획득 및 중요정보 획득 가능성

-----------------

정답: 

2. 아래의 설명과 관련된 네트워크 기술은 무엇인가?

--------------------

최단 경로 우선 프로토콜은 인터넷 프로토콜 네트워크를 위한 링크 스테이트 라우팅 프로토콜이다. 링크 스테이트 라우팅 알고리즘을 사용하며 하나의 자율 시스템(AS)에서 동작하면서 내부 라우팅 프로토콜의 그룹에 도달한다.

--------------------

정답:

!!아이디 구하기 중요

3. IP와 서브넷 마스크 정보를 바탕으로 네트워크 ID(IP)를 구하시오.

172.150.72.1  /  255.255.224.0

풀이 및 정답:

4. 서브넷 마스크를 보고 네트워크 아이디를 구하라.

172.168.100.2 / 19

풀이 및 정답:

5. 호스트들의 IP중에서 네트워크 ID에 해당하는 값을 입력하시오.

162.128.1.1/18

162.128.1.2/18

more

162.128.1.253/18

162.128.1.254/18

풀이 및 정답:

!!리눅스 문제

6. 리눅스에서 IP address 정보를 확인하는 명령어는?

정답:

7. 리눅스에서 파일이나 폴더를 찾을 때 사용하는 명령어는 무엇인가?

정답:

8. 리눅스에서 현재 설치된 하드디스크와 용량을 확인하는 명령어는 무엇인가?

정답:

9. 리눅스에서 현재 위치를 확인하고 싶을 때 사용하는 명령어는 무엇인가?

정답:

10. 리눅스에서 도움말-메뉴얼을 확인하는 명령어는 무엇인가?

정답:

11. 리눅스에서 포트/프로토콜 정보를 확인할 수 있는 명령어는 무엇인가?

정답:

12. 다음 설명에 해당하는 Class는?

할당가능 네트워크 주소는 2^14개이다.

할당가능 호스트 주소 수는 2^16개이다.

(앞의 식별코드 2비트는 네트워크 주소에서 제외된다.)

정답:

13. 다음이 설명하는 네트워크 기술은?

인터넷망과 같은 공중망을 사설망처럼 이용해 회선비용을 크게 절감할 수 있는 기업통신 서비스

정답:

14. IDS(침입탐지시스템)는 크게 오용탐지와 비정상행위탐지 두가지로 분류된다.

오용탐지에 해당하는 특징은 무엇인가?

정답:

15. 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안솔루션.

수동적인 방어 개념의 IDS와 달리 침입경고 이전에 공격을 중단시키는데에 초점을 두었다.

비정상행위를 통제할 수 있다.

정답:

16. 네트워크 스위치의 어떤 한 포트에서 보이는 모든 네트워크 패킷 혹은 전체 VLAN을 모든 패킷들을 다른 모니터링 포트로 복제하는데 사용되는 것은?

정답)

17. IP주소를 사용하는 것의 낭비를 막기 위해 모든 호스트에 공인 IP주소를 설정하는 대신, 내부적으로 사설 IP를 설정하여 사용하고, 인터넷에 접속할 때에만 공인 IP로 변환하는 기술.

정답)

17. 2개이상의 다른, 혹은 같은 종류의 통신망을 상호 접속하여 통신망 간 정보를 주고 받을 수 있게하는 기능의 단위 또는 장치

정답)

18. 데이터링크 계층 중 MAC계층에서 일하며 두 세그먼트 사이에서 데이터링크 계층 간의 패킷 전송을 담당하는 장치는?

정답:

19. 매니지먼트와 에이전트 사이에서 관리정보를 주고 받기 위한 프로토콜은?

정답:

20. TCP/IP기반 네트워크 상에서 서버나 라우터가 에러나 예상치 못한 사건들을 보고할 목적으로 만들어진 프로토콜로 RFC792에 정의되어 있는 프로토콜은 무엇인가?

정답:

21. 동적디스크 볼륨 중 볼륨자체에서 하나의 디스크 손상 시 다른 하드디스크의 data로 손상된 부분을 복구할 수 있는 내결함성을 지원하는 볼륨. 해당 볼륨의 종류는 RAID1과 RAID 0+1이 있다.

이 기술의 이름.

정답:

22. 임의로 구성된 웹사이트를 통하여 이용자의 정보를 빼가는 해킹수법의 하나는?

정답:

23. 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있게 해주는 응용프로그램 또는 그 프로토콜을 의미한다.

정답:

24. '스위칭'이라는 LAN기술을 기반으로 물리적 시간만 고려되었던 LAN분야에 가상이라는 개념을 도입한 것이다. 네트워크 구성에 대한 지리적 제한을 최소화하면서 사용자가 원하는 최대한의 논리적인 네트워크를 구성할 수 있도록 수단을 제공한다.

정답:

25. 서브넷마스크 255.255.224.0 주소를 기주능로 했을 때, 사용 가능한 서브넷 수는 몇 개인가?

정답:

26. 이미 발견되어 있는 공격 패턴을 미리 입력해두고, 해당하는 패턴을 탐지하는 기법.

알려진 기법 이외에는 탐지할 수 없기 때문에 새로운 공격에는 비효율적이다.

다른 말로 signature base나 knowledge base로 불리운다.

정답:

선택형 문제

1. 아래에 제시된 내용은 IPv6에 대한 내용이다. A, B, C, D에 알맞은 보기를 선택하시오.

