it-stargazer의 등록된 링크

키자드에 등록된 총 287개의 포스트를 확인하실 수 있습니다.

Tistory

[ISMS-P] 1.4.1 법적 요구사항 준수 검토 : "법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 첫 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 개인정보보호법이나 정보통신망법은 보안에서 꼭 지쳐야 하는 법으로 법적 요구사항을 지키고 있는지 확인하는 항목입니다. 1.4.1 법적 요구사항 준수 검토 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 상세점검항목 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가? 두 번째 항목인 "법적 요구사..

원문보기 내부링크
Tistory

[ISMS-P] 1.4.2 관리체계 점검 : "법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 ..

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 두 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.2 관리체계 점검 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 상세점검항목 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는..

원문보기 내부링크
Tistory

[ISMS-P] 1.4.2 관리체계 점검 : 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 두 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.2 관리체계 점검 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 상세점검항목 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는..

원문보기 내부링크
Tistory

[ISMS-P] 1.4.3 관리체계 개선 : "법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 세 번째 항목인 관리체계 개선에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.3 관리체계 개선 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가? 재발방지 및 개선 결과의 정확성 및 효과성 여부..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.3 운영현황 관리 : "관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 세 번째 항목인 운영현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 운영 체제 관리 항목이라고 생각하면 됩니다. 1.3.3 운영현황 관리 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영 활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다. 상세점검항목 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? 경영진은 주기적으로 관리체계 운영 활동의 효과성을 확인하고 이를 관리하고 있는가? 첫 번째 항목인 "관리체계 운영을..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.3 운영현황 관리 : "경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 세 번째 항목인 운영현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 운영 체제 관리 항목이라고 생각하면 됩니다. 1.3.3 운영현황 관리 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영 활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다. 상세점검항목 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? 경영진은 주기적으로 관리체계 운영 활동의 효과성을 확인하고 이를 관리하고 있는가? 두 번째 항목인 "경영진은 주기적..

원문보기 내부링크
Tistory

[IL/상] 9. 정보 노출

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "정보 노출"에 대해서 설명드리도록 하겠습니다. 웹 서비스를 이용하는데 불필요한 정보가 사용자에게 노출되는 경우 취약이라고 봐야 하는데요 다양한 정보 노출이 발생하기에 노출된 정보가 정보 노출 여부 확인이 가장 어려울 수 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 정보 노출 취약점은 정말 다양한 정보가 다양한 곳에서 노출될 수 있기에 해당 정보가 취약점인지 인지하는 거 자체부터가 어려울 수 있습니다. 먼저 가장 기본이 되는 것은 사용자가 서비스를 사용하는데 불필요한 정보가 노출되는 경우에는 모두 취약점이라고 봐야 하는데요 가장 대표적인 것은 오류 페이지입니다. 일단 403, 404 오류 페이지의 경우 ..

원문보기 내부링크
Tistory

[W-46/중] 1. 계정관리 1.7 Everyone 사용 권한을 익명 사용자에 적용 해제

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "Everyone 사용 권한을 익명 사용자에 적용 해제"에 대해서 설명드리도록 하겠습니다. 익명의 사용자가 기본 값으로 Everyone사용 권한을 받는 경우에는 해당 권한을 가지고 DoS 공격 등 할 수 있기에 권한을 회수해야 합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Everyone 사용 권한을 익명 사용자에게 부여하는 경우에는 Everyone 권한이 부여되어 있는 파일이나 실행 권한을 가지고 리소스에 접근하여 DoS 공격에 사용될 수 있기에 권한을 회수해야 하는데요 사실 윈도우 서버에서는 다수의 사용자를 기반하여 개발되었지만 실제로는 그런 경우가 많지 않기에 해당 옵션이 오픈되어 있다고 하더라도 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.1 보호대책 구현 : "이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 첫 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 이미 선정한 보호대책을 실행하는 항목입니다. 1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영 명세서를 구체적으로 작성하고 있는가? 첫 번째 항목인 "이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.1 보호대책 구현 : "관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 첫 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 이미 선정한 보호대책을 실행하는 항목입니다. 1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영 명세서를 구체적으로 작성하고 있는가? 두 번째 항목인 "관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하..

원문보기 내부링크
Tistory

[W-06/상] 1. 계정관리 1.6 관리자 그룹에 최소한의 사용자 포함

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "관리자 그룹에 최소한의 사용자 포함"에 대해서 설명드리도록 하겠습니다. Windows에도 UNIX처럼 그룹이 존재합니다. 물론 잘 사용하지는 않지만 존재하기에 관리자 그룹은 관리가 필요합니다. 먼저 가이드를 확인해 보도록 하겠습니다. UNIX에서는 그룹을 이용하여 권한을 관리한다고 말씀드렸는데요 하지만 Windows에서 사실 그룹을 이용하여 권한을 관리하는 경우는 거의 없습니다. 또한 Windows에서는 다중 사용자의 지원 하지만 가능하면 독립적인 공간을 지원하기에 그룹을 이용한 권한 분리는 별도로 하지는 않습니다. 그렇지만 관리자 그룹의 경우는 UNIX와 동일하게 그룹을 통해 권한을 부여할 수 있기에 관..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 두 번째 항목인 보호대책 공유에 대해서 알아보도록 하겠습니다. 보호대책을 선정하고 구현한 내용을 전체 임직원이 공유할 수 있도록 하는 것입니다. 1.3.2 보호대책 공유 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 상세점검항목 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? 첫 번째 항목인 "구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?"에 대하여 알아..

원문보기 내부링크
Tistory

[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 두 번째 항목인 보호대책 공유에 대해서 알아보도록 하겠습니다. 보호대책을 선정하고 구현한 내용을 전체 임직원이 공유할 수 있도록 하는 것입니다. 1.3.2 보호대책 공유 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 상세점검항목 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? 두 번째 항목인 "구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?..

원문보기 내부링크
Tistory

[W-05/상] 1. 계정관리 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "해독 가능한 암호화를 사용하여 암호 저장 해제"에 대해서 설명드리도록 하겠습니다. 서버의 계정에 대한 패스워드는 암호화되어 관리되어하는데요 이때 암호는 복호화되지 않는 암호를 사용하는 게 일반적입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 각 계정의 암호는 관리자도 복호화할 수 없도록 암호화하여 관리하여야 합니다. 하지만 Windows에서는 복화화 할 수 있게 저장하는 옵션이 존재하는데요 그런 이유는 Windows자체가 일단 다중 사용자의 기반으로 되어 있기에 관리자가 계정의 관리하기 위한 옵션이 존재한다고 생각하면 됩니다. 하지만 보안적이 이슈가 많이 발생함에 따라 해당 기능을 사용하는 경우 취약하다..

원문보기 내부링크
Tistory

[SS/상] 6.SSI 인젝션

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "SSI 인젝션"에 대해서 설명드리도록 하겠습니다. 인젝션 진단 항목 중 하나로 사실 취약점을 찾을 수 없는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 인젝션 항목 중 하나로 사실 해당 취약점을 찾는 경우는 없을 거라고 생각합니다. 일단 해당 취약점을 진단하는 방법은 다른 인젝션 취약점과 동일하고 해당 취약점이 발견되지 않는 이유는 SSI 사용하지 않기 때문이죠 사실 현재 해당 언어로 작성되어 있는 홈페이지도 존재하지 않고 해당 언어를 사용하는 경우도 없습니다. 그렇기에 해당 취약점 항목으로 찾는 경우는 없다고 보면 될 거 같습니다. 그리고 앞서 말씀드린 것처럼 해당 취약점을 진단하는 방법은 다른 인..

원문보기 내부링크
Tistory

[XI/상] 7.XPath 인젝션

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "XPath 인젝션"에 대해서 설명드리도록 하겠습니다. XPath 인젝션은 XML를 사용하는 경우 발생할 수 있는 취약점으로 현재도 XML이 없는 홈페이지는 사실 존재하지는 않습니다. 먼저 가이드를 확인해 보도록 하겠습니다. XML이 없는 홈페이지는 사실 존재하지는 않습니다. 거의 모든 홈페이지는 XML로 구성되어 있는 문서는 존재하는데요 일단 홈페이지의 레이아웃 설정하는데 많이 사용됩니다. 그렇기에 XML로 구성되어 있는 문서를 직접 접하는 경우는 거의 없는데요 앞단에서 돌아가는 언어가 아니고 사실 뒷단에서 돌아가는 언어이기에 직접 접하는 경우는 많지 않으나 오래된 홈페이지의 경우에는 XML언어로 구성되어 있..

