해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 네트워크 보안 / 5. 네트워크 해킹 공격

스니핑(Sniffing) (eavesdropping, tapping 

네트워크상의 데이터를 도청하는 행위를 뜻하고, LAN에서의 스니핑은 Promiscuous Mode에서 작동합니다. 

- ARP Redirect 공격 : 공격자가 “나의 MAC 주소가 라우터의 MAC 주소이다."라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격입니다. 

- ICMP Redirect 공격 : 공격자가 ICMP Redirect 메시지를 생성하여 공격 대상 시스템에게 전송함으로써 공격대상 시스템이 전송하는 패킷이 공격자에게 먼저 전송되도록 합니다. 

- Switch Jamming 공격 : 공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있습니다. 

서비스거부(DoS), 

공격자가 시스템의 하드웨어나 소프트웨어 등을 무력하게 만들어 시스템이 정상적인 수행을 하는데 문제를 일으키는 공격입니다. 종류로는 Land Attack, TearDrop, Targa, NetTear, Nestea, Ping Of Death, Inconsistent Fragmentation, SYN, Smurf, UDP Flood 등이 있습니다.

- Land Attack : 출발지와 목적직의 IP 주소를 공격대상의 IP와 동일하게 만들어서 공격 대상에게 보내는 공격입니다. 패킷을 만들어 전송하더라도 자신의 IP이므로 외부로 전송하지 못하고 자신의 컴퓨터에서 부하가 발생하게 되어, 루프 상태에 빠지게 됩니다. 

- TearDrop : 헤더가 조작된 일련의 IP 패킷조각(IP Fregments)들을 전송함으로써 공격이 이루어지며 공격자는 데이터의 일부가 겹치게 됩니다. 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패킷 재조합 시 공격대상에서 부하를 발생시키는 공격입니다. 

- Ping Of Death : ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할하도록 하는 공격입니다. 

- Smurf : 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격입니다. 

- 분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS) : 출발지의 IP를 위조하어 정상 요청(request)하면 공격 대상에 대량의 응답 값이 전달되는 것을 이용한 공격방법입니다.

- SYN Flooding 공격 : TCP의 3 way Handshake 약점을 이용하는 공격으로 소스 IP를 존재하지 않는 IP 주소로 위조하여 대량의 SYN 패킷을 발송하여 해당 시스템의 백로그 큐를 가득 채워 서비스 거부를 하도록 하는 공격입니다. 

분산서비스거부(DDos) 공격

네트워크로 연결되어 있는 많은 수의 호스트들에 패킷을 범람 시킬 수 있는 Dos용 프로그램을 분산 설치하여 이들이 서로 통합된 형태의 공격입니다. 종류로는 Trinoo, TFN, Stacheldraht, TFN2K 등이 있습니다.

- Stacheldraht : 트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구입니다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있습니다. 

워터링홀(watering hall)

공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법입니다. 

파밍(Pharming)

도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법입니다. 

관련 문제

9회 공격의 종류가 적절하게 짝지어진 것은? 3
[보기1]
(A) 네트워크에서 IP 주소, 하드웨어 주소등의 정보를 속임으로써 권한을 획득 또는 중요 정보를 가로채어 서비스를 방해하는 공격행위
(B) 네트워크 패킷이나 버스를 통해 전달되는 중요 정보를 엿보고 가로채는 공격행위
(C) 메모리에 할당된 배열의 크기를 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하여 해커가 원하는 코드를 실행하는 공격행위
[보기2]
㉠ 스니핑
㉡ 스푸핑
㉢ 버퍼오버플로우
(A) (B) (C)
① ㉠ ㉡ ㉢
② ㉡ ㉢ ㉠
③ ㉡ ㉠ ㉢
④ ㉢ ㉠ ㉡

7회 다음 중 네트워크 기반 서비스 거부 공격이 아닌 것은? 1
① 버퍼 오버플로우(Buffer Overflow)
② 스머프(Smurf)
③ SYN 플러딩(Flooding)
④ 티어드랍(Teardrop)

13회 스위칭 환경에서의 스니핑 공격 유형 중, 공격자가 “나의 MAC 주소가 라우터의 MAC 주소이다."라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격은? 3
① Switching Jamming
② ICMP Redirect
③ ARP Redirect
④ DNS Spoofing

13회 L2 스위치로 구성된 네트워크 환경에서 스니핑 공격에 대한 설명으로 옳지 않은 것은? 2  
① L2 스위치로 구성된 네트워크 환경에서 스니핑 공격을 시도하기 위해 사용되는 주요 방법들로는 ARP Cpoofing ICMP Redirect, MAC Address Flooding 등이 있다.
② ARP Spoofing 공격은 공격자가 대상시스템에 조작된 ARP Request를 지속적으로 전송함으로써 이루어지며,
대상시스템의 ARP cache table을 변조한다.
③ ICMP Redirect 공격은 공격자가 ICMP Redirect 메시지를 생성하여 공격 대상 시스템에게 전송함으로써 공격대상 시스템이 전송하는 패킷이 공격자에게 먼저 전송되도록 한다.
④ MAC Address Flooding 공격은 공격자가 조작된 MAC 주소를
프레임의 출발지 MAC 주소에 설정하여 보내는 과정 을 반복함으로써 스위치가 더미허브처럼 동작하도록 한다.

7회 다음 지문에서 설명하고 있는 스니핑 공격은?3
보기
공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.
① ARP Redirect 공격
② ICMP Redirect 공격
③ Switch Jamming 공격
④ ARP Spoofing 공격

13회 10회 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은? 4
① sniffing
② eavesdropping
③ tapping
④ spoofing

9회 다음 보기가 설명하는 공격은?1

[보기]
출발지와 목적직의 IP 주소를 공격대상의 IP와 동일하게 만들어서 공격 대상에게 보내는 공격이다. 패킷을 만들어 전송하더라도 자신의 IP이므로 외부로 전송하지 못하고 자신의 컴퓨터에서 부하가 발생하게 되어, 루프 상태에 빠지게 된다.