IPv6

(A) 비트 X (B)개 = 128bit

표현: (C)진수

유니캐스트, 멀티캐스트, (D)

보기

1) 8, 8, 16, 애니캐스트

2) 8, 16, 10, 브로드캐스트

3) 16, 8, 16, 애니캐스트

4) 16, 16, 10, 브로드캐스트

정답:

2. 아래 제시된 프로토콜 TCP/IP 4계층의 인터넷 계층에 해당되는 것을 모두 선택하시오.

1) ATM

2) TCP

3) ARP

4) ICMP

5) SMTP

6) FTP

7) UDP

8) IGMP

정답:

3. 아래 보기 중 UDP 프로토콜의 특징에 해당하는 것을 모두 선택하시오.

1. 신뢰성

2. 비신뢰성

3. 연결형

4. 비연결형

5. 순서형

6. 비순서형

정답:

4. IP멀티캐스트를 실현하기 위한 통신 규약으로 RFC 1112에 규정되어 있으며 LAN상에서 라우터가 멀티캐스트 통신을 구비한 PC에 대해 멀티캐스트 패킷을 분배하는 경우에 사용된다.

1. UDP

2. TCP

3. ARP

4. RARP

5. ICMP

6. IGMP

7. Telnet

8. FTP

정답:

5. 인터넷 웜 등의 악성코드 및 해킹 등을 통한 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 네트워크와 호스트 컴퓨터를 보호하는 솔루션

1. 방화벽

2. SQL인젝션

3. IDS

4. 웹어플리케이션방화벽

5. XSS

정답:

네트워크관리사 실기는 다른 실기시험과 같이 60점이상을 맞아야 합격입니다.

이번 포스팅에서는 케이블제작, Windows 2008 Server에 대해 다루도록 합니다.

이미지들은 햄릿슈TV 유튜브를 참조하였습니다.

1) 다이렉트 케이블 만드는 문제 (배점: 6.5점)

랜케이블을 커트기를 이용해 벗긴다음 꼬여있는 선을 풀어 위 순서에 따라 커넥터에 꽂아 넣습니다.

순서 색깔은 아래와 같습니다.

주띠 -> 주 -> 녹띠 -> 파랑-> 파띠-> 녹-> 갈띠->갈

크로스배열은 거의 안나온다고 보면 됩니다. 다이렉트만 외우도록 합니다.

작업이 완료되면 스티커를 붙여 제출합니다.

- Windows 2008 server R2 (배점: 5.5점 x 8문제 = 44점)

2) IP Address와 Subnet Mask 설정

IP Address: 11000000 10101000 01100100 00011011

Subnet Mask: 24bit

1인 부분을 2진수로 구해서 각각 더한다. 0인 부분은 무시한다.

128+64 . 128+32+8 . 64+32+4 . 16+8+2+1

정답)

IP주소: 192.168.100.27

IPv4 속성 들어가서 주소에 위IP를 적고, 서브넷마스크는 255.255.255.0을적는다.

(서브넷 마스크가 32비트면 255.255.255.255, 16비트면 255.255.0.0을 적는다.)

서브넷마스크가 22비트 일시, 2를 2진법 뒤에서 부터 계산한후 255에서 빼준다.

즉, 255 - 2x1 - 1x1 = 252

22비트 서브넷 마스크 = 255.255.252.0

같은 원리로 21비트 서브넷 마스크는 255 - 4x1 - 2x1 - 1x1 = 248

21비트 서브넷 마스크 = 255.255.248.0

문제에서는 기본 게이트웨이, DNS주소 서버를 입력하는 것이 안나오기 때문에

그것은 건드리지 않는다.

3) Web Server 설정 문제

아래의 순서대로 한다.

사이트에서 오른쪽 클릭해서 웹사이트 추가

- 사이트이름에 ICQA 입력

- 실제경로에 D:\web 입력

- IP주소에 211.111.144.240 입력, TCP포트에 8080입력

- 확인 클릭

그 뒤 'IP주소 및 도메인 제한'에 더블클릭하여 들어감

오른클릭 후 허용항목 추가

위에는 211.111.100.0 입력

아래는 255.255.255.0 입력

밖으로 나간뒤 저장하기 눌러서 저장확인

4) 서비스 설정

서비스 목록 중 World wide web 부분을 더블클릭

중지 클릭

그리고 시작유형을 사용안함으로 변경

확인 누르고 x버튼 누름.

5) DHCP 설정

IPV4에서 새범위 추가

이름과 설명에 문제에 있는대로 기입하고 다음

시작 IP주소, 끝 IP주소, 길이 를 입력하고 다음

제외 IP 주소 입력

문제에서 192.168.100.1 ~ 10 이므로

앞에 192.168.100.1입력, 그 뒤에 192.168.100.10 입력 후 추가

그리고 다음 클릭

임대기간에 6시간 입력 후 다음

그 뒤 구성이 다 끝났으면 아니오. 체크하고 다음

그리고 엑스 눌러서 저장

6) DNS 설정

역방향 조회영역에서 "마우스 오른쪽" 클릭해서 새영역 추가

새영역 마법사 시작에서 다음.

체크되어있는 주영역에 두고 다음.

영역에는 icqa.or.kr 입력 후 다음.

다음 이름으로 새 파일 만들기에서 다음 클릭.