원문보기 내부링크
Tistory

[DI/상] 8.디렉터리 인덱싱

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "디렉터리 인덱싱"에 대해서 설명드리도록 하겠습니다. 서버에서 설정을 잘못하는 경우 발생할 수 있는 취약점입니다. 말 그래도 서버에 있는 디렉터리가 노출되는 취약점인데요 먼저 가이드를 확인해 보도록 하겠습니다. 서버 취약점 진단 항목에서 점검을 하여 설정하는 경우 발생하지 않는 취약점입니다. 사실 거의 발생할 가능성이 없는데요 일단 최근 웹은 기본값이 디렉터리 인덱싱을 차단하게 되어 있기에 강제로 변경하지 않는다면 해당 취약점이 발견될 수가 없습니다. 또한 디렉터리 인덱싱을 할 수 있도록 설정할 이유가 없습니다. 서버에 있는 디렉터리는 보고 싶다고 하면 개발하면 되기에 해당 설정을 오픈하여 사용하지 않죠 해당 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.4 보호대책 선정 : "식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 네 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 점검을 통해 도출된 취약점을 조치계획인 보호대책을 선정하는 항목입니다. 1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 상세점검항목 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.4 보호대책 선정 : "보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 네 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 점검을 통해 도출된 취약점을 조치계획인 보호대책을 선정하는 항목입니다. 1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 상세점검항목 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보..

원문보기 내부링크
Tistory

[OC/상] 4.운영체제 명령 실행

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "운영체제 명령 실행"에 대해서 설명드리도록 하겠습니다. 운영체제란 경우 웹서비스가 동작하고 있는 서버의 운영체제를 이야기하는 것으로 결국 웹을 통하여 서버에게 명령을 내리는 것인데요 먼저 가이드를 확인해 보도록 하겠습니다. 웹을 통하여 운영체제에 명령어를 실행시키는 취약점으로 웹에서 직접 서버에 명령을 내릴 수 있는 권한과 취약한 소스가 존재하여야만 가능한 취약점입니다. 소스코드 진단 항목에서 해당 점검 항목이 존재합니다. 하지만 조치 방법은 아주 간단한데요. 서버에 명령을 내릴 수 있는 소스를 작성하지 말라는 것으로 웹을 통하여 서버에 직접 명령을 내릴 필요가 없기에 서버에 명령어를 내릴 수 있는 것을 개발..

원문보기 내부링크
Tistory

[SI/상] 5.SQL 인젝션

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "SQL 인젝션"에 대해서 설명드리도록 하겠습니다. 전 세계에서 가장 많이 시도되고 가장 위협적인 취약점인 SQL 인젝션인데요. OWASP에서 항상 SQL 인젝션은 상위에 존재합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 취약점이다 하면 가장 먼저 이야기 나오는 것이 SQL인 젠션입니다. 가장 많이 시도되고 가장 파급력이 큰 취약점 이죠 OWASP TOP10에서도 항상 상위에 존재하는 취약점입니다. 그리고 국정원 8대 취약점에서도 소스코드 진단에서도 대부분의 보안 관련 서적에서 SQL 인젝션을 다루지 않는 곳은 없고 대부분 앞부분에서 중요하게 다루고 있는 것이 바로 SQL 인젝션이죠 그 이유는 간단합니다..

원문보기 내부링크
Tistory

[W-04/상] 1. 계정관리 1.4 계정 잠금 임계값 설정

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "계정 잠금 임계값 설정"에 대해서 설명드리도록 하겠습니다. 계정을 탈취하기 위한 가장 대표적인 공격은 무차별 대입 공격인 BF공격으로 해당 공격은 차단하기 위한 설정 여부를 확인하는 점검항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정 정보가 노출되는 경우 해당 계정 정보를 이용한 대표적인 공격은 BF공격인 무차별 대입 공격인데요. 사실 해당 공격을 통해 로그인되는 것은 시간문제입니다. 이러한 공격을 효율적으로 차단하기 위한 방법이 바로 임계값 설정입니다. 임계값을 설정하여 패스워드가 일정 횟수 이상 틀렸을 경우에는 해당 계정에 대한 로그인을 차단하여 무차별 대입 공격에 대하여 방어하는 방법입니다..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.3 위험 평가 : "조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.3 위험 평가 : "위험식별 및 평가 결과를 경영진에게 보고하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..

원문보기 내부링크
Tistory

[LI/상] 3.LDAP 인젝션

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "LDAP 인젝션"에 대해서 설명드리도록 하겠습니다. LDAP은 트리구조를 가지고 있는 자료를 검색하거나 관리하는 사용되는 프로토콜을 이야기합니다. 일종을 DB구조로 볼 수도 있을 거 같네요 먼저 가이드를 확인해 보도록 하겠습니다. LDAP자체가 DB는 아닙니다. 프로토콜이죠 LDAP은 트리구조의 데이터를 검색하거나 관리하는데 유용한 프로토콜로 조직도나 연락처 또는 네트워크 구조 등을 관리하는데 많이 사용되곤 합니다. 하지만 가장 많이 사용되는 부분은 결국 조직도나 연락처 관리이죠 트리구조로 되어 있기에 매우 관리하기 편하고 검색하는 것도 매우 빠른 편입니다. 그렇기에 많이 사용하는 경우도 있었는데요 하지만 개..

원문보기 내부링크
Tistory

[W-03/상] 1. 계정관리 1.3 불필요한 계정 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 계정을 관리하는 것인데요 유닉스와 다르게 계정이 많지 않기에 점검하는 건 그리 어렵지는 않지만 그럼에도 점검하는 항목으로 "불필요한 계정 제거"에 대하여 알아보도록 하겠습니다. Windows의 경우는 UNIX와는 다르게 계정이 많이 존재하지 않습니다. 그렇기에 다수의 계정이 존재하는 경우가 많지 않기에 혹시 계정을 생성하고 관리하는 게 UNIX보다는 수월할 수 있습니다. 일단 가이드를 보도록 하겠습니다. Windows의 경우 앞서 이야기한 것처럼 기본 계정이 많지 않습니다. 그렇기에 계정을 새로 생성하는 경우 확인하기가 편한데요 일단 기본 계정이라고 이야기할 수 있는 거 2개뿐이며, 추가적으로 계정을..

원문보기 내부링크
Tistory

[FS/상] 2.포맷 스트링

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "포맷 스트링"에 대해서 설명드리도록 하겠습니다. C언어의 경우 변수에 유형을 지정하여 값을 입력받게 되어 있는데요. 변수 유형과 입력받은 값에 유형이 다른 경우 오류가 발생됩니다. 이러한 오류가 발생되는 것을 포맷 스트링이라고 이야기하는데요 먼저 가이드를 확인해 보도록 하겠습니다. C언어로 구성된 시스템에서 발생하는 취약점입니다. 그렇기에 사실 웹에서 해당 취약점이 발견될 가능성이 매우 낮은데요. C언어 자체가 웹에 적합한 언어가 아니기에 C언어로 구성되는 홈페이지는 존재하지 않습니다. 물론 홈페이지 뒷단에 서버에서는 C언어를 통해 구성하는 경우도 있을 수 있습니다. 하지만 해당 취약점에서 발생할 수 있는 오..

원문보기 내부링크
Tistory

[W-02/상] 1. 계정관리 1.2 Guest 계정 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 기본 계정에 대한 부분입니다. 기본 계정을 사용하는 경우 해당 계정을 이용한 공격이 이루어질 수 있기에 확인해야 하는 것으로 "Guest 계정 비활성화"에 대하여 알아보도록 하겠습니다. Windows는 다중 사용자를 생각하고 설계된 OS로 Windows를 설치하는 경우 기본 계정으로 서버 역할을 할 Administrator와 해당 서버에 접속할 Guest로 구성되어 있습니다. Administrator의 경우는 꼭 필요한 계정이기에 해당 계정은 첫 번째 항목에서 계정을 변경하여 사용하는데요 Guest의 경우는 꼭 필요하지는 않습니다. 일단 가이드를 보도록 하겠습니다. Guest계정은 Windows의 기..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.3 위험 평가 : "조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.3 위험 평가 : "위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.3 위험 평가 : "위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..

원문보기 내부링크
Tistory

[U-72/하] 5. 로그 관리 5.2 정책에 따른 시스템 로깅 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 로그는 기록이 남으나 해당 기록이 유용하지 않는 경우 있긴 한데요 이러한 부분을 확인하기 점검항목으로 "정책에 따른 시스템 로깅 설정"에 대하여 알아보도록 하겠습니다. 앞서 이야기드린 것처럼 보안에서 로그란 아주 중요한 자료입니다. 이러한 자료를 어떠한 종류를 쌓을 것인가를 설정하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 로그는 아주 중요한 자료라고 이야기했었는데요 해당 항목은 그렇게 중요한 로그를 어떠한 것을 쌓을 것인가를 설정하는 것으로 기본적인 설정과 회사에서 정책적으로 정해 놓은 것을 확인하여 해당 정책에 ..

