오답노트 및 메모 ~210

네트워크 장비의 이해
네트워크 기반 프로그램 활용

-

 

181.
스위치
- L2 스위치: MAC 주소 기반 스위칭
- L3 스위치: IP주소 기반 트래픽 조절
- L4~L7 스위치 : Port 번호 또는 패킷 내용을 분석 및 판단하여, 패킷의 경로 설정 변환, 필터링 동작
- L7 : 트래픽 내용 패턴 분석, 서비스 종류별로 패킷 처리

 

182.
브리지: 데이터링크 계층, 프레임 단위로 정보를 처리한다.
라우터 : 네트워크 계층. 패킷을 입력으로 처리하여 최상의 경로를 결정한다.

+ 데이터링크 계층 : 브리지, 스위치

+ 물리 계층 : 리피터, 허브, 랜카드

+ 응용 계층 : 게이트웨이, L7 스위치

 

183.
VLAN : 브로드캐스팅 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 논리적 LAN
- 데이터링크 계층에서 브로드캐스팅 도메인을 나누기 위한 기술
- mac 기반 VLAN은 각 호스트의 mac을 각 VLAN에 등록하여 사용한다
- 네트워크 주소 기반 VLAN은 네트워크 주소별로 VLAN을 구성한다
- 프로토콜 기반 VLAN은 같은 통신 프로토콜을 가진 호스트끼리 VLAN을 구성한다
- Port 기반 VLAN은 스위치 포트를 VLAN에 할당한다

 

184.
무선통신 보안
- MAC 주소 인증은 사전에 미리 등록을 해야해서 번거롭다
- WEP 인증은 데이터 암호화와 사용자 인증 기능을 제공한다
- EAP 인증을 통해 공격자의 패킷 도청을 방지할 수 있다
- SSID는 수동 접근이 가능하다 (AP가 브로드캐스팅 하지 않아도)

 

185.
CSMA/CA
- 무선 통신에 사용
- 숨겨진 터미널 문제(A에서 B로 전송할 때, C도 B에게 전송을 하면 충돌)를 해결할 수 있다
- RTS와 CTS 제어 프레임을 사용하여 숨겨진 터미널 문제를 해결한다
- CSMA/CA에서도 제어 메시지의 충돌이 발생할 수 있다

+ 유선 통신 : CSMA/CD

 

186.
무선랜 보안
- WEP 보안 프로토콜은 RC4 알고리즘을 기반으로 개발되었으나, 구조적 취약점으로 암호키가 쉽게 크래킹되는 취약점이 있다
- 소규모 네트워크에서는 PSK 방식의 사용자 인증을, 대규모 네트워크에서는 별도 인증서버를 활용한 802.x 방식 사용자 인증을 사용
- WPA/WPA2 방식의 보안 프로토콜은 키 도출과 관련된 파라미터 값들이 평문으로 전달되므로 스니핑하여 사전공격을 시도하여 암호키를 크래킹 할 수 있다
- TKIP보다 CCMP의 보안성이 우수하여 사용이 권장된다

+ PSK 방식의 문제점 : 패스워드가 짧거나, 추측하기 쉬울 때 사전공격의 해킹 위험이 크다

+ WEP -> WPA -> WPA2
                (TKIP)  (CCMP)
   (RC4)    (RC4)   (AES)

 

187.
무선 통신 환경
- WAP는 컴퓨터나 모뎀을 거치지 않고 휴대전화 등 이동형 단말로 인터넷에 접속할 수 있게 고안된 통신 규약이다
- WAE는 WAP의 응용 계층으로 WWW와 이동통신 기반 애플리케이션 환경으로 서비스 공급자들과 개발자들이 다양한 무선 환경에서 개발할 수 있도록 호환적 환경을 제공하는 것이 목적이다
- WTP는 트랜잭션 기반의 경량 프로토콜로, 키오스크와 모바일 컴퓨터에 적합하다. 무선 데이터그램 네트워크에서 효과적
- WTLS는 TLS 프로토콜에 기반을 두고 무선환경에서 적합하도록 개발된 보안 프로토콜이다. 무결성, 인증 기능, 프라이버시 관리를 위한 인터페이스 제공. (부인방지X)

+ 키오스크 : 고객 편의를 위해 공공장소에 설치된 자동화 시스템

 

188.
IEEE 802.1x
- 무선 네트워크에서 기기를 인증하는 IEEE 표준 인증 기법
- 사용자 ID 인증과 동적 키 관리 및 계정 지원
- PAP, CHAP, RADIUS, PEAP, WEP 등의 프로토콜들이 사용됨
- 포트 기반으로 네트워크 접근 제어

 