동작업데이트에서 다음 클릭.

새영역 마법사 완료에서 마침 클릭.

icqa.or.kr 추가 된것 확인

icqa.or.kr 오른 클릭하여 속성에 들어감

DOA권한 시작 탭 누름.

일련번호(serial number)에 12 입력.

주서버는 SOA 뒤에 있는 ns.icqa.or.kr 입력.

책임자는 master.icqa.or.kr 입력.

새로고침(refresh) 간격 900초 입력.

다시시도(retry) 간격 600초 입력.

다음날짜 이후에 만료(expire) 86400초 입력.

최소(기본값) TTL 7200초 입력 후 확인

다시 iqca.or.kr 오른 클릭해서 새호스트에 들어감. (새별칭 아님)

새호스트 창에서 위에 mail, IP주소에 211.111.144.241 입력 후 호스트 추가.

그뒤 network도 211.111.144.240으로 추가

그리고 엑스 눌러서 창 닫음.

호스트가 아닌 별칭, CNAME도 나올 수 있으므로 염두해두어야함.

7) 보안옵션 설정

아래 보안옵션에 들어가서 이름 바꾼다.

그 아래 게스트 계정 사용안함으로 변경하고 확인

8) FTP 추가

사이트에서 FTP사이트 추가

사이트이름 ICQA-FTP2 입력.

실제 경로 C:\ 입력 하고 다음.

IP주소와 포트 입력 후 다음

그리고 설정값이 없으니 다음.

생성된 사이트 오른 클릭해서 FTP사이트 관리 > 고급 설정 들어간다.

데이터 채널 시간 제한, 소켓풀링 사용안함을 true, 최대동시 연결수 20으로 입력

엑스 눌러서 나온다.

9) 스케줄러 추가

오른 클릭 후 작업만들기 클릭

동작탭 > 새로만들기 추가

동작에서 전자메일 보내기 선택

10번부터 15번까지는 리눅스 TCP/IP 등 단답형 문제입니다.

리눅스에 깔려있는 아파치 톰캣을 윈도우 PC에서 모니터링해 보는 방법을 알아본다.

1. 톰캣 버전 확인

아파치 톰캣 버전이 9.0대면 이미 JMX remote가 내장되어 있지만, 그 아래 버전이면 홈페이지가서 다운 받아야 한다.

https://tomcat.apache.org/download-80.cgi

본인컴퓨터에 깔려있는 톰캣 버전을 확인하려면 tomcat/bin 폴더에 가서 아래 명령어를 입력하면 된다.

$./catalina.sh version

참고로 카탈리나 명령어를 통해 start, stop도 할 수 있다.

2. catalina.sh 설정

catalina.sh에 바로 jmx remote 설정 문구를 넣는 케이스도 있는데, 그냥 서버 ip와 port만 넣어주는 것으로 한다.

catalina.sh는 tomcat/bin 폴더 에 있다.

catalina.sh

serverIP="10.26.10.110"
remotePORT=9090
rmiPORT=9091

여기서 서버IP는 모니터링 프로그램 VMVisual을 실행시키는 서버가 아니라 톰캣이 돌아가고 있는 서버의 IP이다.

3. setenv.sh

bin폴더 안에 setenv.sh를 만들어서 아래와 같이 써준다.

########JMX remote start########


# OOM 발생시 /home/heapdump 에 heapdump 뜨고 GC 로그 남도록 설정
export CATALINA_OPTS="$CATALINA_OPTS -server -Xms1024m -Xmx1024m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/heapdump -verbose:gc -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:/home/tomcat_8080/logs/gc.log -XX:+UseGCLogFileRotation -XX:GCLogFileSize=2m -XX:NumberOfGCLogFiles=100"

export JMX_OPTS="$JMX_OPTS -Dcom.sun.management.jmxremote 
-Dcom.sun.management.jmxremote.authenticate=false 
-Djava.rmi.server.hostname=${serverIP}
-Dcom.sun.management.jmxremote.port=${remotePORT}
-Dcom.sun.management.jmxremote.rmi.port=${rmiPORT}
-Dcom.sun.management.jmxremote.ssl=false "
CATALINA_OPTS="${JMX_OPTS} ${CATALINA_OPTS}"

#########JMX END###############

setenv.sh는 catalina가 실행될 때 저절로 불러오게끔 코딩되어 있다.

4. 톰캣 실행

./catalina.sh start 또는 systemctl start tomcat으로 톰캣을 실행한다.

5. 연결

VMvisual을 실행하여 Add remote에 가서 해당 Host와 Port를 써준다.

실제로 연결되는지 확인하려면 Jconsole을 사용해도 무방하다.

WEB이란 네트워크 체계 위에서 동작하는 통신 규약(HTTP) 중의 하나이다.

인터넷 안에서 돌아가는 시스템들을 나열해 보면 아래와 같다.

nginx는 요즘 떠오르는 차세대 웹서버 소프트웨어이다. 적은 자원으로 더 많은 일을 할 수 가 있다.

APCHE는 요청이 많을 경우 Process를 생성하여 처리하는 방식(preFork)이다. APACHE는 접속마다 프로세스 또는 Thread를 생성하는 구조이다. 동시 접속 요청이 10,000개라면 그 만큼 Thread 생성 비용이 들 것이고 대용량 요청을 처리할 수 있는 웹서버로서의 한계를 드러내게 된다.