원문보기 내부링크
Tistory

[BO/상] 1.버퍼 오버플로우

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "버퍼 오버플로우"에 대해서 설명드리도록 하겠습니다. 웹 점검항목 첫 번째로 버퍼 오버 블로우는 사실 웹 취약점이라기보다는 서버 취약점에 가까운 취약점이라고 생각합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 버퍼 오버플로우라는 취약점은 사실 웹에서 발생하는 취약점이라기보다는 서버에서 나오는 취약점이라고 볼 수 있습니다. 일단 버퍼 오버플로우는 말 그대로 버퍼가 넘쳐서 발생하는 취약점이라고 생각하면 됩니다. 그렇다면 버퍼는 무엇인가가 중요한데요 버퍼는 일단 저장 장소라고 보시면 될 거 같습니다. 임시 저장 장소입니다. 일단 사용자가 값을 입력하는 경우 처리의 위하여 임시저장장소에 넣어 놓고 해당 입력값을 처리..

원문보기 내부링크
Tistory

[주요통신기반시설]시스템(Windows) 취약점 점검 항목

안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 점검 항목 중 시스템 취약점 점검 항목에 대해서 이야기하도록 하겠습니다. 앞서 UNIX점검 항목에 대하여 알아봤는데요 이번에는 같은 시스템 진단 항목 중 Windows에 대해서 알아보도록 하겠습니다. 총 82개 항목으로 구성되어 있으며, 중분류는 6가지 분류입니다. 윈도우의 경우 사실 많이 사용하기에 취약점 진단이나 보안 설정하는 경우 쉽게 할 수 있을 거라 생각 하지만 사실 직관적인 UNIX에 다른 게 보안 관련 설정값이 많은 곳에 나누워져 있어 확인해야 하는 부분이 UNIX보다 많으며, 많이 복잡하게 구성되어 있기에 보안적으로 사실 윈도우 보다는 UNIX가 더 설정하고 관리하기 쉽다고 생각합니다. 또한 윈도우는 버전에 따라 다양하 설정값이..

원문보기 내부링크
Tistory

[W-01/상] 1. 계정관리 1.1 Administrator 계정 이름 변경 또는 보안성 강화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 유닉스와 다른 게 윈도우의 경우 계정을 변경할 수 있기에 변경하여 사용하는 것으로 "Administrator 계정 이름 변경 또는 보안성 강화"에 대하여 알아보도록 하겠습니다. Administrator 계정을 경우 윈도우의 기본 계정으로 최고 관리가 계정입니다. UNIX에서 이야기하는 root와 같은 권한의 계정이지만 UNIX와 다르게 Winodows에서는 이름 변경이 가능하기에 변경하여 사용하는지 점검하고 있습니다. 일단 가이드를 보도록 하겠습니다. 해당 점검항목은 사실 Administrator계정을 삭제하거나 잠가놓을 수 없기에 계정의 이름을 변경하여 관리하는 것을 이야기합니다. 뒤에 있는 또는 ..

원문보기 내부링크
Tistory

[U-69/중] 3. 서비스 관리 3.33 NFS 설정파일 접근권한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 네트워크를 통해 하드디스크를 공유하는 것으로 유용하게 사용할 수 있는 서비스이긴 하지만 보안적으로 취약점이 존재하기에 보안설정을 추가하는 항목으로 "NFS 설정 파일 접근권한"에 대하여 알아보도록 하겠습니다. NFS서비스는 네트워크를 통해 마운트 한 파일 시스템을 로컬 시스템처럼 사용하는 서비스로 취약하기에 꼭 필요하지 않은 경우 사용하면 안 됩니다. 해당 점검항목은 혹시 사용하는 경우 NFS 설정 파일 접근권한 설정에 대한 부분입니다. 일단 가이드를 보도록 하겠습니다. NFS 서비스에 대해서는 앞서 설명드린 [U-24] 3..

원문보기 내부링크
Tistory

[U-70/중] 3. 서비스 관리 3.34 expn, vrfy 명령어 제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 사용하는 경우 사용하는 명령어로 해당 명령어의 경우 악용하는 경우 보안적인 위협이 존재할 수 있기에 제한 해여야 하는 항목으로 "expn, vrfy 명령어 제한"에 대하여 알아보도록 하겠습니다. SMTP서비스인 메일 서비스를 사용하는 경우 expn, vrfy 명령어를 사용하지 못하도록 하는 것을 점검합니다. 일단 가이드를 보도록 하겠습니다. SMTP서비스란 결국 메일 서비스를 이야기하는데요 메일 서비스를 운영하는 경우 expn, vrfy 명령어에 대한 사용을 금지하는 것을 확인하는 게 바로 이번 점검항목입니다...

원문보기 내부링크
Tistory

[U-71/중] 3. 서비스 관리 3.35 Apache 웹 서비스 정보 숨

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹서비스를 사용하는 경우 확인하는 것으로 추가적으로 Apache를 사용하는 경우 점검 항목으로 "Apache 웹 서비스 정보 숨김"에 대하여 알아보도록 하겠습니다. 웹 서비스를 운영하는 경우 헤더나 오류 페이지 웹 서비스의 버전 등 정보가 노출되지 않도록 설정해야 합니다. 일단 가이드를 보도록 하겠습니다. 웹 페이지에서 오류가 발생하는 경우에 해당 오류 페이지에 서버의 정보가 노출되는데요 해당 정보를 통해 서버의 취약점이나 버전 취약 점등을 이용한 공격이 가능합니다. 또한 해당 점검항목은 웹 취약점 진단에서도 확인하는 항목으..

원문보기 내부링크
Tistory

[U-42/상] 4. 패치 관리 4.1 최신 보안패치 및 벤더 권고사항 적용

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 제로데이 취약점이 항상 발생합니다. 그렇기에 취약점이 발견될 경우 보안패치가 나오는데요 이처럼 보안 패치가 주기적으로 하고 있은지 점검 항목으로 "최신 보안패치 및 벤더 권고사항 적용"에 대하여 알아보도록 하겠습니다. 보안적 이슈가 발생 시 보안 패치를 적용하여 안전하게 관리가 필요합니다. 일단 가이드를 보도록 하겠습니다. 최신 보안 패치 적용입니다. 최신 패치가 아니죠 보안적으로 이슈가 발생한 경우 해당 보안 취약점을 막기 위해 보안 패치를 적용하라는 점검항목입니다. 간혹 해당 항목을 무조건 최신 버전을 사용해야 하나 아니..

원문보기 내부링크
Tistory

[U-43/상] 5. 로그 관리 5.1 로그의 정기적 검토 및 보고

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적으로 가장 중요한 파일 중 하나로 시스템이 동작하는 사용되는 모든 기록이 남겨져 있기에 관리가 필요한데요 이러한 부분을 점검하는 항목으로 "로그의 정기적 검토 및 보고"에 대하여 알아보도록 하겠습니다. 보안에서 로그란 중요한 자료 중 하나입니다. 보안사고 및 시스템 장애 시 가장 먼저 확인하는 것이 로그입니다. 일단 가이드를 보도록 하겠습니다. 보안에서 로그란 침해사고뿐만 아니라 시스템 장애가 발생하는 경우에도 가장 먼저 확인하는 정보입니다. 로그에는 서버가 운영하는 동안 발생하는 이벤트 접속자의 정보 로그인 정보 등 ..

원문보기 내부링크
Tistory

[U-64/중] 3. 서비스 관리 3.28 ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. ftp에 접속 가능한 사용자의 명단을 관리하는 파일로 해당 파일에 설정에 따라 접속 가능 여부를 설정할 수 있는 항목으로 "ftpusers 파일 설정(FTP 서비스 root 계정 접근 제한)"에 대하여 알아보도록 하겠습니다. ftpusers파일은 ftp 서비스를 사용 가능한 사용자의 명단이 들어가 있다고 이야기드렸는데요 해당 점검항목은 ftpusers파일에 작성되어 있는 계정 중 root가 있는지를 확인하는 것입니다. 일단 가이드를 보도록 하겠습니다. ftp서비스 취약한 서비스로 사용하지 않는 게 맞다고 이야기드렸습니다. 하..

원문보기 내부링크
Tistory

[U-65/중] 3. 서비스 관리 3.29 at 서비스 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 일회성 예약 서비스로 주기적이기보다는 단발적으로 설정하는 항목으로 "at 서비스 권한 설정"에 대하여 알아보도록 하겠습니다. at 서비스는 주기적인 예약 서비스인 cron과 다르게 일회성 예약 서비스를 이야기합니다. 일단 가이드를 보도록 하겠습니다. at서비스는 일회성 작업 예약으로 cron처럼 주기적인 예약 서비스가 아닌 일회성 서비스로 한번 사용하고 해당 스케줄이 삭제되는 것으로 주기적인 작업을 예약하는 cron과는 차이가 있습니다. 하지만 at서비스는 예약 서비스로써 사용자가 이벤트를 발생하지 않는 경우에도 자동으로 돌..

