sehee

KISA 사물인터넷(IoT) 보안 시험 · 인증 기준 해설서 (2019. 02.)

STANDARD | KISA-GD-2019-0005

BASIC | KISA-GD-2019-0006

LITE | KISA-GD-2019-0007

openssl

1. CA(Certificate Authority)) 개인키 생성

openssl genrsa -out rootCA.key 2048

2. CA CSR(Certificate Signing Request) 생성

openssl req -new -key rootCA.key -out rootCA.csr

- 인증 서명 요청, 인증서를 발급하는데 필요한 인증 신청서

3. CA CRT 생성

openssl x509 -req -in rootCA.csr -signkey rootCA.key -out rootCA.crt

CA 인증서 생성

공개키 생성(.pem)

# Generate a private key
openssl genpkey -algorithm RSA -out private_key.pem

# Extract the public key from the private key
openssl rsa -pubout -in private_key.pem -out public_key.pem

공개키 변환(.der)

# unable to load certificate
openssl x509 -pubkey -noout -inform PEM -in public_key.pem -outform DER -out public_key.der
# create public_key.pem
openssl pkey -pubout -inform PEM -in private_key.pem -outform DER -out public_key.der

1. ASN.1 구조 확인

openssl asn1parse -inform DER -in public_key.der

2. 16진수 콘텐츠 보기

xxd public_key.der

참고

goldsony.tistory.com/223

WAN(Wide Area Network): ISP가 제공하는 광역 네트워크

(e.g., 인터넷, 전송망, 백업LTE)

LAN(Local Area Network): 근거리 지역 내의 공유 네트워크 - 스위치와 보안장비로 구성됨

(e.g., 인터넷 스위치, 전송장비, LTE라우터 - 업무, 인터넷, 무선, IPT)

네트워크는 ES(End System)와 IS(Intermediate System)를 주체로 구성됨

IPv4 IP와 IPv6 IP는 주소체계가 서로 다른데 어떻게 통신이 가능한가?

3가지 방식의 기술 사용: 듀얼스택(Dual Stack) + 터널링(Tunneling) + 헤더 변환(Translation)

듀얼스택: 물리적인 시스템은 하나이지만, 논리적으로 IPv4/IPv6 둘 다 지원

터널링: 이기종 네트워크를 경유할 경우 사용, IPv6 패킷을 IPv4 패킷 속에 또는 반대로 캡슐화함

헤더 변환: IPv4/6 망 사이의 연동 기술, NAT-PT(Network Address Translation-Protocol Translation)

DHCP(Dynamic Host Configuration Protocol)

네트워크에 접속할 때 단말 장치에 동적으로 IP를 할당해주는 역할을 하는 Protocol

침입차단(Firewall)

네트워크 접근제어

-

[DNS RFC]

RFC 1034: 도메인 이름 - 개념 및 기능
RFC 1035: 도메인 이름 - 구현 및 사양
RFC 1122: 인터넷 호스트에 대한 요구 사항 - 통신 계층
RFC 1123: 인터넷 호스트에 대한 요구 사항 - 애플리케이션 및 지원
RFC 1876: 도메인 이름 시스템에서 위치 정보를 표현하는 수단
RFC 1995: DNS에서 증분 영역 전송
RFC 1996: 영역 변경에 대한 프롬프트 알림 메커니즘(DNS 알림)
RFC 2136: DNS 업데이트(Domain Name System)의 동적 업데이트
RFC 2181: DNS 사양에 대한 설명
RFC 2308: DNS 쿼리의 부정 캐싱(DNS NCACHE)
RFC 2535: 도메인 이름 시스템 보안 확장
RFC 2782: 서비스 위치를 지정하기 위한 DNS RR(DNS SRV)
RFC 2845: DNS에 대한 비밀 키 트랜잭션 인증(TSIG)
RFC 2915: NAPTR(명명 기관 포인터) DNS 리소스 레코드
RFC 2930: DNS에 대한 비밀 키 설정(TKEY RR)
RFC 2931: DNS 요청 및 트랜잭션 서명( SIG(0)s )
RFC 3110: DNS(도메인 이름 시스템)의 RSA/SHA-1 SIG 및 RSA KEY
RFC 3445: RR(KEY Resource Record) 범위 제한
RFC 3596: IP 버전 6을 지원하는 DNS 확장
RFC 3645: DNS에 대한 비밀 키 트랜잭션 인증을 위한 일반 보안 서비스 알고리즘(GSS-TSIG)

DNS

클라이언트가 DNS(Domain Name System) 요청

DNS서버가 클라이언트에게 요청에 대한 응답을 줌(DNS 응답 패킷)

