해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 애플리케이션 보안 / 1. FTP

FTP(File Transfer Protocol)

인터넷상에서 컴퓨터 간에 파일을 교환하기 위한 표준 프로토콜입니다. 

Active Mode(능동 모드)

먼저 클라이언트가 1024 이상의 임의 포트를 열고, FTP 서버의 제어연결 포트인 21번으로 연결을 합니다. 

클라이언트는 N+1번 포트를 열어 대기를 하고, FTP 명령 포트 N+1을 FTP 서버에 보냅니다. 

서버는 자신의 로컬 제어 연결포트인 21번을 이용하여 클라이언트의 지정된 데이터 포트에 연결합니다. 

데이터 전송이 이루어진다면 서버는 데이터 연결포트인 20번을 이용하여 클라이언트의 포트 N+1로 접근하여 전송하게 됩니다. 

Active 모드는 Client 방화벽 차단시 사용 불가하게 됩니다. 

명령 ) Client. > 1024 -> Server.21

데이터 ) Client. > 1024 <- Server.20

Passive Mode(수동 모드)

먼저 클라이언트가 1024 이상의 임의 포트를 열고, FTP 서버의 제어연결 포트인 21번으로 연결을 합니다. 

클라이언트는 N번 포트를 열어 대기를 하고, FTP 명령인 PASV 명령을 FTP 서버에 보냅니다. 

서버는 자신의 로컬 제어 연결포트인 21번을 이용하여 클라이언트의 지정된 데이터 포트에 연결합니다. 

데이터 전송이 이루어진다면 클라이언트의 지정된 N+1번 포트에서 서버의 임의의 Y번 포트로 접근하게 되고, 서버의 Y번 포트와 Client의 N+1번 포트에 데이터 채널이 형성되어 데이터를 전송하게 됩니다. 

명령 ) Client. > 1024 -> Server.21

데이터 ) Client. > 1024 -> Server. > 1024

FTP Bounce 공격

익명 FTP 서버를 경유하여 호스트를 스캔하고, 네트워크 포트 스캐닝을 위해서 FTP 명령어를 사용합니다. 

Anonymous FTP 공격

보안 절차를 거치지 않은 익명의 사용자에게 FTP 서버 접근 이용, 익명 사용자가 서버에 악성코드 생성합니다. 

TFTP 공격 

인증절차를 요구하지 않기 때문에 설정이 잘못되어 있으면 누구나 해당 호스트에 접근하여 파일을 다운로드 할 수 있습니다. 

관련 문제

14회 FTP는 Active 모드와 Passive 모드를 지원한다. Passive 모드를 사용한다면 예상되는 가장 적절한 이유는 무엇인가?4
①Passive 모드가 전송속도가 더 우수하기 때문에
②서버에서 20, 21포트를 사용하기 위해
③Passive 모드에서 지원되는 암호화 기능 때문에
④Active 모드는 Client 방화벽 차단시 사용 불가하므로

14회 11회 10회 FTP 전송모드에 대한 설명으로 옳은것은?2
①디폴트는 active 모드이며, passive 모드로의 변경은 FTP 서버가 결정한다.
②디폴트는 active 모드이며, passive 모드로의 변경은 FTP 클라이언트가 결정한다.
③디폴트는 passive 모드이며, active 모드로의 변경은 FTP 서버가 결정한다.
④디폴트는 passive 모드이며, active 모드로의 변경은 FTP 클라이언트가 결정한다.

14회 다음은 FTP 로그를 조회한 결과이다. 틀린 설명을 고르시오.4
Thu May 17 11:54:41 2018 6 q.fran.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c
①itwiki 는 사용자 계정이다.
②1234567은 파일 크기이다.
③b는 바이너리 파일이 전달되었음을 나타낸다.
④c는 전송이 중도 취소되었음을 나타낸다.
c => complete , i => imcomplete

13회 아래는 vsftp의 설정파일인 vsftpd.conf에 대한 설명이다. 올바 른 내용으로 짝지은 것은?4
[보기]
가: amonymous_erable : 익명 접속 설정으로 권장은 NO이다.
나: port_enable : YES 값은 데이터 전송을 위해서 Passive Mode를 사용하도록 설정한다.
다: xferlog_enable : FTP 로그를 남길 것인지에 대한 설정으로 로그 위치는 vsftpd_log file에서 설정한다.
라: local enable : 로컬 계정 사용자들의 접속 허용을 설정한다.
① 가,나,다
② 가,다
③ 가,나,다,라
④ 가,다,라

