[정보보안 기사/산업기사 - 네트워크 보안] 오답노트

오답노트를 적을 생각을 하게 된건 단순히 저번 시험에서 떨어지고 나서 다시 공부하면서가 아니다.

반년전에 풀었던 문제임에도 불구하고 또 정답이 기억이 안나고 다시 틀리는 것을 반복하고 여러 회차를 풀어도 기억안나는 문제는 여전히 틀리는 내 자신을 보며 다시한번 기억력 ㅆㅎㅌㅊ의 금붕어를 빙의한 내 인생에 감탄하며 글을 적어 남기기로 작심했다.

 

1 ~ 3 회차 문제는 이미 풀어서 여기에 포함되어 있지 않습니다.

 

 

 

IPsec (4회 21번, 4회 36번, 4회 38번) 

 

AH : 인증 헤더

ESP : 보안 페이로드 캡슐화

SA : 보안 연관

작동계층 : Network Layer

 

 

침입탐지 시스템 (4회 26번, 4회 28번, 4회 40번)

 

설치 위치 : 방화벽 뒤

지식기반 침입탐지 (오용 방지)

- 전문가 시스템 (Expert System)

- 상태전이 모델

- 패턴 매칭 (Signature-based Detection)

 

행위기반 침입탐지 (비정상 행위 방지)

- 통계적 분석

- 예측 가능한 패턴 생성

- 신경망 모델

 

상태검사 패킷 필터 : 침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.

 

 

 

30. 다음 IPS종류 중 어플리케이션게이트웨이 방식 설명으로 옳지 않은것은? (4회 30번)

① 내부와 외부 네트워크가 프록시 서버를 통해서만 연결이 된다.

② 각 서비스별 프록시 데몬이 존재한다.

③ 1세대 방화벽에 속 한다

④ 일부 서비스에 대해 투명성을 제공하기 어렵다.

 

정답 : 3

 

 

ICMP (4회 32번)

Destination Unreachable : Type 1 (IPv6), Type 3 (IPv4)

Time Exceeded : Type 2

Source Quench : Type 4

Redirect : Type 5

Parameter Problem : Type 11

 

 

Drdos ( 4회 33번)

- 공격자는 출발지 IP로 스푸핑하여 SYN패킷을 공격 경유지 서버로 전송한다.

- SYN패킷을 받은 경유지 서버는 스푸핑된 IP로 타겟 서버에 SYN/ACK을 전송한다.

- 타겟 서버는 수많은 SYN/ACK를 받아 이용 불능이 된다.

 

 

VPN (4회 34번, 5회 22번)

SSL VPN & IPSEC VPN

출저 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&;menu_dist=3&seq=15547&columnist=0&dir_group_dist=0

 

VPN 프로토콜 종류 : IPSec, SSL, L2TP, PPTP, SSTP

 

 

DNS (5회 27번)

$ nslookup google.com

 

Server:         192.168.152.2

Address:        192.168.152.2#53

Non-authoritative answer:

Name:   google.com

Address: 58.229.92.103

Name:   google.com

Address: 58.229.92.88

 

네임서버, 이메일서버, CNAME 등을 알수가 있다.

(도메인 소유자는 알 수 없다.)

 

 

Smurf 공격 (5회 31번, 7회 29번, 14회 30번)

공격자 IP를 출발지로 변조하고 브로드캐스팅을 보내는 방법

여러 호스트가 특정 대상에게 다량의 ICMP Echo Request 를 보내게 하여 서비스거부(DoS)를 유발시키는 보안공격

소스 주소를 공격 대상 호스트로 위조한 ICMP 패킷을 브로드캐스트하면 근처의 호스트가 다량의 Echo Reply를 발생시킨다.