Flags

Response(Query)

요청 패킷(0), 응답 패킷(1)

dns.flags.response == 1 (응답)

dns.flags.response == 0 (요청)

Opcode

쿼리 유형 지정, 보통은 0000 포함

Authoritative Answer

도메인 이름에 대해 믿을 수 있는 서버로부터의 응답임을 표시

Truncation

응답이 잘렸는지, 아니라면 0 비트로 표시

Recursion Desired

재귀를 사용하는지 여부(대부분의 DNS는 재귀 쿼리 사용)

Reserved

예약된 비트, 비워 놓음. 0으로 설정

참고

https://learn.microsoft.com/ko-kr/windows/win32/dns/dns-standards-documents

목차
CVE(Common Vulnerabilities and Exposures)
NVD(National Vulnerability Database)
- CVSS(Common Weakness Enumeration)
CWE(Common Weakness Enumeration)

e.g., CVE-2022-1009 / CVE-2023-1009

CVE (Common Vulnerabilities and Exposures)

https://www.cve.org/

공통 취약성 및 노출

MITRE에서 관리하는 공개된 취약점 및 노출 목록

1) CVE-2022-1009 - https://www.cve.org/CVERecord?id=CVE-2022-1009

설명: 악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: 3.9.9 이전의 Smush WordPress 플러그인 / Smush - Lazy Load Images, Optimize & Compress Images

생성 날짜: (Published/Updated) 2022-05-30

피해규모: 중간(NVD 참조)

참조: https://wpscan.com/vulnerability/bb5af08f-bb19-46a1-a7ac-8381f428c11e

2) CVE-2023-1009 - https://www.cve.org/CVERecord?id=CVE-2023-1009

설명: /cgi-bin/mainfunction.cgi 파일의 sub_1DF14 함수가 영향을 받음, /../etc/password 입력으로 인수 옵션을 조작하여 경로 순회가 발생(로컬 네트워크 내에 공격이 이루어짐)

악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: DrayTek Vigor 2960 1.5.1.4 / Vigor 2960

생성 날짜: (Published/Updated) 2023-02-24

피해규모: 중간-낮음(NVD 참조)

참조: https://vuldb.com/?id.221742

NVD (National Vulnerability Database) (CVSS 포함)

https://nvd.nist.gov/

SCAP(Security Content Automation Protocol) 기반 표준 형태의 취약점 관리 용 미 정부 저장소

CVSS(Common Vulnerability Scoring System)으로 취약점 평가

* CVSS: 취약점 지표, 소프트웨어 취약점의 특성 및 피해 심각도를 표현하기 위한 개방형 프레임워크

1) CVE-2022-1009 - https://nvd.nist.gov/vuln/detail/CVE-2022-1009

설명/참조 동일(CVE)

심각성: 6.1(MEDIUM) - CVSS v3.0 Ratings / 4.3(MEDIUM) – CVSS v2.0 Ratings

2) CVE-2023-1009 - https://nvd.nist.gov/vuln/detail/CVE-2023-1009

설명/참조 동일(CVE)

심각성: 5.5(MEDIUM) - CVSS v3.0 Ratings / N/A – CVSS v2.0 Ratings

CWE (Common Weakness Enumeration)

https://cwe.mitre.org/

community-developed list of software and hardware weakness types

한 기관에서 개발한 것이 아님

1) CVE-2022-1009(CWE-79) - https://cwe.mitre.org/data/definitions/79.html

설명: 웹 페이지 생성 중 제어할 수 있는 입력을 무효화시킴(Cross-site Scripting)

세부 설명: XSS 취약점이 발생하는 경우 및 종류 설명

① Reflected XSS (or Non-Persistent) ② Stored XSS (or Persistent) ③ DOM-Based XSS

악용 가능성: High

2) CVE-2023-1009(CWE-22) - https://cwe.mitre.org/data/definitions/22.html

설명: 제한된 디렉토리에 대해 경로 이름을 부적절하게 제한함/순회(Path Traversal)

세부 설명: 파일 작업은 제한된 디렉토리 내에서 발생하도록 되어 있으며, “..” 및 “/”과 같은 특수 구분 기호를 이용하여 공격자는 제한된 위치의 외부 경로로 이동하여 다른 위치의 파일 또는 디렉터리에 액세스할 수 있음

① “../”: 현재 위치의 상위 디렉터리 – 상대경로 순회

② “/usr/local/bin”: 파일 액세스 – 절대 경로 순회

악용 가능성: High