반면 NGINX는 Event-driven 방식으로 동작한다.

한 개 또는 고정된 프로세스만 생성하고, 그 프로세스 내부에서 비동기방식으로 효율적으로 작업들을 처리한다. 따라서 동시 접속 요청이 많아도 프로세스 또는 쓰레드 생성 비용이 존재하지 않는다.

우분투 18.04에서 NGINX 설치 방법

nginx는 Ubuntu의 레파지토리에 default로 있기에 아래와 같이 명령어를 입력한다.

$ sudo apt update

$ sudo apt install nginx

그렇다면 아래와 같이 nginx가 설치된다.

root2@DESKTOP-024G8AA:~$ sudo apt update
Get:4 https://download.docker.com/linux/ubuntu bionic InRelease [64.4 kB]
Hit:1 http://mirror.kakao.com/ubuntu bionic InRelease
Get:2 http://mirror.kakao.com/ubuntu bionic-updates InRelease [88.7 kB]
Get:3 http://mirror.kakao.com/ubuntu bionic-backports InRelease [74.6 kB]
Get:5 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages [9594 B]
Get:6 http://security.ubuntu.com/ubuntu bionic-security InRelease [88.7 kB]
Get:7 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 Packages [768 kB]
Get:8 http://mirror.kakao.com/ubuntu bionic-updates/main Translation-en [275 kB]
Get:9 http://mirror.kakao.com/ubuntu bionic-updates/restricted amd64 Packages [18.7 kB]
Get:10 http://mirror.kakao.com/ubuntu bionic-updates/restricted Translation-en [5328 B]
Get:11 http://mirror.kakao.com/ubuntu bionic-updates/universe amd64 Packages [1022 kB]
Get:12 http://mirror.kakao.com/ubuntu bionic-updates/universe Translation-en [315 kB]
Get:13 http://mirror.kakao.com/ubuntu bionic-updates/multiverse amd64 Packages [8096 B]
Get:14 http://mirror.kakao.com/ubuntu bionic-updates/multiverse Translation-en [3972 B]
Get:15 http://mirror.kakao.com/ubuntu bionic-backports/main amd64 Packages [2512 B]
Get:16 http://mirror.kakao.com/ubuntu bionic-backports/main Translation-en [1644 B]
Get:17 http://mirror.kakao.com/ubuntu bionic-backports/universe amd64 Packages [4024 B]
Get:18 http://mirror.kakao.com/ubuntu bionic-backports/universe Translation-en [1856 B]
Get:19 http://security.ubuntu.com/ubuntu bionic-security/main amd64 Packages [545 kB]
Get:20 http://security.ubuntu.com/ubuntu bionic-security/main Translation-en [182 kB]
Get:21 http://security.ubuntu.com/ubuntu bionic-security/restricted amd64 Packages [9856 B]
Get:22 http://security.ubuntu.com/ubuntu bionic-security/restricted Translation-en [3480 B]
Get:23 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [617 kB]
Get:24 http://security.ubuntu.com/ubuntu bionic-security/universe Translation-en [206 kB]
Get:25 http://security.ubuntu.com/ubuntu bionic-security/multiverse amd64 Packages [5476 B]
Get:26 http://security.ubuntu.com/ubuntu bionic-security/multiverse Translation-en [2500 B]
Fetched 4324 kB in 13s (328 kB/s)
Reading package lists... Done
Building dependency tree
Reading state information... Done
291 packages can be upgraded. Run 'apt list --upgradable' to see them.


