711.
보안운영체제
- 시스템에서 일어나는 프로세스 활동을 검사하므로 성능을 고려해서 설치해야 한다
712.
암호 키 보호에 하드웨어를 사용하는 기술
- HSM
- 스마트 카드 : 집적회로카드IC에 중앙처리장치를 탑재한 반도체 칩이 매립되어 있다
- TPM : 메인보드내에 설치된 하드웨어 보안칩
+ SIM : 개인정보를 저장한 칩
713.
바이러스
- 원시형, 은폐형, 매크로, 암호형, 갑옷형
714.
매크로 바이러스
- 플랫폼과 무관
- 문서 파일의 기능 악용
- 이메일을 통해 감염
715.
웜
- 독립형. 숙주X, 네트워크 시스템의 취약점을 이용해 전파된다
716.
컴파일형 악성코드 : 첫 실행시 실행파일이 만들어지므로 여러차례 실행시 속도가 빨라진다. 실행속도가 빠름
스크립트형 악성코드 : 인터프리터가 존재해야 한다. 목적 시스템에서 인터프리터된다.
717.
저장매체나 인터넷으로 전파되던 악성코드가 휴대전화 통신망으로 전파되기 시작하며, 휴대전화에 저장된 전화번호로 악성코드를 퍼뜨린다
=> CommWarrior (MMS를 통해 확산되는 최초의 스마트폰 웜)
+ Cardtrap.A : 최초의 크로스 플랫폼형 악성코드
+ Hobbles.A : 백신을 가장한 최초의 바이러스
+ Brader : 포켓용 컴퓨터 단말을 대상으로 한 백도어 형태 악성코드
718.
HTTP 1.0에서 지원하는 메소드
- GET, POST, HEAD
+ OPTIONS는 1.1부터 지원
719.
요청 파라미터를 바디에 붙여 전송한다
=> POST
720.
HTTP Request
[ http://www.hacfree.co.kr/list.php?page=1&test=a ]
=> GET 방식
721.
HTTP Header
- Hosts : 요청받는 서버의 호스트명이나 IP 주소
- Accept : 허용가능타입 ex text/html
- Cache-Control : 캐싱 수행 방법 지시어
722.
특정 웹 리소스의 캐싱이 되지 않게 하며 악용되면 서버에 부하가 발생하는 공격
=> Cache-Control 관련 공격
723.
Head 메소드
- get과 유사하지만, 응답시 헤더부만 응답해주는 메소드. 검색엔진에서 링크유효성 검사로 이용
724.
Head 메소드
- 응답에 body가 없음
725.
HTTP 상태코드
url를 사용하는 링크나 레코드에 대해서 업데이트가 필요함을 의미
새로운 URL이 응답의 Location 필드에 주어진다
=> 301 영구적인 URL 리다이렉션. HTTP -> HTTPS 업그레이드 방법으로 쓰임
+ 307 Temporary Redirect : 일시적인 컨텐츠 이동, 단 http 메소드 변경을 허용하지 않음
726.
상태코드
304 : Not Modified
403 : Forbidden
404 : Not Found
504 : Gateway Timeout
727.
HTTP 트랜잭션 성공
상태코드
200 : 요청 완료
201 : PUT 요청완료
202 : 아직 처리결과 모름
203 : 요청완료, 단 정보 일부가 제3자로부터 옴
204 : 요청되었지만 콘텐츠 제공X
728.
HTTP 헤더
- 쿠키, 클라이언트 브라우저 종류, 콘텐츠 길이
+ 요청 메소드는 요청라인에 포함됨 (요청라인/헤더라인/바디로 따로 구분)
729.
URL 메타문자
? : URL과 파라미터 구분자
= : 파라미터 대입
% : HEX 값 표현
& : 파라미터 구분자
+ : 공백문자
730.
http/1.1 200 OK
..
Content-Type : text/html
..
=> 서버에서 클라이언트로 보내는 양식
=> Content-Type = MIME 타입
=> 상태코드 : 성공
=> 프로토콜 버전 1.1
731.
웹서버를 대신하여 http 요청을 충족시키는 네트워크 개체
브라우저는 사용자의 모든 요청이 먼저 보내지도록 구성될 수 있다
=> 웹캐시 프락시proxy
732.
서버는 클라이언트로 응답 메시지를 보내는 경우 헤더에 Set-Cookie 값을 설정하면 클라이언트에 쿠키를 만들 수 있다
733.
스크립트를 통해 쿠키에 접속하는 것을 차단해주는 속성
=> httpOnly 속성 (XSS 공격에 대응)
734.
쿠키
- 웹 브라우저가 종료되어도 자동 삭제되지 않는다 (단, 유효기간이 설정되지 않은 경우에는 자동 삭제)
- 클라이언트에 저장되는 쿠키는 주기적으로 삭제하는 것이 바람직
735.
https로 암호화된 웹사이트 접속시 보안 경고창이 발생하는 원인
- 인증서를 발급한 기관을 신뢰할 수 없을 때
- 발급된 인증서 유효기간 만료
- 인증서에 명시된 사이트와 실제 설치된 사이트가 불일치
- 보안된 항목https와 보안되지 않은 항목http가 동시 존재할때
736.
윈도우 파일시스템 NTFS
- 신뢰성, 보안성, 대용량 저장장치 지원, NT 계열 윈도우
737.
자료구조의 오버헤드 문제나 파일크기/디렉터리 제약 문제에 효과적인 파일 시스템
=> exFAT
+ ext4 : 리눅스의 저널링 파일 시스템
+ HFS : 애플이 개발한 파일시스템
+ ReFS : NTFS의 차세대 파일 시스템
738.
NTFS 파일 시스템의 메타파일
- $MFT, $LogFile, $Volume, $AttrDef, $Bitmap, $Boot
739.
NTFS
- 파일 보안 설정 > 폴더 보안
- NTFS 보안 기본 설정 : everyone 그룹에 모든 권한 허용
- 거부 항목 > 허용 항목
- NTFS 사용권한 설정 : Administrators 그룹 또는 Power Users 그룹의 구성원
740.
NTFS 암호화 방법 EFS
- 압축된 파일이나 폴더는 암호화X (한번에 압축과 암호화 중에 하나만 선택 가능)
- 암호화 파일을 NTFS가 아닌 볼륨으로 복사, 이동하면 복호화된 후에 처리된다
- CIPHER 명령을 이용해 암호화 상태 표기를 변경 가능
741.
