윈도우&유닉스 시스템 보안설정 Start! 20131191 서화섭
윈도우 시스템 보안설정 20131191 서화섭 목 차 계정 관리 로컬 보안 설정 데몬 관리 파일 및 디렉토리 관리
계정 관리 윈도우 시스템 보안 설정 보안에서 가장 기본!! ① 패스워드 관리 : 주기적으로 관리하는 시스템의 패스워드를 크래킹 하여 취약한 패스워드를 가진 계정을 체크, 보안의 첫 번째 방어벽! ② 불필요한 계정의 존재 여부 : 계정의 생성은 문서화하여 기록하고 주기적으로 불필요한 계정을 삭제 관리자 계정 ‘Administrator’사용
계정 관리 윈도우 시스템 보안 설정 관리자 계정 바꾸기 [제어판] – [관리 도구] - [컴퓨터 관리] Administrator 계정을 선택 한 뒤 F2를 누르면 이름 변경 Administrator-> wishfree
시작 → 설정 → 제어판 → 관리도구 → 로컬 보안 설정 계정 관리-계정 정책 윈도우 시스템 보안 설정 암호정책 시작 → 설정 → 제어판 → 관리도구 → 로컬 보안 설정 최소 암호 길이와 사용 기간을 설정 최근 암호 기억
계정 관리-계정 정책 윈도우 시스템 보안 설정 계정 잠금 정책 계정 잠금 임계 값 : 일정 수 이상의 잘못된 로그인을 시도했을 때 계정을 사용할 수 없도록 하는 횟수 계정 잠금 기간 : 패스워드를 5회 이상 틀렸을 때 계정이 잠기는 기간
. 로컬 보안 설정 – 사용자 권한 할당 윈도우 시스템 보안 설정
[제어판] – [관리도구] – [로컬보안정책]- [로컬정책]- [사용자 권한할당] . 로컬 보안 설정 윈도우 시스템 보안 설정 네트워크에서 이 컴퓨터 액세스/거부 [제어판] – [관리도구] – [로컬보안정책]- [로컬정책]- [사용자 권한할당] 거부 설정 시 : ‘네트워크에서 이 컴퓨터 액세스’등록여부 관계없이 원격 로그인 불가능 윈도우의 대부분의 설정은 ‘거부’가 우선
. 로컬 보안 설정 윈도우 시스템 보안 설정 로컬 로그온/로컬로 로그온 거부 ‘네트워크에서 이 컴퓨터 액세스 거부’설정 : 원격에서만 접속 불가능 ‘로컬 로그온 거부’ : 원격 접속가능 하지만 로컬에서 접속 불가능 둘 다 설정 : 계정 사용 중지와 동일
시스템 종료/원격 시스템에서 강제로 시스템 종료 . 로컬 보안 설정 윈도우 시스템 보안 설정 시스템 종료/원격 시스템에서 강제로 시스템 종료 시스템 종료는 기본적으로 Administrators, Backup Operators, Power Users 그룹만이 로컬에서 시스템을 종료 가능 원격에서 강제로 시스템 종료는 Administrators 그룹만이 가능
. 로컬 보안 설정 – 보안 옵션 윈도우 시스템 보안 설정 감사 로그가 꽉 차거나, 로깅을 정상적으로 시행할 수 없을 때 시스템을 재부팅하도록 설정 시스템 운영 < 사용 기록 중요 : 활성화 시스템 운영 > 사용 기록 중요 : 비활성화
. 데몬 관리 윈도우 시스템 보안 설정 데몬이란? 특정 서비스를 위해 백그라운드 상태에서 계속 실행되는 프로그램입니다. 데몬은 부팅중에 메모리에 로딩되어 컴퓨터가 종료될 때 까지 상주해있습니다. 데몬의 종류에는 FTP, SMTP, HTTP 등이 있다. 포트번호 서비스 보안 설정 21 FTP 익명계정(Anonymous)의 로그인을 허용하지 않는다. 25 SMTP 텔넷을 이용한 배너 그래빙을 이용해서 SMTP 버전과 운영체제를 짐작 80 HTTP 웹 서비스를 위한 포트
. 데몬 관리 - FTP 윈도우 시스템 보안 설정 FTP - FTP 의 취약점 중 가장 일반적인 취약점은 익명계정의 로그인 허용이다. 윈도우 시스템에서는 익명 계정이 기본적으로 허용되어 있기 때문에, 이런 익명 계정에 의한 FTP 로그인을 금지해야한다. [제어판] - [프로그램 추가제거] – [Windows 구성 요소 추가/제거] - [인터넷 정보 서비스 IIS 설치] - [관리도구] - [인터넷 서비스 관리] -동시접속자수 FTP에 접속할 필요가 있는 세션 수 이상의 접속이 이루어 지지 않도록 설정.
