참고한 블로그 : https://blog.naver.com/stereok2
19회
[단답형]
위험관리
자산 : 위협으로부터 보호해야 할 대상
위협 : 자산에 손실을 발생시키는 원인이나 행위
취약점 : 위협에 의하여 손실이 발생하게 되는 자산에 내재된 약점
네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션
: NAC
여러 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법
: 레이스 컨디션 공격 Race Condition
* 다회 출제
Victim의 MAC 주소를 위조하여 해당 IP로 전달되는 데이터를 중간에서 가로채기 하는 공격 기법
: ARP 스푸핑
( + 게이트웨이 주소 위조는 ARP 리다이렉션)
IDS는 네트워크의 패킷만 보고 공격을 탐지하는 네트워크 IDS와
서버에 직접 설치되어 관리자 권한 탈취 등으로 인해 발생되는 공격을 탐지하는 호스트 IDS로 구분된다
BCP(업무연속성 계획) 수립 시 장애나 재해 발생으로 업무 프로세스가 중단되는 경우 예상되는 재무적 손실, 외부 규제 요건 등을 고려하여 업무 중요도를 평가하고 이에 따른 RTO목표 복구시간, RPO목표 복구지점을 결정하는 절차
: BIA 업무영향도 분석
Apache 서버의 로그파일
- 정상적인 접속 로그가 기록되는 Access 로그
- 접속 에러가 기록되는 Error 로그
- 로그 파일의 경로는 httpd.conf 에서 확인 가능
필 짐머만에 의해 개발되었고 PEM에 의해 보안성은 떨어지나,
이것을 실장한 프로그램이 공개되어 있어 가장 많이 사용되고 있는 이메일 보안기술
: PGP
위험평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준.
CIA(기밀성, 무결성, 가용성) 측면을 고려하여 자산의 중요도를 산정한다
공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격 기법
: 세션 하이재킹
(+ TCP 연결 설정과정이면 TCP, 웹 세션이라면 웹 세션을 덧붙인다)
[서술형]
특수권한
1) -r-sr-xr-x
r-s이므로 파일 실행시 소유자의 권한으로 실행할 수 있는 Set-Uid 권한이 설정되어 있다
2) -r-xr-sr-x
r-s이므로 파일 실행시 소유그룹의 권한으로 실행할 수 있는 Set-Gid 권한이 설정되어 있다
3) drwxrwxrwt
rwt이므로 해당 디렉토리에서는 root(관리자)를 제외하고, 자신이 생성한 파일에 대해서만 수정, 삭제가 가능한 sticky bit 권한이 설정되어 있다. 모든 사용자가 해당 디렉토리에 읽고 쓰고 생성할 수 있는 777 권한이 주어져 있다.
공공기관에서 개인정보처리방침 수립 시 포함해야 할 사항 4가지, 알리는 방법 3가지 이상 기술
항목
- 개인정보 처리목적, 개인정보 처리 및 보유기간, 개인정보 제3자 제공에 관한 사항, 개인정보 처리의 위탁에 관한 사항
알리는 방법
- 개인정보처리자의 인터넷 홈페이지에 상시 게재, 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법, 관보나 개인정보처리자의 사업장 등이 있는 지역을 주된 보급지역으로 하는 일반일간신문, 일반주간신문 또는 인터넷 신문에 싣는 방법
device eth0 entered Promiscuous mode
1) Promiscuous mode 의미
- 무차별 모드로, 패킷을 받는 대상이 아니어도 eth0 인터페이스로 들어오는 모든 패킷을 수신한다
2) 해당 모드로 진입 시 수행 가능한 공격
- 스니핑(도청)
3) 공격에 대응할 수 있는 방법 (1가지 이상)
- 통신시 ssh, https같은 암호화 통신수행, ifconfig eth0 -promisc 로 무차별 모드 해제
[실무형]
[구성도]
-인터넷과 내부망 사이에 방화벽을 통하여 DMZ zone을 구성하고 web서버, mail서버가 배치되어 있음
-web 서버 앞단에는 추가적으로 웹방화벽이 배치되어 있음.