윈도우에서 파일이 삭제된 직후 15초 이내 동일한 이름의 파일이 생성되면 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다
=> 파일시스템 터널링 (동일 이름 파일이 생성되면 생성시간을 변경하지 않고 유지시켜주는 기능)
742.
윈도우
- 최고권한을 가지며 관리자보다 상위 권한을 가지는 그룹 : SYSTEM
- Backup Operators : 시스템 백업을 위해 모든 시스템 파일과 디렉터리 접근가능
743.
윈도우 시스템 Challenge & Response 기반 인증 프로토콜
사용자 계정과 패스워드 인증을 위해 서버나 도메인 컨트롤러에 증명한다
=> NTLM (NT LAN Manager)
+ LSA, SAM, SRM은 윈도우 인증의 구성요소
744.
강제적 접근제어 구현
설정을 변경하거나 소프트웨어를 설치할 때 관리자 암호를 요구함
=> User Account Control 사용자 계정 컨트롤
+ PAM (Privileged Access Management) : 특권 접근관리. 특권 액세스와 관련된 보안 위험을 관리.
745.
공유해제 명령어
net share 이름 /delete
746.
administrator 계정에 대한 마지막 암호 변경 날짜를 확인할 수 있는 명령어
=> net user administrator
( 계정 만료일자, 암호를 바꿀 수 있는 날짜 등도 확인 가능 )
747.
윈도우서버 운영체제 기본공유
- 관리목적 공유폴더는 자동으로 생성되며 관리자 권한이 있을 경우에만 접근 가능
- 관리목적을 위한 기본 공유 : ADMIN$, IPC$, C$ 등 ...
748.
레지스트리 백업, 복원, 편집
- regedt32.exe, regedit.exe : 레지스트리 편집기 실행
- ntuser.dat : HKEY_USERS 관련
749.
윈도우 레지스트리
- 레지스트리는 컴퓨터에 설치된 모든 하드웨어 장치에 대한 정보, 읽어들일 장치 드라이버 목록 등이 저장
- 시동작업이 끝나갈 무렵 수집한 정보를 레지스트리에 저장
- 사용자의 반복 작업을 줄여주고 문제 발생 시스템에 대해 신속하게 복구를 가능하게 한다
- 원격접속 정보를 레지스트리에 저장한다
750.
악성코드 구동을 위해 사용되는 윈도우 레지스트리
- HKEY_CURRENT_USER (개별사용자)
- HKEY_LOCAL_MACHINE (전체사용자)
+ 일회용은 RunOnce, 지속용은 Run
+ HKEY_CLASSES_ROOT : 특정확장자 실행시 악성코드 실행을 위해 사용
751.
윈도우 NT, 2K
regedit_exe 실행후
HEKY_LOCAL_MACHINE ~ Cureent Version\Winlogon에서 ShutdownWithoutLogin 레지스트리 키값을 0으로 설정
=> 불법적 시스템 다운을 방지하기 위해 로그인 창에 시스템 종료 버튼을 삭제. 로그인 창에 시스템 종료 버튼이 있으면 비인가 사용자 또는 실수로 시스템 다운을 시킬 수 있음
752.
윈도우 시스템에 아이디와 패스워드 없이 세션을 연결하여
내부정보를 탈취하는 취약점을 방어할 때 설정하는 레지스트리 경로
=> HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous
( IPC$ Null 세션 접속 관련 )
753.
방화벽: firewall.cpl
서비스: services.msc
인터넷 속성: inetcpl.cpl
로컬 보안 설정: secpol.msc
공유폴더: fsmgmt.msc
레지스트리 편집 : regedit.exe
로컬 컴퓨터 정책: gpedit.msc
754.
화이트리스트 정책 : 허용할 프로그램 목록을 설정하고 그외 모든 프로그램 연결 차단
방화벽 기본 정책은 ACL
755.
윈도우 운영체제의 AD환경
- 한 도메인에 여러개의 도메인 컨트롤러가 있을 수 있다
- 글로벌 카탈로그 : AD 환경에 존재하는 도메인 개체에 대한 각종 정보를 저장
- 트리 : 둘 이상의 도메인이 트러스트 관계를 통해 형성한 계층적 구조
- 포리스트 : 상이한 도메인 이름 체계를 가진 트리들의 집합
756.
AD 시스템
- 관리자 계정 또한 정기적으로 비밀번호를 갱신해야한다
- 관리자용 단말은 인터넷과 격리된 망분리 환경으로 구성
- AD 서버들은 반드시 사전에 등록, 인증된 시스템에서만 관리자 접속 허용
757.
취약한 AD 관리 사례
- 백업 서버가 AD에 Join 되어 있음
- AD 관리자 그룹의 계정 비밀번호 변경이 어려운 환경
- 관리자가 AD 관리자 그룹 계정으로 각 서버에 로그인해서 관리하는 경우
+ AD에 Join된 서버에 AD 관리자 그룹 계정으로 실행되는 서비스가 존재하지 않도록 관리해야 권한상승 취약점을 막을 수 있다
758.
윈도우 보안업데이트
- 보안업데이트 / 비보안 업데이트
- 보안 업데이트는 자동업데이트를 사용할 경우 별도 조치 없이 자동 설치됨
- 보안취약성 심각도 : 긴급, 중요, 보통, 낮음
759.
윈도우 터미널 서비스
- 터미널 서비스 사용을 위해 원격 데스크톱 서비스 실행. 네트워크 수준 인증으로 보안강화
- 2008부터 터미널서비스로 서버 파일을 복사할 수 있음
- 보안설정-로컬정책에서 터미널 서비스 보안 설정
- 로그인 실패 감사기록은 로컬보안정책에서 감사정책을 설정하고 윈도우 이벤트 보안로그에서 확인
+ 보안설정-공개키정책 : 파일시스템 암호화, 데이터 보호 등
760.
제어판의 [복구콘솔 Recovery Concole] 자동로그인 설정은 시스템에 접근을 허가하기 이전에 Administrator 계정의 암호 제공 여부를 결정한다. 그래픽 사용자 인터페이스가 나타날 때까지 시동이 되지 않을때 관리자들이 복구할 수 있는 기능
761.
