본문 바로가기

Computer Engineering/WIN2008

WIN2008 #1 - 보안 관련 정책

계정 정책에 대해서 기본값이 무엇이든 간에 중요한 것은 패스워드를 기록을 해놓은 것은 좋지 않다.

Account Lockout : 기본 도메인 정책에 포함되어 있다.
Kerberos : 보안을 깊게 하려고 하면 봐두어야 한다. 만화를 보면 켈베로스 라는 게 기억이 나는지? 해리포터에 나오는 문앞에 머리 3개 달린 개. 놀이동산에서 매표소 => 해당 티켓을 발급 받은 사람만 이용을 할 수 있는 것으로 생각하면 쉬울 것이다. 요일, 시간, 이용하는 놀이 기구마다 달라 지는 것이다.

정책 결제, 승인, 작업자가 있어야 한다. 아이디어를 내고 승인을 하고 작업 지시를 내리고 하는 일련의 프로세스가 필요한 것이다.



자물쇠 + CCTV + 경비가 조합되면 최상의 보안이라고 할 수 있다?
=> 잠깐 나간사이에 컴퓨터를 넣었다. 그래도 CCTV 가 있으면 못하는 것이다. 물리적 보안이 더 중요할 수 있다. 아무리 보안을 잘 해놓아도 서버를 들고가면 소용없는 것이다.

회사에서 공유기? 중소 기업의 경우 => 공유기 밑에는 내부망이 된다.

해킹이라는 것을 할 때에 다 알기 때문에 하는 경우도 있고 그냥 툴을 돌리는 경우도 있다. 카인의 나벨의 툴 같은 경우 내부망에 돌리면 정말 다 떨어지게 된다. 누군가가 공인인증서를 써서 결제를 하면 공인인증서도 복사해서 다 갖게 된다.

사용을 못하게 해야 된다. 어떻게 못쓰게 할 것인가? 1. 프로그램을 배포한 사이트 차단. 2. 해당 프로세스 킬 3. 서버보고

HOST : 컴퓨터 자체를 이야기 한다. authentication : 사용자에 대한 인증 // autholization : 시스템에 대한 인증 // permission : 사용자에 대한 권한이 아니라 개체에 대한 권한을 이야기 한다 // right : 시스템에 대한 권한을 이야기 한다. // 인증받은 사용자만 사용할 수 있다. 반드시 authentication 을 받아야 한다.  OS 강화 => OS Update 가 대표적인 예가 될 것이다. Update 는 뜨자마자 하는 것이 가장 좋을 것이다. 서버가 재부팅 시에는 많은 시간이 걸린다. 시간이 걸린다는 것은 서비스가 안된다는 것이다. 2~3 시간 동안 못하는 것이다. 그래서 서버를 몇 대를 두어서 서비스를 제공하는 것이다. 서비스를 제공하는 사용자 입장에서는 서버가 계속 돌아가는 것 처럼 보이는 것이다.

PDF 파일 취약점 : 파일은 보이지만 뒤에 숨겨 두는 것이다. 실행 시킬 때에는 아무일 없는 것 처럼 보이는 것이다.

작년 중순 쯤에 야동이 많이 퍼졌다 => 중국에서 대량으로 뿌렸다 => 그래서 사용자 입장에서는 그냥 실행 시켰을 때에는 실행이 되지만 아무것도 안나오지만 AV 도 한계가 있는 것이다. 메모리 얼로케이션을 쓰면서 계속 1M 를 할당하는 것이다. 그러면 시스템 메모리는 다운 되는 것이다. 가상 메모리 만들기 전에 이미 끝나버리는 것이다.

V3를 많이 사용하고 있다. 엔진은 정말 잘 만들었다. 스마트 엔진 이런말이 있을 정도로 잘 잡아낸다. 그런데 V3 개발자가 50명 // 카스퍼스키의 경우 3000명 => 그 만큼 차이가 나는 것이다. 듣는 이야기로 패턴 개수가 많아봤자 2~3 개이다. 하루에 나오는 것이 1만 단위이다. 악성코드 변종 포함해서 2만 단위로 나오기 시작했다. 제우스와 2위 회사가 합병을 해서 악성코드를 찍어내고 있다. V3 의 대응력은? 그만큼 못만들어 낸다. 07 년도 까지는 7위 까지 올라갔었다. 100위 안에도 없다. 반면에 재미있는 사실 => MS-Security 엔진? 백신 사업을 두 번째 하고 있다. 하나의 단점은 update가 Windows update 에 포함이 되어 있다는 사실이다.

