해커를 꿈꾸는 개발자

정보보안기사 실기 / Apache 웹 서버 보안 설정 - 애플리케이션 보안

Apache 웹 서버의 설정파일은 /etc/httpd/conf/httpd.conf 입니다. 

이번에는 httpd.conf 설정 파일을 알아 보겠습니다. 

httpd.conf 세션 설정

http 접근제어

관련 문제

17회 다음과 같이 Apache 설정 시 발생할 수 있는 문제점 두가지를 작성하고 대응 방안을 쓰시오.
<Directory />
Options FollowSymLinks
AllowOverride none
Require all granted
</Directory>

<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>

(1) 발생하는 두가지 문제점
1. 디렉터리 리스팅으로 웹 서버 구조 및 중요 파일 노출됨.
2. 상위 디렉터리로 이동하여 악의적인 접근 가능함.

(2) 두가지 문제점에 대한 대응방안
1. /var/www 디렉터리의 Options 지시자에서 Indexes 옵션 제거
2. AllowOverride 옵션을 None -> AuthConfig로 변경

14회 다음은 리눅스 웹서버인 Apache의 설정파일 중 일부이다. 표시된 설정 내용이 의미하는 바가 무엇인지 설명하시오.
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 100
DirectoryIndex index.htm index.html
CustomLog /www/logs/access_log common

1) KeepAlive 옵션을 켠다. 속도를 개선시킬 수 있으나 동시접속량이 줄어든다.
2) KeepAlive를 유지시키는 시간을 100초로 설정한다.
3) KeepAlive를 허용하는 유저 수를 100명으로 설정한다.
4) 디렉토리로 접근할 경우 index.htm을 먼저 읽고, 없으면 index.html을 읽는다.
5) 로그파일은 /www/logs/access_log 경로에 저장하고, Apache 기본 로그 포맷을 사용한다.

14회 Apache 웹 서버 보안 설정을 하고자 한다. 환경설정 파일인 httpd.conf 파일에 (1) ~(4) 각각 해당하는 보안 설정을 기술하시오.

(1) 서버가 클라이언트로부터 응답을 기다리는 최대시간을 300초로 설정한다.

=> Timeout 300

(2) KeepAlive 상태에서 연결당 처리할 최대요청 처리 건수를 1000으로 한다.

=> MaxKeepAliveRequest 1000

(3) 디렉터리만을 지정했을 경우 그 디렉터리에서 자동으로 보여줄 웹 문서를 index.htm으로 설정하되, index.htm이 없으면 index.php를 보이게 설정한다.

=> DirectoryIndex index.htm index.php

(4) 서버접속 오류메시지를 /user/local/apache/logs/error_msg에 기록한다.

=> ErrorLog logs/user/local/apache/logs/error_msg

14회 불필요한 파일 업로드, 다운로드 시에 대량의 업로드, 다운로드로 인한 서비스 불응 상태가 발생할 수 있다. 이를 방지하고자 파일 크기를 5,000,000바이트로 제한하기 위해서 아파치 설정 파일인 httpd.conf 파일을 아래와 같이 수정하고자 한다. 빈칸 (  A  )에 해당하는 지시자를 작성하시오.

=> LimitRequestBody 

정보보안기사 실기 / Snort rule - 네트워크 보안

Snort는 패킷을 스니핑해서 지정한 규칙과 동일한 패킷을 탐지하는 침임탐지 시스템입니다. 

Snort Rule은 공격자의 공격을 탐지하기 위한 등록된 규칙으로, Rule Header와 Rule Option으로 구성되어 있습니다.

이 Snort Rule을 구성하는 Header와 Option에 대해 알아보겠습니다. 

Rule Header

1. Action

2. Protocol 

Rule Option

- 탐지 조건

관련 문제

17회 각각의 Snort Rule 설정의 의미를 작성하시오.

(1) msg:"GET Flooding"
답 : alert 발생 시 GET Flooding이 이벤트 이름으로 사용된다.

(2) content:"GET / HTTP1."
답 : GET / HTTP1. 문자열을 검사한다.