① Land 공격
② Targa 공격
③ Ping of Death 공격
④ Smurf 공격

11회 DoS 공격 중 Land 공격이 조작하는 IP 프로토콜의 필드에 해당하는 것은 무엇인가? 1
① 출발지 주소
② 목적지 주소
③ Time-To-Live 값
④ 헤더의 길이

14회 30. 아래 보기의 명령과 가장 관련있는 서비스 거부 공격은? 4

hping q.fran.kr  -a 10.10.10.5 --icmp --flood

①Ping of Death
②Land Attack
③Teardrop
④Smurf

11회 26. 다음 설명에 해당하는 서비스거부(DoS) 공격은?1
[보기]
헤더가 조작된 일련의 IP 패킷조각(IP Fregments)들을 전송함으로써 공격이 이루어지며 공격자는 데이터의 일부가 겹치거다. 일부 데이터를 포함하지 않는 패킷 조각들을 전송함으로써 패킷 재조합 시 공격대상에서 부하를 발생시키는 공격 유형이다.
① Teardrop
② Land attack
③ Syn Flooding
④ Smurf attack

11회 39. 어떤 프로토콜에 대한 DoS 공격인가?1
[보기]
- "목적지 도달 불가(Destination Unreachable)' 메시지가 일부 방화벽에서 상당히 많은 리소스를 소비한다는 사실을 이용한다.
- 이 DOS 기술은 방화벽을 트래픽으로 뒤덮어버리는 것이 아니라, CPU를 high load 시키기 때문에 효율적이다.
① ICMP
② HTTP
③ TCP
④ SMTP

11회 28. 다음 보기에서 설명하고 있는 공격에 대한 방식은?2
[보기]
ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할된다.
① Teardrop 공격
② Ping of Death 공격
③ UDP Traffic Flooding 공격
④ Tiny Fragmentation 공격

7회 29. DoS(Denial of Service) 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?2
① Ping of Death
② Smurf Attack
③ TearDrop Attack
④ Land Attack

9회 8회 34. 지문의 특성을 갖는 공격 방법은 무엇인가?2

[보기]
- 출발지의 IP를 위조하어 정상 요청(request)하면 공격 대상에 대량의 응답 값이 전달되는 것을 이용한 공격방법이다.
- 에이전트 설치의 어려움을 보완한 공격 기법으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용한 공격으로 정상적인 서바스를 제공 중인 서버 Agent로 활용 하는 공격기법이다.
-클라이언트의 특성상 외부 인터넷 서버 접속이 잦음으로 인하여 클라이언트의 보호는 사실상 불가능하다.

① Botnet
② DRDoS
③ APT
④ Sniffing

14회 13회 39. 보안 위협과 공격에 대한 설명 중 옳지 않은 것은?1
①분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS)은 DDoS의 발전된 공격 기술로서 공격자의 주소를 위장하는IP Spoofing 기법과 실제 공격을 수행하는 좀비와 같은 감염된 반사체 시스템을 통한 트래픽 증폭 기법을 이용한다.
②봇넷을 이용한 공격은 봇에 의해 감염된 다수의 컴퓨터가좀비와 같이 C&C 서버를 통해 전송되는 못 마스터의 명령에 의해공격이 이루어지므로 공격자 즉 공격의 진원지를 추적하는데 어려움이 있다.
③Smurf 공격은 ICMP Flooding 기법을 이용한 DoS 공격으로 Broadcast address 주소의 동작특성과 IP Spoofing 기법을 악용하고 있다.
④XSS(Cross-Site Scripting) 공격은 공격 대상 사용자가이용하는 컴퓨터 시스템의 브라우저 등에서 악성코드가 수행되도록 조작하여사용자의 쿠키 정보를 탈취, 세션 하이재킹과 같은 후속 공격을 가능하게 한다.

8회 36. DDoS 긴급 대응 절차 순서를 올바르게 나열한 것은?3

[보기]
가. 모니터링
나. 상세분석
다. 공격탐지
라. 초동조치
마. 차단조치
① 라, 다, 가, 나, 마
② 라, 가, 마, 다, 나
③ 가, 다, 라, 나, 마
④ 가, 다 나, 라, 마

9회 28. 다음 지문이 설명하는 것은?1
[보기]
트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구이다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.

① Stacheldraht
② Targa
③ Bonk
④ Boink

7회 TCP 연결 2HS 중 3-way handshake으1 Half Open 연결 시도의 취약점을 이용한 공격은?2
① Land 공격
② SYN Flooding 공격
③ Smurf 공격
④ Trinoo 공격

13회 38. 다음 지문의 방법들이 탐지하려는 공격은?2
[보기]
- 비동기화 상태 탐지
- Ack Storm SATI
- 패킷의 유실과 재전송 증가 탐지
- 예상치 못한 접속의 리셋
① MITM 공격
② TCP 세션 하이재킹
③ 스푸핑 공격
④ 스머프 공격.

10회 다음중 UDP flooding 공격 과정에서 지정된 UDP 포트가 나타내는 서비스가 존재하지 않을 때 발생되는 패킷은 무엇인가?1
① ICMP Unreachable
② UDP Unreachble
③ ICMP Drop
④ UDP Drop

9회 Session Hijacking에 대한 설명으로 올바르지 않은 것은?3
① 세션을 Brute-Force guessing을 통해 도용하거나 가로채어 자신이 원하는 데이터를 보낼 수 있는 공격 방법이다.
② 이미 인증을 받아 세션을 생성, 유지하고 있는 연결을 빼앗는 공격을 총칭한다.
③ 데이터 처리율을 감소시키고 서버가 정상 상태로 회복될때까지 대기 상태에 빠지게 한다.
④ TCP의 세션을 끊고 순서번호(Sequence Number)를 새로 생성하여 세션을 빼앗고 인증을 회피한다.

7회 다음 중 UDP flooding 공격의 대응 방안으로 옳지 않은 것은1
① 다른 네트워크로부터 자신의 네트워크로 들어오는 IP Broadcast 패킷을 받도록 설정한다
② 사용하지 않는 UDP 서비스를 중지한다.
③ 방화벽 등을 이용하여 패킷을 필터링한다.
④ 리눅스 시스템인 경우 chargen 또는 echo 서비스를 중지한다.

7회 27. 다음은 어떠한 형태의 공격에 대한 대비 또는 대응방법인가?3
보기
1. 시스템의 백로그 큐 크기를 늘려준다.
2. 리눅스 계령의 경우 syncookies 기능을 이용하고 Window 계령의 경우 레지스트리를 변경한다.
3. 라우터에서는 방어 솔루션인 tcp intercept를 설정한다.
① Land Attack
② Smurf Attack
③ Syn Flooding Attack
④ Ping of Death Attack

14회 DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?1
①Syn Flooding
②GET Flooding
③Teardrop
④Syn Cookie

14회 13회 공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법은? 2
①파밍
②워터링 홀
③스피어 피싱
④DNS 스푸핑

10회 다음 지문에서 설명하고 있는 공격은?3
[보기]
변조된 MAC 주소를 지속적으로 네트워크에 홀림으로써 스위칭허브의 주소 테이블을 오버플로우시켜 더미 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.
① ICMP Redirect
② ARP Redirect
③ Switch Jamming
④ ARP Spoofing

3. 다음 중 ing을 이용한 공격으로 ICMP_ECH0_REQUEST를 보내면 서버에서 다시 클라이언트로 ICMP_ECHO_REPLY를 보낸다. 이때, 출발지 주소를 속여서(공격하고자 하는) 네트워크 브로드캐스팅 주소로 ICMP_ECHO_RE_QUEST를 전달할 경우 많은 트래픽을 유발시켜 공격하는 기술은? 4
① 세션 하이젝킹 공격
② 브로드캐스팅 공격
③ Tear Drop 공격
④ Smurf 공격


13회 9회 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법은?2

① 피싱
② 파밍
③ 스미싱
④ 봇넷

7회 다음 지문이 설명하고 있는 것은?2

보기
C&C라는 중앙집중형 명령/제어 방식에서 탈피하여 웹 프로토콜인 HTTP를 기반으로 하거나 모든 좀바들이 C&C가 될 수 있는 분산형 명령/제어 방식으로 진화하고 있다.