-내부망 내에서도 방화벽을 통하여 업무망, VDI망, 서버망으로 Farm이 분리되어 있음
-서버망 내에 dns서버, db서버, was 서버, 개발 서버가 위치하고 있음
[자산목록]
- db서버 : OS(AIX 6.4), 호스트명(krserver1), 관리책임자(홍과장)
- was 서버 : OS(AIX 8.0), 호스트명(krserver1), 관리책임자(김부장)
- dns 서버 : OS(AIX 6.4), 호스트명(dns_srv), 관리책임자(홍대리)
- web 서버 : OS(Widnow 2003), 호스트명(web1), 관리책임자(김부장)
- mail 서버 : OS(Centos 7), 호스트명(krmail01), 관리책임자(김사원)
1) 자산 식별의 문제점 1개 이상
- 개발 서버가 자산목록에서 누락되었음
2) 보안 취약 문제점 1개 이상
- db서버, dns 서버, web 서버가 기술지원이 종료된 버전의 OS를 사용하여 이슈 발생시 기술지원 불가능.
- db서버와 was 서버의 호스트명이 동일하여 문제 발생시 식별이 어려울 수 있음
- 운영(dns, db, was)서버와 개발 서버가 동일한 서버 망 내에 위치하여 정보유출위험이 높음
.htaccess 파일 설정의 의미
1) <FilesMatch \.(ph|lib|sh|)
Order Allow DENY
Deny From ALL
</FilesMatch>
=> FilesMatch 지시자를 이용해 확장자가 ph나 lib나 sh로 시작하는 스크립트 파일에 대해 직접적인 URL 호출을 차단하는 조치
2) AddType text/html .php .php1.php2.php3 .php4 .phtml
=> AddType 지시자를 이용해 .php, .php1 등 기재한 확장자를 가진 파일은 실행 불가능한 text/html MIME 타입으로 취급하여 스크립트 실행을 막는 조치
[위험 평가서 양식]
자산명 | 자산 중요도(C, I, A) | 우려사항 | 가능성 | 위험도(C,I,A)
1) ERP데이터 | H, H, M | DB의 접근 통제 위반이나 위반 시도를 적시에 발견하여 처리할 수 없다| H | H, H, M
2) 워드문서 | L, L, L | 적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있음 | M | L, L, L
1) 자산 중요도 평가의 목적은?
=> CIA 측면에서 자산의 가치를 평가하여 중요도를 산정함으로써 정보보호의 우선순위를 결정할 수 있는 기준을 마련하기 위하여
2) 해당 표내 우려사항이란 무엇인가?
=> 자산에 발생할 수 있는 위협과 취약성을 하나의 통합된 고려요소로 평가하도록 표현
3) 해당 표내 가능성이란 무엇인가?
=> 기존에 설치된 보호대책을 고려하여 현재 시점에서 해당 위협과 취약성이 발생하여 영향을 미칠 가능성을 의미
4) 아래의 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오.
자산명 | 설명 | 소유자 | 자산 중요도(C,I,A)
1) ERP데이터 | ERP에서 사용하는 DB데이터 | 관리팀장 | H,H,M
2) ERP서버 | ERP 프로그램이 탑재된 시스템 | 관리팀장 | H,H,M
3) 워드문서 | 문서작성을 위한 임시문서 | 관리팀자/생산부장 | L, L, L
=> 복합접근 방법을 적용한다. 중요도값을 기준으로 고위험군과 저위험군을 식별한 후, 고위험군은 상세위험분석을 수행하고, 저위험군은 베이스라인 접근법을 수행한다.
(좀 더 상세한 답이 적혀있으나, 통째로 외우기는 어렵다고 판단하여 부분점수라도 얻기 위하여 간략하게 작성)
20회
[단답형]
HTTP/1.1 200 OK
Date: Sat, 6 Aug 2022 09:01:01 KST
Server: Microsoft-IIS/5.0
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length:0
Connection: close
Content-Type: text/plain; charset-euc-kr
Connection closed by foreign host.
