[정보보안기사 실기 공부] week 2

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

 

 

카카오 IDC 불나서 며칠간 티스토리 접속이 원활하지 않았음,, 그래서 2주차는 수요일에 시작,,

---

 

10.19  (day 8) 정보보안 일반

단답형 1. 티켓 개념을 이용한 인증 방식으로 기밀성, 무결성, 타임스탬프를 이용해 재전송 공격을 방지할 수 있는 프로토콜은?

답: 커버로스(kerberos)

 

* 커버로스 구성

- KDC(Key Distribution Center)=암호화 복호화를 진행할 키 분배 센터로 TGS로 구성되어 있음

- AS(Authentication Server)=인증 시 사용할 제 3의 시스템

- TGS(Ticket Granting Server)=티켓 발급

 

서술형 1. 전자서명의 주요 기능 5가지를 설명하세요

답: 서명인의 개인키가 없으면 위조 불가(무결성), 이미 작성한 서명은 변경 불가(무결성), 서명인은 자신이 서명한 사실을 부인할 수 없다는 부인 방지, 한 문서 내의 서명을 다른 문서에서 재사용 불가, 전자서명을 생성한 서명자를 검증할 수 있다는 서명자 인증

 

* 전자서명 종류

- 부인방지 전자서명: 서명 검증 시 반드시 서명자의 도움이 필요

- 은닉 전자서명: 서명 메시지 없이 서명받음. 서명자의 익명성 보장 (=기밀성)

- 이중서명: 결제자의 지불 정보는 판매자에게 숨기고, 주문 정보는 은행에 숨김 (=위변조 및 노출 가능성 제거, 신용카드 기반 지불시스템인 SET에서 이용)

 

* 전자서명 기법

- KCDSA(이산대수 기반), ElGamal(이산대수 기반), DSS(ElGamal 개선), ECC(타원곡선 알고리즘), RSA(소인수분해 어려움), Schnorr(EIGamal기반, IC카드에 적합)

---

10.20  (day 9) 침해사고 분석 대응

단답형 2. 개별 사용자가 아닌 전체 시스템에 해당하는 하드웨어 및 응용 소프트웨어에 대한 정보를 저장하고 있는 레지스트리?

답: HKEY_LOCAL_MACHINE

 

ex) 윈도우 시작시 실행하도록 지정=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ex) 현재 사용자 로그인시 실행=HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* HKEY_CURRENT_USER: 현재 로그인한 사용자의 환경설정 및 프로필 정보

* HKEY_CURRENT_CONFIG: 현재 사용중인 하드웨어 프로필 정보

* HKEY_CLASSES_ROOT: 확장자에 대한 연결 프로그램 정보

* HKEY_USERS: 다중 사용자 환경에서 사용자별로 키를 생성하여 환경 설정 및 프로파일 정보

 

서술형 2. Land attack 을 탐지하기 위한 snort rule 작성 (단, 탐지 이벤트 명은 Land attack detected)

답: alert ip any any -> $HOME_NET any (msg:"Land attack detected"; sameip; sid:100230;)

  

ex) SYN과 FIN 패킷이 동시에 설정된 비정상 TCP 패킷 탐지 snort rule 작성 (탐지 이벤트명 SF scan detected)

: alert tcp any any -> 10.10.10.0/24 any (msg:"SF scan detected"; flags:SF; sid:100230;)

* flags 옵션에 SF+ : SF포함 추가 플래그 / SF* : SF하나 이상 포함 / !SF : SF포함 안함

* SYN(연결 설정)과 FIN(연결 종료)패킷이 동시에 설정되어 있는 TCP 패킷은 비정상 패킷임. FIN이 로그를 남기지 않는 경우가 있으므로 두 flag가 동시에 설정되어 있는 경우를 따로 탐지해야 함

---

10.21  (day 10) 네트워크 보안

단답형 3. 인터넷 보안 통신으로 Netscape사에서 개발하여 대칭키 알고리즘을 사용하고 X.509 인증서를 지원하는 프로토콜은 (A)이다. (A)내 구조 중 적용된 보안 파라미터를 이용하여 실제 암호화 및 복호화, 무결성 검증 등을 수행하는 프로토콜(B)는?

답: (A)SSL , (B) record 프로토콜

 

* record 프로토콜 순서: 단편화 - 압축 후 MAC 추가 - 암호화 - record 헤더 추가 - 후 하위 프로토콜로 전송

 

* SSL: application과 network 계층 간에 존재하여 종단간 보안 서비스 제공 (무결성, 기밀성, 인증) 443/tcp 포트

* handshake 프로토콜: 양 종단 간에 보안 파라미터를 협상하기 위한 프로토콜

* change ciper spec 프로토콜: 협상한 파라미터를 사용할 수 있도록 적용하고 변경을 알림

* alert 프로토콜: 통신 과정에서 발생하는 오류 통보

 

서술형 3. layer3에서 VPN을 구현하는 방식에 IPSec이 있다. IPSec을 이용하는 경우 가능한 6가지 보안 서비스?