① Trojan Horse
② Botnet
③Backdoor
④ Worm


9회 최근 APT공격이 지속적으로 발생하고 있다. 다음 사례에서 공통된 내용은 무엇인가?4

[보기]
- 2009년 7.7 디도스
- 2011년 3.4 디도스
- 2013년 3.20 사이버테러

① DBMS 파괴
② Ddos 공격
③ 홈페이지 변조
④ 마스터부트레코더(MBR) 파괴

5회 10. 다음 중 7.7 DDoS 공격과 3.20 DDoS 공격의 공통점은 무엇인가?3

① 대역폭 과부하
② 리소스 고갈
③ MBR 파괴
④ 금융 정보 유출

정보보안기사 필기 독학 / 네트워크 보안 / 4. 네트워크 스캐닝

네트워크 스캐닝 종류

nmap(Network Mapper), mscan, sscan, portscan, HakTek, porttest, dnscan, checkos 등

mscan : 네트워크 블록 전체를 스캐닝하여 최근에 알려진 보안 취약점을 한번에 스캐닝 합니다. 

sscan : 백오리피스 점검 외 취약한 CGI 프로그램들, bin/iquery 기능의 버퍼 오버플로우 점검이 가능하고, 자기복제 가능한 스크립트 모듈을 수행함으로서 취약점에 대한 공격을 시도합니다. 

namp의 스캔 기능

1) TCP SYN scan : SVN 패킷을 대상 포트로 발송,

SYN/ACK 패킷을 받으면 개방 상태, 받지 않으면 폐쇄 상태

2) TCP FIN scan : FIN 패킷을 대상 포트로 발송,

RST 패킷을 받지 않으면 개방 상태, 받으면 폐쇄 상태

3) TCP Xmas Tree scan : 대상 포트로 FIN, URG, PUSH 패킷을 전송

RST 패킷을 받지 않으면 개방 상태, 받으면 폐쇄 상태

4) TCP Null : 모든 플래그를 지움,

RST 패킷을 받지 않으면 개방 상태, 받으면 폐쇄 상태

5) TCP RPC scan : UNIX 시스템에 적합하고, RPC 포트와 관련된 프로그램 버전을 탐지하거나 확인하는데 유용함

6) UDP scan : 대상 포트로 UDP 패킷을 전송함

메시지가 오지 않으면 개방 상태, 'ICMP port unreachable' 메시지를 받으면 폐쇄상태

포트 스캐닝

UDP 패킷을 보내어 포트가 열려 있으면 아무런 응답이 없고, 인가되지 않는 포트 스캐닝은 하지 말아야 합니다. 또한 포트 정보를 수집함으로 인하여 취약점 서비스를 찾아냅니다. 

잘알려진 Port 번호

FTP - Data : 20

FTP - connection : 21

SSH : 22

Telent : 23

SMTP : 25

DNS : 53

HTTP : 80

POP3 : 110

echo : 7

BOOTPS : 67

BOOTPC : 68

TFTP : 69

SNMP : 161

관련 문제

5회 다음은 스캔 도구로 유명한 Nmap의 스캔 타입을 설명한 내용이다. 보기에서 설명하는 스캔 타입은 무엇인가? 2
[보기]
정상적인 3Way 핸드쉐이킹을 하지 않고 끊기 때문에 Half-Open 스캐닝이라고도 한다. 접속이 이루어 지지 않는 상태에서 접속을 끊었기 때문에 로그가 남지 않는 경우가 많다.
① -sX
② -sS
③ -sU
④ -sP

5회 다음 중 포트 스캐닝에 대한 설명으로 올바르지 못한 것은? 2
① UDP 패킷을 보내어 포트가 열려 있으면 아무런 응답이 없다.
② 포트가 열려 있지 않으면 아무런 응답이 없다.
③ 인가되지 않는 포트 스캐닝은 하지 말아야한다.
④ 포트 정보를 수집함으로 인하여 취약점 서비스를 찾아낸다.

4회 다음 스캐닝 방법 중에서 그 성격이 다른 하나는? 4
①FIN 스캐닝
②X-MAS 스캐닝
③NULL 스캐닝
④SYN 스캐닝

10회 스텔스 스캔의 종류에 해당되지 않은 것은? 1
① UDP 스캔
② XMAS 스캔
③ TCP Fragmentation 스캔
④ ACK 스캔


11회 다음 지문이 설명하고 있는 것은? 2
[보기]
인터넷이나 다른 네트워크 메시지가 서버에 도착하였 을 때, 전달되어야 할 특정 프로세스(응용프로그램)를 인식(구분)하기 위하여 필요하다
① IP 주소
② 포트번호
③ LAN 주소
④ MAC 주소

11회 다음 중 제시된 Well Known Port 번호에 해당하는 프로토 콜을 순서대로 가장 적합하게 제시한 것은?2
[보기]
(가) 22번 포트 (나) 53번 포트 (다) 161번 포트
① (가) SSH (나) Gopher (다) NetBIOS
② (가) SSH (나) DNS (다) SNMP
③ (가) FTP (나) Gopher (다) SNMP
④ (가) FTP (나) DNS (다) NetBIOS

14회 다음 포트스캔 방법들 중 포트가 닫혀있을 때 동작이 다른 스캔방법은? 1
①SYN Scan
②Xmas Scan
③Null Scan
④FIN Scan

14회, 13회 포트 스캔 방식 중 TCP 플래그 값을 모두 off로 설정한 패킷을 이용한 스캔 기법은? 3
①SYN Scan
②Xmas Scan
③Null Scan
④FIN Scan

13회 다음은 PORT 스캔 공격에 관한 설명이다. 설명 중 맞는 것을 드 두 고른 것은?3
[보기]
가. PORT 스캔은 공격대상 시스템의 포트가 열려있는지 확인하는 일종의 공격이다.
나. Stealth 스캔의 대표적인 경우로 TCP Half-Open 스캔이 있다.
다. Null 스캔은 포트가 열려 있을 경우에는 응답이 없고, 닫혀있을 경우에만 RST/ACK 패킷이 되돌아 온다.
라. UDP Open 스캔은 포트가 열려 있을 경우에는 아무런 응답이 없고, 포트가 닫혀있을 경우에는 ICMP Unreachable 패킷을 받게 된다.