=> HTTP 요청 중 OPTIONS 메소드를 실행한 결과이다
델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가
시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거, 일정 조건하 위험에 대한 발생 가능한 결과들을 추정
순위결정법 : 비교우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정
베이스라인 접근법 : 모든 시스템에 대해 보호의 기본 수준을 정하고 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택
상세 위험 분석 : 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석 각단계 수행
복합 접근법 : 고위험 영역을 식별해 상세위험분석 수행, 다른영역은 베이스라인 접근법 수행
* 다회출제
접근통제정책
DAC : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근제어
MAC : 모든 객체는 정보의 비밀수준에 근거하여 보안레벨이 주어지고 허가된 사용자만 접근 가능
RBAC : 사용자와 객체의 상호관계인 역할을 기반으로 접근권한 부여
침입탐지시스템IDS
오탐 : 정상 행위를 이상행위로 판단하여 탐지하는 상황
미탐 : 이상 행위를 탐지하지 못하는 상황
* 다회출제
IPSec에서 지원하는 기능 (3가지 이상)
- 기밀성, 재전송 공격 방지, 접근제어, 데이터 근원지 인증 등
비트코인 : 거래 데이터를 기록하는 저장소로 블록체인을 이용한다.
채굴(마이닝) : 해시연산을 수행하여 발생된 거래를 증명한 대가로 비트코인을 획득하는 행위
* 다회출제
디렉터리 인덱싱 취약점에 대응하기 위해 삭제해야 하는 지시자
: Options의 indexes
클라우드 서비스 이용을 위해 서브 도메인에 CNAME을 설정하여 사용중, 서비스 이용을 중지했지만 DNS의 CNAME 설정은 삭제하지 않아 공격자가 피싱 사이트로 악용하는 공격 기법
: 서브도메인 하이재킹 또는 서브도메인 테이크오버
물리적 정보보호 대책 3가지 이상
- 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 반출입 기기 통제 등
[서술형]
개인정보 최소수집 원칙에 의거하여 개인정보 수집이 가능한 경우 (4가지)
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나, 법령상 의무를 준수하기 위해 불가피한 경우
- 공공기관이 법령 등에서 정하는 소관업무의 수행을 위해 불가피한 경우
- 정보주체와의 계약 체결 및 이행을 위해 불가피한 경우
스위칭 허브
기능 : 패킷의 목적지 주소를 확인하여 목적지가 연결된 스위치의 포트로만 패킷을 전송하는 장치이다. 패킷의 고속 전송, 로드 밸런싱 등의 기능이 있다.
동작원리 : 출발지 Mac 주소를 확인하여 수신된 포트번호와의 매핑정보를 스위치 macAddress 테이블에 저장한다(Learning) 목적지 mac 주소가 스위치의 macAddress 테이블에 있는 경우, 목적지 주소에만 프레임을 전달하고(Fowarding), macAddress 테이블에 없는 경우, 수신된 포트를 제외한 모든 포트로 브로드캐스트를 수행한다(Flooging).
또 설정된 Timer 시간동안 저장된 mac주소를 가진 프레임이 들어오지 않으면 macAddress 테이블에서 삭제(Aging)
출발지와 목적지가 같은 인터페이스에 존재하는 경우 다른 인터페이스로 넘어가지 않도록 제어한다(Filtering)
Snort 룰로 탐지된 패킷 분석
[Snort Rule]
alert tcp any any -> any 21 {content:”anonymous”; nocase; msg:”Anonymous FTP attempt”;sid:1000012}
[탐지 패킷]
TCP TTL:64 TOS:0x10 ID:5450 IpLen:20 DgmLen:68 DF ... 중략 ...
55 53 45 52 20 41 6E 4F 6E 59 6D 4F 75 53 0D 0A USER AnOnYmOuS..
Snort 룰은 nocase; 대소문자를 구분하지 않고 "anonymous" 문자열을 기준으로 필터링하고 있으며, 익명 FTP 공격이 수행되었다. 공격자는 FTP 21 포트로 아이디는 AnOnYmOuS로 대소문자를 섞어 로그인을 시도하였다. 익명 FTP 서비스가 활성화된 경우 외부에서 악성코드를 업로드하거나 중요파일에 대해 접근 가능한 리스크가 있으므로 꼭 필요한 경우가 아닌 경우 비활성화해야 한다.