root2@DESKTOP-024G8AA:~$ sudo apt install nginx
[sudo] password for root2:
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
  libnginx-mod-http-geoip libnginx-mod-http-image-filter libnginx-mod-http-xslt-filter libnginx-mod-mail
  libnginx-mod-stream nginx-common nginx-core
Suggested packages:
  fcgiwrap nginx-doc ssl-cert
The following NEW packages will be installed:
  libnginx-mod-http-geoip libnginx-mod-http-image-filter libnginx-mod-http-xslt-filter libnginx-mod-mail
  libnginx-mod-stream nginx nginx-common nginx-core
0 upgraded, 8 newly installed, 0 to remove and 291 not upgraded.
1 not fully installed or removed.
Need to get 598 kB of archives.
After this operation, 2120 kB of additional disk space will be used.
Do you want to continue? [Y/n] Y
Get:1 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 nginx-common all 1.14.0-0ubuntu1.6 [37.3 kB]
Get:2 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 libnginx-mod-http-geoip amd64 1.14.0-0ubuntu1.6 [11.2 kB]
Get:3 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 libnginx-mod-http-image-filter amd64 1.14.0-0ubuntu1.6 [1
4.5 kB]
Get:4 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 libnginx-mod-http-xslt-filter amd64 1.14.0-0ubuntu1.6 [12
.9 kB]
Get:5 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 libnginx-mod-mail amd64 1.14.0-0ubuntu1.6 [41.7 kB]
Get:6 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 libnginx-mod-stream amd64 1.14.0-0ubuntu1.6 [63.6 kB]
Get:7 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 nginx-core amd64 1.14.0-0ubuntu1.6 [413 kB]
Get:8 http://mirror.kakao.com/ubuntu bionic-updates/main amd64 nginx all 1.14.0-0ubuntu1.6 [3596 B]
Fetched 598 kB in 1s (1183 kB/s)
Preconfiguring packages ...
Selecting previously unselected package nginx-common.
(Reading database ... 46509 files and directories currently installed.)
Preparing to unpack .../0-nginx-common_1.14.0-0ubuntu1.6_all.deb ...
Unpacking nginx-common (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package libnginx-mod-http-geoip.
Preparing to unpack .../1-libnginx-mod-http-geoip_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking libnginx-mod-http-geoip (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package libnginx-mod-http-image-filter.
Preparing to unpack .../2-libnginx-mod-http-image-filter_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking libnginx-mod-http-image-filter (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package libnginx-mod-http-xslt-filter.
Preparing to unpack .../3-libnginx-mod-http-xslt-filter_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking libnginx-mod-http-xslt-filter (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package libnginx-mod-mail.
Preparing to unpack .../4-libnginx-mod-mail_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking libnginx-mod-mail (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package libnginx-mod-stream.
Preparing to unpack .../5-libnginx-mod-stream_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking libnginx-mod-stream (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package nginx-core.
Preparing to unpack .../6-nginx-core_1.14.0-0ubuntu1.6_amd64.deb ...
Unpacking nginx-core (1.14.0-0ubuntu1.6) ...
Selecting previously unselected package nginx.
Preparing to unpack .../7-nginx_1.14.0-0ubuntu1.6_all.deb ...
Unpacking nginx (1.14.0-0ubuntu1.6) ...
Processing triggers for ufw (0.35-5) ...
Setting up docker.io (18.09.2-0ubuntu1~18.04.1) ...
invoke-rc.d: could not determine current runlevel
Processing triggers for ureadahead (0.100.0-20) ...
Setting up nginx-common (1.14.0-0ubuntu1.6) ...
Created symlink /etc/systemd/system/multi-user.target.wants/nginx.service → /lib/systemd/system/nginx.service.
Setting up libnginx-mod-http-image-filter (1.14.0-0ubuntu1.6) ...
Processing triggers for systemd (237-3ubuntu10.3) ...
Setting up libnginx-mod-mail (1.14.0-0ubuntu1.6) ...
Processing triggers for man-db (2.8.3-2) ...
Setting up libnginx-mod-http-xslt-filter (1.14.0-0ubuntu1.6) ...
Setting up libnginx-mod-http-geoip (1.14.0-0ubuntu1.6) ...
Setting up libnginx-mod-stream (1.14.0-0ubuntu1.6) ...
Setting up nginx-core (1.14.0-0ubuntu1.6) ...
Cannot open netlink socket: Protocol not supported
invoke-rc.d: could not determine current runlevel
Setting up nginx (1.14.0-0ubuntu1.6) ...
Processing triggers for ureadahead (0.100.0-20) ...
Processing triggers for ufw (0.35-5) ...
W: APT had planned for dpkg to do more than it reported back (40 vs 44).
   Affected packages: docker.io:amd64

방화벽설치

NGINX를 테스트하기전에 ufw라는 방화벽을 설치한다.

root2@DESKTOP-024G8AA:~$ sudo ufw app list
Available applications:
  Nginx Full
  Nginx HTTP
  Nginx HTTPS
  OpenSSH

아직 서버에 SSL을 구성하지 않았으므로 포트 80의 트래픽만 허용하면 된다.

다음을 입력하여 활성화 할 수 있다.

$ sudo ufw allow 'nginx HTTP'

----------

윈도우 우분투는 iptables를 사용할 수 없다고 나온다.

nginx의 상세 설정은 conf파일을 통해 이루어지며 자세한 것은 아래 링크에 있다.

https://sarc.io/index.php/nginx/61-nginx-nginx-conf

systemctl start nginx

systemctl stop nginx

systemctl restart nginx

리눅스에서는 위 명령어로 nginx를 쉽게 조작할 수 있다.

1. SQL Injection

1) ID 입력란에 'or 1=1#', 비밀번호에 pwpwpw 나 아무것이나 치면 True가 뜨면서 admin으로 로그인이 성공함.

  해결책) 유효성 검사를 통해 특수 문자, 기호를 아이디 란에 입력하지 못하게끔 해야함.

2. 웹사이트에 malware 업로드

1) 웹사이트에 php 명령문을 먹는 malware 파일을 게시판에 업로드 함.

2) 업로드가 성공하면 그 파일이 업로드 된 경로를 찾아 들어감

3) 그 뒤 주소창에서 ?cmd=cat/etc/passwd를 입력하면 malware php파일 안에서 명령문이 먹으면서 비밀번호들이 유출 됨.

해결책: 파일을 업로드 시 jpg라던지 pdf 라던지의 확장자명을 강제하며 파일 업로드 권한을 아무에게나 주지 않는다.

3. 피싱

1) 피싱파일을 리눅스 환경에서 작성. 

2) 이메일로 보내고 피해자가 파일을 실행함. 이 때 견적서 라던지 회사 파일이라던지 사회공학적 기법으로 접근

3) 확장자는 pdf지만 실행하면 나의 리눅스 환경에서 파일이 실행되었다고 연결이 뜸

4) 그 뒤 cmd 환경에서 내가 원하는 대로 피해자의 컴퓨터를 조작 가능.