공격 대상 호스트는 다량으로 유입되는 패킷으로 인해 서비스 불능 상태에 빠진다.

ex) hping q.fran.kr -a 10.10.10.5 --icmp --flood

 

 

NAC (5회 37번, 10회 31번)

네트워크 접속 사용자 또는 단말기를 등록하거나 인증하고, 미인가 사용자 및 단말기 네트워크를 차단하는 솔루션

end point 에 설치되어 다양한 보안 기능을 통합적으로 수행하는 보안 시스템을 지칭하는 것

 

 

베스천 호스트 (Bastion Host, 6회 23번)

• Bastion은 '요새'라는 뜻이다.
• '단일 홈드 게이트웨이'라고도 부른다.
• 어플리케이션 계층에서 동작하는 방화벽이다. 
• 방어 기능을 가진 호스트 시스템이라 할 수 있다. 인증기능과 모니터링, 로깅 등의 기능이 있다.
• 베스천 호스트가 공격 당하면 모든 내부 네트워크 자원이 보호받지 못한다.
• 보호된 네트워크에 유일하게 외부에 노출되는 내외부 네트워크 연결점으로 사용되는 호스트이다.

 

 

스크린 서브넷 (Screened Subnet, 7회 31회)

외부 네트워크와 내부 네트워크의 완충지대를 두는 방식으로서 이 완충지대의 앞뒤에 방화벽을 위치시키고, 완충지대에는 메일서버나 웹서버 등을 설치하는 것이 일반적이다.

 

 

26. 다음 보기의 내용에 대한 설명으로 올바르지 못한 것은? (6회 26번)

 

"""

Switch#conf t 

Enter configuration commands, one per line.? 

End with CNTL/Z. 

Switch(config)#ip access-list extended UDP—DENY j

Switch(config)#ip access—list extended TCP—DENY 

Switch(config-ext-nacl)#deny udp any host

192.168.1.100 eq 80 

Switch(config-ext-nacl)#deny tcp any host

192,168.1.100 eq 21 

Switch(config-ext-nacl)#deny tcp any host

192.168.1.100 eq 22

Switch(config-ext-nacl)#permit ip any any

Switch(config)#intertace vlan 300

Switch(config)#ip access-group UDP-DENY out

Switch(config)#ip access—group TCP-DENY in

"""

 

① 소스에서 타겟으로 ssh 차단된다.

② 소스에서 타겟으로 web이 차단된다.

③ 소스에서 타겟으로 ftp가 차단된다.

④ 소스에서 타겟으로 telnet이 차단된다.

 

답 : 2번

 

 

스니핑 기법 (6회 27번)

Switch Jamming, ICMP Redirect, ARP Redirect

 

 

SYN Flooding (6회 27번)

TCP의 3-Way-Handshake 취약점을 이용한 DoS공격으로 다량의 SYN 패킷을 보내 백로그큐를 가득 채우는 방법을 이용한다.

 

 

세션 (6회 29번)

• 세션은 일정한 시간동안 웹 브라우저를 통해 종료하기까지의 시간을 말한다.
• 세션은 클라이언트가 아닌 서버에 세션 아이디를 저장한다.
• 클라이언트 세션 아이디가 없으면 서버에서 발행해 생성한다.

 

 

OSI 7 Layer 별 Protocol (6회 30번)

데이터 링크 계층 : L2TP, PPP

네트워크 계층 : IP

 

 

MDM (6회 31번)

• 루팅을 하지 못하도록 제어가 가능하다.
• 하드웨어적 API를 이용하여 카메라 등을 제어한다.
• 분실된 단말기의 위치 조회 및 원격 제어가 가능하다.

 

 

APT(Advanced Persistent Threat, 6회 32번) 

침투 -> 탐색 -> 수집 -> 공격 -> 유출

 

 

 

IP (6회 34번, 8회 38번, 9회 26번)

https://shineild-security.tistory.com/11?category=1051042

IP 패킷 구조

 

IPv6는 128비트 주소체계를 사용하여, IPv4의 문제점 중이 하나인 규모 조정이 불가능한 라우팅 방법을 획기적으로 개선한 것으로 사용하지 않은 IP에 대해 통제를 할 수 있다. IPv6는 8 개의 필드로 구서된 헤더와 가변 길이 변수로 이루어진 확장 헤더 필드를 사용한다. 보안과 인증 확장 헤더를 사용함으로써 인터넷 계층의 보안기능을 강화한다. 