① 가, 나
② 가, 나, 다.
③ 가, 나, 라
④ 가, 나, 다, 라

10회 다음 설명 중 옳지 않은 것은?2
① 인터넷에 연결된 2대의 컴퓨터에서 동작하는 응용들 간의 연결을 유일하게 식별하기 위한 출발지/목적지 IP주소, 출발지/목적지 포트번호, TCP 또는 UDP등과 같은 프로토콜 종류 등의 정보가 이용된다.
② 프트 번호 중 0번 - 1023번은 잘 알려진 포트(well-known port)로 불리며 이포트 번호들은 클라이언트 기능을 수행하는 응용쪽에 배정된다.
③ 포트 번호의 범위는 0번에서 65535번이며 이 포트번호는 TCP와 UDP 프로토콜에 각각 부여된다.
④ 자주 이용되는 서비스에 대한 포트 번호로는 SSH(22번), SMIP(25번), FIP(20, 21번), DNS(53번) 등이 있다.

6회 다음 중 포트와 서비스가 올바르게 연결된 것이 아닌 것은? 2 
① WEB - 80 ② IMAP - 110 
③ SSH - 22 ④ TELNET - 23 


8회 다음 중 프로토콜과 포트번호의 연결이 옳지 않은 것은 무엇인가?4 
① HTTP - 80 
② SMTP - 25 
③ DNS - 53 
④ TELNET - 20 

정보보안기사 필기 독학 / 네트워크 보안 / 3. 네트워크 장비

보안 도구

- 취약점 점검도구 : SATAN, SAINT, COPS, Nessus, Nmap, ISS, SARA, NIKTO2
- 침입 탐지 도구 : Snort(네트워크 트래픽을 감시하고 분석하기 위한 도구)
- 무결성 검증 도구 : tripwire, fcheck, md5
- 침입 차단 도구 iptables : 리눅스 커널에 있는 netfilter(패킷 필터링) 기능을 관리하기 윈한 rule 기반 패킷 필터링 기능을 제공하는 툴

침입 차단 시스템, iptable

리눅스 시스템의 커널에 내장된 툴로서 rule 기반의 패킷 필터링 기능, connection tracking 기능 등 다양한 기능을 제공합니다.

<chain>

어떠한 네트워크 트래픽(IP 패킷)에 대하여 정해진 규칙들을 수행합니다.
=> INPUT : 호스트 컴퓨터를 향한 모든 패킷
=> OUTPUT : 호스트 컴퓨터에서 발생하는 모든 패킷
=> FORWARD : 호스트 컴퓨터가 목적지가 아닌 모든 패킷, 즉 라우터로 사용되는 호스트 컴퓨터를 통과하는 패킷

<match> 

tables에서 패킷을 처리할때 만족해야 하는 조건을 가리킨다. 즉, 이 조건을 만족시키는 패킷들만 규칙을 적용합니다.
--source (-s) : 출발지 IP주소나 네트워크와의 매칭
--destination (-d) : 목적지 ip주소나 네트워크와의 매칭
--protocol (-p) : 특정 프로토콜과의 매칭
--in-interface (i) : 입력 인테페이스
--out-interface (-o) : 출력 인터페이스
--state : 연결 상태와의 매칭
--string : 애플리케이션 계층 데이터 바이트 순서와의 매칭
--comment : 커널 메모리 내의 규칙과 연계되는 최대 256바이트 주석
--syn (-y) : SYN 패킷을 허용하지 않음
--fragment (-f) : 두 번째 이후의 조각에 대해서 규칙을 명시
--table (-t) : 처리될 테이블
--jump (-j) : 규칙에 맞는 패킷을 어떻게 처리할 것인가를 명시
--match (-m) : 특정 모듈과의 매치

<target>

iptables는 패킷이 규칙과 일치할 때 동작을 취하는 타겟을 지원합니다.
=> ACCEPT : 패킷을 받아들인다.
=> DROP : 패킷을 버린다(패킷이 전송된 적이 없던 것처럼).
=> REJECT : 패킷을 버리고 이와 동시에 적절한 응답 패킷을 전송
=> LOG : 패킷을 syslog에 기록한다.
=> RETURN : 호출 체인 내에서 패킷 처리를 계속 진행

<연결 추적(Connection Tracking)>

내부 네트워크 상 서비스 연결 상태에 따라서 그 연결을 감시하고 제한할 수 있게 해준다.
=> NEW : 새로운 연결을 요청하는 패킷, 예, HTTP 요청
=> ESTABLISHED : 기존 연결의 일부인 패킷
=> RELATED : 기존 연결에 속하지만 새로운 연결을 요청하는 패킷, 예를 들면 접속 포트가 20인 수동 FTP의 경우 전송 포트는 사용되지 않은 1024 이상의 어느 포트라도 사용 가능하다.
=> INVALID : 연결 추적표에서 어디 연결에도 속하지 않은 패킷

<명령어 옵션> 
=> -A (--append) : 새로운 규칙을 추가한다.
=> -D (--delete) : 규칙을 삭제한다.
=> -C (--check) : 패킷을 테스트한다.
=> -R (--replace) : 새로운 규칙으로 교체한다.
=> -I (--insert) : 새로운 규칙을 삽입한다.
=> -L (--list) : 규칙을 출력한다.
=> -F (--flush) : chain으로부터 규칙을 모두 삭제한다.
=> -Z (--zero) : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만든다.
=> -N (--new) : 새로운 chain을 만든다.
=> -X (--delete-chain) : chain을 삭제한다.
=> -P (--policy) : 기본정책을 변경한다.

침입 차단 시스템, Firewall

내부 네트워크와 외부 네트워크 사이에 위치하여 외부에서의 침입을 1차로 방어해 주며 불법 사용자의 침입차단을 한 정책과 이를 지원하는 소프트웨어 및 하드웨어를 제공합니다. 

