[정보보안기사 실기 공부] week 3

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

---

 

10.26  (day 15) 애플리케이션 보안

 

단답형 1. Visa와 Master card사에서 공동 개발한 인터넷 거래시 안전성을 위해 RSA암호화를 사용하는 인증 기술. 

답: SET(Secure Electronic Transaction)

 

* SET의 보안 서비스: 무결성(전자서명), 기밀성(공개키 암호화), 상호인증(X.509인증서), 부인방지, 위조불가, 재사용불가

-장점:전자거래 사기 방지, 기존 신용카드 그대로 사용, SSL 단점(상인에게 노출)해결, 이중서명으로 정보 노출 최소화

-단점: 암호 프로토콜 복잡, RSA로 속도 저하, 상점/카드소지자에게 소프트웨어 필요

 

서술형 1. 아파치 웹서버 설정파일(httpd.conf)의 일부 지시자 항목의 의미 서술

(1) DocumentRoot "/var/www/html"

(2) DirectoryIndex index.html

(3) ServerSignature off

(4) <Directory "/var/www/html">

      order deny, allow

      allow from 111.222.33.43

      deny from all

      allow from 111.222.33.44

     </Driectory>

답: (1) 애플리케이션 최상위 디렉토리 지정 (2) 클라이언트가 디렉토리만 지정하여 요청한 경우 default 페이지 지정
(3) 웹서버에서 생성하는 에러 메시지 등에 웹서버, OS, 모듈 등의 정보를 제공하지 않도록 함
(4) /var/www/html 디렉토리에 대해 111.222.33.43과 111.222.33.44 호스트만 접속 허용하고 나머지 차단

* order deny, allow 에서 뒤에 오는 설정이 우선. (allow 설정 우선으로 허용하고 나머지 deny)

---

10.27  (day 16) 네트워크 보안

 

단답형 2. SSL/TLS 로 얻을 수 있는 보안 서비스 3가지

답: 무결성(MAC), 기밀성(대칭 암호), 인증(공개키 인증서-RSA, Diffie-Hellman)

 

* SSL/TLS: client/server환경에서 TCP 기반의 application에 대한 종단간 보안 서비스

* 무선 환경에서는 WTLS, UDP 기반으로는 DTLS를 사용

* SSL/TLS 취약점 이용 공격

- BEAST attack: 사용자 브라우저 취약점을 이용해 https 쿠키를 훔쳐 https 세션 가로챔

- CRIME attack: https 압축 시 발생하는 취약점 이용

 

서술형2. 라우터를 이용한 네트워크 보안 방식 3가지 이상

답: ① 라우터에 접속하기 위한 포트인 콘솔, AUX, VTY 에 패스워드 설정
② Telnet 접근 제한 (SSH 설정과 함께 사용)
③ SNMP 설정 - access list를 이용해 접근 통제 설정, community string 기본값 변경
④ 불필요한 서비스 제거 - ICMP, Source Route, HTTP server serivce, proxy-arp service 등
⑤ 입출력 IP보안 설정 - ingress/egress filtering, 예약된 IP 주소 차단
⑥ 주소 위변조 방지를 위해 Unicast RPF Filtering 이용 - access list나 black hole을 이용해 인터페이스로 들어온 source ip가 다시 나가는 지 확인하는 방식으로 비정상 여부 판단
⑦ Black Hole 보안 설정 - DDoS 공격 대응을 위해 특정 목적지로 향하는 네트워크 패킷이 과도하게 발생하는 경우 차단



* 라우팅 테이블
- IGP(interior gateway protocol): AS(Autonomous System) 내에서 전송. 동일한 조직 내에서 사용.
ex) RIP, IGRP, EIGRP, OSPF, IS-IS
- EGP(exterior gateway protocol): AS 간, 외부끼리 전송. 서로 다른 조직에서 사용.
ex) BGP(179/tcp)

* 정적 라우팅은 관리자가 직접 라우팅 테이블을 설정하므로 트래픽 낭비를 줄일 수 있지만 관리 어려움.
동적 라우팅은 라우팅 프로토콜을 이용해 자동으로 경로를 탐색하여 패킷 전달. 라우팅 부하가 발생할 수 있음.

---

10.28  (day 17) 시스템 보안

 

단답형 3. stack overflow 예방 방안으로 RET값과 변수 사이에 특정 값(canary)을 삽입해 코드 진행 후 해당 값이 변경됐는지 확인하는 방식을 이용해 overflow를 탐지하는 방식은?

