| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- 계정 탈취
- 화이트해커
- Mimikatz
- Social Network in Game
- 패시브스캐닝
- NMAP
- OpenID Connect
- 대학원
- AttackGraph
- airdecap-ng
- dnsenum
- Shift + ESC
- Chrome 작업관리자
- Kublet
- 액티브스캐닝
- 넷크래프트
- 프로젝트
- recon-ng
- cgroups
- Container
- decap
- davtest
- 공격그래프
- OIDC
- ip forwarding
- SecurityMetric
- 보안
- 강의
- 무선채널
- Mac
- Today
- Total
네른
[아무거나] 2. Windows Active Directory (Directory Service) 본문
[아무거나] 2. Windows Active Directory (Directory Service)
이전에 BlackHat USA2017에서 Active Directory를 이용한 Botnet에 대한 발표를 듣게 되었다.
당시에는 Active Directory에 대해 정확히 알지 못해 간단한 검색을 통해 개념만 알고 발표를 들었었는데,
이번 기회에 이에 대해 조금 더 깊이 알아보고 해당 발표의 PPT를 복습해보고자 한다.
물론 이번에도 전반적인 설명은 내가 이해한 대로, 내가 추후 이 글을 읽고 다시 이해할 수 있도록 설명하려 하니 주의를 요한다!
Active Directory(이하 액티브 디렉토리)란 그럼 무엇인가. 에 대해 알아보기전에!
액티브 디렉토리라는 것이 개념인가? 아니면 하나의 소프트웨어인가?
액티브 디렉토리는 'Windows'에서 제공하는 'Directory Service' 이다. 즉, 이는 디렉토리 서비스라는 기능을 구현한 일종의 소프트웨어다.
Mac OS에는 '애플 오픈 디렉토리' 라는 이름으로 이 디렉토리 서비스가 구현되있는 것 이다!
그렇다면 이제는 디렉토리 서비스에 대해 알아 볼 시간이다.
디렉토리 서비스는 '네트워크의 사용자'와 '네트워크의 자원'에 대한 정보를 저장하고, 이를 조직화하며 관리하는 응용 소프트웨어를 칭한다.
네트워크 내의 자원에 대한 정보를 등록하고, 사용자들에 대한 정보 또한 등록함으로써 사용자들이 원하는 자원을 쉽게 찾고 이에 접근할 수 있게 해주는 서비스를 뜻하는 것 이다.
디렉토리 서비스 안에서 관리되고 있는 '데이터베이스'를 디렉토리 라고 칭하고 이에 접근할 수 있게 해주는 서비스가 바로 '디렉토리 서비스' 인 것이다.
또한 디렉토리는 'Namespace'라고 불리우는 Scheme을 기반으로 정보를 조직화하는데, 이는 DNS(Domain Name Service)의 형식과 같다.
(이는 Active Directory에서만 사용되는 개념일 수 있다. 추후 찾아보고 추가하도록 하겠다. + 게다가 뭔소린지 잘 모르겠다.)
+ 데이터베이스들과 마찬가지로, 디렉토리 서비스는 데이터를 찾고 이를 읽어오는데에 최적화되어 있으며, 정보를 검색하는 기능이 매우 잘 구현되어있다고 한다.
그렇다면 이제부터 디렉토리 서비스의 구성 요소들에 대해 살펴 볼 시간이다!
1. Domain
- 도메인은 자원을 관리하기 위한 하나의 큰 단위를 의미한다.
- 도메인별로 고유의 보안 정책을 가지고 있다.
- 서버컴퓨터 네트워크의 보안 경계이다.
- OU의 집합이다.
2. OU (organization unit)
- Object들의 모임.
- 도메인 내에는 여러개의 OU가 존재할 수 있다.
- OU는 다른 OU를 포함할 수 있다.
- 객체를 묶는 역할만 할 뿐 별다른 역할이 존재하지 않는다.
3. Object
- 네트워크상에 위치한 자원들을 의미한다. 사용자, 컴퓨터, 프린터, 공유폴더, 디비 등등 모든것이 가능하다!
- 오브젝트별로 속성이 다르다.
4. Tree
- 1번 2번 3번의 계층적 구조를 트리라 칭한다.
5. Forest
- 두 개 이상의 트리가 합쳐져 Directory를 이루는 것을 포레스트라 한다.
6. Trust
- 두 개 이상의 도메인 사이에서, 서로 자원을 공유하기 위해 사전에 협약하는 것이 트러스트.
- A가 B를 트러스트하면 A가 Trusting / B는 Trusted 도메인. B가 A의 자원을 관리할 수 있다.
7. Domain Controller
- 도메인에 대해 권한을 관리하는 서버.
8. Global Catalog
- 도메인에 포함된 Object에 대한 정보를 수집하여 저장하는 저장소.
이 외에도 더 많은 구성요소들이 있으나, AD와 DS를 이해하는 데 있어서 이정도의 정보만 있어도 충분할 것 같다.
이러한 Directory Service를 이용하게 되면, 네트워크 상으로 나누어져 있는 자원을 '중앙의 관리자' 가 통합하여 관리할 수 있다. 즉 사용자들은 자신의 정보를 개인이 보관하는 것이 아닌, 서버상에 저장 해 두고, 어디에 가서든지 자신의 Domain name을 이용하여 로그인하게되면 정보들을 쉽게 접근할 수 있다.
+ 그러나 만약 트러스트 관계가 성립된 도메인 중 단 한대의 PC라도 감염된다면? 해당 PC를 거점으로하여 모든 정보의 유출이 일어날 수 있다.
하지만 보안 관계가 잘 성립되어 있더라도 이것이 가능한가. 는 PPT를 다시보아야겠다.
'궁금 > 아무거나' 카테고리의 다른 글
| 5. Spring Framework 특징 (0) | 2020.06.17 |
|---|---|
| 4. Container(컨테이너), Kubernetes(쿠버네티스) (0) | 2020.06.17 |
| 3. WAS (0) | 2020.06.17 |
| [아무거나] 1. SMTP, POP Protocol (0) | 2017.09.20 |