원문보기 내부링크
Tistory

[U-66/중] 3. 서비스 관리 3.30 SNMP 서비스 구동 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 관제에서 간혹 사용하는 서비스로 인증이란 절차가 존재하지 않고 snmp 이름만 존재한다면 접속이 가능하기에 불필요한 경우 서비스 구동을 하지 않게 하는 항목으로 "SNMP 서비스 구동 점검"에 대하여 알아보도록 하겠습니다. SNMP서비스는 네트워크상에 각 호스트에 정보를 수집하는 서비스로 관제 및 서비스 확인을 위해서 사용하는 서비스입니다. 일단 가이드를 보도록 하겠습니다. SNMP서비스는 네트워크를 통해서 네트워크에 연결되어 있는 호스트의 상태 및 정보를 수집하는 서비스로 관제 및 시스템 운영정보 등을 확인하기 위하여 사용..

원문보기 내부링크
Tistory

[U-67/중] 3. 서비스 관리 3.31 SNMP 서비스 Community String의 복잡성 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약한 서비스이기에 사용하지 않아야 하지만 꼭 필요한 경우가 존재하기에 이런 경우에 보안적으로 보안하기 위한 항목으로 "SNMP 서비스 Community String 복잡성 설정"에 대하여 알아보도록 하겠습니다. SNMP서비스는 인증이란 별도의 절차가 없습니다. 여기서 이야기하는 인증은 ID/PW인데요 그렇기에 Community String의 복잡하게 설정하여야 합니다. 일단 가이드를 보도록 하겠습니다. Community String는 SNMP서비스를 접근하기 위한 값으로 해당 값만 알고 있으면 snmp서비스를 이용할 수 있..

원문보기 내부링크
Tistory

[U-68/하] 3. 서비스 관리 3.32 로그온 시 경고 메시지 제공

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 심리적인 부분을 확인하는 것으로 불법으로 접속하는 경우 경고 메시지를 확인하여 나가는 경우가 있다고 하는데요 그렇기에 경고 메시지를 작성하는 항목으로 "로그온 시 경고 메시지 제공"에 대하여 알아보도록 하겠습니다. 사용자가 로그인하는 경우 나타나는 메시지에 불법적인 접속에 대한 경고하는 메시지를 포함하도록 하는 것이 이야기합니다. 일단 가이드를 보도록 하겠습니다. 서버에 로그인하는 경우 로그인 화면에 안내 메시지가 노출되게 되어 있는데요 해당 메시에 불법적인 접속에 대한 경고 메시지를 등록하여 불법적인 접근 시 해당 경고 메..

원문보기 내부링크
Tistory

[U-60/중] 3. 서비스 관리 3.24 ssh 원격접속 허용

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 원격 접속에 사용하는 서비스로 해당 서비스의 경우 원격으로 접속 시 암호 접속을 하기에 안전할 수 있으나 접속자에 대한 점검 항목으로 "ssh 원격 접속 허용"에 대하여 알아보도록 하겠습니다. 외부에서 서버에 원격으로 접속하는 경우 Telnet은 취약한 서비스이기에 ssh을 사용하고 있고 안전하게 사용하는가는 보는 항목입니다. 일단 가이드를 보도록 하겠습니다. 먼저 원격 접속 서비스를 확인하여야 합니다. 원격 접속 서비스는 대표적으로 Telnet과 ssh가 있는데요 해당 서비스 중 Telnet의 경우 원격 접속 시 평문으로 ..

원문보기 내부링크
Tistory

[U-61/하] 3. 서비스 관리 3.25 ftp 서비스 확인

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 전송을 점검하는 항목으로 평문 전송이 되기에 취약하여 사용하지 않는 것을 권고하고 있는 항목으로 "ftp 서비스 확인"에 대하여 알아보도록 하겠습니다. 파일 전송에 사용되는 프로토콜로 기존에 많이 사용하였으나 데이터 전송 시 평문으로 전송되어 보안적으로 안전하지 않아 잘 사용하지 않는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 파일을 전송하는데 가장 대표적으로 사용되는 프로토콜로 기존에는 많이 사용하고 있었으나 데이터 전송 시 평문으로 전송되기에 사용하는 경우 데이터 탈취가 가능하며, 단순 파일 전송뿐만 아니라 연..

원문보기 내부링크
Tistory

[U-62/중] 3. 서비스 관리 3.26 ftp 계정 shell제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. ftp계정을 경우는 서비스를 동작하는 데 사용되기에 직접 명령어를 사용할 필요가 없기에 사용하지 못하게 하는 항목으로 "ftp 계정 shell제한"에 대하여 알아보도록 하겠습니다. UNIX의 경우 운영하고 하는 서비스를 설치하는 경우 해당 서비스에 대한 계정이 생성되게 되어 있는데요 ftp서비스를 사용하고자 하면 해당 ftp를 설치하여야 하고 그렇기에 ftp계정이 자동으로 생성되게 되어 있습니다. 그 계정에 대한 설정에 대한 점검입니다. 일단 가이드를 보도록 하겠습니다. ftp 계정 shell 제한은 ftp를 설치하는 경우 ..

원문보기 내부링크
Tistory

[U-63/하] 3. 서비스 관리 3.27 ftpusers 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약한 서비스인 ftp접속 가능한 계정을 관리하는 파일을 관리하는 항목으로 "ftpusers 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. ftp를 설치하게 되면 ftpusers파일이 생성되게 되어 있는데요 해당 파일은 ftp사용 가능한 사용자의 명단을 관리하는 파일이기에 아무나 열람 못하게 하기 위하여 파일 소유자 및 권한 설정을 잘하여야 합니다. 일단 가이드를 보도록 하겠습니다. ftpusers파일은 ftp를 사용할 수 있는 사용자의 명단을 관리하는 파일로 접속 가능한 사용자의 계정을 저장하고 있습니다. 해..

원문보기 내부링크
Tistory

[U-37/상] 3. 서비스 관리 3.19 웹서비스 상위 디렉토리 접근 금지

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통하여 해킹사고가 발생하는 경우 파급력을 줄이기 위하여 설정하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 웹서비스 운영시 취약점 등을 통해 서버에 대한 디렉토리 구조를 파악하기 위해 웹 디렉토리 이상의 디렉토리 접근을 시도할 때 해당 접근을 차단하는 설입니다. 일단 가이드를 보도록 하겠습니다. 웹서비스 운영시 서버의 디렉토리는 일반적으로 URL에 타나 납니다. 물론 잘 설정하거나 하는 경우에는 디렉토리 구조가 파악이 안 되는 경우가 있는데요 웹서비스가 운영되고 있는 디렉토리가 노출되는..

원문보기 내부링크
Tistory

[U-38/상] 3. 서비스 관리 3.20 웹서비스 불필요한 파일 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹 서비스를 운영하기 위해서 설치가 필요한대요 설치하는 경우 임시파일이 생성되는데요 이러한 파일을 삭제하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 웹 서비스를 동작하기 위해서는 UNIX 서버에 별도로 설치를 하게 되어 있는데 설치 시 기본 페이지나 설정 설명서 등이 같이 설치되기에 해당 파일 삭제 여부를 확인하는 점검 항목입니다. 일단 가이드를 보도록 하겠습니다. UNIX는 운영체제만 설치하는 경우 웹 서비스는 설치가 되지 않습니다. UNIX자체에는 기본값으로 웹 서비스가 설치되어 있지 ..

원문보기 내부링크
Tistory

[U-39/상] 3. 서비스 관리 3.21 웹 서비스 링크 사용금지

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통해 서버에 있는 파일을 실행하게 하는 것으로 이러한 부분을 없애기 위한 항목으로 "웹 서비스 링크 사용금지"에 대하여 알아보도록 하겠습니다. 윈도우에서 이야기하는 바로가기와 비슷한 형태로 웹상에서 서버에 있는 파일에 대한 바로가기 링크가 생성하는 것으로 사용 시 보안적 취약점이 다수 있습니다. 일단 가이드를 보도록 하겠습니다. 심볼링크는 윈도우에 바로기가 와 비슷한 기능을 가지고 있어 서버에 있는 파일을 직접 가리킬 수 있기에 웹 환경에서 서버에 존재하는 파일을 링크하여 사용하는 것으로 보안적으로 매우 위험한 기능입니..

원문보기 내부링크
Tistory

[U-40/상] 3. 서비스 관리 3.22 웹서비스 파일 업로드 및 다운로드 제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통한 웹쉘을 올리거나 중요 파일을 다운로드하는 등 보안적이 부분과 DDoS 공격에도 사용 가능한 항목으로 "웹 서비스 파일 업로드 및 다운로드 제한"에 대하여 알아보도록 하겠습니다. 웹을 통해서 파일을 업로드하거나 다운로드하는 경우 용량에 대한 제한을 두어 서버 자원에 대한 고갈을 차단하고자 하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 웹 서비스를 통한 파일 업로드 및 다운로드 제한은 웹 취약점 진단과는 조금 다를 수 있으나 해당 항목에 대한 설정으로 인해 파일 업로드나 다운로드를 통한 일부 공격을 차단할 수..