(3) content:"USER"; content:!"anonymous"
답 : 문자열이 USER을 포함하고 anonymous를 포함하지 않는지 검사한다.

(4) content:"|00|";depth:1
답 : 1바이트의 바이너리 값이 00인지 검사한다.

14회 다음은 공개 IDS 소프트웨어인 snort의 관제 규칙(rule)이다. 각각의 질문에 답하시오.
alert any any - > any 80 ( msg "XSS"; content "GET"; offset:1; depth:3: content:"/login.php.. XSS"; distance 1;)

위와 같은 snort 룰을 등록하였는데 아래 접근이 탐지되지 않았다.
Content :"/Login.php?id=...";

1) content:"GET"; offset:1 depth:3 의미

답 : 1바이트 띄고 3바이트 검사해서 get 찾아라

2) content:"/login.php XSS"; distance 1; 의미

답 : 이전거 찾은 위치에서 1byte 넘어가서 다음 content 찾아라

3) 탐지되지 않은 접근이 탐지되도록 하려면 어떻게 수정해야 하는가?

답 : nocase 추가

11회 모든 네트워크 대역에서 Telnet으로 접속하는 패킷 중 14번째 자리까지 'anonymous'가 포함된 트래픽에 대해서 'Dangerous' 메시지로 경고하는 snort rule을 만드시오.

답 : alert tcp any any -> any 23 (msg: "Dangerous"; content: "anonymous"; depth: 14; sid: 1000001;

정보보안기사 실기 / 3. IPSec (IP Security) - 애플리케이션 보안

IPSEC(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. 인터넷상에서 전용 회선과 같이 가상 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지합니다. 

OSI 모델에서 3계층(네트워크 계층) 보안 프로토콜이며, VPN에서 많이 사용됩니다.

IPSEC 전송 방법

1) 터널 모드

VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화하고 중계 장비의 IP 주소를 붙여 전송합니다. 

원본 IP 패킷 전체를 암호화하므로 트래픽 경로도 노출되지 않습니다.

2) 전송 모드

패킷의 출발지에서 암호화를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

IP 페이로드만 암호화하여, 트래픽 경로는 노출됩니다.

IPSec 구성요소

1) AH

메시지 인증 코드(MAC)를 이용하여 무결성과 인증 기능을 제공하지만 암호화는 제공하지 않는 IP 확장 헤더입니다.

2)ESP

새로운 IP 패킷을 만드로 기존 패킷은 Payload에 넣어 감싸는 방식으로 암호화를 제공하는 방식이며, 암호화를 통해 기밀성을 유지하기 위해 사용됩니다.

3) IKE(Internet Key Exchange)

IPSec에서 키 교환을 위해 사용되는 프로토콜로, UDP 500포트를 사용합니다.

4) ISAKMP(Internet Security Association and Key Management Protocol)

Security Association 설정, 협상, 변경, 삭제 등 SA 관리와 키 교환을 정의합니다.

관련 문제

14회 다음에서 설명하는 IPSec의 구성요소를 적으시오.
1) 메시지 인증 코드(MAC)를 이용하여 무결성과 인증 기능을 제공하지만 암호화는 제공하지 않는 IP 확장 헤더
2) 새로운 IP 패킷을 만드로 기존 패킷은 Payload에 넣어 감싸는 방식으로 암호화를 제공하는 방식
3) IPSec에서 키 교환을 위해 사용되는 프로토콜로, UDP 500포트 사용

답 : 1) AH , 2) ESP , 3) IKE

12회 가상사설망(VPN)에서 사용되는 IPSec과 관련하여 아래 괄호안에 들어갈 말을 적으시오.
ㅇ IPSec은 OSI 모델에서 (  A  ) 계층에 속한다.
ㅇ IPSec에서 (  B  )는 무결성 보장, 메시지 인증을 위해 사용된다.
ㅇ IPSec에서 (  C  )는 암호화를 통해 기밀성을 유지하기 위해 사용된다.