데몬 관리 - SMTP 윈도우 시스템 보안 설정 이메일 전송을 위한 프로토콜 . 데몬 관리 - SMTP 윈도우 시스템 보안 설정 이메일 전송을 위한 프로토콜 연결제어설정 : 특정 IP와 네트워크에 대한 설정 가능. 릴레이 제한 : 자신에게 전달되는 메일을 다른 메일 서버로 전달해주도록 설정 스팸 메일을 많이 줄일 수 있다.
Ip주소 : 사설망일 경우 192.168.127.130부터 서버 ip를 사용 데몬 관리 - HTTP 윈도우 시스템 보안 설정 HTTP : 웹 서비스를 위한 포트 Ip주소 : 사설망일 경우 192.168.127.130부터 서버 ip를 사용 (공인 아이피를 사용 할 경우 할당되지 않음으로 설정) Tcp포트 : 기본 80이지만 일부 ISP업체에서는 포트를 막아 놓거나 중복사용이 되는 경우가 있으므로 포트를 변경해야 할 수도 있음
웹 서비스 페이지가 저장되어 있는 디렉터리 설정 . 데몬 관리 - HTTP 윈도우 시스템 보안 설정 웹 서비스 페이지가 저장되어 있는 디렉터리 설정 기본경로 : c:/inetpub/wwwroot로 설정되어 있는데 공격자가 웹 소스가 어디에 있는지 추측하기 쉽기 때문에 관리자만이 아는 경로로 변경
파일 및 디렉토리 관리 윈도우 시스템 보안 설정 모든 권한 디렉토리에 대한 접근 권한과 소유권을 변경 할 수 있으며, . 파일 및 디렉토리 관리 윈도우 시스템 보안 설정 모든 권한 디렉토리에 대한 접근 권한과 소유권을 변경 할 수 있으며, 서브 폴더와 파일을 삭제할 수 있다. 수정 폴더를 삭제할 수 있으며, 수정의 권한이 있으면, ‘읽기 및 실행’ 그리고 ‘쓰기’ 권한이 주어진 것과 같다. 읽기 및 실행 읽기를 수행할 수 있으며, 디렉토리나 파일을 이동할 수 있다. 폴더 내용 보기 디렉토리 내의 파일이나 서브 디렉토리의 이름을 볼 수 있다. 읽기 디렉토리 안의 내용의 읽기만 가능하다. 쓰기 해당 디렉토리의 서브 디렉토리와 파일을 생성할 수 있으며, 소유권이나 접근 권한의 설정 내용을 확인할 수 있다.
NTFS에서 설정한 디렉토리 및 파일에 대한 접근권한설정 규칙 . 파일 및 디렉토리 관리 윈도우 시스템 보안 설정 NTFS에서 설정한 디렉토리 및 파일에 대한 접근권한설정 규칙 규칙1. NTFS 접근 권한은 누적된다. 규칙2. 파일에 대한 접근 권한이 디렉토리에 대한 접근 권한보다 우선한다. 규칙3. ‘허용’ 보다 ‘거부’ 가 우선한다.