- 응용레벨 게이트웨이(Application level Gateway) : 개별 프락시 서비스 사용 
- 회로레벨 게이트웨이(Circuit level gateway) : 종단 간 TCP 연결을 허용하지 않고 두 개의 TCP 연결을 설정
- 상태검사 패킷 필터(State inspection packet filter) : 패킷 필터링 기능 + 상태 테이블에 기반을 둔 애플리케이션 접근 제어 수행

- 스크리닝 라우터 : IP, TCP, 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 perm/drop하는 라우터 
- 배스천 호스트(Bastion) : 내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치한다. 
- 이중 홈 게이트웨이(Dual-homed Gateway) : 2개의 네트워크 인터페이스를 가진 배스천 호스트
- 스크린된 호스트 게이트웨이(Screened Host Gateway) : 패킷 필터링 호스트와 배스천 호스트로 구성됨
- 스크린된 서브넷 게이트웨이(Screened Subnet Gateway) : 스크린드 호스트의 보안상 문제점을 보완한 모델, 외부 네트워크와 내부 네트워크 사이에 DMZ라는 네트워크 완충 지역인 서브넷을 운영하는 방식'

침입 탐지 시스템 IDS

- 실행 4단계 : 데이터 수집 -> 데이터 가공 및 축약 -> 침입 분석 및 탐지 -> 보고 및 대응
- 긍정오류(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단 
- 부정오류 (False Negative) : 비정상적인 접근을 정상접근이라고 잘못 판단
- Knowledge-based Intrusion Detection (Misuse Detection) : 이미 알고있는 지식을 바탕으로한 탐지
(전문가 시스템, 상태전이 모델, 패턴 매칭)
- ehavior-based Intrusion Detection(Anomaly Detection) : 정상적인 행위와 비교하여 비정상적인 행위를 탐지
(통계적 분석, 예측 가능한 패턴 생성, 신경망 모델)
- 네트워크 기반 IDS : IDS 장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽을 분석
- 호스트 기반 IDS : 특정 호스트 시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
- 다중 호스트 기반 IDS : 여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지

관련 문제

*9회 ㉠,㉡에 해당하는 보안도구로 적절한 것은? 1
[보기]
㉠ SATAN, SAINT, COPS, Nessus, Nmap 등의 보안도구들을 통칭하는 용어
㉡ 유닉스에서 실시간 트래픽 분석과 IP 네트워크상에서 패킷로깅이 가능한 대표적인 네트워크 침입탐지 시스템
① ㉠ 취약점 점검도구 ㉡ Snort
② ㉠ 도칭 도구 ㉡ SNMP
③ ㉠ 침입 탐지 도구 ㉡ SNMP
④ ㉠ 무결성 검증 도구 ㉡ Snort

11회 취약점 점검용으로 사용되는 도구가 아닌것은?3
① SATAN
② Nessus
③ Snort
④ ISS

10회 7회 5회 다음 중 취약점 점검과 가장 거리가 먼 보안 도구는? 4
① SATAN
② COPS
③ Nmap
④ Tripwire

6회 다음 중 무결성 점검 도구로 그 성격이 다른 것은? 4
① tripwire
② fcheck
③ md5
④ nessus

5회 다음의 취약성 점검 도구 중 NESSUS 도구로 탐지할 수 없는 것은?2
① 사용할 때만 열리는 닫힌 포트
② 쿠키값
③ 운영 체제 종류
④ 웹 서버 취약점

4회 다음 중 취약성 점검도구가 아닌 것은 무엇인가? 4
①NESSUS
②SARA
③NIKTO2
④TRIPWIRE

8회 다음 중 무결성 점검을 위해 사용하는 프로그램은? 1
① tripwire
② tcpdump
③ hunt
④ dsniff


7회 리눅스 시스템의 커널에 내장된 툴로서 rule 기반의 패킷 필터링 기능, connection tracking 기능 등 다양한 기능을 제공하는 것은? 3
① TCP - Wrapper
② netcat
③ iptables
④ xinetd

6회 다음 리눅스 iptables에서 chain 형식으로 사용이 옳지 않은 것은? 4
①INPUT
②FORWARD
③OUTPUT
④DROP

9회 7회 5. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가? 3
① DROP
② DENY
③ REJECT
④ RETURN

5회 다음 시나리오의 빈칸 (가)에 알맞은 명령어는?3
[보기]
중국발 해킹을 통하여 웹 서버를 공격하고 있다는 사실을 알았다. 찾아낸 IP는 10.10.1.1 ~ 10.10.1.255, 10.10.2.3, 10.10.3.5와 같으며 접근 통제 정책을 통하여 위의 IP에 대하여 web 접속을 거부하라. 단, 10.10.1.11 IP는 web 접속을 허락하여야 한다.
/sbin/iptables -A INPUT -s 10.10.1.33 -p tcp -dporl 80 -j ACCEPT
/sbin/iptables -A INPUT -s 10.10.1.1/10.10.1.255 -p tcp -dport 80 -j DROP
(가) |
/sbin/iptables -A INPUT -s 10.10.3.5 -p tcp j -dport 80 -j DROP
① /sbin/iptables -A INPUT -s 10.10.2.1 -p tcp -dport 80 -j DROP
② /sbin/iptables -A INPUT -s 10.10.2.2 -p tcp -dport 80 -j ACCEPT
③ /sbin/iptables -A INPUT -s 10.10.2.3 -p tcp -dport 80 -j DROP
④ /sbin/iptables -A INPUT -s 10.10.3.5 -p tcp -dport 80 -j ACCEPT

4회 다음 보기를 보고 올바르게 설명하고 있는 것을 고르시오. 1
# iptables -A INPUT -s 172.10.10.10 -p tcp -j drop
①외부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.
②내부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
③외부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
④내부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.

4회 리눅스 시스템의 기본 방화벽인 iptables에서 현재 정책을 별도 파일로 저장하고자 한다. 아래 명령어 중 옳은 것을 고르시오. 3

①iptables -config > etc/iptables.conf

②iptables -store > etc/iptables.conf

③iptables -save > etc/iptables.conf

④iptables -restore> etc/iptables.conf

11회 다음 지문에서 설명하고 있는 침입차단시스템은?4
[보기]
외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 의 한 구조이다. 비무장 지대(DMZ)라고 불리는 경계 네트워크에는 서비스를 위해 외부에서 접속이 많은 시스템을 구성하고 보호할 정보가 많은 시스템은 내부 네트워크 안에 구성한다.
① 스크리닝 라우터(Screening Router)
② 스크린된 호스트 게이트웨이(Screened Host Gateway)
③ 이중 홈 게이트웨이(Dual-homed Gateway)
④ 스크린된 서브넷 게이트웨이(Screened Subnet Gateway)

8회 다음의 공격 방법을 방어하기 위한 침입차단시스템 유형으로 가장 적절한 것은?4
[보기]
침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.
① 응용레벨 게이트웨이(Application level Gateway)
② 회로레벨 게이트웨이(Circuit level gateway)
③ 패킷 필터링 라우터(Packet giltering router)
④ 상태검사 패킷 필터(State inspection packet filter)

7회 침입차단시스템(Firewall)을 지나는 패킷에 대해 출발지와 목적지의 IP 주소 및 포트 번호를 특정주소 및 포트로 매핑 (Mapping》하는 기능을 무엇이라 하는가?3
① Gateway
② Packet Filtering
③ NAT(Network Address Translation)
④ NAU(Network Address Unit)