백신같은 경우는 많이 저렴해졌다. 보면 기준가격이 4만원이라고 하면 지금은 6~8 천원 한다. 그리고 ... 백신을 불법다운로드 받아서 쓰는 경우 => 백신 자체가 악성코드가 될 수 있다. 정품 CD 를 이용해서 설치를 해야될 것이다. 그리고 다른 업체를 보면 카스퍼스키가 잘 잡아준다. 회사에 납품되는 V3 는 담배한갑도 안나온다.

샘플을 수집해서 보내준 적이 있다. 바이러스 걸린 것 같은데 카스퍼스키를 돌리면 나오는데 ㅠ.ㅠ 카스퍼스키도 윤리적 기업... 이런 것은 엄한 소리이다. 관리자 권한으로 메일을 보낸 적이 있었다.  회사의 메일 해시를 알아서 뿌린 것이다. 그 이후로 계약을 안했었다. 중앙관리도 없었는데 중앙관리가 생겨서 회사에서도 사용을 하고 있다. McAfee // Norturn 의 경우 외국에 대한 악성코드는 굳.

루마니아 백신 비트~~ => 엔진으로 유명하다.
백신은 인지도 있는 것을 사용해야 한다. 한 가지 더 이야기 하면 백신은 개인 사용자 백신과 서버용 백신 두 가지의 차이는? 일단 가격차이가 심하다

알약서버가 나오기는 했지만 개인 사용자용이어서 설치를 할 수 없다고 나온다. 서버에 개인용 설치하게 되면 서버에 있는 서비스가 막힐 수 있다. 서버 서비스를 인식하느냐 인식하지 못하느냐의 차이라고 본다. 복제파일을 지우고 있었다. 정적인 파일과 동적인 파일이 존재한다. 동적인 파일은 시스템 환경에 따라 변경된다. 이런 파일이 지워지면서 문제가 생기는 것이다. 가만히 나두는 것이 서버 안정성을 높이는 데에는 더 도움이 될 것이다.

KASPERSKY : 1 년에 4,000 원 ... // 안드로이드 용은 1주일 무료로 사용할 수 있는데
백신 업계에서 1위 , 러시아 사람이름 이다. 아버지가 백신을 만들었다. 유진 카스퍼스키
아들은 뛰어난 해커이다. 한국에서 Intel CPU 를 해킹했는데 ...

당연히 알고 있어야 한다. 백신을 바꾸려고 하는데 무엇으로 바꿀까? 하고 물어본다. 하드웨어 뿐만 아니라 이런 부분에 대해서도 잘 알고 있어야 한다.

- DATA -
DACL : 사용자가 접근 할 수 있는 파일. 즉, 접근 제한을 하라는 것이다.
EFS : 암호화를 하면 인증서를 만들게 되어서 해당 사용자만 Access 가능하고 파일 수정이 가능하다. 크게 활용도는 높지 않다.
Bit Locker 의 경우  : 패스워드를 입력해야지 풀 수 있다.  SERVER #2 에서 유용하게 사용할 수 있다.
11-9 Local 정책 : 가장 첫번째 정책!! cf ) 강제상속의 경우는 무조건 0 순위

WIN 그룹 설정시 Local 상태라는 것이다. 도메인에 찍혀 있다는 것은 도메인에 가입되어 있다는 것이다. 그랬을 때에 도메인에 가입이 안되어 있는

WIN 방화벽을 사용할 때에 CMD 명령어로 조작이 가능하다. 어떤 WIN 에서도 CMD 명령어가 먹힌 다는 것이니까 확인을 해야 한다. 악성코드가 이런 명령어를 치면 방화벽을 조절 할 수 있다.

11-12
4. 다양한 기준에 대해서 규칙 지정을 할 수 있다.
5. 네트워크 위치인식 프로필을 제공한다. => 어떤 서버에 처음 연결이 되었을 때 : 한 번 지정이되면 이 서브넷은 공용이다. 개인용 네트워크구나 하고 지정할 수 있는 것이다. 가져오기 - 내보내기 같은 경우 유용하게 사용할 수 있다.