리눅스 inode 블록관리 방법
- Single Indirect Block : 실제 데이터 블록을 가리키는 포인터들
- Double Indirect Block : 인덱스 블록이 2개의 레이어로 구성
- Triple Indirect Block : 인덱스 블록이 3개의 레이어로 구성
762.
실행이 끝난 후에도 프로세스 테이블에서 제거되지 않고 남아있는 프로세스 : 좀비프로세스
좀비프로세스 확인 명령어
top -b -n 1 | grep zombie
ps -ef | grep defunct
ps는 defunct, top은 zombie로 지칭한다
763.
dir 폴더에 대해 rwxr-x---. 권한이 주어졌을때,
해당 폴더에 있는 파일을 생성하거나 삭제할 수 없다
디렉터리 쓰기권한이 없기 때문
764.
dir 폴더에 대해 drwxr-xr-- 권한이 주어졌을 때
해당 폴더의 소유자이거나 소유그룹에 속하지 않으면 폴더 내부로 들어갈 수 없다
폴더 내부로 들어가려면 others의 x 권한이 있어야 한다
765.
/etc/passwd 파일은 root 만 직접 수정 가능
766.
ls -ali 명령어
첫 번째 항목은 i-node 번호를 나타낸다
767.
하드링크
- i-node번호가 원본과 동일하게 생성된다
- 수정하면 원본도 수정된다
- 원본을 삭제해도 삭제되지 않는다
768.
setuid와 setgid가 설정된 모든 파일을 찾을 때
Find / -type f \(-perm -2000 -o -perm -4000 \) -print
769.
fint 명령어의 -mtime 옵션
24시간 이내 변경된 파일은 -1
1일(48시간)이 지난 변경된 파일 +1
ex)
Find / -type f -mtime +1
770.
유닉스 부팅 수행내용
1) POST
2) 기본 부팅 관련 설정사항 로드
3) MBR
4) 부트로더
5) 실행레벨에 따른 서비스 실행
771.
리눅스에서 공통파일을 미리 만들어 특정 디렉터리에 넣어두면 사용자 계정 생성시 자동복사되도록 설정가능
=> /etc/skel (뼈대라는 뜻의 디렉터리)
+ /etc/login.defs : 사용자 계정의 설정과 관련된 기본값
772.
Crontab
- 디폴트 저장 로그 파일 : /var/log/cron
- cron 실행시 읽는 파일 : /etc/default/cron
773.
Cron
로그 : /var/log/cron
774.
슈퍼 블록에서 카운트하고 있는 마운트 된 파일 시스템, 디렉터리에서 사용가능한 디스크 블록과 free node 수를 알려주는 명령어
=> df (파일시스템 전체 공간 및 사용가능 공간에 대한 정보 출력)
775.
umask 066
파일에 대해 소유자 외에는 읽기, 쓰기, 실행 등 일체 접근을 불허
* 파일은 기본권한이 666이고 디렉터리는 777이므로
776.
/etc/passwd 파일의 필드
- 계정명, 홈 디렉터리, 사용자 쉘
+ 계정만료일은 /etc/shadow 파일에 기록
777.
패스워드 교체주기를 60일로 변경할 때 명령어
=> passwd -x 60 test_user
( -x 옵션은 현재 패스워드의 유효기간을 지정한다 )
778.
/etc/shadow 파일
!! : 비밀번호가 부여되지 않은 상태, 잠금 상태 등
계정명:비밀번호:마지막패스워드변경일수:최소변경일수:최대변경일수:경고일수:최대비활성일수:만료일수
779.
/etc/shadow 파일
- 내용 수정을 통해 패스워드 변경 가능
- 복잡도 설정은 /etc/login.defs
780.
유닉스 접근통제
- 그룹별 사용자관리
- 접근통제 관련 로깅 도구 사용
- 읽기, 쓰기, 실행 퍼미션
781.
rws------
seuid 설정시 chmod 4700
782.
set-uid
실행시 명령어 실행자의 ID가 아닌 명령어 파일 소유자의 ID로 실행된다
783.
STICKY BIT
설정시 해당 폴더에서는 파일의 생성자만 파일을 수정, 삭제할 수 있다 (단 ROOT 제외)
784.
유닉스 파일시스템
- 파일 또는 디렉터리가 만들어질 때 기본 허용값의 설정은 umask 사용
+ scp : 로컬-원격 또는 원격-원격 시스템간 파익이나 디렉터리를 복사하는 명령
785.
TCP Wrapper 대신 xinetd로 접근제어를 할 때, xinetd.conf
[ only_from = 192.168.88.3 192.168.87.5
no_access = 192.168.86.0/23 ]
=> 서브넷마스크 255.255.254.0
해설
11111111.11111111.11111110.00000000
192 .168 .01010111.5
= 192.168.01010110.0
= 192.168.86.0
only_from이 우선하므로 192.168.86.0/23에서 192.168.87.5만 유일하게 허용된다
786.
PAM 설정파일
type
- account, session, auth, password
787.
PAM 모듈 인증처리
1) 대상이 애플리케이션의 액세스 요구
2) PAM 설정 파일 읽음
3) 스택의 각 pam 모듈이 순서대로 호출
4) 각 pam 모듈이 성공 또는 실패 반환
5) 스택은 순서대로 읽혀지며 실패가 있어도 중단되지 않음
6) 모든 pam 모듈 상태 결과 종합되어 성공 또는 실패 정리
788.
PAM 패스워드 정책설정
difok : 기존 패스워드와 비교하여 다른 문자의 개수 n개 요구
ucredit : 최소 n개 이상의 대문자
ocredit : 최소 n개 이상의 특수문자
dcredit : 최소 n개 이상의 숫자
lcredit : 최소 n개 이상의 소문자
* l 소문자 u 대문자 o 특문 d 숫자
789.
리눅스 운영체제
- 커널 수준에서 강력한 암호화를 통해 네트워크 트래픽을 보호
790.
리눅스/유닉스 시스템 부팅 시 실행레벨
레벨 0 : PROM 모드
레벨 1 : 싱글유저모드
레벨 2 : 멀티유저모드 NFS 클라이언트
레벨 3 : 멀티유저모드 NFS 서버 전체 서비스 지원
레벨 4 : 사용X
레벨 5 : 시스템 Power off
레벨 6 : 시스템 리부팅
791.