7회 침입차단시스템(Firewall)을 통과하는 모든 패킷을 침입차단시 스템에서 정의한 보안 정책에 따라 패킷의 통과 여부를 결정 하는 역할을 수행하는 기법은?1
① Packet Filtering
② NAT(Network AddressTranslation)
③ Proxy
④ Logging

11회 내부 네트워크와 외부 네트워크 사이에 위치하여 외부에서의 침입을 1차로 방어해 주며 불법 사용자의 침입차단을 한 정책과 이를 지원하는 소프트웨어 및 하드웨어를 제공하는 것은? 2
① IDS(Intrusion Detection System)
② Firewall
③ Bridge
④ Gateway

14회 아래와 같은 방화벽 정책이 적용되어 있을 때, 다음 보기 중 옳지 않은 것은? 2
A: 15.10.12.0/24 -> 168.30.22.0/24 거부
B: 192.20.0.0/16 -> 168.15.0.0/16 허용
C: any -> any 거부
①출발지 15.10.12.2로 부터 도착지 168.30.22.11로 가는 패킷은 A 정책에 의해 거부된다.
②출발지 15.10.22.2로 부터 도착지 168.15.0.4로 가는 패킷은 B 정책에 의해 허용된다.
③출발지 192.20.5.11로 부터 도착이 162.15.43.7로 가는 패킷은 B 정책에 의해 허용된다.
④A, B 정책에 포함되지 않는 다른 모든 전송은 C 정책에 의해 차단된다.

11회 다음 중 방화벽의 기능이 아닌 것은?4
① 접근제어
② 인증
③ 로깅 및 감사추적
④ 침입자의 역추적

8회 전통적인 응용 게이트웨이 방식의 방화벽에 대한 설명 중 옳지 않은 것은?2
① 외부 네트워크에 연결된 컴퓨터는 내부 네트워크에 연결된 컴퓨터에 직접 연결되지 않고 프락시를 통해서만 연결된다.
② 외부 네트워크와 내부 네트워크 간에 전달되는 모든 데이터는 하나의 프락시를 통해 처리된다.
③ 프락시를 통해 2개의 서로 다른 연결이 설정되므로 외부 네트워크에 연결된 사용자들에게 내부 네트워크 정보를 숨기는 효과가 있다.
④ 응용 계층에서 처리하는 데이터에 대한 점검 기능을 수행하므로 패킷 필터링 수준의 방화벽보다 우수한 보안 서비스를 제공한다.

7회 다음 설명에 적합한 방화벽의 구축 형태는? 2
보기
외부 네트워크와 내부 네트워크의 완충지대를 두는 방식으로서 이 완충지대의 앞뒤에 방화벽을 위치시키고, 완충지대에는 메일 서버나 웹서버 등을 설치하는 것이 일반적이다.
① Screened Host
② Screened Subnet
③ Dual Homed Host
④ Bastion Host



13회 10회 7회 다음 지문에서 설명하고 있는 침입탐지 기술이 무엇인지 고 르시오.4
[보기]
- 공격자의 동작에 관한 정보를 수집한다.
- 공격자가 시스템에 충분히 오랜 시간 동안 머무르기를 유도함으로써 관리자가 반응할 수 있도록 한다.
① IDS(Instrusion Detection System)
② IPS(Instrusion Prevention System)
③ UTM(Unified Threat Management)
④ Honeypot

10회 다음 중 침입탐지시스템(IDS)의 동작 단계에 해당하지 않은 것은?2
① 데이터 수집 단계
② 트래픽 분산 및 로드 밸런싱 단계
③ 데이터 가공 및 축약 단계
④ 분석 및 침입 탐지 단계


13회 8회 다음 중 전문가 시스템(Expert System)을 이용한 IDS에서 사용 되는 침입 탐지기법은?3
① Behavior Detection
② State Transition Detection
③ Knowledge Based Detection
④ Statistical Detection

13회 10회 IDS의 동작 순서를 바르게 나열한 것은?2
[보기]
가. 데이터 가공 및 축약
나.데이터 수집
다.분석 및 침입탐지 단계
라. 보고 및 대응(Reporting and Response)
① 가 - 나 - 다 - 라
② 나 - 가 - 다 - 라
③ 나 - 다 - 가 - 라
④ 나 - 다 - 라 - 가

11회 다음지문에서 설명하는 침입 탐지 관련 판정은?4
[보기]
공격자가 실제로 시스템에 침입하였으나 침입탐지 시스템은 이를 정상적인
동작으로 인식하여 침입을 제대로 탐지 못한 경우의 판정
① True Positive
② False Positive
③ True Negative
④ False Negative

11회 지식기반 침입탐지이 아닌 것은?1
① 통계적 분석(Statistical Analysis)
② 시그너처 분석(Signature Analysis)
③ 페트리넷(Petri-net)
④ 상태전이분석(State Transition Analysis)

8회 2다음 지문에서 설명하는 것은?1
[보기]
침입탐지시스템은 Telnet 접속 시 사용되는 계정이나, 메일의 첨부파일의 형태, 웹서버에 전송되는 패킷의 내용 등에서 미리 정의된 공격자 패턴과 일치하는지의 여부에 따라 침입여부를 결정하는 이 탐지방법을 사용하고 있다.

① Signatur-based detection
② Anomaly-based detection
③ Network Behavior detection
④ Stateful Protocol detection

7회 다음과 같은 기능을 수행하는 보안도구는 무엇인가?2
보기
- 사용자, 시스템 행동의 모니터링 및 분석
- 시스템 설정 및 취약점에 대한 감사기록
- 알려진 공격에 대한 행위 패턴 인식
- 비정상적 행위 패턴에 대한 통계적 분석
① 침입차단시스템
② 침입탐지시스템
③ 가상사설망(VPN)
④ 공개키기반구조(PKI)

7회 다음 중 침입탐지시스템의 특징으로 보기 어려운 것은?3
① 외부로부터의 공격뿐만 아니라 내부자에 의한 해킹도 방어할 수 있다.
② 접속하는 IP 주소에 상관없이 침입을 탐지할 수 있다.
③ 피캣의 유형에 따라 통과가 허용 또는 거부되는 패킷 필터링 기능을 제공한다.
④ 침입 판단에 약간의 오류 가능성이 존재한다.

7회 침입차단시스템(Firewall)과 침입탐지시스템(DS)의 설명으로 부적합한 것은?2
① Firewall의 종류에는 스크리닝 리우터 (Screening Router), 배스천 호스트(Bastion Host), 프락시 서버 게 이트웨이(Proxy Server Gateway), Dual-Homed 게이 트웨이 등이 있다.
② Firewall을 다중으로 사용 시，내부 인가자의 시스템 호스트에 대한 접근통제가 기능하다,
⑤ 오용탐지 正役는 알려진 공격에 대한 Signature의 유지를 통해서만 팀지가 기능하다.
④ IDS에서 공격인데도 공격이라고 판단하지 않는 경우를 False Negative라고 한다.