원문보기 내부링크
Tistory

[U-41/상] 3. 서비스 관리 3.23 웹 서비스 영역의 분리

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹 서비스를 운영하는 경우 따른 영역이 분리되어 있지 않는 경우는 웹 서비스를 통해 해킹사고가 발생되는 경우 파급력이 높은데요 이러한 부분을 보안하기 위한 항목으로 "웹 서비스 영역의 분리"에 대하여 알아보도록 하겠습니다. 웹 서비스는 접근성이 아주 뛰어나고 누구나 쉽게 접속할 수 있기에 보안적이 위협이 높습니다. 그렇기에 웹 서비스가 운영되는 영역을 별도로 구성하여 운영하여야 하기에 해당 항목으로 점검합니다. 일단 가이드를 보도록 하겠습니다. 웹 이란 환경은 모두가 쉽게 접속할 수 있는 환경이기에 취약하다고 볼 수 있습니다..

원문보기 내부링크
Tistory

[U-33/상] 3. 서비스 관리 3.15 DNS 보안 버전 패치

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 도메인 네임 서비스 버전 취약점 확인으로 해당 서비스를 사용하지 않는 경우 점검하지 않는 항목으로 "DNS 보안 버전 패치"에 대하여 알아보도록 하겠습니다. DNS는 각 통신망(KT, LG, SK)에서 제공하는 것을 사용하거나, 구글 DNS를 세팅하여 사용하는데요 하지만 내부망 시스템을 사용하는 경우 직접 DNS를 구성하여 사용하는 경우도 있습니다. 이런 경우 안전한 버전 사용 여부를 점검하는 항목입니다. 일단 가이드를 보도록 하겠습니다. DNS는 Domain Name System으로 naver.com이라는 도메인 주소를 실..

원문보기 내부링크
Tistory

[U-34/상] 3. 서비스 관리 3.16 DNS Zone Transfer 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. DNS 서버를 최신화하여 관리하기 위한 항목으로 "DNS Zone Transfer 설정"에 대하여 알아보도록 하겠습니다. DNS에 있는 데이터는 다름 DNS와 연동하여 동기화되어야 하기에 Zone Transfer 설정은 동기화되어야 하기에 Zone정보를 동기화하기 위해 사용합니다. 일단 가이드를 보도록 하겠습니다. DNS는 다른 DNS와 연동하여 정보를 동기화하여야 하기에 Zone를 구성하게 되는 돼요 그렇기에 Zone에 접속 가능 사용자를 지정하여 관리하고 있는지를 점검하는 항목입니다. DNS는 앞서 설명드린 "[U-33]..

원문보기 내부링크
Tistory

[U-35/상] 3. 서비스 관리 3.17 웹서비스 디렉토리 리스팅 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹에서도 발견되는 취약점으로 서버에서 설정이 잘못되었을 경우 웹 취약점으로도 이어지는 항목으로 "웹서비스 디렉토리 리스팅 제거"에 대하여 알아보도록 하겠습니다. 웹에서 서버에 있는 디렉토리 정보가 노출될 수 있기에 해당 옵션을 제거하여 서버에 있는 디렉토리가 웹에서 노출되지 않도록 설정하는 점검 항목입니다. 일단 가이드를 보도록 하겠습니다. 웹 서비스와 연관되어 있는 점검항목으로 해당 설정이 되어 있지 않는 경우 웹 서비스를 통해서 서버에 있는 디렉토리를 확인할 수 있기에 해당 디렉토리가 노출되는 것이 이용하여 서버의 종류나..

원문보기 내부링크
Tistory

[U-36/상] 3. 서비스 관리 3.18 웹서비스 웹 프로세스 권한 제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹서비스를 이용하는 경우 웹 프로세스가 동작하는 사용자의 권한이 중요한데요 이러한 부분을 확인하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 서버에서 웹 프로세스를 실행하는 경우 실행하는 주체가 어떠한 계정으로 실행하는 것을 이야기합니다. 일단 가이드를 보도록 하겠습니다. 제목을 제외한 내용은 결국 Apache 점검항목인데요 일단 웹 프로세스를 동작하는 실행자가 어떠한 계정으로 실행하는가는 봐야 합니다. 웹 프로세스는 웹 서비스로 사용자들이 접근하는 홈페이지를 이야기할 수 있는데요 이때 홈페..

원문보기 내부링크
Tistory

[U-28/상] 3. 서비스 관리 3.10 NIS, NIS+ 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 다수의 시스템을 관리하기 위한 편리한 서비스로 관리 서버가 문제가 생기는 경우 치명적일 수도 있는 항목으로 "NIS, NIS+ 점검"에 대하여 알아보도록 하겠습니다. 시스템의 설정 파일을 중앙에서 생성하여 교체하므로 동일한 세팅을 유지하기 위한 서비스로 NIS서비스의 경우 취약점이 있기에 꼭 필요시 NIS+를 사용해야 하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 시스템 관리 차원에서 주로 사용하는 서비스로 중앙에서 다수의 시스템을 동일한 기준으로 관리하기 위한 서비스입니다. 주로 PW 정책이나 시스템 보안 정책 등을 ..

원문보기 내부링크
Tistory

[U-29/상] 3. 서비스 관리 3.11 tftp, talk 서비스 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 사용하지 않는 서비스라고 생각하면 될 거 같습니다. 보안적으로 문제가 다수 존재하는 항목으로 "tftp, talk 서비스 비활성화"에 대하여 알아보도록 하겠습니다. 취약점이 발표된 서비스에 대하여 비활성화 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 해당 점검항목은 취약점이 발견된 서비스인 tftp, talk, ntalk 등 서비스가 비활성화되어 있는지를 확인하는 점검 항목입니다. 기존의 취약점이 발견된 지 오래된 서비스 등으로 대부분에 시스템에서 현재는 해당 서비스를 사용하지 않고 있으며, 해당 서비스..

원문보기 내부링크
Tistory

[U-30/상] 3. 서비스 관리 3.12 Sendmail 버전 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 점검하는 것으로 취약점이 존재하는 버전의 사용하지 못하도록 하는 것으로 "Sendmail 버전 점검"에 대하여 알아보도록 하겠습니다. 취약점이 발표된 서비스에 대하여 비활성화 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. Sendmail 버전 확인은 서버에서 메일 서비스를 운영하는 경우 낮은 버전의 Sendmail를 사용하는 경우 취약점이 존재하기에 상위 버전으로 설치하여 사용하는지 확인하는 버전입니다. 낮은 버전의 경우 버퍼오버플로우 취약점이 존재하기에 사용하지 않는 것이 좋으며 추가적인 ..

원문보기 내부링크
Tistory

[U-31/상] 3. 서비스 관리 3.13 스팸 메일 릴레이 제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 사용하는 경우 발견될 수 있는 취약점으로 메일 서비스를 사용하지 않는 경우는 점검할 필요가 없는 항목으로 "스팸 메일 릴레이 제한"에 대하여 알아보도록 하겠습니다. 스팸 메일 릴레이 제한은 메일 서비스를 통해 메일을 전달하게 하는 것으로 메일 발송지를 숨길수 있기에 다수의 스팸메일 발송에 악용될 수 있습니다. 일단 가이드를 보도록 하겠습니다. 메일 릴레이 제한이라는 취약점은 메일 서비스를 운영하는 경우 릴레이가 제안되지 않는 경우 스팸메일 발송 시 릴레이가 가능한 메일 서비스를 이용하여 발송지를 숨길수 있는 것..

원문보기 내부링크
Tistory

[U-32/상] 3. 서비스 관리 3.14 일반사용자의 Sendmail 실행방지

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스 자체는 보안적으로 일반 사용자가 사용하지 못하게 하는 항목으로 "일반 사용자의 Sendmail 실행 방지"에 대하여 알아보도록 하겠습니다. 일반 사용자에 Sendmail 권한을 부여하는 경우 메일 큐에 있는 메일을 drop 시킬 수 있기에 메일 시스템 오류가 발생할 수 있기에 실행 방지 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 메일 서비스를 사용하는 경우에 일반 사용자에게 권한을 부여할 할 경우 메일 큐를 강제로 drop 시킬 수 있어 메일 서비스에 오류를 발생시킬 수 있는데요 여기서 이..