공격자가 시스템이 시작될 때마다 자신이 만들어 놓은 해킹 툴을 자동으로 구동시키기 위해 변조한 파일
=> /etc/rc.d/rc.local
792.
/etc/services
ex)
systat 11/tcp users
daytime 13/tcp
netstat 15/tcp
ftp 21/tcp
...
서비스이름 포트/프로토콜유형 별칭
리눅스 서버에서 사용하는 모든 포트들에 대한 정의가 설정된다
+ /etc/resolv.conf : 호스트네임을 찾기 위해 순서를 설정
793.
Capabilities 실행 바이너리에 커널 모듈을 올리거나 내릴 수 있는 권한을 할당할 수 있는 Capability
=> CAP_SYS_MODULE
+ CAP_AUDIT_CONTROL : 커널 감시를 활성화/비활성화
+ CAP_MAC_ADMIN : MAC의 환경 또는 상태 변경 허용
794.
root 이외에 uid 0 금지
795.
/etc/securetty 파일에서 pts/0 ~pts/x 설정 제거
=> root 계정의 원격접속을 제한한다
796.
네트워크 서비스 설정 파일
- .rhosts 파일에 등록된 계정은 아무인증없이 홈디렉터리에 로그인할 수 있게 하므로 점검 필요
797.
리눅스 서버 관리자는 [패스워드 무차별 대입 공격]에 대응하기 위해 PAM 모듈을 활용
조건: 3회 실패시 10분 잠금
auth required pam tally2.so [deny] unlock time=[600]
798.
패스워드 복잡성을 위한 OS별 파일
LINUX(R5) : /etc/pam.d/system-auth
LINUX(R7) : /etc/security/pwdquality.conf
SOLARIS : /etc/default/passwd
AIX : /etc/security/user
799.
OS별 보안 설정
- 리눅스: /etc/login.defs의 PASS_MIN_DAYS 1
- AIX: /etc/security/user의 minage=1
=> 패스워드 최소 사용기간 설정
800.
shell에서 입력한 명령어 히스토리에 대해 리눅스 환경변수를 통해 변경할 수 있다
저장되는 명령어 라인수를 변경하는 명령어
# set HISTSIZE = [라인수]
801.
윈도우 서버 이벤트 관리 도구
- .Evt로 저장된 이벤트 로그는 이벤트 뷰어로만 확인할 수 있다
- 이벤트 로그는 CSV 등으로 Export 가능
- 응용 프로그램 로그, 보안 로그, 시스템 로그
- 시스템 로그 : ~SysEvent.Evt
802.
리눅스 시스템 xferlog
Sun Jun 30 2015 0 KISA-172.16.3.22 255 /home/kisa b _o kisa ftp 0 *
전송일시 | 호스트 주소 크기 파일명 | | | 사용자명 | 인증방식 사용자id
전송시간 | | 전송방향 서비스명
| 액션플래그
파일유형
액션플래그: _ 아무일도없음, C 압축, U 압축x, T tar 압축
서버기준 전송방향: i 업로드(in), o 다운로드(out), d 삭제
인증방식 0은 별도 인증없음
803.
로그분석에 사용되어 문자열을 처리하는 명령어
- wc, grep, awk
wc : 파일 내 행, 단어, 문자수
grep : 문자열 필터링
awk : 패턴 탐색, 처리
+ nohup : 터미널을 종료해도 계속 명령어 실행하도록 유지
804.
유닉스 /var/log/messages
시스템의 가장 기본적인 시스템 로그파일
/var/log/maillog : 메일로그
805.
로그의 성격
응용 프로그램 로그 : 데이터베이스, 웹서버, 메일서버
시스템 로그 : syslog
806.
syslog
- 설정파일 : /etc/syslog.conf
- 시스템이나 응용프로그램에서 발생하는 각종 로그를 관리
- 보통 자동으로 시작되지만 자동으로 시작되지 않게 설정할 수도 있음 (syslogd)
- syslog.conf 파일 내에 로그를 규정하는 규칙들을 정의. 관리자화면console 또는 외부의 다른 서버로 전송할 수도 있다
807.
syslog
- 동일한 서비스에서 발생한 모든 메시지도 설정에 따라 다른 로그 파일에 저장시킬 수 있다
808.
/etc/logrotate.conf 파일의 로그순환 설정
monthly
rotate 6
create compress
include /etc/logrotate.d
=> 한 달에 한 번씩 저장하고 6개까지 저장한다 (순환주기)
809.
서버에 들어오고 나가는 IP 트래픽을 제어할 수 있는 기법
=> IPchain/IPtable
810.
파일시스템 무결성
- 소유자, 소유그룹 변경여부
- 크기 변경
- 파일에 접근한 최근 시간
- i-node 변경여부
- 하드링크수 변경여부
811.
Nmap, HPING, SING, PortQry, Fping
=> 주로 스캔 공격에 쓰임
Nmap : 공개용 포트스캐닝 도구
hping : 커스텀 패킷 전송, DOS 공격도 가능
PortQry : TCP 및 UDP 프로토콜 포트 상태 보고
812.
Syslog와 같은 시스템 로그를 주기적으로 스캔하여 어떤 행위가 발생했는지 분석하는 시스템 로깅 도구
=> Swatch ( 실시간 로그 모니터링 툴 )
+ Nikto : 취약점 스캐너
+ N-Stealth : 웹 취약점 데이터베이스 기반 취약점 스캐너
813.
보안용 소프트웨어
취약점 점검 도구 : Nmap, Nessus, Acunetix
웹로그 분석툴 : AWstats
814.
네서스nessus 스캔으로 알 수 있는 정보
- 사용하지만 닫혀있는 포트
- 취약점 수준
- 운영체제 종류
- 시스템 점검 정보
815.
로그의 위변조 방지를 위해 사용하는 스토리지
=> WORM 스토리지 ( 단 한 번만 기록가능함 )
+ Hot 스토리지 : 자주 사용하는 구조화된 데이터를 위한 스토리지
+ Warm 스토리지 : 적당히 자주 사용하는 구조화된... 하략
+ Cold 스토리지 : 자주 사용되지 않는 정형, 비정형 데이터를 위한 스토리지
+ NAS 스토리지 : 파일수준 스토리지 아키텍처로 저장된 데이터를 네트워크 연결 장치에서 쉽게 액세스
816.