11회 다음 중 FTP 보안대책과 가장 거리가 먼 것은?4
① anonymous 사용자의 루트 디렉터리, bin, etc, pub 디렉터리의 소유자와 permission 관리
② root 계정의 ftp 접속 제한
③ 최신 ftp 서버 프로그램 사용 및 주기적인 패치
④ ftp 접근제어 설정 파일인 ftpusers 파일의 소유자를 root로 하고, 접근 허용할 계정을 등록

11회 다음 지문의 설명은 FTP의 어떤 공격 유형에 속하는가?1
[보기]
-익명 FTP 서버를 이용하고 그 FTP 서버를 경유하여 호스트를 스캔한다.
- FTP 포트 명령어를 이용한다.
- FTP 서버를 통해 임의의 네트워크 접속을 릴레이하여 수행한다.
- 네트워크 포트를 스캐닝하는 데 사용한다.
- FTP 프로토콜의 취약점을 이용한 공격이다.
① Bounce 공격
② Anonymous FTP 공격
③ TFTP 공격
④ 스니핑 공격

9회 FTP 바운스 공격의 주요 목적은?3

① 무작위 공격
② IP 스푸핑
③ 포트 스캐닝
④ 스위치 재밍

정보보안기사 필기 독학 / 네트워크 보안 / 8. ICMP

ICMP(Internet Control Message Protocol)

호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고오류를 알려주는 프로토콜입니다. 

ICMP 오류 메시지 

1) Destination Unreachable 에러메세지 (ICMPv4 : type 3, ICMPv6 : type 1)
도달할 수 없는 목적지에 계속하여 패킷을 보내지 않도록 송신측에 주의를 줍니다.

2) Source Quench 에러메세지 (ICMPv4 : type 4) (표준에서 제외됨, 비현행)
폭주가 발생한 상황을 송신측에 알려서 송신측이 전송을 잠시 중단하거나 전송률을 줄이는 등의 조치를 취하도록 알리는 역할을 하는 에러메세지입니다. 

3) Packet Too Big 에러메세지 (ICMPv6 : type 2)
목적지까지 가는 경로 중의 라우터에서 전송 가능한 데이터링크 MTU 보다 큰 IP 데이터그램일 경우에, 발신지에게 IP 단편화하도록 알리는 ICMPv6 에러메세지 입니다. 

4) Redirect 에러메세지 (ICMPv4 : type 5, ICMPv6 : type 137)
송신측으로부터 패킷을 수신 받은 라우터가 특정 목적지로 가는 더 짧은 경로가 있음을 알리고자할 때 사용하는 에러메세지입니다. 

5) Time Exceeded 에러 메세지 (ICMPv4 : type 11, ICMPv6 : type 3)
목적지 시스템에 도달하기 이전에 TTL 값이 0 에 이르렀음을 알려주는 에러메세지입니다.

관련 문제

14회 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는? 3
①헤더 40, ICMP 데이터 1048byte
②헤더 40, ICMP 데이터 1056byte
③헤더 20, ICMP 데이터 1048byte
④헤더 20 ICMP 데이터 1056byte

8회 다음 지문에 해당하는 ICMP 오류 메시지는?2
[보기]
데이터그램(Datagram)이 라우터를 방문할 때, 이 필드의 값은 1씩 감소되며, 이 필드 값이 0이 되면 라우터는 데이터그램을 폐기한다. 그러나 데이터그램이 폐기될 때 라우터는 오류 메시지를 원 발신지에 송신한다.

① 목적지 도달 불가능
② 시간 경과
③ 매개변수 문제
④ 발신지억제

8회 다음 중 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고오류를 알려주는 프로토콜은 어느 것인가?3
① SMTP
② SSH
③ ICMP
④ IGMP

8회 다음 지문은 어떤 종류의 ICMP 메시지를 설명하는 것인가?1
데이터를 보내는 호스트에게 IP 데이터그램의 라우터 집중 현상에 의해 패킷이 손실되고 있음을 알리기 위해 라우터가 보내는 메시지
① Source Quench.
② Echo Request
③ Echo Reply
④ Destination Unreachable

정보보안기사 필기 독학 / 네트워크 보안 / 7. 네트워크 기반 프로그램

tcpdump

Tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해 주는 프로그램입니다. 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용을 모니터링 할 수 있습니다. LAN 상의 모든 트래픽을 모니터링 하기 위해서는 이더넷 스 위치에서의 포트 미러링을 통해 다른 컴퓨터로 항하는 트래픽도 수 신하도록 합니다. 이때 이더넷 모드를 무차별 모드(Promiscuous Mode)로 변경하여야 컴 퓨터로 들어온 패킷을 운영체제에서 확인할 수 있습니다. 

Ping

제대로 실행되면 네트워크 인터페이스가 작동하는지 확인하기 위해 자신이 속해있는 서브네트나 네트워크에 ping을 실행합니다. 게이트웨이가 살아있는지 확인합니다.