원문보기 내부링크
Tistory

[U-24/상] 3. 서비스 관리 3.6 NFS 서비스 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 하드디스크 용량이 부족하거나 추가하는 경우 사용하던 서비스로 현재는 다수의 취약점이 존재하기에 관리가 필요한 항목으로 "NFS 서비스 비활성화"에 대하여 알아보도록 하겠습니다. NFS 서비스는 네트워크 파일 시스템으로 네트워크에 연결되어 있는 파일 시스템을 로컬 시스템처럼 이용할 수 있게 하는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 네트워크에 연결되어 있는 서버에 파일을 공유하기 위하여 하나의 서버에 공유폴더 개념을 폴더 및 하드디스크를 설치하고 해당 서버에 접속하여 파일 등을 공유하여 사용할 때 마치 로컬 하드디스..

원문보기 내부링크
Tistory

[U-25/상] 3. 서비스 관리 3.7 NFS 접근 통제

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적으로 취약한 서비스입니다. 그래서 사용하지 않는 것을 권고드리고 있는데요 하지만 꼭 필요한 경우 추가적인 보안조치를 확인하는 항목으로 "NFS 접근 통제"에 대하여 알아보도록 하겠습니다. NFS서비스를 꼭 사용하는 경우에는 보안 설정을 확인하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 앞서 확인한 부분은 NFS서비스 사용 여부에 대하여 확인하였습니다. 이번 확인할 항목은 해당 서비스를 반드시 사용해야 하는 경우 보안설정을 어떻게 해야 하는지 하는 부분입니다. NFS서비스는 파일공유에 유용하기에 사용하고자 하는 경우..

원문보기 내부링크
Tistory

[U-26/상] 3. 서비스 관리 3.8 automountd 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약하지는 않지만 해당 서비스를 통해 취약점이 추가로 발생 항수 있는 항목으로 "automountd 제거"에 대하여 알아보도록 하겠습니다. automountd 자체가 취약하기보다는 해당 서비스를 활성화하는 경우 RPC를 이용할 수 있는 취약점이 존재하기에 사용하면 안 됩니다. 일단 가이드를 보도록 하겠습니다. automountd 서비스는 클라이언트에서 자동으로 서버에 마운트 시키고 일정 시간 사용하지 않는 경우 unmount 시키는 기능으로 자동으로 마운트 하여 사용하다가 사용을 안 하는 경우 안전하게 해제할 수 있는 유용한..

원문보기 내부링크
Tistory

[U-27/상] 3. 서비스 관리 3.9 RPC 서비스 확인

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적인 위협이 존재하는 서비스로 해당 취약점을 이용한 DoS, 오버플로우 등 공격에 사용되어 사용하지 못하게 하는 것으로 "RPC 서비스 확인"에 대하여 알아보도록 하겠습니다. RPC 서비스는 원격으로 함수나 프로시저를 실행할 수 있기에 보안적으로 안전하지 않은 서비스입니다. 일단 가이드를 보도록 하겠습니다. RPC 서비스는 보안적으로 안전하지 않은 서비스로 해당 서비스의 사용하는 경우 버퍼오버플로우나, DoS, 원격 실행 등 보안적이 취약점을 많이 가지고 있는 서비스입니다. 보안적인 취약점이 다수 존재하는 서비스로 반드시..

원문보기 내부링크
Tistory

[U-19/상] 3. 서비스 관리 3.1 Finger 서비스 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 사용자의 정보를 확인하는 건 관리적인 차원에서는 중요한 항목입니다. 하지만 사용자의 확인하는 것은 중요하지만 그만큼 위험할 수 있는데요 이런 부분을 확인하는 것으로 "Finger 서비스 비활성화"에 대하여 알아보도록 하겠습니다. who와 다르게 본인뿐만 아니라 다른 사용자의 정보도 확인할 수 있는 명령어도 불필요한 주요 정보가 노출될 수 있는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 세 번째 중분류 서비스 관리에 첫 번째 항목인 "Finger 서비스 비활성화"입니다. 사용자를 확인하는 서비스로 현재 사용자 본인을 확인..

원문보기 내부링크
Tistory

[U-20/상] 3. 서비스 관리 3.2 Anonymous FTP 비활성화

https://youtu.be/xpGA_VlRssg 안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 전송하는 프로토콜로 파일을 업로드하거나 다운로드하는데 많이 사용하지만 보안적인 취약점이 존재합니다. 해당 프로토콜 관리하는 항목으로 "Anonymous FTP 비활성화"에 대하여 알아보도록 하겠습니다. FTP 서비스는 파일 전송 프로토콜로 파일은 전송할 때 사용합니다. 낮은 수준의 인증을 통해 FTP 서비스를 할 수 있게 하는 옵션입니다. 일단 가이드를 보도록 하겠습니다. 먼저 FTP 서비스에 대해서 이야기하도록 하겠습니다. 물론 추후 점검하게 되는 항목에서 FTP 서..

원문보기 내부링크
Tistory

[U-21/상] 3. 서비스 관리 3.3 r 계열 서비스 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 현재는 사용하지 않는 서비스로 보안적인 치명적인 취약점이 발견된 항목으로 "r 계열 서비스 비활성화"에 대하여 알아보도록 하겠습니다. r계열 서비스는 관리 편의성의 위해 인증절차를 우회하여 로그인하거나 파일 실행 등 가능하게 하는 서비스로 현재는 사용하지 않는 서비스입니다. 일단 가이드를 보도록 하겠습니다. r 계열 서비스 비활성화 항목은 앞서 한번 언급한 적이 있습니다. "$HOME/.rhosts, hosts.equiv 사용 금지"에서 이야기했었습니다. r 계열 서비스는 인증 절차를 진행하지고 않고 로그인이나 sh프로그램 ..

원문보기 내부링크
Tistory

[U-22/상] 3. 서비스 관리 3.4 crond 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 많이 유용한 서비스입니다. 유용하다는 것은 그만큼 많이 사용하는데요 하지만 잘 관리되지 않으면 치명적일 수 있기에 이러한 부분은 관리하는 항목으로 "crond 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. cornd 서비스는 예약 서비스로 사용자가 작성해놓은 경우 별도의 실행 절차 없이 자동으로 실행되는 서비스입니다. 일단 가이드를 보도록 하겠습니다. crond 서비스는 예약 서비스로 주기적으로 실행하여야 하는 파일 등이 존재하는 경우 효율적으로 관리하기 아주 좋은 서비스입니다. 또한 해당 서비스를 이용하여 시..

원문보기 내부링크
Tistory

[U-23/상] 3. 서비스 관리 3.5 DoS 공격에 취약한 서비스 비활성화

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 많이 유용한 서비스입니다. 최근에 가장 많이 발생하는 공격이라고도 할 수 있는데요 물론 전용 장비도 존재하고 방화벽에서 존재하지만 서버에서도 추가적으로 방어가 가능하기에 설정하는 항목으로 "DoS 공격에 취약한 서비스 비활성화"에 대하여 알아보도록 하겠습니다. DoS, DDoS 공격은 현재도 다수 발생하고 있는 공격의 유형으로 DDoS 방어 장비가 별도로 존재하기도 합니다. 일단 가이드를 보도록 하겠습니다. DoS, DDoS 공격은 아직도 많이 발생하고 있는 공격으로 예전에는 짧은 시간에 다수의 존비 PC를 이용한 한 번에 ..

원문보기 내부링크
Tistory

[U-55/하] 2. 파일 및 디렉토리 관리 2.15 hosts.lpd 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 프린트를 사용하는 경우 접속 가능한 사용자의 정보를 보관해야 하는 파일이 필요한데요 해당 파일의 설정을 확인하는 것으로 "hosts.lpd 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 프린트를 사용하는 경우 접속 가능한 사용자의 정보를 보관하고 관리하여야 하는데요 해당 정보를 보관하고 관리하는 파일에 대한 설정을 점검합니다. 일단 가이드를 보도록 하겠습니다. UNIX에서 로컬 프리트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일로 UNIX에서 프린트를 사용하는 경우가 거의 없기에 해당..

원문보기 내부링크
Tistory

[U-56/중] 2. 파일 및 디렉토리 관리 2.17 UMASK 설정 관리

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 생성 시 아무나 접속하여 수정이 가능하면 문제가 될 수 있는데요 이런 부분을 원천적으로 파일 생성 시 아무나 수정하지 않게 하는 것으로 "UMASK 설정 관리"에 대하여 알아보도록 하겠습니다. world writable 파일 점검에서 확인하는 것처럼 일반 사용자가 다른 사용자의 파일을 수정하지 못하게 하여야 하는데요 이러한 부분은 파일 생성시 미리 설정하게 하는데요 일단 가이드를 보도록 하겠습니다. 해당 설정이 되어 있지 않는 경우에는 "world writable 파일 점검"해당 점검항목에 취약한 파일이 다수 생성될 수..