IIS 웹 서버 로그파일
날짜 시간 192.168.130.123 GET /XSS/GetTest.jsp?cookie=AAAAA 80 - 192.168.130.1 Mozilla/5.0+(compatible+MSIE+9.0+Windows ... 하략) 200 0 0 225
=> 서버 주소는 192.168.130.123 포트 80
=> 클라이언트 요청 성공 200
=> 클라->서버로 전송한 데이터 크기 0
=> 서버->클라로 전송한 데이터 크기 0
=> 처리시간 225
817.
IIS 웹 서버 로그파일
날짜 시간 192.168.130.1 GET /XSS/GetTest.jsp?cookie=AAAAA 8080 - 192.168.130.188 Mozilla/5.0+(compatible+MSIE+9.0+Windows ... 하략) 404 0 0 225
=> 서버 192.168.130.1 포트 8080
=> 클라 192.168.130.188
=> 소요시간 255
=> 상태코드 404
818.
Apache 웹서버 로그
172.248.161.100 - - [04/Jun/2018:16:08:55 +0900] "GET /TEST/AA.php HTTP/1.1" 200 80
< 요청자ip주소 > < 요청 시간 > < 메소드 URL 프로토콜 > 상태코드 크기
=> 만약 뒤에 뭔가 더 붙는다면 요청처리시간, 리퍼러 순이 된다. 일단 기출문제에 나온 형식으로만 기재함.
+ 크기는 데이터 크기이고 헤더를 포함한 값은 아님
819.
프로세스 구조
스택 : 호출된 프로세스의 복귀주소, 지역변수 등 일시적 데이터
힙 : 프로그래머가 자율적으로 메모리 크기를 할당할 수 있는 영역
데이터 : 초기화된 전역변수, 정적변수 저장
BSS : 초기화되지 않은 전역변수, 정적 변수
텍스트 : 기계어로 번역된 프로그램 코드
820.
쉘 코드를 사용하기 위해 버퍼에 할당된 포인터 값을 덮어쓰는 방법
이 메모리 영역은 malloc, free 등의 함수로 제어됨
=> 힙 버퍼 오버플로우
+ RTL : 리눅스 메모리 보호 기법인 NT bit를 우회하기 위해 공유 라이브러리를 이용해 공격한다
821.
버퍼 오버플로우 공격 방지 대책
- 공격자는 nop 코드를 사용하므로 주기적 검사 필요
- setuid 비트는 필수적인 경우를 제외하고 제거한다
822.
포맷스트링
%f 실수형 상수
%lf 실수형 상수 double
%c 문자
%s 문자스트링(문자열)
%x 16진수 양의 정수
%n *int (쓰인 총 바이트수)
%hn %n의 절반인 2바이트 단위
823.
포맷스트링 취약점 위험
- 임의의 메모리 덮어쓰기
- 공격자 코드 실행
- 메모리 구조 노출
+ 시스템 자원 고갈 : malloc, fork 등의 함수가 무한히 수행될 때
824.
SUID 프로그램을 통한 권한상승
레이스 컨디션이 실행되는 단계 : SUID로 권한상승이 된 후, 임시 파일 이름의 심볼릭 링크 파일로 실행중인 파일을 교체한다. 이후 심볼릭링크로 교체된 파일이 중요 파일(/etc/passwd 같은)에 접근한다.
825.
시스템 바이너리 파일들이 변조되었을 때, 그 이유는?
ps, top : 특정 프로세스 정보를 숨김
w, who, finger : 특정 사용자 정보 숨김
ls, du : 특정 파일이나 디렉터리를 숨김
netstat, tcpdump : 특정 ip의 접속정보를 숨김
ifconfig : 스니핑 탐지 방해 (게이트웨이 변조사실 등을 숨겨서)
826.
소스코드를 알아볼 수 없도록 만드는 기법 : 난독화
827.
블록체인 기술특성
- 탈중앙성
- 투명성
- 불변성 ( 순차적으로 연결되므로 수정, 삭제가 어려움 )
- 가용성 ( 분산저장되므로 한 대가 잘못된다고 해도 나머지 노드가 존재하여 시스템 동작 )
828.
해커들이 사용자 pc 자원을 이용해 가상통화를 채굴하는 공격기법
=> Cryptojacking 크랩토재킹
829.
해커가 쇼핑몰 사이트에 미리 악성코드를 심어놓고
구매자가 신용카드 정보를 입력할 때 금융정보를 탈취하는 범죄수법
=> 폼재킹Formjacking ( 금융정보가 담긴 Form 양식을 Hijacking 납치 )
830.
IoT 기기를 보호할 수 있는 접근제어, 기기 인증 등 보안요구사항을 알기쉽게 나타내도록 IoT용 SoA는 4계층으로 구성된다.
- 센싱(기존 하드웨어 통합), 네트워크(유무선 데이터 전송), 서비스(사용자요구 충족 서비스), 인터페이스(사용자와 애플리케이션 상호작용)
831.
IoT 장치 및 서비스 운영 관리 폐기 단계의 보안요구사항
- 취약점 보안패치, 업데이트 지속
- 정보보호 및 프라이버시 관리체계 마련
- 침해사고 대응체계 구축, 책임추적성 확보 방안
+ 설계/개발 단계 : 안전한 설계, 기술적용
+ 배포/설치/구성 단계 : 안전한 초기보안 설정 방안, 보안 프로토콜 준수, 안전한 파라미터 설정
832.
검색엔진
쇼단 SHODAN
인터넷에 연결되어 있는 기기를 찾는데 유용하고
매월 5억개 이상의 인터넷 연결 단말기와 서비스 정보를 찾아준다
833.
클라우드 시스템 및 서비스 보안
- 가상화 시스템 하이퍼바이저가 취약한 경우 이를 활용하는 여러 가상머신의 동시피해 우려
- 기존 네트워크 보안기술로는 가상화 내부 영역 침입탐지가 어려움
- 사용자와 가상머신들이 상호연결되어 내부 가상머신끼리 패킷스니핑, 해킹 등의 공격 경로가 될 수 있다
- 가상화 자원 : CPU, 메모리, 스토리지, 네트워크
- 메모리 가상화 : VM에 메모리 영역을 할당하며 연속된 물리적 메모리가 존재하는 것처럼 인식시킨다
834.