답: stack guard

 

* overflow 예방 방안

- 안전한 함수 사용 ex) strncpy

- 입력값 사전 검증

- stack shield

- ASLR(메모리 주소 난수화)

 

서술형 3. windows server 계정 관리 방식에 대해 설명 (2가지로 나뉘어짐)

답: workgroup / domin 방식으로 나뉨.
workgroup은 각 계정을 시스템별로 나눠서 관리 (peer to peer), 보안은 로컬 디렉터리 DB에 의해 제공됨. 
domain은 계정을 특정 서버에서 관리하며 active directory DB를 구축해 사용자 관리

* 로컬 디렉터리 DB = SAM(Security Account Manager)
: 사용자/그룹 계정에 대한 DB관리(ID/PW 등). 인증 여부 결정. 관리자 권한 외엔 접근이 제한되어 있음. 

---

10.29  (day 18)  네트워크 보안

 

단답형 4. 캐시 서버가 운영중인 경우 HTTP 캐시 옵션을 조작해 캐시 서버가 아닌 웹서버가 직접 처리하도록 유도해 웹서버의 자원을 소진시키는 공격

답: HTTP Get Flooding with Cache-Control (CC attack)

 

* no-store, must revalidate 설정 시 해당 공격 의심

 

서술형4. 포트 스캐닝 방법 중 TCP Ack Scan(nmap -sA)은 어떤 특징을 이용해 어떤 것을 확인하기 위해 사용하는지

답: TCP ack 패킷은 차단된 경우 응답이 없거나 ICMP unreachable 응답을 하고, 허용되어 있는 경우 RST 응답을 함. 이를 이용해 방화벽에 의해 해당 포트가 차단되어 있는지 여부를 확인하기 위해 사용. (방화벽 룰셋 체크)

 

* TCP connect scan (nmap -sT): TCP open 여부 확인 (시스템 로그 남음)

open port=SYN+ACK / close port=RST+ACK / filtered=응답 없음 or ICMP unreachable

* TCP SYN scan (nmap -sS): stealth scan 중 하나로, TCP open 여부 확인 (시스템 로그 안남음 TCP 연결 미완료이기 때문)

open port=RST / close port=RST+ACK / filtered=응답 없음 or ICMP unreachable

* TCP FIN/NULL/XMAS scan (nmap -sF/sN/sX): stealth scan 중 하나로, 제어 비트 설정 확인

open port=응답 없음 / close port=RST+ACK / filtered=응답 없음 or ICMP unreachable

즉 포트가 닫힌 경우에만 패킷 응답이 돌아오는 원리를 이용

---

10.31  (day 19)  침해사고 분석 및 대응

 

단답형 5. KISA의 인터넷 사이버 위기 경보 단계 중 다음에 해당하는 단계는?

복수의 정보통신서비스제공자(ISP)망 및 기간통신망 장애 또는 마비가 발생하고 침해사고가 다수기관에서 발생했거나 대규모 피해로 확대될 가능성이 증가한 사이버 위기 경보 단계

답: 경계 단계

 

* 정상 - 관심 - 주의 - 경계 - 심각

정상 : 국내 민간분야 인터넷 정상 소통

관심 : 해외 사이버 공격 피해 확산으로 국내 유입 우려, 사이버 위협 징후에 대한 탐지활동 강화 필요

주의 : 침해사고가 일부 기관에서 발생했거나 다수 기관으로 확산될 가능성 증가, 국가 정보시스템 전반에 보안태세강화

경계 : 침해사고가 다수기관에서 발생했거나 대규모 피해로 확대될 가능성이 증가해 다수 기관의 공조 대응 필요

심각 : 침해사고가 전국적으로 발생했거나 피해규모가 대규모인 사고 발생, 국가 차원의 공동 대처 필요

 

서술형 5. 하트블리드 취약점을 이용한 공격 패킷을 탐지하기 위한 snort 탐지 룰 동작 설명

alert tcp any any <> any [443,465, 563] (msg: "SSLv3 heartbleed"; content:"|18 03 00|"; depth:3; content:"|01|"; distance:2; within:1; content:!"|00|"; sid:1000300;

답: 탐지 시 alert (정해진 방식에 따라 경고를 발생시키고 패킷 기록)를 발생시키고 이벤트명은 "SSLv3 heartbleed".
임의의 IP를 가진 출발지 또는 목적지 TCP 포트가 443, 465, 563인 패킷.
페이로드의 첫번째 바이트부터 3바이트 내 |18 03 00| (=0x180300) 문자열을 포함하고 있는 패킷.
첫번째 content가 매치된 후 2바이트 떨어진 위치에서 1바이트 내 |00| (0x00) 이 아닌 패턴을 가진 패킷.
sid는 시그니처의 ID 지정. 즉 ID가 1000300인 snort rule 지정. 