   하지만 피해자가 컴퓨터를 종료하면 그 pdf파일을 다시 실행하지 않는 이상 원격조종이 안되기 때문에 컴퓨터가 시작될 때마다 악성파일을 실행시키게끔 레지스트리를 설정 해놓아야함.

해결책: 의심되는 메일은 열어 보지말며, 의심되는 파일은 다운받지않는다. 그리고 방화벽으로 외부 통신을 차단한다.

1. IDS/IPS

- 침입탐지시스템(IDS, Intrusion Detection System)은 ID 절차를 자동화하기 위해 이벤트를 수집, 분석, 처리, 저장하기 위한 기능을 수행한다.

• IDS는 다음과 같은 공통적인 기능들을 수행한다.

- 식별된 이벤트와 관련한 정보를 기록한다.
- 식별된 이벤트 중 중요도에 따라 관리자에게 공지한다.
- 특정 기간, 조건을 기반으로한 보고서를 생성한다.

- 침입방지시스템(IPS, Intrusion Prevention System)은 IDS의 기능과 더불어 식별된 이벤트를 처리 후 차단하는 기능을 수행한다.

2. Snort

- 시그니처 기반 NIDS의 엔진으로 사용되는 대표적인 오픈소스이다. \

- IDS가 수행해야할 기능들에 대한 구성 요소를 포함한다.

- 네트워크 데이터에 대한 수집, 해석, 전처리, 탐지, 로깅, 처리, 저장 등의 기능을 보유한다.

- 주요 기능들을 디코더, 탐지 엔진에 의해 처리한다.

- 탐지 엔진은 정의된 룰셋에 의해 패킷 데이터를 식별, 탐지 후 이벤트를 생성, 로깅한다.

• Snort의 구성은 스니퍼, 패킷 로거, NIDS 모드로 구분한다.

• 스니퍼 모드는 네트워크 데이터를 수집하고 데이터 스트림을 출력한다.

• 패킷 로거 모드는 Snort가 설치된 NIDS 시스템의 하드디스크에 패킷을 기록한다.

• NIDS 모드는 사용자 기반의 룰셋에 의한 네트워크 데이터를 분석하고 처리한다.

3. 스위치와 라우터

- L2 Ethernet Header를 참조해서 스위칭 하는 장비를 스위치라고 하며 L3 IP Header를 참조해서 스위칭하는 장비를 라우터라고 함.

- 스위치의 성능이 좋아져 IP Packet을 스위칭하게되는데 이를 L3 스위치라고 함. (라우터와 동일)

4. 방화벽 (firewall)

• 방화벽은 네트워크나 호스트 간 네트워크 트래픽 흐름을 통제하거나 모니터링하는 시스템이다. • 조직의 정보는 대부분 컴퓨터에 저장되기에 정보 보안을 위해 불법적인 접근을 차단해야 한다.

• 방화벽은 단일 시스템을 기준으로 외부 인터넷에서의 접근을 제한시키는 것이 사용 목적이다.

• 조직은 외부와 내부 네트워크 사이에 방화벽을 설치함으로 불필요하거나 악의적인 트래픽을 거부 혹은 차단한다.

• 방화벽의 기능은 접근 통제, 사용자 인증, 감사 및 로그, 프록시, 주소 변환 등을 보유한다.

• 방화벽은 침입 차단의 대상 네트워크 계층에 아래와 같이 분류 할 수 있다.
- 패킷 필터 방화벽(Packet Filtering Firewall) 

- 상태 기반 패킷 검사 방화벽(Stateful Packet Inspection Firewall) 

- 애플리케이션 수준 방화벽 - 프록시 서버(Proxy-Server) 

- 회선-레벨 게이트웨이(Circuit-level Gateway)

방화벽 솔루션 예) Forty gate 등 다수

프록시(Proxy) 란? 

프록시란 ‘대리＇라는 뜻을 가지고 있는데, 네트워크 기술에서는 프로토콜에 있어서 대리 응답 등을 행하는 개념이다.
보안 분야에서 주로 보안상의 이유로 직접 통신할 수 없는 두 점 사이에서 통신을 할 경우 그 사이에서 중계기로서 대리로 통신을 수행하는 기능을 가리켜 ‘프록시(Proxy)’, 그 중계 기능을 하는 것을 “프록시 서버(Proxy Server)라고 한다.

1. UTM(통합 위협 관리, Unified Threat Management)

 - Firewall, VPN, IPS, Anti-virus, Anti-DDoS, 웹필터링 등 다양한 보안기능을 단일 어플라이언스 형태로 통합하여 관리 복잡성을 최소화하고 복합적인 위협요소를 효율적으로 방어하기 위한 통합보안 솔루션

- 여러 기능을 수행함으로써 관리의 편의성과 관리비용의 절감을 가져오는 장점이 있는 반면 단일 전용 장비 대비 기능과 성능, 신뢰성에 대한 이슈가 요구 된다.

- 단순히 비인가 IP 차단 뿐만 아니라 침입방지시스템(IPS) 기능까지 지원하고 해킹에 대한 탐지, 차단 역할도 수행하게 되며, 이외에도 애플리케이션 필터링, URL 필터링, 안티바이러스(네트워크) 등의 보안 기능을 탑재하고 있다.

솔루션 예: MF2

UTM의 주요 기능

2. WAF (Web Application Firewall)

 •  웹 방화벽은 일반적인 네트워크 방화벽(Firewall)과는 달리 웹 애플리케이션 보안에 특화되어 개발된 솔루션을 의미한다.