 

 

 

37. 다음 중 ARP 스푸핑 공격에 대한 설명으로 올바르지 못한 것은?

① 공격 대상은 같은 네트워크에 있어야 한다.

② 랜 카드는 정상 모드로 동작해야 한다.

③ ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보인다.

④ 공격자는 신뢰된 MAC 주소로 위장을 하고 악의적인 공격을 한다.

 

답: 2번

 

 

이상금융거래탐지시스템 (FDS, 6회40번)

주요기능

• 정보수집: 단말기, 접속정보, 거래정보 + 계정계,정보계 >> 이용자 프로파일 관리기술
• 분석 및 탐지: 거래(현재,과거)분석, 외부 빅데이터 연계 분석 >> 오용/이상탐지, CEP, 인메모리기술(SPARK)
• 대응기능: 허가-필요시 추가인증, 거부 - 부정행위 통지 및 계정차단 등 차등적 대응 >> 멀티팩터 인증, 이상패턴 공유기술
• 모니터링/감사: 감사증적 데이터의 사후 추적기술

 

서킷 게이트웨이 방식 (7회 32번)

• OSI 세션 계층과 어플리케이션 계층 사이에서 동작
• 서비스별 전용 데몬이 존재하지 않고 공용 가능한 일반적인 Proxy가 존재

 

 

리피터 (8회 22번)

물리계층에서 동작하는 장비이다.

감쇄되는 신호를 증폭하고 재생하여 전송한다.

연속적으로 2개 이상의 케이블을 연결함으로써 케이블의 거리 제한을 극복한다

 

 

허브 (8회 22번)

IEEE802.3과 이더넷에서 이더넷 멀티포터 리피터(Ethernet Multi-port Repeater) 또는 연결 집중 장치(Concentrator)라고 칭한다. 허브는 국제 표준기구인 OSI참조 모델의 물리계층(Physical Layer)에서 동작하는 장비이다. 

 

 

Network Access Control (8회 25회)

ㅇ 엔드포인트(End-Point) 보안문제를 해결하기 위해 고려된 방식

ㅇ 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크과 같은 핵심 기능 포함

 

 

30. 다음 중 SIEM에 사용되는 프로그램과 가장 거리가 먼 것은? (8회 30번)

① SPLUNK

② QRadar

③ Arcsight

④ EnCase

답 : 4번

 

 

 

전통적인 응용 게이트웨이 방식 방화벽 (8회 37번)

- 외부 네트워크에 연결된 컴퓨터는 내부 네트워크에 연결된 컴퓨터에 직접 연결되지 않고 프락시를 통해서만 연결된다.

- 프락시를 통해 2개의 서로 다른 연결이 설정되므로 외부 네트워크에 연결된 사용자들에게 내부 네트워크 정보를 숨기는 효과가 있다.

- 응용 계층에서 처리하는 데이터에 대한 점검 기능을 수행하므로 패킷 필터링 수준의 방화벽보다 우수한 보안 서비스를 제공한다.

 

 

 

Stacheldraht (9회 28번)

트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구이다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.

 

 

WPKI ( 9회 29번)

무선망에서의 공개키 기반 구조

 

 

Tcpdump (9회 32번)

Tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해주는 프로그램 이다. 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용을 모두 모니터링 힐 수 있다. LAN 상의 모든 트래픽을 모니터링 하기 위해서는 이더넷 스위치에 포트미러링을/를 통해 다른 컴퓨터의 트래픽이 도착하도록 하고 이더넷 모드를 무차별모드로 변경하여야 컴퓨터로들어 온 패킷을 운영체제에서 확인할 수 있다.