NetStat

현재 시스템에서 사용되고 있는 네트워크 연결정보를 확인해 주는 도구입니다.

Traceroute

목적지까지익 데이터 도달 여부를 획인하는 도구입니다.  네트워크와 라우팅의 문제점을 찾아내는 목적으로 많이 사용되며, UDP 패킷을 이용해 진행경로의 추적과 패킷이 지나가는 IP 주소나 이름을 알아낼 수 있습니다. 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제리스트에 의해 패킷이 차단되었음을 확인할 수 있습니다.

lsass.exe

프로그램에 이상이 있거나 자신이 의도하지 않는 프로그램이 백그라운드로 실행되고 있는지를 알고 싶을때 프로세스의 확인 닥업을 하게 되는데 윈도우에서는 작업관리자를 통해 프로세스를 확인할 수 있습니다.

관련 문제

13회 9회 이래 지문 빈 칸 2, 에 들어갈 용어를 바르게 짝지은 것은?2
[보기]
Tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해 주는 프로그램이다. 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용을 모니터링 할 수 있다. LAN 상의 모든 트래픽을 모니터링 하기 위해서는 이더넷 스 위치에서의 ( 가 )을 통해 다른 컴퓨터로 항하는 트래픽도 수 신하도록 한다. 이때 이더넷 모드를 ( 나 )로 변경하여야 컴 퓨터로 들어온 패킷을 운영체제에서 확인할 수 있다.
① 가 : 포트 미러링(Port Mirroring) 나: 수집 모드(Acquisition Mode)
② 가 : 포트 미러링(Port Mirroring) 나 : 무차별 모드(Promiscuous Mode)
③ 가 : 패킷 포워딩(Packet Forwarding) 나 : 수집 모드(Acquisition Mode)
④ 가 : 패킷 포워딩(Packet Forwarding) 나 : 무차별 모드(Promiscuous Mode)

11회 다음은 DOS 창에서 어떤 명령어를 실행시킨 결과인가?1
[보기]
C:WDocuments and SettingswAdministrator>( ) 203.252.53.47 203.252,53.47 with 32 bytes of data:
Reply from 203.25253.47: bytes=32 time<1ms TTL=128
Reply from 203.252,53.47: bytes=32 time<1ms TTL=128
Reply from 203.252,53.47: bytes=32 time<1ms TTL=128
Reply from 203.252,53.47: bytes=32 time<1ms TTL=128
statistics for 203.252,53.47 | Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = Oms, Maximum = Oms, Average = Oms
① ping
② traceroute
③ date
④ netstat

10회 프로그램에 이상이 있거나 자신이 의도하지 않는 프로그램이 백그라운드로 실행되고 있는지를 알고 싶을때 프로세스의 확인 닥업을 하게 되는데 윈도우에서는 작업관리자를 통해 프로세스를 확인할 수 있다. 아래에서 설명하고 있는 프로세스는 무엇인가?1

[보기]
-winlogon 서비스에 필요한 인증 프로세스를 담당한다.

① lsass.exe

② winmgmt.exe

③ smss.exe

④ services.exe

10회 traceroute에 대한 설명 중 옳지 않은 것은?3

① 목적지까지의 데이터 도달 여부를 확인하는 도구이다.
② 네트워크와 라이팅의 문제점을 찾아낼 목적으로 사용되는 도구이다.
③ 컴퓨터 자신의 내부 네트워크 상태를 다양하게 보영주는 명령어이다.
④ 결과값이 * 로 표시되는 경우 침입차단시스템 등의 접근통제 장치에 의해 UDP 패킷이 차단되었음을 확인 할수 있다.

9회 다음 설명으로 알맞은 명령어는? 2

[보기]
- 목적지까지익 데이터 도달 여부를 획인하는 도구이다
- 네트워크와 라우팅의 문제점을 찾아내는 목적으로 많이 사용되며, UDP 패킷을 이용해 진행경로의 추적과 패킷이 지나가는 IP 주소나 이름을 알아낼 수 있다.
- 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제리스트에 의해 패킷이 차단되었음을 확인할 수 있다.

① Ping
② Traceroute
③ Tcpdump
④ Netstat

11회 다음 중 Telnet 보안에 대한 설명 중 틀린 것은?2
① TELNET 세션은 암호화 및 무결성 검사를 지원하지 않는다.
② SSH(Secure Shell)는 암호화를 하지 않는다.
③ 패스워드가 암호화되어 있지 않아 스니퍼를 이용하여 제3자에게 노출 될 수 있다.
④ UNIX 시스템에서 해커가 in.telnetd를 수정하여 클라이언트의 특정 터미널 종류에 대해 인증과정 없이 쉘을 부여할 수도 있다.