 •  웹 방화벽의 기본 역할은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단하는 것이다.

 • 최근의 웹 방화벽은 직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 부정 로그인 방지 솔루션, 웹 사이트 위변조 방지 솔루션 등으로 여러가지 기능을 가지고 있다.

솔루션 예) MOD Security

3. DLP (data Loss Prevention)

• 기업 구성원과 프로세스, 기술의 결합을 통해 고객 또는 직원에 대한 개인 신원확인 정보(PII), 재무제표, 마케팅 계획과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적재산(IP)을 포함하는 기밀 정보 등이 기업 밖으로 유출되는 것을 방지하기 위한 솔루션이다.

 • 최근 여러 가지 정보 유출 사건이 언론을 통해 알려지면서 정보 손실 방지에 대한 중요성이 대두 되었으며, DLP는 IT 보안만의 문제가 아닌 기업 경영진의 선결과제로 부각되고 있다.

 • 외부의 악의적인 공격으로 인해 정보가 손실되는 경우도 있지만 일반 직원들의 부주의와 기업 프로세스 위반이 원인이 되어 정보가 손실되는 경우가 더 많다.

PII(Personally Identifiable Information)란? PII는 개인을 식별할 수 있는 정보를 의미하는데, 나 자신을 증명할 수 있는 이름, 주소, 주민번호, 운전면허 번호, 지문 정보, 신용카드 번호, 생일, 유전자 정보, 전화번호와 같은 정보가 이에 해당한다.

IP(Intellectual Property rights)란? 지식 재산권 또는 지적 재산권을 의미하는 IP는 인간의 창조적 활동 또는 경험 등을 통해 창출하거나 발견한 지식, 정보, 기술이나 표현, 표시 그 밖의 무형적인 것으로서 재산적 가치가 실현될 수 있는 지적창작물에 부여된 재산에 관한 권리를 의미한다.

솔루션 예) Somansa, Saferzone

DLP 솔루션의 목적

1. 개인 정보 보호

2. 지적 재산권 보호

3. 정보의 가시성 - DLP는 엔드포인트, 네트워크 및 클라우드에서 정보의 이동을 읽고 추적할 수 있도록 해준다.

DLP와 DRM과의 차이점

4. APT 솔루션

시그니처 기반으로 탐지되지 않는 고도화된 공격, 즉 제로데이 공격같이 패턴이 아직 업로드 되지 않았거나, 알려지지 않은 공격에는 취약할 수밖에 없다. 그래서 등장한 제품이 APT 대응 솔루션이다.

• APT 솔루션은 신종 APT/악성코드 공격을 탐지/방어하는 솔루션으로 최근 발생하고 있는 랜섬웨어, 자료 유출 사고, 네트워크 마비 등 보안 사고를 미연에 방지하기 위한 정보 보안 시스템이다.

• 사용자단의 행위 기반 방어 제품(EDR)과 네트워크 패킷 분석 기능을 연계로 사용하여 오탐을 최소화하고 정확한 탐지 및 대응을 하는 것이 목적이다.

APT 솔루션의 대응 방법

• 네트워크 APT 대응 솔루션은 네트워크 영역에서 완성된 파일이나 데이터를 확인하기 어렵기 때문에 평소의 활동과 비교하거나 네트워크 접속 유형, C&C 서버와의 통신, APT 감염 사이트 접속 등을 분석하는 형태로 탐지를 진행한다.

• Email APT 대응 솔루션은 APT 공격의 주요 침입로로 이메일이 활용되고 있는 점에서 착안해 이메일 보안에 특화된 기능을 제공한다. 보통 이메일 보안 솔루션 독자적으로 또는 전문 장비와 연동해 탐지율을 높이는 방법으로 이메일을 통해 내부로 유입되는 악성코드 및 유해 요소를 차단한다.

• Endpoint APT 대응 솔루션은 주로 안티바이러스(Anti Virus)를 통해 운영된다. 기본적인 골자는 패턴과 시그니처 기반의 백신과 큰 차이 없으나 APT를 고려한 기능이 추가돼 있다. 그 기능으로 동적 분석 기술과 C&C 서버 통신 차단 등의 기능을 대표적으로 꼽을 수 있다.

5. ESM 솔루션

Enterprise Security Management(기업 보안 관리)의 약자로, 기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제, 운영, 관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템이다.

• 방화벽, 침입 탐지 시스템, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보 대응 및 보안 정책을 등이 여기에 포함된다

• 또한 기업이 보유한 IT 보안 인프라에 대해 가용성, 무결성, 보안성을 보장하기 위한 전사적인 보안관리 시스템이기도 하다.

ESM 솔루션의 주요 기능

ESM 솔루션 – 도입 효과

• 각종 보안 솔루션의 알람 및 로그 정보를 중앙 집중화 된 시스템에서 통합관제 및 관리하여, 보안 시스템 관리의 효율성 증대

• 소수의 특정 관리 인원을 할당하여 관리를 담당하게 할 수 있어 비용 효율적인 보안 관리 가능

• 보안 관리자의 교육 시간과 숙달 시간을 최소화

• 각종 로그 정보에 대한 통합 관리를 통해 사전 예방책 마련 가능

• 통계 처리 기능을 이용하여 주기적인 시스템 상태 분석 가능

• 표준화된 보안관리 정책/절차의 수립

• 문제 발생 후 사후조치에서 예방적인 보안관리 체계로의 수립

6. SIM (Security Information and Event Management)

•빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계이다.