 

 

39. Session Hijacking에 대한 설명으로 올바르지 않은 것은? (9회 39번)

① 세션을 Brute-Force guessing을 통해 도용하거나 가로채어 자신이 원하는 데이터를 보낼 수 있는 공격 방법이다.
② 이미 인증을 받아 세션을 생성, 유지하고 있는 연결을 빼앗는 공격을 총칭한다.
③ 데이터 처리율을 감소시키고 서버가 정상 상태로 회복될때까지 대기 상태에 빠지게 한다.
④ TCP의 세션을 끊고 순서번호(Sequence Number)를 새로 생성하여 세션을 빼앗고 인증을 회피한다. 

 

답: 3번

 

 

 

23. 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은?

① sniffing
② eavesdropping
③ tapping
④ spoofing

답: 4번

 

 

 

25. 프로그램에 이상이 있거나 자신이 의도하지 않는 프로그램이 백그라운드로 실행되고 있는지를 알고 싶을때 프로세스의 확인 닥업을 하게 되는데 윈도우에서는 작업관리자를 통해 프로세스를 확인할 수 있다. 아래에서 설명하고 있는 프로세스는 무엇인가?

[보기]
-winlogon 서비스에 필요한 인증 프로세스를 담당한다.

① lsass.exe
② winmgmt.exe
③ smss.exe
④ services.exe

답: 1번

 

 

 

Snort (10회 27번)

payload 데이터를 검사할때 사용되는 옵션 : content, depth, offset

 

ICMP Unreachable (10회 30번)

UDP flooding 공격 과정에서 지정된 UDP 포트가 나타내는 서비스가 존재하지 않을 때 발생되는 패킷

 

 

 

33. 오용탐지 방법으로 적당하지 않은 것은? (10회 33번)

① 시그니처 분석
② 페트리넷(Petri-net)
③ 상태전이 분석
④ 데이터마이닝

답 : 4번

 

 

37. 스텔스 스캔 (10회 37번)
XMAS 스캔, TCP Fragmentation 스캔, ACK 스캔

 

 

40. 관계형 데이터베이스 모델의 구성요소 중 한 릴레이션에서 특정 속성이 가질 수 있는 모든 가능한 값의 집합을 무엇이라고 하는가? (10회 40번)
① 튜플(Tuple)
② 도메인(Domain)
③ 키(Key)
④ 속성(Attribute)

답 : 3번

 

 

21. 스위치 장비를 대상으로 행해지는 침해 행위가 아닌것은? (14회 21번)

① ICMP Redirect

② Switch Jamming

③ ARP Broadcast

④ IP Spoofing

답 : 4번

 

/etc/hosts.equiv (14회 24번)

리눅스 시스템에서 rlogin를 통합 접근을 허용하는 호스트를 설정하는 파일

 

 

28. 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는? (14회 28번)

① 헤더 40, ICMP 데이터 1048byte

② 헤더 40, ICMP 데이터 1056byte

③ 헤더 20, ICMP 데이터 1048byte

④ 헤더 20 ICMP 데이터 1056byte

 답 : 3번

 

 

OCSP (14회 34번)

- Online Certificate Status Protocol, 온라인 인증서 상태 검증 프로토콜

- X.509 인증서 쳬계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜

- CRL을 대체하기 위한 고안

- 한국에서는 유료 서비스이다.

- 인증서 폐기시 실시간으로 반영된다.

 

 

CRL (14회 34번)

- CRL은 제한된 네트워크 환경에서 사용하기 유리하다.

- CA를 통해서 서비스된다.

- OCSP는 인증서 폐기시 실시간으로 반영된다.

 

 

TCP Wrapper (14회 35번)

- 로깅

- IP기반 접근통제

- 네트워크 서비스 기반 통제

 

 

TCP/IP 4계층 (14회 40번)

L4 응용 계층

L3 전송 계층

L2 인터넷 계층

L1 네트워크 엑세스