3과목] 어플리케이션 보안 - 1)FTP, MAIL

1.FTP

 -특징

1)IETF RFC 959.

2)TCP

3)2개의 연결

>PI(Protocol Interpreter)

->제어 명령을 송수신

->21번 포트.

>DTP(Data Transmission Process)

->데이터를 송수신.

->20번 포트, 1024 이후 포트.

 -지원 모드

>액티브 모드

1)클라이언트: N  -> 서버: 21 [연결].

2)서버: 20 -> 클라이언트: N+1 [데이터]

*데이터 전송을 위한 연결시도를 서버에서 한다.

>패시브 모드

1)클라이언트: N -> 서버: 21 [연결].

2)클라이언트: N+1 -> 서버: M [데이터]

*데이터 전송을 위한 연결시도도 클라이언트에서 한다.

*N, M은 1024보다 큰 임의포트.

 -리눅스 ftp 설정

>`rpm -qa } grep  vsftpd`

->리눅스 ftp rpm 확인.

>`/etc/vsftpd/vsftpd.conf

#anonymous_enale=YES

->익명 연결에 대한 허가여부.

local_enable=YES

->로컬 사용자 연결 허가여부.

write_enable=YES

->쓰기 기능 허가여부.

.local_umask=022

->폴더 생성시 umask.

xferlog_enable=YES

->로그 생성여부.

xferlog_file=/var/log/xferlog

->로그 저장 경로.

connect_from_port_20=YES

->데이터 교환 포트 설정.

 -FTP 취약점 유형

>바운스 공격

->데이터를 전송할 때 목적지 검사를 하지않는 취약점 이용.

->목적지를 피해자 PC로 지정하고 데이터를 전송함.

 //자세한 내용은 안나와있어, 문제에 나온다면 공부하는걸로.

>익명 FTP

>암호화 되지 않는 로그인 정보

->스니핑에 취약.

2.MAIL

 -TCP/IP에서, SMTP를 이용하여 문자나 부호를 송수신하는 서비스.

 -전자우편은 메시지 정보가 담긴 헤더와, 메시지 내용이 담긴 바디로 구성되있다.

 -프로토콜 유형

1)SMTP(Simple Mail Transfer Protocol)

->기본 전자우편 프로토콜.

->포트: 25

2)IMAP(Internet Message Access Protocol)

->전자우편을 수신/보관하는 프로토콜.

->포트: 143, 220

3)POP3(Post Office Protocol 3)

->전자우편을 수신/보관하는 프로토콜.

->다운로드되면 삭제되어, 이미 읽은 메일은 다시 읽을 수 없다.

->포트: 110

 -구조

*MTA(Mail Transfer Agent): 메일 전송 서버.

*MUA(Mail Use Agent): 사용자가 메일을 송수신할 때 사용.

*MDA(Mail Delivery Agent): 도착한 메일을 사용자에게 보냄.

*MRA(Mail Retrieval Agent): 원격지 서버의 메일을 사용자 MUA로 가져옴.

 -리눅스 메일운영

1)sendmail

2)dovecot

//구축관련 설명이 적혀있는데, 필요없을 것 같아 일단 생략.

 -공격유형

>클라이언트 취약점

1)액티브 콘텐츠 공격

->HTML 기능이 있는 메일 클라이언트나 웹 브라우저를 대상으로 한 공격.

->스크립트를 삽입하여 악의적인 동작을 유도.  //XSS랑 다른 것인가??

->대응방법

->스크립트 기능 제거

->스크립트 필터링/변환.

2)트로이목마

->확장자를 숨겨 트로이목마 악성코드를 전송.

->확장자 유형

1) *.txt.vbs: 텍스트 파일로 가장한 VB 실행 스크립트.

2) *.jpg.scr:  그림 파일로 가장한 스크린 세이버 실행파일.

3) *.mpg.dll

4) *.txt.exe

>서버 취약점

1)버퍼오버 플로우

->imap 4.52버전에서, imap search를 수행할 때 버퍼오버 플로우 취약점 발생.

2)이메일을 통한 APT 공격

->수집된 빅데이터를 통해, 특정인이 흥미 가질만한 메일을 보내

  악성 문서파일을 열람하도록 유도.

3)메일 서버 릴레이

  //대충 메일을 받는 그런 개념임. 설명이 애매해서 생략.

 -스팸 대책

1)access DB 활용

`/etc/mail/access`

->릴레이 관련 접근제어 설정.

2)relay 영역지정 기능 활용

3)스팸어세신

->룰 기반으로, 차단 리스트(RBL)을 참고하여 점수를 매기고 이것으로 스팸여부를 판별.

4)Inflex

->메일 서버에서 바이러스가 첨부된 메일 필터링.

->inflex.cf 설정 파일로 정책 설정.

5)스팸 차단 리스트 활용

->SPF, RBL

 -보안 기술

1)PGP(Pretty Good Privacy)

>특징

->필 짐머만이 개발(개인/ 무료 배포)

->RFC 4880.

->세션키는 송신자가 생성.

->세션키는 128bit의 랜덤키.

->RSA, IDEA 등 암호화 알고리즘 사용.

->플러그인으로 사용 가능.

->RSA, DSS 두 가지 형태의 공개키 형성 가능.

>구성

1)키링

->키를 저장하기 위한 자료구조.

2)개인키링

->자신만 갖는 키.

->IDEA로 암호화.

3)공개키링

->다른 사용자에게 공개되어있는 키.

->공개키를 이용해 전자서명 확인 가능.

>기능

1)압축

->ZIP 사용.

2)분할 및 재결합

->한꺼번에 전송가능하지만, 분할 및 재결합도 가능.

2)PEM(Privacy Enhanced Mail)

->IETF 표준안

->전송 전, 자동 암호화.

->PGP에 비해 보안능력 우수.

->중앙 집중형 키 인증방식으로 널리 사용은 힘듬.

3)S/MIME(Secure MIME)

>MIME

->한국어 같은 다중 언어를 SMTP로 전송될 수 있도록 아스키코드로 변환시킴.

->SMTP를 확장하여 여러 데이터를 보낼 수 있도록 함.

>S/MIME

->X.509 v3을 지원.

->MIME에 암호화, 전자서명 기능을 추가.

//자세한 구성 내용은 나중에 문제 나오면 추가하는걸로.

4)총 비교