원문보기 내부링크
Tistory

[U-57/중] 2. 파일 및 디렉토리 관리 2.18 홈디렉토리 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정의 생성하면 해당 계정 만의 폴더가 생성되는데요 이러한 폴더에 대한 권한을 확인하고 관리하는 항목으로 "홈디렉토리 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 타인의 폴더에 글을 작성하거나 수정하는 등 권한이 부여되는 경우에 보안적인 문제가 될 수 있는데요 이러한 부분을 관리하는 항목이라고 할 수 있습니다. 일단 가이드를 보도록 하겠습니다. UNIX는 다수사용자 지원을 기반으로 설계한 운영체제로 각 사용자마다 자기만을 공간을 구성하고 있으며, 추가적으로 해당 공간은 다른 사용자의 간섭을 최소화하고 가자 권한을 ..

원문보기 내부링크
Tistory

[U-58/중] 2. 파일 및 디렉토리 관리 2.19 홈디렉토리로 지정한 디렉토리의 존재 관리

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정 생성과 계정 이름으로 생성된 폴더는 쌍으로 가는 것입니다. 계정에 맞는 폴더가 존재하지 않는 계정은 임의로 생성되었기에 문제가 될 수 있기에 확인하는 항목으로 "홈디렉토리로 지정한 디렉토리의 존재 관리"에 대하여 알아보도록 하겠습니다. 계정은 존재하나 폴더가 존재하지 않는 경우 문제가 될 수 있는데요 이유는 계정이 생성되는 폴더가 바로 생성되기에 매핑되게 되어 있습니다. 일단 가이드를 보도록 하겠습니다. 앞선 점검항목에서 홈디렉토리에 대한 소유자 및 권한을 확인하였습니다. 해당 항목은 조금 더 근본적으로 접근하여 홈디렉..

원문보기 내부링크
Tistory

[U-59/하] 2. 파일 및 디렉토리 관리 2.20 숨겨진 파일 및 디렉토리 검색 및 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 해당 점검항목을 확인하는 것은 바로 관리자입니다. 이러한 관리자가 볼 수 없는 숨겨진 파일은 이상한 대요 이렇게 이상한 파일을 확인하는 것으로 "숨겨진 파일 및 디렉토리 검색 및 제거"에 대하여 알아보도록 하겠습니다. 숨겨져 있는 파일아나 폴더는 일단 무엇 가는 숨기는 목적으로 생성되었습니다. 하지만 해당 항목을 점검하는 당사자는 바로 관리자이죠 이런 관리자가 볼 수 없는 파일이나 폴더는 확인이 필요합니다. 일단 가이드를 보도록 하겠습니다. 숨겨진 파일 및 디렉토리 입니다. 해당 항목을 점검하기 전에 먼저 자신의 위치를 먼저..

원문보기 내부링크
Tistory

[U-15/상] 2. 파일 및 디렉토리 관리 2.11 world writable 파일 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 거의 모든 시스템에 취약점이 존재하는 것으로 관리적인 측면이 높은 것으로 "world writable 파일 점검"에 대하여 알아보도록 하겠습니다. 다중 사용자가 접속하게 되어 있는 유닉스의 경우는 본인이 작성한 파일이 다른 사람으로 인해 파일이 수정되는 경우 문제가 될 수 있기에 해당 점검항목은 이러한 파일이 존재하는지 여부를 확인합니다. 일단 가이드를 보도록 하겠습니다. world writable 파일 점검은 일반 사용자(게스트)가 본인의 소유하지 않은 파일에 대한 수정 권한 여부를 확인하는 것으로 주요 파일이 아닌 경우에..

원문보기 내부링크
Tistory

[U-16/상] 2. 파일 및 디렉토리 관리 2.12 /dev에 존재하지 않는 device 파일 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 해킹사고에 많이 사용되던 폴더로 관리적인 측면에서 문제가 될 수 있기에 먼저 확인하는 것으로 "/dev에 존재하지 않는 device 파일 점검"에 대하여 알아보도록 하겠습니다. 해당 폴더에는 자체적인 취약점은 존재하지는 않습니다. 하지만 해당 폴더는 악의적인 파일이 자주 숨어 있는 곳으로 주기적인 점검이 필요한 폴더라고 보시면 됩니다. 일단 가이드를 보도록 하겠습니다. 해당 점검 항목은 /dev 논리적인 드라이브가 존재하는 폴더에 사용하지 않는 드라이브가 존재하는 경우 시스템 오류가 발생하여 시스템 장애를 발생시킬 수 있으며..

원문보기 내부링크
Tistory

[U-17/상] 2. 파일 및 디렉토리 관리 2.13 $HOME/.rhosts, hosts.equiv 사용 금지

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 원격 접속 설정을 관리하는 파일로 해당 파일을 아무나 쉽게 변경이 가능하다면 원격 접속 문제가 발생할 수 있기에 미리 확인하는 것으로 "$HOME/.rhosts, hosts.equiv 사용 금지"에 대하여 알아보도록 하겠습니다. 원격 접속 설정을 관리하는 파일로 아무나 쉽게 접근하여 파일을 변경하는 경우 보안적으로 치명적인 문제가 될 수 있기에 아무나 접속하지 못하도록 하여야 하는데요 일단 가이드를 보도록 하겠습니다. 원격으로 인없이 사용하는 명령어를 'r' command라고 이야기를 합니다. 다수의 시스템을 편하게 관리하기..

원문보기 내부링크
Tistory

[U-18/상] 2. 파일 및 디렉토리 관리 2.14 접속 IP 및 포트 제한

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보편적으로 방화벽 같은 네트워크 보안장비를 이용하여 관리하는데요 하지만 서버에서도 관리가 가하기에 서버에도 설정하는 것으로 "접속 IP 및 포트 제한"에 대하여 알아보도록 하겠습니다. 보안에서 가장 중요한 부분 중 하나는 악의적인 접근을 차단하는 것에 있는데요 최근에는 방화벽을 이용하여 관리를 하고 있는데요 하지만 역시 서버에서도 설정이 가능합니다. 일단 가이드를 보도록 하겠습니다. 접속 IP와 포트는 현재 대부분은 방화벽에서 설정하여 관리하고 있습니다. 방화벽에서 오픈되어 있지 않는 IP의 경우 내부에 들어올 수 있으며 더..

원문보기 내부링크
Tistory

[U-10/상] 2. 파일 및 디렉토리 관리 2.6 /etc/(x)inetd.conf 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 슈퍼 데몬 서비스는 취약점이 존재하며 또한 메모리 점유가 많이 발생되기에 사용하지 않는 경우 서비스 중지하도록 하는 항목으로 "/etc/(x)inetd.conf 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 슈퍼데몬의 경우 현재는 많이 사용하지 않는 서비스로 메모리 점유 등을 문제가 발생되어 시스템 가용성을 저해하기에 사용하지 않고 있습니다. 하지만 꼭 필요한 경우 사용할 수도 있으나, 이유가 반드시 존재하여야 합니다. 일단 가이드를 보도록 하겠습니다. 슈퍼데몬 설정 파일인데요 결국 메모리 관리를 위해서 사용하..

원문보기 내부링크
Tistory

[U-11/상] 2. 파일 및 디렉토리 관리 2.7 /etc/syslog.conf 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. log는 보안적으로도 시스템 운영에도 매우 중요한 파일인데요 이러한 파일을 관리하는 파일을 설정하는 항목으로 "/etc/syslog.conf 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. log는 보안적으로 아주 중요한데요 그렇기에 매우 중요하게 관리하여야 합니다. 이렇게 중요한 파일은 생성부터 관리까지 설정할 수 있는 파일에 대한 점검입니다. 일단 가이드를 보도록 하겠습니다. /etc/ 폴더가 또 나옵니다. 파일 및 디렉토리 관리에서는 거의 모두 /etc/ 폴더와 연과 되어 있는데요 이번에 이야기하는 sysl..

원문보기 내부링크
Tistory

[U-12/상] 2. 파일 및 디렉토리 관리 2.8 /etc/services 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 서비스 포트를 제한하거나 설정하는 항목으로 "/etc/services 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 포트란 결국 서비스를 받기 위해 찾아가는 것으로 예을 들어 웹은 80, FTP 20,21 처럼 해당 서비스를 접속하기 위해서는 포트가 필요합니다. 이러한 포트에 대한 설정하는 파일에 대해 소유자 및 권한 설정하는 항목 입니다. 일단 가이드를 보도록 하겠습니다. 서비스 포트 설정하는 파일 권한에 대한 점검 항목입니다. 서비스 포트란 간단하게 설명하자면 대형 백화점에 코너라고 생각하면 될 거 같습니다..