---

10.30  (day 20)  시스템 보안

 

단답형 6. 커널 및 응용프로그램에서 발생하는 로그를 체계적으로 생성 및 관리할 수 있는 API의 데몬 프로세스가 참조하는 설정 파일은?

답: /etc/syslog.conf

 

* 커널 및 응용프로그램이 syslog API를 통해 로그를 생성하면 syslogd 데몬 프로세스(port 514)가 syslog.conf 설정 파일을 참조하여 지정한 로그 파일, 콘솔, 외부서버 등에 로그 기록

* syslog는 정보보호 특성(무결성, 기밀성, 가용성) 등을 고려하지 않음. 따라서 TCP를 이용해 신뢰성 있는 연결을 권고하고 BEEP(log 수집 대상 서버의 IP를 제외한 payload를 보호함)를 이용해 연결 지향적이고 비동기 연결을 수행하 인증, 프라이버시, 재전송을 위한 신뢰성 보장 권고

 

* etc/syslog.conf 파일의 포맷

: facility.priority; facility.priority; ... action((logfile-location)

서비스명(facility)에 대해 로그 레벨(priority) 이상의 상황이 발생한 경우 action 형식(파일, 콘솔, 외부서버 등)으로 로그 남김

 

서술형 6. 모든 파일 중 소유자가 root이고, SUID와 GUID가 설정되어 있는 파일 찾는 명령어를 통해 출력을 확인하도록 하는 명령어를 작성해라

답: find /type f -user root \(-perm 4000 -o -perm 2000 \) -exec ls -l {}\;

 

* (find /type f -user root 이 결과의) -exec (이 명령어 값을 보겠다=ls -l {}\;) 

---

11.01  (day 21)  정보보안 일반

 

단답형 7. (이것)은 공개키 암호화 알고리즘에서 인증되지 않은 공개키를 사용한다면 이는 다양한 공격에 노출될 수 있기 때문에 공개키에 대한 인증서를 발급하는 PKI를 이용해야 하는데 이때 사용되는 공개키 인증서 방식이다. ASN.1구조를 채택하였고, IETF가 인터넷상에서 (이것)을 결정함에 따라 (이것)의 확장영역에 인터넷 사용에 필요한 요건을 정하게 되면서 획기적인 발전을 이루었다. 이것은 무엇인가?

답: X.509

 

* X.509: ITU에 의해 표준으로 개발된 전자서명을 위한 인증서로 이름, 소속, 연락처 등 개인정보가 저장되어 있고 인증서의 발급일과 만료일, 인증서 고유성 확보를 위한 일련번호화 인증서를 발급한 인증기관의 명칭이 포함되어 있다. 

 

서술형 7. PKI에 대해 간단하게 설명하고, PKI를 구성하고 있는 객체인 CA, RA, CRL이 무엇인지 설명

답: PKI는 공개키기반구조로 공개키 알고리즘을 통한 암호화 및 전자서명을 제공함.
CA는 인증 기관으로 인증 정책을 수립하고 인증서의 발행, 효력정지, 폐지 등을 관리하며 다른 CA와 상호인증
RA는 등록 기관으로 인증 기관을 대신해 사용자의 신원 확인, 인증 기관에 사용자 등록, 발행된 인증서를 사용자에게 전달
CRL은 인증서 폐기 목록으로 효력이 정지되거나 폐기된 목록으로 인증기관별로 관리함

* WPKI(wireless public key infrastructure): WAP(wireless application protocol)에서 클라이언트 간의 인증을 위해 무선 환경에 적합한 인증서 발급, 운영, 관리하는 무선망의 공개키 기반 구조
- 구성: CA 서버(인증서 발급 및 관리), RA(인증서 발급 및 관리 요청 중계), Client(인증서 발급 및 관리 요청), Directory 서버 (CA가 발행한 인증서 정보 저장, 관리)