11회 다음에서 호스트기반 침입탐지시스템(HIDS : host-based IDS)에 의해서 처리되는 이상행위의 유형이 아닌 것은?1
① 프로토콜 이상행위(Protocol Anomaly)
② 버퍼오버플로우 취약점 공격(Buffer Overflow Exploits)
③ 권한 확대 취약점 공격(Privilege-escalation Exploits)
④ 디렉터리 검색(Directory Traversal)

13회 10회 오용탐지 방법으로 적당하지 않은 것은?4
① 시그니처 분석
② 페트리넷(Petri-net)
③ 상태전이 분석
④ 데이터마이닝

10회 침입방지시스템(IPS)의 출현 배경으로 옳지 않은 것은?4

① 인가된 사용자가 시스템의 악의적인 행위에 대한 차단, 우호경로를 통한 접근대응이 어려운 점이 방화벽의 한계로 존재한다.
② 침입탐지시스템의 탐지 이후 방화벽 연동에 의한 차단 외에 적절한 차단 대책이 없다.
③ 악성코드의 확산 및 취약점 공격에 대한 대응 능력이 필요하다.
④ 침입탐지시스템과 달리 정상 네트워크 접속 요구에 대한 공격패턴으로 오탐 가능성이 없다.



8회 해킹기법과 그 대응책에 대한 설명으로 옳지 않은 것은?3

① Buffer Overflow 공격: 프로그램밍 시 경곗값 검사를 적용하고 최신 운영체제로 패치
② Format String Bug 공격: 데이터 형태(포맷 스트링)에 대한 명확한 정의
③ Denail of Service 공격: MAC 주소값을 고정으로 설정
④ SYN Flooding 공격: SYN Received의 대기시간을 축소

8회 백도어를 사용하여 접근하는 경우 정상적인 인증을 거치지 않고 관리자의 권한을 얻을 수 있다. 이에 대한 대응책으로 옳지 않은 것은?4
① 주기적으로 파일의 해쉬값을 생성하여 무결성 검사를 수행한다.
② 불필요한 서비스 포트가 열려있는지 확인한다.
③ 윈도우의 작업관리자나 리눅스 시스템의 ps 명령어를 통해 비정상적인 프로세스가 있는지 확인한다.
④ promiscuous로 변경되어 있는지를 주기적으로 검사한다.

8회  리눅스 서버에서 외부의 모든 Ping of Death 공격을 방어하기 위하여 리눅스의 기본 커널 옵션을 조정하려고 한다. 적절한 명령어는?2

① sysctl -w net.ipv4.icmp_echo_ignore_all=0
② sysctl -w net.ipv4.icmp_echo_ignore_all=1
③ sysctl -n net.ipv4.icmp_echo_ignore_broadcasts=1
④ sysctl -n net.ipv4.icmp_echo_ignore_broadcasts=0

13회 어떤 공격을 방지하기 위한 것인가?2
[보기]
Data Execution Prevention(DEP), NX(No Execute)
① XSS 공격
② 힙 스프레이 공격
③ CSRF 공격
④ SQL 인젝션 공격

11회 다음 중 악성코드의 치료 방법이 다른 것은?4
① 바이러스
② 웜
③ 트로이목마
④ 스파이웨어

8회 개인 PC 보안에 관한 점검 사항으로 적절하지 않은 것은?4
① 디렉터리(데이터 공유), 패스워드 미설치 점검
② 바이러스 백신을 활용한 바이러스 웜 점검
③ 화면 보호기 암호 설정
④ 라우팅 테이블 점검

7회 서버관리자를 위한 보안 지침 중 옳지 않은 것은?3
① 관리자 그룹 사용자의 계정을 최소화한다.
② 정기적으로 파일과 디렉터리의 퍼미션을 점검한다.
③ 관리자로 작업한 후에는 반드시 패스워드를 변경한다.
④ 웹 서버에서 생성되는 프로세스는 관리자 권한으로 실행되지 않도록 한다.


5회 다음의 일반적인 보안 원칙 중〈보기〉에 알맞은 것은?4
[보기]
사용자나 관리자에게 작업을 수행하는데 필요한 권한을 최소화하는 원칙
① 소프트웨어 최신 유지
② 중요 서비스에 대한 액세스 제한
③ 시스템 작업 모니터링
④ 최소 권한 원칙 준수

10회 인터넷 브라우저 공격에 대한 대응방법으로 옳지 않은 것은?1
① Active X는 "사용함"으로 설정한다.
② 백신프로그램을 설치하여 사용한다.
③ 신뢰할 수 없는 사이트의 접속을 피한다.
④ 브라우저에 최신 버전의 보안패치를 설치한다.


11회 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?3
[보기]
-동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행한다.
- 온라인 뱅킹, 전자상거래, 온라인 게임, 기업 네트워크 등에 서 사용한다.
- 하드웨어적 또는 소프트웨어적으로 구현 가능하다.
① 스마트토큰
② OTP(One-Time Pad)
③ OTP(One-Time Password)
④ 보안카드

5회 다음 중 비밀번호 앞 또는 뒤에 문자열을 추가하여 동일 비밀번호에 대하여 동일 다이제스트를 생성하는 해시 함수의 문제점을 보완해 주는 기술은 무엇인가?2

① 0TP
② 솔트
③ HMAC
④ 스트레칭

정보보안기사 필기 독학 / 네트워크 보안 / 2. 네트워크 장비

스위치

최대 포트가 300개 이상이며, 단일 네트워크 구간에서 사용된다. 스위칭 환경에서 스니핑을 하기 위한 공격에는 ARP Broadcast, ARP Jamming, Switch Jamming 등이 있습니다.

교환 방식에는 Cut-Through, Store-and-Forward, Fragment Free 등이 있습니다. Cut-Through는 입력 프레임의 목적지 MAC 주소만을 확인한 후 해당 포트로 프레임을 전송하는 방식이고, Store-and-Forward 방식은 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식입니다. Fragment Free는 프레임의 처음 64바이트를 검사하고, 헤더의 체크섬 에러를 검사한 후 프레임을 전송합니다.

NAC(Network Access Control)

end point에 설치되어 다양한 보안 기능을 통합적 으로 수행하는 보안 시스템을 지칭합니다.

Egress Filtering

라우터(Router)를 이용한 네트워크 보안 설정 방법 중에서 내부 네트워크에서 외부 네트어크로 나가는 패킷의 소스 IP나 목적지 포트 등을 체크하여 적용하거나 거부하도록 필터링 과정입니다.