클라우드 컴퓨팅 가상화 하이퍼바이저
- 하드웨어상에서 동작 : bare-metal
- 호스트상에서 동작 : hosted
- 하드웨어 자원을 각 가상머신에 논리적으로 분할 할당, 스케줄링
- 가상머신과 하드웨어 사이에 위치. 가상머신들이 각각 운영체제가 구동될 수 있도록 논리적으로 독립된 환경제공
- hosted 타입 : vmware, parallels 등
835.
클라우드 컴퓨팅 보안
- 클라우드는 분산처리로 보안 적용이 어려운 위협 요인이 있다
- 가상화 취약점
- 단말 다양성에 따른 정보유출
- 자원공유 및 집중화에 따른 서비스 장애
836.
APT 공격과정
1) 특정 표적을 대상으로 목표를 정함
2) 복합적으로 지능적 수단을 이용
3) 지속적으로 정보 수집
4) 표적에 침투하여 해를 끼친다
837.
지능형 지속 위협
시스템 관리자는 가능한 모든 공격을 고려해야 하여 방어가 어렵다
838.
공통점
2009년 7.7 디도스
2011년 3.4 디도스
2013년 3.20 사이버테러
=> MBR 파괴
839.
지능형 지속 위협APT 공격
- 공격수단: 백도어, 이메일, 제로데이
+ DoS 공격은 서비스 거부로 공격시 바로 알아차릴 수 있으므로 은밀하지 못하여 지속성x
840.
APT
예시: 특정집단의 사전수집된 메일정보를 이용하여 악의적인 문서파일을 열람하도록 유도한다
841.
랜섬웨어종류
- 페트야Petya, 크립토월CryptoWall, 워너크라이WannaCry
+ 크립토재커 : 채굴
842.
몸값 + 제품의 합성어 = 랜섬웨어
크립토락커 : 문서 암호화
코브터 : 화면잠금
843.
랜섬웨어 방어대책
- 최신 소프트웨어
- 주기적인 백업 수행
- 출처가 불분명한 파일이나 url 열람 금지
844.
랜섬웨어
- 블로우락Browlock : 수사기관을 사칭해 불법사이트 방문 대가로 벌급을 지불하도록 유도
- 크립토락커, 크립토월, CTB 락커 : 파일에 암호 알고리즘 적용하여 금전요구
845.
SMB(Server message block) 취약점을 이용한 공격 방지
SMB 기능 제거 외에 방화벽에서 해당 포트를 차단할 수 있다
TCP : 139, 445
UDP : 137, 138
+ HTTPS: 443
+ POP3 : 110
+ IMAP : 143
846.
페티야Petya
- 악성코드
- 네트워크 웜 기능 추가, 랜섬웨어, SMB 취약점 이용
- MBR 영역을 감염시켜 시스템 부팅이 되지 않음
847.
이터널블루EternalBlue
- 미국 국가안보국에 의해 개발된 것으로 추정되는 취약점 공격 도구
- SMB 취약점을 공격
+ 랜섬웨어 : 페티야, 갠드크랩
848.
악성코드 유포 기법
Drive by Download : 취약한 환경의 사용자가 접속시 악성코드가 다운로드되는 기법. Exploit 코드를 이용
+ 퍼징Fuzzing : 무작위 테스팅 기법
849.
지능형 지속 위협APT 대응 : Cyber Kill Chain
1) 정찰
2) 무기화
3) 전달
4) 취약점 악용
5) 설치
6) 명령 및 제어
7) 목표 실행
정무전취설명목 RWDEICA
850.
하드웨어에 기반하는 취약점/사이버 공격
=> Spectre스펙터 : CPU 속에 담겨있는 수많은 명령어에서 일어나는 버그를 악용
851.
인텔 CPU의 비순차적 명령 실행 특권명령 검사 우회 버그를 악용함
해킹 프로그램이 CPU의 캐시 메모리에 접근하여 데이터를 유출하는 공격
=> 멜트다운 (비순차실행 악용)
+ 스펙터 : 예측실행을 악용함
+ 미라이 : 사물인터넷 기기 대상 악성코드, 디도스 공격 용도
852.
Stuxnet스턱스넷
- 탐지를 어렵게 하기 위해 대상 시스템에만 활동한다
- SCADA 시스템을 대상으로 개발된 군사적 수준 웜
- 타깃이 내부망에 존재하므로 USB 및 네트워크 전파기법 사용
- 알려진 취약점 + 알려지지 않은 익스플로잇들이 사용되었다
853.
보안장비에 탐지된 이벤트 HTTP 헤더 해석
GET / HTTP 1.1
Accept-Encoding: identity
Cookie: () { ;; }; /bin/ping -c x.x.x.x
Referer: () { ;; }; /bin/ping -c x.x.x.x
User-Agent: () { ;; }; /bin/ping -c x.x.x.x
=> ping 명령어를 주입하여 쉘쇼크Shell shock 공격이 가능한지 시도하고 있음
854.
파일리스 : 이메일이나 pdf, jpeg 등에 삽입되어 배포되고, 하드디스크 내에 악성파일을 설치하지 않고 메모리에 바로 적재된다. PowerCheel 같은 정상 프로그램에 접근해 실행하므로 백신이 정상실행으로 간주한다
855.
컴퓨터 시스템 하드닝Hardening
- 보안과 관련하여 시스템을 강화시키는 활동
- 백업, 로깅, 보안 업데이트, 불필요한 소프트웨어 제거 등
856.
고객보호 가이드
- 모든 기기에 침입차단시스템, 침입탐지시스템 적용
- 다중인증 기반의 시스템
- 원격접근 솔루션의 용량 시험 및 개선
857.
비대면 업무 환경
- 기업 업무망 접속 : vpn 또는 암호통신
- 원격근무자 : 다중인증 사용
- 구축형 영상회의 플랫폼 : vpn 사용
858.
SMTP - 25 - TCP
FTP - 21 - TCP
HTTP - 80 - TCP
DNS - 53 - TCP, UDP
TFTP - 69 - UDP
SNMP - 161 - UDP
859.
단편화Fragmentation
이더넷 mtu는 1500이고 이 중 헤더가 20바이트이므로
실질적인 데이터는 1480까지 담을 수 있다 (총 3000바이트면 2개가 아니라 3개로 나누어진다는 얘기)
offset은 8바이트 단위로 측정되므로
1480/8 = 185
2960/8 = 370
이런식으로 계산할 수 있다
860.
