19년 9월 정리

1. 디지털 포렌식 5대 원칙

정당성의 원칙

 - 위법한 방법으로 취득한 증거는 효력을 상실한다.

 - 위법증거 배제 원칙 : 적법하지 않은 과정으로 취득하지 증거는 사용할 수 없다.

 - 독과독수 원칙 : 적법하지 않은 과정으로 취득한 증거로 인해 발견한 2차 증거는 효력을 상실한다.

무결성 원칙

 - 증거물이 위조나 변조되지 않았음을 증명해야 한다.

재현 원칙

 - 피해 당시의 조건에서 현장 검증을 실시하거나 재판 시 검증과정에서 동일한 결과가 나와야한다.

신속성 원칙

 - 메모리 같이 휘발성 자료는 신속한 결정에 의해 수집되어야 한다.

절차 연속성 원칙

 - 수집된 증거는 담당자 및 책임자를 명확히 해야한다.

2.화이트리스트 블랙리스트

등록되어 있는 패턴만 입력할 수 있는 화이트리스트가 등록되어 있는 패턴을 입력하지 못하게 하는 블랙리스트보다 보안이 우수하다.

3.FTP active VS passive

ftp 모드에는 active 모드와 passive모드가 있다.

ftp  서버와 클라이언트는 연결을 맺고 데이터를 전송하는데 2개 또는 2개이상의 포트를 사용한다.

사용하는 포트와의 연결을 제어하는 command포트, 데이터를 전송하는 data포트.

command포트로 21번을 사용, data포트로 20번 또는 1024번 이상의 포트 사용.

active 모드

 

출처 : https://madplay.github.io/post/ftp-active-passive

1) 클라이언트는 서버의 21번 포트로 접속한 후 자신의 두 번째 포트를 알려준다.

2) 서버는 클라이언트의 요청에 응답.

3)서버의 20번 데이터 포트는 클라이언트가 알려준 두 번째 포트로 접속.

4)클라이언트가 서버의 요청에 응답.

 - 클라이언트의 방화벽 등 외부의 접속을 차단하면 데이터를 받지 못한다.

passive 모드

 

출처 : https://madplay.github.io/post/ftp-active-passive

active 모드의 단점을 해결하기 위해 passive 모드 사용.

1)클라이언트가 커맨드 포트로 접속을 시도

2)서버가 data포트 전송

3)클라이언트가 다른 포트로 연결 요청

4)서버가 요청에 응답

 - passive모드는 20번 포트를 사용하지 않고 1024번 이후의 임의의 포트를 사용한다.

차이점

 - active 모드는 서버의 data 포트의 접속이 실패하면(방화벽에서 막히면) 데이터를 받을 수 없지만,

 - passive 모드에서는 클라이언트가 먼저 보낸 요청을 받아야 하기 때문에 방화벽에 상관 없이 응답을 받을수 있다.

ftp의 종류

 1.ftp : tcp 프로토콜을 사용하는 ftp

 2.tftp : udp 프로토콜을 사용해 빠르게 데이터를 주고받는 ftp. 69번 포트 사용

 3.sftp : 암호화 기법을 사용해 데이터를 주고 받는 ftp

 - /etc/ftpusers 파일에 사용자를 블랙리스트로 등록해 연결을 막을 수 있다.

 - /etc/hosts.deny 파일로 특정 ip 접근 제한

 - /etc/hosts.allow 파일로 특정 ip 접근 허용

서비스 로그 기록

 - xferlog 파일에 기록이 남는다.

 - ftp 실행 시 -l 옵션으로 기록을 남길 수 있다.

보안 취약점

 - bounce attack : 제3의 익명 ftp 서버를 이용해 공격 대상의 열려 있는 포트를 스캐닝하는 기법. ftp 서버거 목적지를 검사하지 않기 때문에 발생한다. 메일의 헤더부분을 조작해 fake mail전송이 가능.

 - anonymous attack : 익명의 사용자에게 ftp 서버 접근 허용. 악성코드를 생성할 수 있다.

xferlog 분석

출처 : https://soyammou.tistory.com/31

1.전송 날짜와 시간

 - 2018년 5월 17일 목요일 11:54:41에 연결이 되었다.

2.전송 시간(1)

 - 전송에 걸린 소요 시간. 1초가 걸렸다.

3.원격 호스트 주소(192.168.0.18)

 - 원격으로 접속한 호스트의 주소.

4.전송된 파일의 크기(1710)

 - 전송한 파일의 크기를 나타낸다.

5.전송 파일명

 - 전송한 파일의 이름

6.전송 파일 유형(b)

 - 전송한 파일의 유형

   a : ascii

   b: binary

7.액션 플래그(_)

 - 압축,묶음에 관련해 어떤 동작을 했는지 나타냄.

 - '_' : 행위가 없었음.

 - 'C' : 압축된 파일을 나타낸다.

 - 'U' : 압축되지 않은 파일을 나타낸다.

 - 'T' : tar로 묶여 있는 파일을 나타낸다.

8.전송 방향

 - i(input) : 서버에 파일을 업로드 했다.

 - o(output) : 서버에서 파일을 다운로드 했다.

 - d(del) : 서버에서 파일을 삭제 했다.

9.엑세스 모드

 - 사용자가 접근한 방식이나 형태.

 - r : 시스템의 사용자가 인증한 것으로 passwd에 속해 있는 사용자로 접속한 형태.

 - a : anonymous. 익명의 사용자.

 - g: 비밀번호가 있는 게스트 계정.

10.사용자 명(vagrant)

 - 로그인한 사용자 명

11.서비스 명(ftp)

 - 호출된 서비스를 나타냄.

12.사용자의 인증 방식(0)

 - 사용자의 인증 방법을 나타냄.

 - 0 : 인증 방법 없음.

 - 1 : RFC 931 authentication 방식으로 인증

13.인증 사용자 ID(*)

 - 인증 메소드가 되돌려주는 사용자 ID. *는 인증된 사용자 ID를 사용할 수 없다.

14.완료 상태(c)

 - C : 전송 완료.

 - i : 전송 실패.