라우팅

- 정적 라우팅 : 통신망 내의 중계 경로를 미리 정해 두고, 경로를 설정하는 방법입니다. 

- 동적 라우팅 : 라우팅 알고리즘을 통해 동적으로 경로를 설정합니다. 네트워크 환경 변화 정보를 능동적으로 분석하여 라우팅 테이블을 업데이트하고, 새로운 라우팅 업데이트 메시지를 주위에 알립니다. 

- 라우팅 프로토콜 : 

1) RIP, IGRP : 소규모 네트워크에 적합하고, 라우팅 테이블을 서로 교환합니다. 무한 루프에 빠질 수 있는 단점이 있습니다.

2) OSPF, IS-IS : 대규모 네트워크에 적합합니다. 라우팅 테이블을 교환하지 않고, Link State 데이터베이스가 동기화가 됩니다. 그 후 Link State가 스스로 라우팅 테이블을 구축하게 됩니다. 

3) EGP, BGP : AS 간 라우팅 테이블을 교환하기 위해 만들어진 프로토콜입니다. 

VLAN

브로트 캐스팅 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 논리적인 LAN입니다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 Port Mirroring 기능을 사용해야 합니다.

관련 문제

>>>>>>>[스위치 장비]
14회 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은? 1
①DNS Spoofing
②ARP Broadcast
③ARP Jamming
④Switch Jamming

14회 스위치 장비를 대상으로 행해지는 침해 행위가 아닌것은? 4
①ICMP Redirect
②Switch Jamming
③ARP Broadcast
④IP Spoofing

14회 13회 10회 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식은? 4
①Cut-through 방식
②Fragment-Free 방식
③Direct Switching 방식
④Store and Forward 방식

10회 스위칭 환경에서의 스니핑 공격 유형 중 공격자가 "나의 MAC 주소가 라우터의 MAC 주소이다" 라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격은? 3
① Switching Jamming
② ICMP Redirect
③ ARP Redirect
④ DNS Spoofing

9회 다음 중 스위치 환경에서의 스니핑 공격 유형이 아닌 것은?1
① ARP Injection
② Switch Jamming
③ ARP Redirect
④ ARP Spoofing

13회 10회 다음 중 end point에 설치되어 다양한 보안 기능을 통합적 으로 수행하는 보안 시스템을 지칭하는 것은? 2
① IPS
② NAC
③ Firewall
④ UTM

11회 NAC의 주요기능과 가장 거리가 먼 것은?4
① 접근제어/인증 : 네트워크의 모든 IP기반 장치 접근제어
② PC 및 네트워크 장치 통제 : 백신 및 패치 관리
③ 해킹/Worm/유해 트래픽 탐지 및 차단 : 해킹행위 차단 및 완벽한 증거수집 능력
④ 컴플라이언스 : 내부직원 역할기반 접근제어

8회 다음 지문이 설명하는 것은? 1
[보기]
- 엔드포인트(단말, 내부사용자) 보안 문제를 해결하기 위해 고려된 방식이다.
- 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크와 같은 핵심 기능이 존재한다.
① Network Access Control
② Network Management System
③ Enterprise Security Management
④ Unigied Threat Manager

9회 다옴 설명에 해당하는 시스템은? 1

[보기]
- 네트워크에 접근하는 접속 단말의 보안성을 검증하여 접속을 통제할 수 있는 보안 인프라이다.
- 사용 단말이 내부 네트워크에 접속하기 전에 보안 정책 준수여부를 검사해 네트워크 접속을 통제하는 보안 솔루션이다.
- 주요 가능으로는 접근제어/인증, PC 및 네트워크 장치 통제, 해킹, 웜, 유해 트래픽 탐지 및 차단 등이 있다
① NAC(Network Access Control)
③ ESM(Enterprise Security Management)
③ SIEM(Security Information Event Management)
④ APT(Advanced Persistent Threat)

14회 네트워크 접속 시 단말의 보안정책 준수 여부 등을 검사하여 접속 허용 여부 등을 관리하는 단말 보안 솔루션은? 1
①NAC
②DLP
③NAT
④WAF


14회 라우터(Router)를 이용한 네트워크 보안 설정 방법 중에서 내부 네트워크에서 외부 네트어크로 나가는 패킷의 소스 IP나 목적지 포트 등을 체크하여 적용하거나 거부하도록 필터링 과정을 수행하는 것은? 2
①TCP-Wrapper
②Egress Filtering
③Unicast RFP
④Packet Sniffing

10회 정적 라우팅에 대한 다음 설명 중 가장 부적절한 것은?3
① 관리자가 수동으로 테이블에 각 목적지에 대한 경로를 입력한다.
② 라우팅 경로가 고정되어 있는 네트워크에 적용하면 라우터의 직접적인 처리 부하가 감소한다.
③ 보안이 중요한 네트워크 인 경우 정적 라우팅을 선호하지 않는다.
④ 네트워크 환경 변화에 능동적인 대처가 어렵다.

8회 네트워크에 존재하는 많은 종류의 장비 중 리피터(Repeater)에 대한 설명으로 잘못된 것은? 4
① 물리계층에서 동작하는 장비이다.
② 감쇄되는 신호를 증폭하고 재생하여 전송한다.
③ 연속적으로 2개 이상의 케이블을 연결함으로써 케이블의 거리 제한을 극복한다.
④ 이더넷 멀티포트 리피터(Ethernet Multi-port Repeater) 또는 연결 집중 장치라고도 불린다.

7회 다음의 라우팅 프로토콜 중 AS 사이에 구동되는 라우팅 프 로토콜은 무엇인가? 3
① OSPP
② RIP
③ BGP
④ IGRP

14회 29. VLAN에 대한 설명이다. 순서대로 나열한 것은? 4
VLAN이란 ( ) 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 ( ) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 ( ) 기능을 사용해야한다.
①멀티캐스팅, 논리적인, Port Mirroring
②멀티캐스팅, 물리적인, Port Filtering
③브로드캐스팅, 물리적인, Port Filtering
④브로드캐스팅, 논리적인, Port Mirroring

7회 28. VLAN에 대한 설명이다. 순서대로 나열한 것은? 2
보기
VLAN 이란 (가) 트랙픽을 제한하여 불필요한 트래픽을 차단하기 위한 (나) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 (다) 기능을 사용해야 한다.
① (가) 멀티캐스팅, (나) 논리적인, (다) Port Mirroring
② (가) 브로드캐스팅, (나) 논리적인, (다) Port MIrroring
③ (가) 브로드캐스팅, (나) 물리적인, (다) Port Filtering
④ (가) 멀티캐스팅, (나) 물리적인, (다) Port filtering