정보보안기사 필기 독학 / 네트워크 보안 / 6. 무선 통신

WAP(Wireless Application Protocol)

무선 애플리케이션 프로토콜은 휴대 전화 등의 장비에서 인터넷을 하는것과 같은, 무선통신을 사용하는 응용프로그램의 국제표준입니다.  WAP은 매우작은 이동장비에 웹 브라우저와 같은서비스를 제공하기위해 설계되었습니다. 

WPA/WPA2 

IEEE 802.11i 표준으로서 이전의 IEEE 802.11 표준의 약점을 보완하고 있습니다. 그리고 RSN(Robust Security Network)으로도 불리우며, AES블록 암호화를 사용하여 RC4 스트림 암호화를 사용하는 WI-Fi Protected Access 표준과는 구별됩니다. 

무선랜의 취약점

AP(Access Point)의 전파가 강하게 설정되어 건물 외부에까지 출력될 경우 건물 외부에서도 내부 네트워크에 접속이 가능하고, 물리적으로 케이블을 연결할 필요가 없기 때문에 관리자의 눈을 피해 불법 침입자가 접속하기 용이합니다. 

또한 단말기 인증과 무선 구간의 암호화를 위해 AP와 단말기에 설정하는 WEP가 있으나 보안기능이 미약합니다. 

WPKI (Wireless-Public Key Infrastructure)

무선 환경에서 사용자 인증을 하기 위한 공개키 인증 환경 구조로서 유선 환경보다 열약한 메모리, CPU 등의 제약 극복이 목적입니다.

WML(Wiki markup language)

무선 마크업 언어로써 이동 통신용 단말기에 적합하도록 XML 기반으로 한 마크업 언어로 WAP 프로토콜 상에서 쓰입니다.

WTLS(Wireless Transport Layer Security)

무선 전송 계층 보안은 무선 응용 프로그램 프로토콜 스택의 일부인 보안 프로토콜입니다. WAP 통신 스택에서 WTP와 WDP 계층 사이에 있습니다.

WIPI(Wireless Internet Platform for Interoperability)

위피는 대한민국의 표준 모바일 플랫폼의 이름입니다. 통신사간의 모바일 플랫폼을 표준화함으로써, 하나의 콘텐츠를 여러 통신사에서 서비스할 수 있도록 하기 위해 제정되었습니다. 

관련 문제

11회 다음 중 무선랜 구축 시 보안 고려사항으로 가장 적합하지 않은 선택은 무엇인가?4

① SSID를 숨김모드로 사용
② 관리자용 초기 ID/Password 변경
③ 무선 단말기의 MAC 주소 인증 수행
④ 보안성이 우수한 WEP(Wired Equivalent Privacy) 사용

11회 무선랜 보안에 대한 설명으로 옳지 않은 것은?4
① WEP 보안프로토콜은 RC4 암호 알고리즘을 기반으로 개발되었으나 암호 알고리즘의 구조적 취약점으로 인해 공격
자에 의해 암호키가 쉽게 크래킹되는 문제를 가지고 있다.
② 소규모 네트워크에서는 PSK(PreShared Key) 방식의 사용자 인증이, 대규모 네트워크인 경우에는 별도의 인증서버를 활용한 802.1x 방식의 사용자 인증이 많이 활용된다.
③ WPA/WPA2 방식의 보안프로토콜은 키 도출과 관련된 파라미터 값들이 암호화되지 않은 상태로 전달되므로 공격자는 해당 피라미터 값들을 스니핑한 후 사전공격(Dictionary attack)을 시도하여 암호키를 크래킹할 수 있다.
④ 현재 가장 많이 사용 중인 암호 프로토콜은 CCMP TKIP이며 이 중 여러 개의 암호키를 사용하는 'TKIP역 보안성이 더욱 우수하며 사용이 권장되고 있다.

13회 9회 다음 질문에서 설명하고 있는 것은?2
[보기]
IEEE 802.11i 표준으로서 이전의 IEEE 802.11 표준의 약점을 보완하고 있다. 그리고 RSN(Robust Security Network)으로도 불리우며, AES블록 암호화를 사용하여 RC4 스트림 암호화를 사용하는 WI-Fi Protected Access 표준과는 구별된다.

① WEP
② WPA2
③ EAP-TLS
④ WAP

8회 네트워크를 통해 무선 LAN을 공격하기 위한 기술적 공격 방식이 아닌 것은?1
① 구성 설정 초기화
② 무선 전파 전송 방해
③ 불법 AP를 통한 전송 데이터 수집
④ 암호화 되지 않은 통신 데이터 도청

9회 29. 무선망에서의 공개키 기반 구조를 의미하는 것은?1
① WPKI
② WML
③ WTLS
④ WIPI