+ 802.1x 구성요소
- Supplicant : 스마트폰, 노트북등
- Authenticator : AP, 스위칭 허브 등
- Authentication Server : RADIUS

 

189.
RFID 태그의 프라이버시를 보호하기 위한 방법
블로커 태그
- 태그의 가능한 모든 일련번호의 전 스펙트럼을 방해하여 다른 태그 일련번호를 감춤
- 리더가 태그를 구별하지 못하게 함
- Passive Jamming의 한 종류
- 악의적으로 DoS 공격에 쓰일 수 있음

 

+ Faraday Cage : 금속성 박막, 신호전달 방해

+ 재밍 : 강한 방해 신호를 사용

+ Sleep and wake : 일시정지

 

190.
BYOD 환경에서의 보안 솔루션
- NAC : 보안의 강제화
- MDM : 디바이스 제어
- MAM : 앱 제어

+ ESM : 통합 보안 관리 솔루션

 

191.
BYOD의 보안기술
모바일 가상화
- 한 개의 모바일 기기에 동일한 OS의 다중 인스턴스를 제공하는 소프트웨어 기반 방법
- 업무용과 개인용 두 모드를 동시에 사용할 수 있는 기술

+ 컨테이너화 : 데이터와 앱을 업무용과 개인용으로 분리하여 관리

+ DaaS : 가상화된 데스크톱 환경을 사용자에게 제공

 

192.
SNMP에서 사용하는 MIB
- 관리하려는 요소에 관한 정보를 포함하는 데이터베이스
- 관리하려는 자원은 객체로 표현되고 이들 객체들의 구조적인 모임
- SMI에 의해 데이터의 형태와 자원들이 어떻게 나타내지고 이름붙여지는지 정의한다
- MIB에 저장된 객체는 읽기전용, 쓰기전용, 접근 불가, 읽고 쓸 수 있는 등 각각 다르다

 

+ SMI로 선언하고 MIB로 객체를 만들고, SNMP로 실제적으로 연산한다

 

 

193.
rlogin은 원격 시스템에 접속할 때 사용하는 서비스이다
호스트 등록에 사용되는 파일 : /etc/hosts.equiv

+ HOME/.rhosts : 홈디렉터리에 접근할 수 있다

 

194.
TCP 포트 22번을 사용하는 서비스
: SSH, SCP(Secure Copy), SFTP

+ TFTP: 69
+ HTTPS: 443
+ TELNET: 23

 

 

195.
중앙집중 인증 서비스의 인증 프로토콜
: RADIUS, Kerberos, TACACS

+ PGP, PEM, S/MIME : 이메일 보안 관련

 

 

196.
윈도우 PC의 실행CMD 창에서 ping 테스트 했더니 TTL 값으로 251이 나왔다
몇 개의 라우터를 거쳐왔는가?
=> 4개

+ 유닉스 기본 : 255
+ 윈도우 기본 : 128

 

197.
윈도우 명령프롬프트에서 pc 라우팅 테이블을 보는 명령어
=> netstat -r

 

netstat -e : 이더넷 통계정보 제공
netstat -a : a모든 연결과 수신대기 포트 표시

+ nslookup : dns 관련
+ arp : arp 테이블 (-a는 모두, -s는 정적설정. arp 스푸핑에 대한 대응책)
+ ipconfig : 네트워크 인터페이스, ip 주소 등

 

198.
Syn Flooding
- TCP 연결 설정 과정 중 Half-open 연결시도가 가능하다는 취약점을 이용한 공격
- TCP 프로토콜의 연결설정 절차의 설계상 취약점으로 발생
- 공격받은 시스템은 외부로부터 접속 요청을 더 받을 수 없어 서비스 제공이 불가해짐
- Syn Flooding 공격은 특징이 출발지 주소(존재하지 않는)를 위조하여 대량의 패킷을 보낸다는 것
- IDS, 방화벽으로 허가된 클라이언트 요청만 받음으로써 공격을 막을 수 있다

 

199.
ICMP Smurf 공격
- 분산 서비스 거부 공격의 한 종류
- 공격자는 패킷의 출발지 주소를 공격 타겟 시스템 주소로 위장한다
- 공격자는 다수의 ICMP 응답 메시지를 발송하기 위해 패킷의 목적지 주소를 공격 타겟 네트워크의 브로드캐스트 주소로 설정
- 방화벽 설정을 통해 ICMP 요청 메시지를 차단하면 막을 수 있다
- 네트워크가 공격에 악용되지 않도록 패킷의 목적지가 브로드캐스트 주소로 설정된 패킷은 처리하지 않도록 설정