답 : A: 3(네트워크), B: AH, C: ESP

11회 가상사설망(VPN)에서 사용되는 보안 프로토콜과 관련하여 아래 설명에 해당하는 프로토콜을 적으시오.
1) 3계층 보안 프로토콜로, 가장 많이 사용되는 프로토콜
2) 상기 프로토콜에서 무결성 보장, 메시지 인증을 위한 세부 프로토콜
3) 상기 프로토콜에서 암호화를 통해 기밀성을 유지하기 위한 세부 프로토콜

답 : 1) IPSec, 2) AH, 3) ESP

8회 IPSec 프로토콜은 전송모드와 터널모드 2가지를 가진다. ESP를 사용한 암호화 범위를 중심으로 전송모드와 터널모드의 차이를 설명하시오.

답 : 전송모드는 IP 페이로드만 암호화하여, 트래픽 경로는 노출된다.

터널 모드는 원본 IP 패킷 전체를 암호화하므로 트래픽 경로도 노출되지 않는다.

정보보안기사 실기 / 2. 정보보호 위험 평가 - 정보보안 관리 및 법규

위험관리 구성

1) 자산(Asset) : 조직에 가치가 있는 자원들입니다. 

2) 위험(Risk) : 위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성입니다. 

3) 위협(Threat) : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위입니다. 

4) 취약점(Vulnerability) : 위협이 발생하기 위한 조건 및 상황입니다. 

5) 위험관리 : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정입니다.

6) 위험분석 : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 합니다.

7) 험대응 : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말합니다.

위험분석 기법

1) 기준선 접근법(Base Line Approach)

국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정합니다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있습니다.

2) 전문가 판단(Informal Approach) 또는 비정형 접근법

구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행합니다.

3) 상세위험분석(Detailed Risk Analysis)

정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가합니다.

4) 복합적 접근법(Combined Approach)

비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능하지만, 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있는 단점이 있습니다.

정량적 위험분석 / 정성적 위험분석

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법

2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법

3) 확률분포법 :미지의 사건을 추정하는 데 사용되는 방법입니다. 확률적 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있습니다. 

4) 시나리오법 : 델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었습니다. 어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮습니다.

5) 델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법입니다.

위험에 따른 손실액 분석

1) ARO(Annualized Rate of Occurrence, 연간발생률) : 매년 특정한 위협이 발생할 가능성에 대한 빈도수 혹은 특정 위협이 1년에 발생할 예상 빈도수입니다. 

2) SLE(Single Loss Expectancy, 단일손실예상) : 특정한 위협이 발생하여 예상되는 1회 손실액입니다. 

SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)

3) ALE(Annualized Loss Expectancy, 연간 예상 손실) : 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 비용입니다.

ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ARO(연간 발생률)

위험 대응 전략

1) 위험 수용 : 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법입니다.

2) 위험 감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현합니다.

3) 위험 회피 : 위험이 존재하는 프로세스나 사업을 포기합니다.

4) 위험 전가 : 자산에 대해 보험을 들어 손실에 대비하거나 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결하는 방법이 있습니다.

관련문제

13회 다음에서 설명하는 정성적 위험분석 방법을 적으시오.
델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었다.  어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮다.

답 : 시나리오법

13회 다음에서 설명하는 위험 관리 방법은?
ㅇ 자산에 대해 보험을 들어 손실에 대비
ㅇ 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결

답 : 위험 전가

13회 다음에서 설명하는 위험분석 접근법은 무엇인가?
이 방법은 국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정한다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있다.

답 : 베이스라인 접근법

12회 아래의 식을 참고하여 위험의 구성요소 3가지를 적으시오.
위험 = (  A  ) × (  B  ) × (  C  ) - 정보보호대책

답 : A: 자산(Asset), B: 취약점(Vulnerability), C: 위협(Threat)

11회 정량적 위험지표와 관련하여 다음 빈칸에 들어갈 말을 쓰시오.
ㅇ SLE(단일 예상 손실액) = AV(자산가치) × ( A )
ㅇ ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ( B )

답 : A: EF(손실계수) ,B: ARO(연간 발생률)

10회 위험관리 방법과 관련하여 아래 빈칸에 들어갈 말을 적으시오.
위험관리 방법에는 위험감소, 위험수용, 위험회피, 위험(  괄호  )가 있다. 위험 (  괄호  )를 위해 보험에 들거나 아웃소싱을 하는 방법이 있다.