[실무형]
스팸메일 릴레이 제한 설정
# cat /etc/mail/( 1 ) | grep "R$\*" | grep "Relaying denied"
R$* $#error $@ 5.7.1 $ : "550 Relaying denied"
# cat /etc/mail/access
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
spam.com ( 2 ) # Relay를 허용하지 않음
# ( 3 ) hash etc/mail/( 4 ) < etc/mail/access
1) sendmail.cf
2) REJECT
3) makemap
4) access.db
Smurk attack 방지를 위해 UDP 패킷으로 ip directed broadcast를 제한 설정하는 라우터 명령 기술
(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 any
(config)# interface FastEthernet 0/0
(config-if)# ip directed-broadcast 100
(+ 대역없이 무조건 차단
(config)# interface FastEthernet 0/0
(config-if)# no ip directed-broadcast )
위험 대응 기법
1) 위험수용의 의미
- 위험의 정도가 수용 가능한 수준으로 판단하고 프로세스를 그대로 유지하거나 사업을 추진하는 것
2) 위험감소를 위한 보안대책 선정시 특정 보안대책의 평가기준을 결정하는 정량적 방법
- 보호대책 적용으로 감소한 연산손실예상액ALE에서 정보보호 대책 운영 비용을 뺀 금액을 비교한다.
3) 위험회피시 위험이 있는 프로세스나 사업에 대한 대처
- 위험이 있는 프로세스나 사업은 축소 또는 포기하는 방향으로 추진한다
4) 위험전가를 위한 방법 2가지
- 제3자에게 보험을 들거나 외주 위탁한다.
21회
[단답형]
Sendmail에서 스팸메일 릴레이 제한 설정 후 access db 생성시 명령어
# makemap hash etc/mail/access.db < etc/mail/access
라우터에서 snmp 프로토콜을 비활성화할 때
R1# configure terminal
R1(config)# no snmp-server
위험분석
DoA : 수용가능한 수준의 위험을 지칭하는 용어
위험이 낮아도 보호대책의 효과성을 주기적으로 평가하여 위험수준을 지속적으로 모니터링해야 한다.
( + 잔여 위험: 고유 위험 - 완화된 위험)
업무연속성 계획BCP 5단계
1. 범위 설정 및 기획
2. BIA 사업영향평가
3. 복구전략개발
4. 복구계획 수립
5. 수행 테스트 및 유지보수
특정 대상을 겨냥해 다양한 공격기법을 동원하여 장기간 지속적으로 공격하는 기법
: APT 지능형 지속위협
취약점 점검
- DB에 저장된 중요정보가 SQL Query로 열람 가능한지 확인한다
- 세션ID 또는 암호화된 쿠키값이 명백하게 랜덤으로 생성되는지 확인한다
- 적절한 암호화 알고리즘이 제대로 적용되었는지 검증한다
TCP/IP의 인터넷 계층에서 동작하는 프로토콜
IPSec : 인터넷 계층에서 동작하는 대표적인 VPN 프로토콜
AH : IPSec의 세부 프로토콜. 무결성 보장, 메시지 인증 가능
EAP : IPSec의 세부 프로토콜. 암호화를 통한 기밀성 유지 기능
* 다회출제
델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가
시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거, 일정 조건하 위험에 대한 발생 가능한 결과들을 추정
순위결정법 : 비교우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정
퍼지행렬법 : 자산, 위협, 보안체계 등 위험분석 요인들을 정성적 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법
익스플로잇 코드
Shell code : 익스플로잇 코드의 본체에 해당하는 프로그램
0x90 : NOP에 해당하는 Hex 코드
JUMP ESP : ESP 레지스터값을 EIP로 옮기는 어셈블리 명령