+ 리미티드 브로드캐스트 : 로컬 네트워크 내부에서 브로드캐스트 (255.255.255.255)
+ 다이렉트 브로드캐스트 : 다른 네트워크에 브로드캐스트 ex) 185.11.255.255

 

200.
Land 공격이 조작하는 Ip 프로토콜의 필드 : 출발지 주소
Land 공격은 출발지 주소와 목적지 주소가 동일하여 무한루프하게 만드는 공격

 

201.
공격자에게 tcp syn 패킷을 받은 대상 시스템은 tcp syn-ack를 자신에게 송신하게 되고
유휴시간 제한까지 빈 연결을 유지한다
=> Land attack

- 공격자는 일종의 ip 스푸핑 기법을 이용하여 공격한다
- 패킷의 목적지 ip 및 포트가 자신과 동일하면 차단해야 한다

 

202.
DDos 공격 징후 발생시 긴급 대응 절차
1) 모니터링
2) 공격탐지
3) 초동조치
4) 상세분석
5) 차단조치

 

+ DDoS : 트리누Trinoo, 트리벌플러드TFN, 슈타첼드라트Stracheldraht, TFN2K

 

203.
DDoS 공격 유형
- L7 자원 소진 공격 : SYN Flooding, Http traffic Floodingm, Get Flooding (공격 대상 시스템만(웹서버 등) 공격 등)
- Logic 공격 : Land attack, WinNuke, Ping of Death
- 대역폭 소진 공격 : IP Flooding, ICMP/IGMP Flooding (회선 대역폭 고갈, 네트워크 인프라 공격)

 

204.
GET Flooding 공격
- 7계층 프로토콜의 취약점을 이용한 공격
- 웹서버, 정보보호 장비 등에 대한 공격 수행
- HTTP 서버와 같은 애플리케이션에 영향

 

+ SYN+ACK Flooding : 정상적인 3-way-핸드셰이크가 아닌 위조된 패킷을 대량으로 발송

 

205.
클라이언트가 전송하는 Http 패킷의 헤더를 조작하여 전송하는 공격
User-Agent 송성부분에 존재하는 Cache-Control 필드에 no-store, must-revaildate를 추가시켜 공격
=> CC atack (캐시서버 무력화)

 

206.
DRDoS
- 정산적인 syn 패킷을 이용해 반사 서버로부터 SYN/ACK 패킷을 대량 발생시킨다
- Raw Socket이 가능한 호스트(유닉스, 리눅스, 윈도우 xp 등)는 반사공격에 사용되는 syn 패킷을 쉽게 생성할 수 있다
- 공격자는 반사서버 목록을 생성하여 희생서버에 대한 공격을 수행하도록 한다
- 출발지 ip를 희생자 타겟 주소로 위조한다

 

+ Raw Socket : 위조된 IP 주소 생성

 

 

207.
분산반사 서비스 거부 공격DRDoS
- 피해자의 IP 주소를 출발지 ip 주소로 위조한 패킷 전송
- 반사체는 많은 수의 응답을 생성하며 주로 이용되는 반사체는 NTP 등이다
- 별도의 에이전트(좀비pc)가 필요없다
- 방지법 : 반사체로 악용될 수 있는 시스템 트래픽 이상 증가에 대한 감시, 반사서버에서 출발지 IP 주소 점검

 

208.
DRDoS 공격
- tcp/ip 프로토콜 구조 상의 취약점 이용
- 출발지 ip를 변조하여 공격 트래픽이 반사서버를 경유하므로 공격 근원지 파악이 어려움

 

209.
스캐닝
- 호스트 스캐닝 : 스캔 대상 시스템에 설치된 운영체제 종류와 버전 확인을 목적으로 한다
- 스텔스 스캐닝 : 스캔 대상 시스템에 의해 스캐닝 작업이 탐지되지 않기 위한 방법 (fin, x-max 스캔 등)
- UDP 스캔과정 중 특정 udp 포트가 동작하지 않으면 icmp port unreachable 메시지가 생성된다
- TCP SYN 스캔 : 특정 포트가 동작하고 있는지 점검할 수 있음. half-open 스캔을 이용

 

210.
TCP Open 스캔 (=Full Open) : 포트가 열려 있을 경우 세션이 성립되며 포트가 닫혀 있을 경우 rst/ack 패킷 응답
TCP Half-Open 스캔 : 포트가 열려있으면 syn/ack 패킷을 받고 rst 패킷을 보내며 연결을 끊는다. 닫혀있으면 tcp open 스캔과 같다
UDP 스캔 : 포트가 열려있으면 아무런 응답이 없고, 포트가 닫혀 있으면 icmp unreachable 패킷 응답

+ fin, null, x-max : 포트가 열려있으면 응답X, 닫혀있으면 rst 패킷 응답