답: 비연결형 무결성, 기밀성(ESP 사용), 재전송 방지, 접근제어, 제한된 트래픽 흐름의 기밀성, 데이터 원천/송신처 인증

 

* IP 패킷별로 MAC을 이용하기 때문에 비연결형 무결성과 데이터 원천 및 송신처 인증 가능
  또한 IP 패킷별 순서번호(SN)가 있기 때문에 재전송 방지 가능

* SP(Security Policy) 즉 보안 정책을 이용해 패킷 송수신시 적용할 보안의 종류를 지정해 접근 제어 가능

* ESP 모드 사용으로 기밀성과 제한된 트래픽의 기밀성 가능

  (ESP 모드는 원본 IP헤더를 암호화하기 때문에 end point부터 게이트웨이까지 트래픽 노출이 되지 않음)

---

10.22  (day 11) 네트워크 보안

단답형 4. MAC address table을 buffer overflow시켜 스니핑하는 공격 방식?

답: MAC Flooding / Switch jamming

 

서술형 4. ARP spoofing과 ARP redirect 공격의 공통점과 차이점?

답: 두 공격의 공통점은 ARP cache table을 변조하는 방식을 이용한 공격이라는 것이다. 차이점은 ARP spoofing은 희생자 호스트의 MAC주소를 공격자 자신의 주소로 변조하여 호스트와 호스트 간의 패킷을 스니핑하고, ARP redirect는 공격자 자신의 MAC주소를 라우터의 주소인 것처럼 속여 호스트에서 라우터로 가는 패킷을 스니핑 하는 것이다.

 

---

10.23 (day 12) 침해사고 분석 대응

단답형 5. 호스트 기반의 IDS로 파일시스템의 무결성을 확인하는 오픈소스 도구는?

답: Tripwire

 

* IDS(Instruction Detection System): 사전에 등록한 알려진 시그니처(오용 탐지, Misuse Detection, 미탐 多)나 임계치(이상 탐지 및 행위 기반, Anomaly Detection, 오탐 多) 등에 따라 공격을 탐지하는 보안 장비

- HIDS: 호스트에 설치되어 자원 사용 실태나 로그 등 호스트 정보를 수집하여 탐지. ex) Tripwire

- NIDS: 네트워크 트래픽을 수집해 탐지. 주로 미러링 방식으로 구현. ex) snort, suricata

 

서술형 5. DRDoS에 대해 설명하고, 이 공격을 수행하기 위한 방식 중 UDP 프로토콜을 이용한 4가지 방식?

답: source IP를 희생자 IP로 위조한 대량의 syn을 reflector 서버로 전송해 트래픽을 증폭하여 희생자 장비의 가용성을 침해하는 공격. DNS 서버 증폭 / CHARGEN 서버 증폭 / NTP 서버 증폭 /SNMP agent 증폭 방식이 있다.

 

* DRDoS를 수행하기 위한 방식으로는 TCP 3-way handshake, ICMP Echo request/response, UDP 프로토콜이 있음

 

* ICMP Echo request/response: 다량의 ICMP unreachables 패킷을 유도하여 송신할 수 없는 메시지를 발생시킴

  (보안을 위해 # no ip unreachables 설정)

 

* UDP 프로토콜 이용해 대규모 증폭/반사 형태의 디도스 공격을 유발시키는 방식

- NTP(Network Time Protocol, UDP/123) 서버의 특정 명령어(monlist)를 이용해 

- DNS (Domain Name system) 서버의 요청대비 응답이 큰 레코드 any, txt 를 이용해 공격 유발

---

10.24 (day 13) 정보보호 일반

단답형 6. 정보시스템 공통 평가 기준

답: CC인증

 

* 구성 요소

- PP: 보호 프로파일

- ST: 보안 목표 명세서

- TOE: 평가 대상인 시스템

- EAL: 평가 보증 등급

 

서술형 6. 보안과 보호의 차이

답: 추구하는 것이 무엇인지가 다르다. 보안은 자산이나 정보를 어떤 방식으로 보안할 것인지를 말하고(방법), 보호는 보호할 대상이 무엇인지(목적)

---

10.25 (day 14) 네트워크 보안

단답형 7. crontab을 변경할 수 있는 명령어

답: crontab -e

 

* crontab 목록을 확인할 수 있는 명령어 : crontab -l

* 예시) 매주 월요일 6시 "/bin/rm -rf" 명령어를 /home 경로에 실행하는데, 정상 출력시 /dev null로 오류 출력시 정상 출력이 재출력되도록 하는 crontab명령어 작성 

> 0 6 * * 1 /bin/rm -rf /home > /dev null 2>&1

(0:표준 입력, 1:표준 출력, 2:표준 에러)

서술형 7. eth0가 promiscuous 모드로 동작하도록 설정하면 어떻게 되는지와 설정하는 이유?

답: promiscuous모드는 2,3 계층의 필터링을 해제하여 자신이 목적지가 아닌 모든 패킷까지 받는 방식을 설정하는 것으로, eth0로 들어오는 broadcast를 포함한 모든 패킷을 받기 위해 설정하는데 그러면 스니핑에 취약할 수 있다.

 

* unicast = 1:1 (송수신 주소가 정확, 다른 네트워크에 속해있어도 전송 가능)

* anycast = 1:1 (같은 네트워크 내 가장 가까운 장비에게)

* multicast = 1:N (특정 그룹을 지정해서)

* broadcast = 1:all (같은 네트워크 내 모든 장비에게)

 

* IPv4: 유니캐스트, 멀티캐스트, 브로드캐스트

* IPv6: 유니캐스트, 멀티캐스트, 애니캐스트