httpd.conf 파일에서 디렉토리에 업로드 가능한 최대파일 사이즈를 제한하는 명령어
: LimitRequestBody
[서술형]
1) 오용탐지의 정의
잘 알려진 공격 패턴을 룰로 등록하여 패턴과 일치하는지 여부를 비교하여 침입여부를 판단하는 방식
2) 이상탐지의 정의
사용자의 정상행위와 이상행위를 프로파일링 한 후 통계적 분석을 통해 침입여부를 판단하는 방식
3) 오용탐지의 장점
등록된 공격패턴에 의해 탐지하므로 오탐률이 낮다
4) 오용탐지의 단점
새로운 형태의 공격에 대해 탐지할 수 없어 지속적으로 패턴을 업데이트 해야 한다
재해복구시스템 유형
1) 미러사이트의 정의
- 운영서버와 동일한 수준의 시스템을 백업센터에 구축하고 액티브-액티브 상태로 실시간 동기화되는 방식
2) 미러사이트의 장단점
신속한 업무재개, 데이터의 최신성을 보장하지만 초기투자 및 유지보수 비용이 높고 데이트 업데이트가 많으면 과부하될 수 있다
3) RTO가 가장 오래걸리는 방식과 이유
- 콜드사이트. 데이터만 원격지에 보관하고 서비스를 위한 정보자원은 최소한이므로 복구에 오랜 시간이 소요됨
비밀번호 작성규칙은 폐기되었으므로 생략
[실무형]
동일한 출발지 IP에서 2초동안 80번 포트로 30개이상 SYN 요청이 들어오는 경우 차단하는 IPTables 룰 작성 (5개로 구분하여 설명)
iptables -A INPUT -p TCP --syn --dport 80 -m recent --update --seconds 2 --hitcount 30 --name SYN_DROP -J DROP
-A INPUT : 인바운드 요청
-p TCP --syn : tcp syn 패킷
--dport 80 : 목적지 포트가 80
-m recent --update --seconds 2 --hitcount 30 --name SYN_DROP : 동일 ip에서 2초동안 30번 요청시
-J DROP : 차단
정량적 위험평가 ALE
1) SLE 정의
한 번의 사건으로 발생 가능한 단기손실액
2) SLE 공식
AV자산가치 * EF 노출계수
3) ALE 계산을 위한 필요 정보
SLE에 ARO를 곱하여 계산
4) 연간 손실이 완전 제거될 때 투입된 비용이 X일 때, 문제에서 언급된 변수만으로 ROI를 구하는 계산식
(ALE - X) / X * 100
MASTER와 SLAVE DNS 서버의 존파일 설정
master : ns1.korea.co.kr 192.168.1.1
slave : ns2.korea.co.kr 192.168.1.2
Master DNS 서버의 존 파일 설정
/etc/named.conf
zone "korea.co.kr" IN {
type ( A );
file "korea.co.kr.db";
allow-update { (B) }'
};
/var/named/korea.co.kr.db
$TTL 1000
@ IN SOA ns1.korea.co.kr master.korea.co.kr. (
2022113001 ; serial
21600 ; refresh
3600 ; retry
604800 ; expire
3600 ) ; minimum
IN NS ns1.korea.co.kr.
IN NS ns2.korea.co.kr.
ns1 IN A ( C )
ns2 IN A ( D )
A) master
B) 192.168.1.2;
C) 192.168.1.1
D) 192.168.1.2
slave DNS 서버 존 파일 설정
/etc/named.conf
zone "korea.co.kr" IN {
type ( E );
file "slave/korea.co.kr.db";
masters { ( F ) }'
};
E) slave
F) 192.168.1.1;
'(실기) 정보보안기사&산업기사' 카테고리의 다른 글
| 2024년 기출문제 정리 (25회) (0) | 2024.08.06 |
|---|---|
| 2021 기출문제 정리 (16~18회) (0) | 2024.08.06 |
| 보안기사 실기 신규강의 3 (0) | 2024.08.05 |
| 보안기사 실기 신규강의 2 (0) | 2024.08.01 |
| 보안기사 실기 신규강의1 (0) | 2024.07.31 |