서브넷
- 호스트 id 비트를 이용해 ip 라우터로 경계가 지어지는 작은 네트워크로 분리
- 32비트 값
- 서브넷은 서브넷 id가 모두 동일하다
861.
ARP 요청 패킷
Ethernet 목적지Dst : 브로드캐스트 ff:ff:ff:ff:ff:ff
Target Mac address : 00:00:00:00:00:00
=> Mac 주소를 모르기 때문에 브로드캐스트로 모든 호스트에게 요청한다
862.
ICMP 프로토콜
- 네트워크 장치 동적 상황 검사
- 라우팅 테이블 변경 요청
- IP 통신을 위한 진단 데이터 전송
+ IGMP : 멀티캐스팅 제어
863.
ICMP 프로토콜
- ICMP Redirection : 데이터를 보내는 호스트에게 목적 IP 주소에 대한 좀 더 적합한 경로가 있음을 알리기 위해 라우터가 보내는 메시지
- Echo Req-Reply : 두 호스트 사이 통신이 가능한지 검사
- Timestamp Req-Reply : 패킷 전송시간 측정
- Address Mask Req-Reply : 서브넷마스크 요청
- Router Solicitation and Advertisement : 네트워크 정보 요청
864.
ICMP
Echo Request : Type 8, 연결확인 / Reply Type 0
Redirect : Type 5
Destination Unreachable : 목적지 도달못함 Type 3
865.
라우팅
- IP 주소 기반으로 라우팅한다
- 고정가상회선PVC : 접속된 기기간에 항상 데이터를 주고받을 수 있다. 삭제를 반복하지 않고, 서비스 제공자는 자신에게 등록된 고객에게 지속적으로 가상회선 제공
866.
링크상태 알고리즘
- 모든 라우터로부터 망 정보 수집
- 다른 라우터까지의 최단경로 계산
- 링크상태 변화시에만 라우팅 정보 교환
- 빠른 수렴시간
+ 거리벡터 라우팅 : 인접한 이웃으로부터 망 정보 수집, 모든 라우팅 테이블 값을 이웃에게 전달, 주기적 라우팅 정보 교환, 느린 수렴시간
867.
사용자마다 계정 및 패스워드를 설정하고 원격에서 텔넷으로 라우터에 접속할 때
계정 및 패스워드를 이용하여 로그인할 수 있도록 설정하는 방법
R1(config)# username X password X
R1(config)# line vty 0 4
R1(config-line)# login local
868.
라우터나 스위치에서 DDoS/DoS를 차단하는 경우, 패킷이 특정 인터페이스로 보내져 필터링 될 때마다 출발지 ip로 ICMP unreachable 에러메시지를 보내게 된다
과부하를 유발할 수 있으므로 [널 라우팅Null Routing]을 설정하는 것이 좋다
* no ip unreachables를 설정하여 Null이라는 가상의 인터페이스로 보내버리는 차단 방법
869.
라우터 보안설정
access-list 101 deny tcp 210.112.134.0 0.0.0.255 178.211.0.0 0.0.0.0 eq 22
access-list 101 deny tcp 210.112.134.0 0.0.0.255 178.211.0.0 0.0.0.255 eq 443
access-list 101 permit ip any any
interface 이름
ip access-group 101 in
=> 포트 22번 : SSH
=> 포트 443번 : SSL
=> 210.112.134.0/24 대역에서 출발하는 178.211.0.0 ip인 ssh 트래픽 차단
=> 210.112.134.0/24 대역에서 출발하는 178.211.0.0/24 대역 ip인 ssl 트래픽 차단
870.
라우팅 테이블
네트워크 주소 마스크 인터페이스
222.110.3.0 /24 eth0
222.110.4.0 /24 eth1
222.110.4.0 /22 eth2
그외 eth3
목적지 주소가 222.110.4.96일 때 도착하는 인터페이스 : eth1
가장 긴 마스크 매칭 순서대로 보내지기 때문
871.
라우터설정
exec-timeout 10 30
=> 아무런 입력 없이 10분 30초가 지나면 접속이 종료된다
872.
라우터 명령어
CPU 평균 사용률 : show process
인터페이스 하드웨어 정보 : show controllers
메모리 전체 사용량, 남은 용량 등 : show memory
+ show interface : 라우터 모든 인터페이스 상태 정보
+ show flash : 플래시 메모리에 저장된 내용 출력
873.
스푸핑 공격에 따른 침해사고
스위치
- 네트워크 기반 증거 출처 장비
- 물리적 포트와 mac 주소간 매핑 저장 CAM 테이블 포함
- 트래픽을 캡처하거나 저장할 수 있는 플랫폼 있음
874.
네트워크 계층 장비
라우터 : 동일 프로토콜을 사용하는 네트워크를 연결한다.
리피터 : 1계층, 신호세기 증가
브리지 : 2계층, 랜과 랜 연결
875.
VLAN 오남용 경감
native VLAN
- native VLAN 포트에 대한 접근 제한
- 트렁크 포트의 native VLAN에는 신뢰할 수 없는 네트워크를 연결하지 않는다
- 모든 포트에 동적 트렁킹 프로토콜DTP를 꺼놓는다
Dynamic VLAN
- 관리상 VLAN 관리 정책 서버 VMPS 사용
876.
무선랜 환경
- 802.11 환경에서는 발신자 MAC 주소를 암묵적으로 신뢰하며 검증하지 않는다
- 식별 아이디어 : MAC 주소
- 무선랜 MAC 주소 위조 공격 : de-authentication, disasspciation, power-saving, AP 위장 등
877.
무선통신 보안
- SSID는 AP가 브로드캐스팅하지 않아도 수동접속가능
- WEP 인증은 데이터 암호화 + 사용자 인증
878.
무선랜 보안취약점
- 무선망은 유선망과 패킷 프레임 구조에서 차이가 있다
- 대응책 : AP에 MAC 주소 필터링, 무선랜 카드 주소를 AP에 등록하여 AP 관리용 ID/PW를 추측하기 어렵게 변경
879.