윈도우 시스템 보안설정 Q&A
유닉스 시스템 보안설정 20131191 서화섭 목 차 계정 관리 서비스관리 패치 관리 접근 제어 파일 및 디렉토리 관리
계정 관리 유닉스 시스템 보안 설정 취약한 패스워드 관리 불필요한 계정의 제거 중복된 root 계정의 존재 여부
계정 관리 – 중복된 root 계정의 존재 여부 유닉스 시스템 보안 설정 root 이외의 관리자 계정의 존재 여부 확인 방법: grep ‘:0:’ /etc/passwd
. 서비스 관리 유닉스 시스템 보안 설정 텔넷 서버 텔넷 클라이언트 inetd 로그인 inetd 수퍼데몬 FTP 서버 ① /etc/inetd.conf 파일에서 데몬에 대한 설정 읽기 ② /etc/services 파일에서 설정된 포트 번호
. 서비스 관리 유닉스 시스템 보안 설정 /etc/services 파일의 내용 [데몬 이름] [포트번호]/[프로토콜]
. 서비스 관리 – ftp(포트 21) 유닉스 시스템 보안 설정 주요 보안 이슈 : 원격 버퍼 오버플로우 공격, 포맷 스트링 공격, anonymous 로그인, root 계정의 로그인 허용 FTP의 경우 해당 시스템에 계정이 있으면 누구나 로그인 가능하므로 vi /etc/ftpusers 파일을 통해서 계정을 제한
. 패치 관리 유닉스 시스템 보안 설정 레드햇 보안패치 : http://www.redhat.com/apps/support/errata
. 패치 관리 유닉스 시스템 보안 설정 솔라리스 : http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage
. 접근제어 유닉스 시스템 보안 설정 TCPWrapper를 이용한 접근제어
. 접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 적용 vi /etc/inetd.conf
. 접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 접근제어 접근제어의 설정 – vi /etc/hosts.deny
접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 규칙검사 . 접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 규칙검사 /usr/sfw/sbin/tcpdmatch in.telnetd 192.168.68.3
. 접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 접근제어 접근허락의 설정 – vi /etc/hosts.allow
접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 규칙검사 . 접근제어 유닉스 시스템 보안 설정 (TCPWrapper) 규칙검사 /usr/sfw/sbin/tcpdmatch in.telnetd 192.168.68.3
접근제어 유닉스 시스템 보안 설정 접근 허용의 규칙 설정 방법 . 접근제어 유닉스 시스템 보안 설정 접근 허용의 규칙 설정 방법 ALL : 192.168.68.3, 192.168.68.4 EXCEPT 192.168.68.5 모든 데몬에 대해 192.168.68.3, 192.168.68.4 에 대한 접근을 허락 192.168.68.5 는 금지 in.ftpd : 192.168.68.0/255.255.255.0 192.168.68.*** 네트워크에 해당하는 시스템이 FTP에 접속하는 것을 허락 in.telentd : .co.kr 도메인 이름이 co.kr로 끝나는 시스템으로부터의 telnet 접근 허락
/etc 접근 권한 751 (d rwx r-x --x) : 여러 가지 시스템에 대한 설정 파일 을 담고 있는 디렉토리 . 파일 및 디렉토리 관리 유닉스 시스템 보안 설정 /etc 접근 권한 751 (d rwx r-x --x) : 여러 가지 시스템에 대한 설정 파일 을 담고 있는 디렉토리 /bin 접근 권한 771 (d rwx rwx --x) : ls, cd 등의 명령에 대한 실행 파일 존 재 /etc/inetd.conf 접근권한600(- rw- --- -- -) :시스템이 제공하는 서비스에 대한 정 보를 담고 있다.
유닉스 시스템 보안설정 Q&A
감사합니다. Thank you! 20131191 서화섭