• 기존의 ESM(Enterprise Security Management)의 역할을 보안 영역에서 기업 전반으로 확대시키고, 기업 컴플라이언스 대응 기능을 추가하였다.

• 기업 내 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지한다.

• 네트워크, 하드웨어 및 응용 프로그램에 의해 생성된 보안 경고의 실시간 분석이 가능하다.

SIM 솔루션의 필요성

• 기업의 보안정책 중 외부 해킹 공격에 대한 효과적인 차단과 탐지, 모니터링 등의 전체 운영관리, 심층분석, 대규모 확장성, 통합 뷰의 관한 니즈가 증대하였다.

• 매일 생성되는 빅데이터급의 로그 증가로 인한 효율적인 로그 관리 및 분석이 필요해졌다.

• 최근 외부 해킹으로 대량의 개인정보 유출 및 대규모 시스템 장애 사고가 빈번히 발생하는데, ESM과 같은 보안 체계는 APT(Advanced Persistent Threat) 공격 같은 장기적이고 지속적인 특정 표적대상 공격에는 대책 없이 피해가 발생하며 사회공학적 해킹(Social Engineering Hacking)도 함께 동원하기 때문에 사전 탐지가 어려운 상황이다.

1. 정보보호의 기본 3대 요소 (C, I, A)

기밀성(비밀성) - Confidentialty

 - 정보는 소유자의 인가에 의해서만 접근이 허용되어야 한다.

 - 인가되지 않은 정보의 공개는 금지되어야 한다.

무결성 - Integrity

 - 정보의 정확성, 완전성이 보장되어야 한다.

 - 비인가자에 의한 정보의 변경, 삭제, 생성 등이 발생하지 않아야 한다.

가용성 - Availability

 - 정당한 권한이 주어진 사용자에게 정보 서비스가 거부되어서는 안된다.

 - 데이터 백업, 중복성 유지 등을 통해 가용성을 확보한다.

2. 침해 발생 유형

침해 발생 시 대응 순서

 탐지/Assessment -> 헌팅 -> 격리 -> 복구

* 위협 탐지: 어떤 위협을 탐지할 것인지 미리 정책 또는 알고리즘이 존재하는 상태에서 동일하게 매칭되는 알람이 발생할 경우 액션을 취하는 것.

* 위협 헌팅: 어떤 위험이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내는 과정

3. APT 공격

과거의 해킹방식은 불특정 다수를 대상으로 무차별적 공격을 퍼붓는 것이었음. 하지만 APT 공격은 특정 개인 또는 조적을 타깃으로 삼고, 정보를 파악한 후에 미끼를 던져 침투하는 지능적인 방식.

APT 공격 4단계

 1) 타깃에 대해 파악한 정보를 바탕으로 취약점을 찾아내 침투

 2) 내부 시스템에 대한 정보를 검색

 3) 서버 제어권을 획득하여 무력화된 시스템 상의 데이터를 수집

 4) 공격자의 근거지로 수집한 데이터를 전송해 유출

APT 공격의 예방

 1) 출처가 명확하지 않은 메일은 열람 금지

 2) 윈도우와 보안시스템을 최신버전으로 유지

 3) 백신프로그램으로 주기적으로 검사

4. 맨디언트 (Mandiant)

 - 침해사고 발생 시 조사하고 복구해주는 컨설팅업체 

 - 미공군 특수 수사 요원과 서트(AFCERT) 출신으로 구성

 - 침해진단 서비스, 침해대응 서비스, M&A 리스크 평가 등 다양한 서비스 제공

5. 공격자의 Attack Life Cycle

* 스피어 피싱: 무작위로 메일을 보내 정보를 빼내는 것이 피싱이라면, 한 개인이나 조직을 노리는 피싱 공격을 스피어 피싱이라고 함.

* 사회공학 기법: 사내망 침투에 성공하면 직원 행세하며 정보를 수집함. 누가 중요한 정보를 다루는지, 그 사람이 무슨 시스템을 쓰는지 파악함. 이런 식으로 공격 대상의 사회적 맥락을 파악하고 맞춤으로 공격하는 방식을 사회공학 공격이라고 부름. 

6. 시스템 및 로그분석

이미징: 주로 FTK Imager 사용

* 포렌식 분석: 디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 분석하는 것. 디지털 포렌식이라고도 함.

7. 침해 재발 방지 방안

침해 단계에 따라 단계 별 대응은 아래와 같다.

인적, 프로세스, 기술적 보안을 아래와 같이 관리해야 한다.

* VPN(Virtual Private Network)은 인터넷에서 2대 이상의 컴퓨터를 로컬 네트워크처럼 연결할 수 있는 보안 터널이다.

일부 국가는 정치적 성향에 따라 특정 웹사이트를 방문하는 사용자를 추적하는데 VPN을 이용하면 세계 어딘가에 위치한 다른 서버를 통해 전송돼 로컬 추적과 해킹 시도를 막는 역할을 한다.

또 액세스한 웹사이트나 서비스에 진짜 인터넷 프로토콜 주소를 감추는 효과가 있다.

VPN을 사용하면 DDOS 공격에 훨씬 안전하다.