답 : 전가

10회 위험관리에 대해 아래 빈칸에 들어갈 말을 적으시오.

답 : A: 취약성, B: 감소, C: 보유

9회 다음은 정성적 위험분석 방법 중 하나에 대한 설명이다. 어떤 방법인가?

시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법

답 : 델파이법

9회 위험은 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정이다. 위험을 구성하는 4가지 기본요소를 쓰시오

답 : 자산(Asset) × 취약점(Vulnerability) × 위협(Threat) - 정보보호대책(Safeguard)

7회 다음은 위협 통제 시점에 따른 분류이다. 알맞은 용어를 넣으시오

1) 발생가능한 잠재적인 문제들을 식별하여 사전에 대응하기 위한 통제

2) 1번 통제를 우회하여 발생하는 위협을 찾아내기 위한 통제

3) 2번 통제에 따라 발견한 위협에 대처하거나 줄이는 통제

답 : 1) 예방통제, 2) 탐지통제, 3) 교정통제

7회 정량적 위험 분석과 관련하여 아래 질문에 답하시오.

1) SLE이란 무엇인가?

2) SLE를 구하는 식을 적으시오.

3) ALE를 구할때 SLE를 제외하고 필요한 것은 무엇인가?

4) 연수익이 5천만원인 사이트 위험을 완전히 제거하는 비용이 연간 1억원이라고 할 때 이 사이트의 ROI는?

답 : 

1) SLE(Single Loss Expetancy, 단일손실예상) :특정한 위협이 발생하여 예상되는 1회 손실액
2) SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)
3) ARO(Annual Rate of Occurrence, 연간발생률): 어떤 위협이 1년에 발생할 가능성(0~1)
4) ROI = ( 수익 / 투자금 ) * 100
ROI = ( 5천만 / 1억원 ) * 100 = 50%

6회 위험 관리와 관련하여 보기에서 설명하는 용어를 쓰시오.

1) 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등 무형의 것도 포함

2) 보호 대상에 대한 잠재적 속성이나 처한 환경으로, 관리적·기술적·물리적 약점

3) 보호 대상에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인이나 행위자

답 : 

1) 자산(Asset)
2) 취약점(Vulnerability)
3) 위협(Threat)

6회 위험 분석 방법 중 정성적 방법과 정량적 방법을 각각 2가지씩 쓰시오.

답 : 

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법 중 2개
2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법 중 2개

6회 위험분석 방법 중 복합적 접근 방법의 장점과 단점을 설명하시오.

답 : 

1) 장점 : 비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능
2) 단점 : 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있음

5회 (A), (B), (C)에 알맞은 용어를 작성하시오.

정보자산에 대한 잠재적 및 알려진 ( A )과 ( B )으로 나타날 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가 시 ( C ) (DOA)을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다.

답 : A: 취약점, B: 위협, C: 수용 가능 위험수준(Degree of Assurance)

5회 위험관리 기법 중에서 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법을 ( )이라 한다.

답 : 위험 수용

4회 다음 위험분석 및 위험평가 관련 내용 중 빈칸 (A), (B), (C), (D) 각각에 알맞은 용어를 기재하시오.

( A ) : 국내외 표준, 기존에 마련되어 있는 법령, 가이드 등으로 기준을 정하여 위험을 관리

( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다.

( C ) : 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다.

( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다.

답 :

(A): 베이스라인 접근법
(B): 비정형 접근법
(C): 상세위험분석
(D): 복합접근법

4회 다음 빈칸에 알맞은 단어를 적으시오.

( A ) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정

( B ) : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.

( C ) : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말한다.

답 : ( A ) : 위험관리, ( B ) : 위험분석, ( C ) : 위험대응