11-26 소프트웨어 제한 정책 : 소프트웨어를 차단하려고 하지만 오히려 걸면 차단이 안된다?
Hash , 인증서, 경로, 명령을 통해 차단을 할 수 있다. 네이트온 실행 차단 정책을 만들었다고 하자. 해당 파일을 실행시에 차단을 하는 것이다. 다른 경로에 설치한다면 소프트웨어 제한 정책이 먹히지 않을 것이다. 사용이 가능하다. 우회 방법을 통해 사용이 가능하다. 서버에 없으면 해당 사용자의 책임일 것이다. 그렇기 때문에 관리를 해주어야 한다. 차라리 가만히 나두고 ... 우리 입장에서 다른 하드에 있는 네이트온을 실행한다면 실행이 될 것이다. 따로 제한을 걸지말고, 차라리 bat 을 만들어서 login 스크립트를 이용해서 해당 파일의 존재여부를 알려주는 것이 나을 것이다.

오늘 더 한가지 설명드리는 것 : RODC(Read Only Domain Controller )
PDC, BDC => WIN 2000 에서 있었던 것. PDC = 지금의 DC 를 이야기 한 것이다. BDC를 없애 버렸는데 사용자들이 필요하다고 하니까 다시 BDC 라고 하기에는 뻘쭘하니까 RODC로 만든 것이다.

지점에 서버관리자를 보낸다. 서버 관리 하는 것에 대해서 연봉 1800을 주는데 누가 하려고 할까? ... 관리자를 상속시키거나 지점이 저멀리 외국에 있다고 하자. 아프리카에 지점이 있다고 할 수 있다. 서버관리하다고 하면 잘 하는 사람이 없을 것이다. 사용자를 내버려 둘 수는 없다.

DC에 있는 내용을 그대로 복사하니까 읽어 내는 것만 가능하다. 소속 그룹을 통해 관리자 그룹에 넣는 것과 같은 것은 안되는 것이다. 지점에서의 변화가 전체 포리스트로 역공급 되는 것을 막기 위해 변경이 필요한 부분들은 일반 DC

한국에 도메인이 있다고 하자! 소말리아에 지점을 만들어야 한다. 한국에 있는 몇 몇 강사들보고 IT 자원봉사를 다녀와라. 소말리아에 컴퓨터를 두었다. 강사들이 소말리아에 갔다. 컴퓨터만 있는 것이다. 같은 위치에 있어야 Domain 에 가입할 수 있는 것은 아니다. 한국에서 ID, P/W 에 대한 인증을 받아야 할 것이다. 정책을 포함한 것을 소말리아에 알려주어야 한다. 소말리아의 인프라가 조금은 뒤쳐질 것이다. 10분안에 끝난다는 보장이 없어 질 것이다. 그러면 소말리아에 간다고 해도 사용을 하지 못하는 것이다. 한국에 있는 관리자가 RODC 라는 것을 만들어서 소말리아에 보내준다. 그러면 받는 쪽에서 IP를 넣어주고 그 다음에

글로벌 카탈로그는 길잡이 정보를 하는 것이다. 최소한의 정보를 복사해서 갖고 있는 것이다. 읽어내는 것만 가능한 것이다. 만약에 ID , P/W  를 사용시 P/W 만료기간이 있는데 기간을 수정하려고 하면 이것은 RODC 에서 안되므로 주 DC로 보내야한다. 인증은 RODC 에서 받아야 하므로 주 DC 의 모든 내용을 복제해 주어야 할 것이다.

RODC : Read Only Domain Controller (읽기전용 도메인 컨트롤러)
 -지점은 대부분 소규모이고 물리적 보안에 취약.
 -관리자를 상주시키거나 지점과 본사를 이동하며 관리하기에는 무리가 있음.
 -일반 DC에서 가지는 동일한 속성과 개체를 가지고 있음
 -RODC에서 정보 수정 불가능.
 -지점에서의 변화가 전체 포리스트로 역공급되는 것을 막기 위해
  변경이 필요한 부분들은 일반 DC에서 처리된뒤, RODC로 복제

'Computer Engineering > WIN2008' 카테고리의 다른 글

WIN2008 #1 - 모니터링 & 백업  (0) 2011.08.31
WIN2008 #1 - FSRM  (0) 2011.08.30
WIN2008 #1  (0) 2011.08.26
WIN2008 #1 - 계정, 관리자 이름  (0) 2011.08.25
WIN2008#1 - 그룹 정책 + 로그온 스크립트  (0) 2011.08.24