원문보기 내부링크
Tistory

[U-13/상] 2. 파일 및 디렉토리 관리 2.9 SUID, SGID, 설정 파일점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안에서 권한은 매우 민감한 것으로 일시적으로라도 권한을 상승할 수 있는 파일에 대한 점검으로 "SUID, SGID, 설정 파일 점검"에 대하여 알아보도록 하겠습니다. 권한이 상승할 수 있는 파일로 SUID, SGID 해당 권한을 가지고 있는 경우 파일을 실행함으로써 권한상승이 발생하여 보안적으로 문제가 될 수 있습니다. 일단 가이드를 보도록 하겠습니다. SUID란, 설정된 파일 실행 시, 특정 작업을 수행을 위하여 일시적으로 파일 소유자의 권한을 얻게 됨. 요기서 중요한 것은 파일 소유자의 권한을 얻게 되는 것인데요 특정 ..

원문보기 내부링크
Tistory

[U-14/상] 2. 파일 및 디렉토리 관리 2.10 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 다중사용자를 기반으로 개발된 운영체제로 각 계정마다 폴더가 생성되고 관리하는데요 이런한 부분을 확인하는 "사용자, 시스템 시작 파일 및 환경 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 각 사용자의 개인 폴더에 대한 권한 설정으로 다른 사용자의 폴더에 접근하여 글을 수정하고 생성하지 못하게 하는 설정으로 개인을 공간을 보호하고 있는가를 점검하는 항목 입니다. 일단 가이드를 보도록 하겠습니다. 사실 해당 점검 항목에 가장 중요한 것은 환경변수 파일입니다. 저번에도 한번 설명드린 것처럼 UNIX는 모든 설정 및 ..

원문보기 내부링크
Tistory

[U-06/상] 2. 파일 및 디렉토리 관리 2.2 파일 및 디렉터리 소유자 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 관리적인 측면이 다수 존재하는 점검항목으로 "파일 및 디렉터리 소유자 설정"에 대하여 알아보도록 하겠습니다. 보안적인 측면보다는 관리적인 측면이 많이 점검항목으로 많은 시스템이 취약하다고 나올 수 있습니다. 시스템을 오래 사용하면 할수록 더욱 문제가 될 수 있는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. UNIX는 파일을 생성하는 경우 소유자가 설정되게 되어 있습니다. 정상적인 방법으로는 소유지가 없는 파일이 존재할 수 없게 되어 있죠 해당 항목은 소유자가 존재하지 않은 파일이 있는지 또는 디렉터리가 있는지 확인하는 ..

원문보기 내부링크
Tistory

[U-07/상] 2. 파일 및 디렉토리 관리 2.3 /etc/passwd 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정관리에서 가장 중요시 보는 passwd파일에 대한 권한 설정에 관한 점검항목으로 "/etc/passwd 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. passwd파일은 앞서 설명드린 [U-04/상]1. 계정관리 1.4 패스워드 파일 보호에서 간단하게 설명드렸었습니다. 해당 파일은 로그인에서 사용되는 파일이라 중요한 파일이지만 일반 사용자도 일단 열람까지는 가능하게 설정해야 하는데요. 일단 가이드를 보도록 하겠습니다. 먼저 파일 및 디렉터리 관리에서 가장 많이 언급되는 폴더 /etc에 대해서 이야기해보도록 하..

원문보기 내부링크
Tistory

[U-08/상] 2. 파일 및 디렉토리 관리 2.4 /etc/shadow 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. passwd파일은 계정 정보를 가지고 있는 파일이라면 shadow파일은 계정의 패스워드를 가지고 있는 파일로 해당 파일은 권한을 확인하는 "/etc/shadow 파일 소유자 및 권한 설정"에 대하여 이야기하도록 하겠습니다. shadow파일 또한 앞서 설명드린 [U-04/상]1. 계정관리 1.4 패스워드 파일 보호에서 간단하게 설명드렸었습니다. 패스워드를 가지고 있는 파일로 passwd를 도와주는 파일이라고 할 수 있습니다. 하지만 해당 파일은 패스워드를 보유하고 있기에 paaswd와 다르게 root만 확인할 수 있도록 해야 ..

원문보기 내부링크
Tistory

[U-09/상] 2. 파일 및 디렉토리 관리 2.5 /etc/hosts 파일 소유자 및 권한 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 가장 높은 비율로 위험 수용을 하는 항목으로 설정하는 경우 오류가 발생할 가능성이 가낭 높은 항목으로 "/etc/hosts 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. hosts 파일은 dns서비스와 같은 기능을 하는 것으로 우선순위는 hosts 파일이 우선입니다. 그렇기에 hosts 파일이 잘못되는 경우 의도하지 않은 사이트로 접속할 수 있기에 권한 부여가 중요한데요 하지만 설정하는 경우 오류가 발생하기에 대부분 위험수용으로 처리하고 있습니다. 일단 가이드를 보도록 하겠습니다. hosts 파일 설정입니다. ..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.1 정보자산 식별 : "정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.2 현황 및 흐름분석 : "관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.2 현황 및 흐름분석 : "관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도 등으로 문서화하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.2 현황 및 흐름분석 : "서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..

원문보기 내부링크
Tistory

[U-05/상] 2. 파일 및 디렉토리 관리 2.1 root홈, 패스 디렉터리 권한 및 패스 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 이번 점검 항목은 환경변수 설정에 관한 내용인 "root홈, 패스 디렉터리 권한 및 패스 설정"에 대하여 이야기하도록 하겠습니다. 점검항목과 내용의 파이가 조금 있는데요 패스 설정이 해당 점검 항목에 중점입니다. 환경 변수 설정이라고 이야기할 수 있는데요 잘못되어 있는 경우에 사용자나 관리자가 의도하지 않은 파일이 실행되므로 문제가 될 수 있기에 중요한 항목이라고 할 수 있습니다. 일단 가이드를 보도록 하겠습니다. 환경 변수 설정에 대한 취약점 점검 항목이라고 보시면 되는데요 환경변수란? 프로세스가 컴퓨터에서 동작하는 방식에..

원문보기 내부링크
Tistory

[U-53/하] 1. 계정관리 1.14 사용자 shell 점검

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 첫 번째 하 항목으로 항목 비중에 비해 중요도가 낮은 거 같은데요 명령어의 집합으로 해당 권한이 있는 경우 명령어를 사용할 수 있기에 불필요 한 사용자의 권한을 분리하는 것으로 "사용자 shell 점검"에 대하여 알아보도록 하겠습니다. shell은 명령어의 집합? 아니면 컴파일러라고 할 수 있는데요 그렇기에 shell 권한을 가지고 있는 경우 명령어를 실행할 수 있기에 명령어를 사용할 필요 없는 계정은 해당 권한을 회수하여야 하는데요 일단 가이드를 보도록 하겠습니다. 앞서 설명드린 것처럼 shell라는 것은 사용자가 입력하는 명령어를 시스템에 전달하여 실행하는 중계 역할을 하는 것으로 사용자가 직접 명령을 내릴 필요 없는 계..

원문보기 내부링크
Tistory

[U-54/하] 1. 계정관리 1.15 Session Timeout 설정

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 거의 모든 대상에서 점검하는 항목으로 로그인 후 일정 시간 이상 이벤트가 발생하지 않는다면 로그아웃되게 설정하는 항목으로 "Session Timeout 설정"에 대하여 이야기하도록 하겠습니다. 한번 로그인하면 계속 로그인이 유지되는 것이 아니라 일정 시간 이상 이벤트가 발생하지 않는 경우 로그아웃하게 하여야 하는데요 이렇게 강제로 로그아웃 하게 설정하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 로그인 이후 로그인 유지 시간을 이야기하는 것으로 Session Timeout 설정이 되어 있지 않은 경우는 한번 로그인하면 계정 해당 로그인이 유지됩니다. 물론 로그아웃을 하면 되지만 대부분을 사용자는 로그아웃을 하는 경우가 없..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.1 정보자산 식별 : "정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..

원문보기 내부링크
Tistory

[ISMS-P] 1.2.1 정보자산 식별 : "식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?"

안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..

원문보기 내부링크
Tistory

[U-49/중] 1. 계정관리 1.10 불필요한 계정 제거

안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 관리적인 측면으로 계정에 대한 관리로 불필요한 경우 사용하지 못하게 하는 항목으로 "불필요한 계정 제거"에 대하여 알아보도록 하겠습니다. 계정 관리 차원으로 더 이상 사용하지 않는 계정이나 불필요하게 생성되어 있는 계정 그리고 혹시 악의 적인 계정에 대하여 점검하여 삭제하는 것입니다. 일단 가이드를 보도록 하겠습니다. 판단기준이 불필요한 계정 존재 여부입니다. 그렇다면 불필요 계정에 대한 기준이 어떻게 되면 어떻게 확인하는지가 가장 중요합니다. UNIX에서는 계정을 UID로 구분하고 있습니다. 앞서 확인했던 부분에서 UID는 시스템이 확인하는 계정 정보라고 이야기했었는데요 UNIX를 새로 설치하면 수많은 계정이 생성됩니다. ..

원문보기 내부링크
1 2 3