무선랜 EAP 인증
- 유선망에서 PPP 절차 사용자 인증을 위해 개발됨
- 헤더에 다양한 종류의 인증방식 명시 가능 (확장성)
- 일반적으로 식별자 요청시 Identity(Type 1) 사용
+ TKIP : RC4 사용 + Key Mixing 함수, Dynamic WEP Key, 메시지 무결성 보안을 위한 스펙을 정의
880.
WPA2의 키 재설정 공격 크랙KRACK 취약점
- 와이파이 인증 표준인 WPA2의 키 관리 취약점 공격
- TCP 연결 하이재킹, HTTP 콘텐츠 인젝션, 복호화, 패킷 재생 등 관련
881.
KISA 리눅스 와이파이 보안취약성 보안권고문
특정 드라이버에서 발생하는 [버퍼 오버 플로우] 취약점
- 리눅스 커널의 rtlwifi 드라이버에서 경계값 체크가 미흡하여 발생
- 공격자가 경계값을 넘어서는 길이의 NoA 패킷을 전송하면 시스템 장애 발생
882.
무선랜보안
- WEP, WPA1 : RC4 암호 알고리즘 (WPA1은 TKIP 추가됨)
- WPA2 : AES 암호 알고리즘을 이용한 CCMP
- RSN에 WPA-Personal 모드와 WPA-Enterprise(서버 RADIUS) 모드가 있음
- Shared Key(SK) 인증방식 : 무선단말 사용자가 AP에 설정된 키와 동일한 키를 입력하면 ap를 경유해 인터넷 접속
- Open System 인증방식 : 인증x 무선단말과 ap간 전달되는 데이터 평문전송
883.
무선통신환경
WTP : 트랜잭션 기반의 경량 프로토콜. 씬 클라이언트에 적합
WAE : 응용계층. 효율적으로 애플리케이션과 서비스를 개발할 수 있도록 호환적 환경 제공
WTLS : TLS 프로토콜 기반 보안 프로토콜. 프라이버시, 무결성, 인증, 보안접속.
884.
아이디/패스워드 기반
- 무선 네트워크 아이디SSID
- 무선단말과 AP간 WEP 키 사용
- RFID 태그와 리더간 인증
- 휴대인터넷(와이브로) 상호인증 : EAP-TTLS 적용
885.
디바이스 인증 기술 장점
- 보안성, 경제성, 상호연동성
886.
디바이스 인증 기술
- 시도-응답 : OTP와 유사하게 일회성 해시값을 생성한다
- 암호 프로토콜을 활용한 인증방식은 중간자공격 시도를 차단한다
887.
디바이스 인증 기술
- 네트워크 키를 사용하는 암호화키 방식 : SSID
888.
MDM 기능과 관리내용
- 설정관리 : 단말기 비밀번호 설정, VPN 환경 설정
- 보안관리 및 도난방지 : 기기 루팅 탐지 및 차단
- 앱 관리 : 원격 앱 설치 및 관리
- 자산관리 : 기업 내 사용자 및 그룹별 디바이스 자산관리
889.
스마트카드 보안기술
- WIM : 사용자 식별과 인증을 위해 필요한 정보를 저장하고 관리하는 모듈, WTLS와 연계가능, PKI 기반 인증과 전자서명 제공
- USIM : 개인 이동성과 서비스 이동성을 겸비한 이동통신용 스마트카드. ME와 인터페이스하기 위해 T=0 통신 프로토콜 사용
890.
안드로이드를 adb를 통해 접속 후 쓰기 가능한 디렉터리
=> /data/local/tmp
891.
스마트폰에 대한 해킹 방지를 위한 금융감독원 금융거래 10계명
- 잠금 설정 비밀번호 주기적 변경
- 갤러리나 앨범등에 계좌번호, 비밀번호 저장 금지
- 금융거래 비밀번호는 인터넷 비밀번호와 다르게 설정
892.
SNMP의 MIB
- 관리하려는 요소에 관한 정보를 포함하는 데이터베이스
- 관리하려는 자원은 객체이고 이들 객체들의 구조적 모임
- SMI에 의해 데이터의 형태와 자원들이 어떻게 나타내지고 이름붙여지는지 정의
- 객체는 읽기전용, 읽고쓰기, 쓰기전용, 접근불가가 있음
- Syntax : SMI에 의해 정의된 ANS.1 타입의 표현 구문
- 계층적 트리구조
893.
SNMP Enumeration : 목적지 IP는 변경되나 PORT는 UDP 161, 162로 고정되어 특정 대역대 시스템들에게 패킷을 전송하는 공격
894.
SNMP
전송계층 프로토콜. UDP 사용, MIB 정보를 주고받음
read-only는 Public
read-write는 Private로 디폴트 설정되어 있다
895.
SNMP 커뮤니티 스트링
- 유닉스 환경에서 커뮤니티 스트링은 관리자 권한
- 모든 서버 및 클라이언트에서 동일한 커뮤니티 스트링을 사용해야 통신 가능
- MIB 정보를 주고받기 위함
896.
MRTG로 트래픽 분석시 필요한 프로그램
- GNU C Compiler(gcc), Perl, gd, libpng, zlib
+ Libpcap : 패킷을 캡처하기 위한 라이브러리
897.
icmp echo request - 8, reply - 0
898.
ping 명령어 사용시
응답시간이 A사이트 > B사이트 일지라도,
네트워크 상황에 따라 달라질 수 있으므로 어떤 사이트가 더 사용자 PC에 가까운지는 알 수 없다
+ TTL : 유닉스는 255, 윈도우는 128
899.
traceroute hostname
- traceroute : 목적지까지 데이터 도달여부를 확인하는 도구
- 응답시간이 *인 경우 접근통제 시스템에 의해 차단되었다고 추측함
- 우연히 도달하는 것을 방지하기 위해 3개의 udp 패킷을 전송함
- 맨 앞의 일련번호는 TTL 값을 의미
900.
traceroute -m 5 hostname 실행시
- 경로 검색을 최대 5홉까지만 추적한다 (최대 TTL 지정. 디폴트는 30)
'(필기) 정보보안기사&산업기사' 카테고리의 다른 글
| 필수기출1200 ~1200 (0) | 2024.06.20 |
|---|---|
| 필수기출1200 ~1060 (0) | 2024.06.19 |
| 필수기출1200 ~ 710 (0) | 2024.06.17 |
| 필수기출1200 ~ 506 (0) | 2024.06.16 |
| 필수기출1200 ~ 443 (0) | 2024.06.15 |
