정보보안기사 필기 요약
네트워크 보안
OSI 7계층
1. Physical(물리) :전기적,기계적 연결 정의(케이블,광섬유) // 케이블,리피터
2. Data Link (데이터링크) 물리주소 결정, 에러제어, 흐름제어 (PP2P,L2TP) // 브릿지,스위치
3. Network (네트워크) : 라우팅, 논리적 주소 연결(IP), 데이터 흐름 제어 (IP,ICMP,ARP,RIP,OSPF,BGP) // 라우터
4. Transport (전송) : 에러제어,데이터흐름제어,논리적 주소 연결,신뢰도/품질 보증(TCP.UDP)
5. Session(세션) : 가상연결,통신 방식(반이중,전이중,완전이중) 결정 (SSL)
6. Presentation (표현) : 포맷,압축,암호화,텍스트/그래픽 16진수 변화 (GIF,ASCII,EBCDIC)
7. Application (응용) : 사용자에게 서비스 제공 (FTP,SNMP,HTTP,Mail ...) // 게이트웨이
응용계층
HTTP (TCP:80 State-less)
전송방식
Get : 쿼리스트링(url) 데이터 전달
Post : Http body 데이터 전달,크기 제한 없음
OPtions : 응답 메시지 없이 전송
Put : 메시지 + 데이터요청 URL 포함
Delelte : URL 지정된 자원 삭제
Trace : 경로 기록
* HTTP Header - body 구분 /r/n/r/n
정보유지 방법
Cookie : 클라이언트에 정보 저장, Text, 최대 4kb
Session : 서버에 정보 저장,Object
SMTP(Simple Mail Transfer Protocol,25) : 전자우편 표준 프로토콜
Store-and-Forward 방식
MTA(Mail Transfer Agent), MDA(Mail Delivery Agent), MUA(Mail User Agent)
MDA// POP3(TCP 110): 수신 후 메일 삭제, IMAP(143) : 수신 후 메일 저장
FTP(File Transfer Protocol) : 파일전송 프로토콜
등록된 사용자만 파일전송 가능, 그 외는 익명으로 사용
ftpusers : FTP차단 유저
전송모드
Active Mode (TCP:21.20)
21번포트 : 접속
20번포트 : 데이터 전송
Passive Mode (TCP: 21, 1024~)
21번포트 : 접속
1024번 ~ 65535번 :데이터 전송
SNMP : 네트워크 장애,통계,상태 정보를 실시간으로 수집 및 분석하는 네트워크 관리 시스템
전송계층 : 송/수신자 논리적 연결,연결지향 서비스 제공
TCP
클라이언트-서버 연결지향
신뢰성 있는 데이터전송,에러제어(FEC,BEC),흐름제어(슬라이딩 윈도우),순서제어,혼잡제어(TCP Slow Start,Go-Back-N)
완전이중
netstat : TCP 상태정보 확인
UDP exVoIP
데이터 송수신 속도 빠름
비신뢰성
비접속형
인터넷 계층 : 송신자-수신자 IP주소 경로 결정,전송/패킷 전달에 대한 책임
* 패킷 + IP Header : Datagram
라우팅 : IP헤더에서 IP주소를 읽어 경로 결정
IP/TCP/IP
IPv4(128),IPv6(128)
주소화,데이터그램포맷,패킷 핸들링
MTU : 한번에 통과할 수 있는 패킷의 최대 크기 (ifconfig,ipconfig 확인가능)
IP : 네트워크주소 + 호스트주소
ICMP Ping
오류제어 프로토콜
질의 메시지 기능
ICMP메세지
3 Destination Unreachable (목적지 찾을 수 없음)
4 Source quench(패킷이 너무 빨라 네트워크 제어)
5 Redirection(패킷 라우팅 경로 수정,Smurf)
8|0 Echo request / reply (Host 존재 확인)
11 Time exceeded (시간경과,패킷 삭제)
12 Parameter problem (IP Header 잘못된 정보 있음)
13 | 14 Timestamp request | reply (비슷한 시간에 정보 추가)
ARP / RARP
ARP(Address Resolution Protocol)
IP주소를 MAC주소로 변경
ARPCache Table : MAC,IP 주소를 보유하고 있는 테이블
RARP (MAC 주소를 IP주소로 변경)
네트워크 접근 계층(데이터링크,물리) : IP주소 -> MAC 주소 변환,에러제어,흐름제어
CSMA/CD(Carrier Sense Multiple Access/ Collision Detection) : 유선 랜 메세지 송수신 방법
충돌을 감시하여 비어있는 채널을 재사용하게 만듬
CSMA/CA : 무선 랜 메세지 송수신 방법
수신자에게 간단한 전송을 유발하여 프레임을 전송하는 방법
네트워크 시반 공격 기술의 이해 및 대응
서비스 거부 공격 : 특정 서비스를 계속적으로 호출하여 컴퓨터 자원 고갈(CPU,Memory,Network)
로직 공격(IP Header 변조),플러딩 공격(무작위 패킷 공격)
DDoS(Distributed Denial of Service): 다수의 분산되어 있는 공격자 서버로 특정 시스템을 공격하는 방법
DDos (분산 서비스 공격)
1) TCP SYN Flooding : TCP SYN패킷을 이용하여 수많은 연결요청을 통해 일반 사용자의 가용성을 저해 시킴
2) ICMP Flodding (Smurf Attack): ICMP 패킷 이용 서비스 및 포트가 필요없음
3) Tear Drop : fragment 재조합 취약점 이용, offset 값을 조작하여 중첩 유발
4) Ping of Death : Ping을 이용하여 ICMP MTU이상의 패킷 크기 조정
5) Land Attack : 송신자 IP주소 - 수신자 IPㅈ소를 같게 설정 트래픽 유발
6) HTTP Get Flooding : 정상적 연결 이후 HTTP Get지속적으로 요청 -> 다량의 Request 호출
7) Cache Control Attack : Cache-Control Header 옵션을 사용하여 항상 새로우 페이지를 요청
8) Slow HTTP Get/Post Attack : Get(TCP/UDP) - 정상 IP 기반 공격, 소량의 트래픽/세선 연결
Post - Post지시자 사용, 대량데이터를 장시간에 걸쳐 분할 연결
9) Hash Dos : 해시테이블의 인덱스 정보가 중복되도록 유도 조회시 CPU자원 소모
(*HTTP Get, Post Request시 변수를 해쉬테이블 구조로 관리)
10) Hulk Dos : 공격대상 URL을 지속적으로 변경하여 DDos 차단정책 우회 Get Flooding 수행
포트스캐닝 : NMAP
1) TCP Open Scan : 3-Way-Handshaking을 이용하여 포트 확인,연결수립
(Open : SYN+ACK, Close:RST + ACK)
2) TCP Half Open Scan : SYN 패킷 전송 응답 정보로 포트 확인, 연결 X
(Open : SYN+ACK, Close:RST+ACK)
3) FIN Scan : FIN 패킷 전송 (Open : 응답 X, Close: RST)
4) UDP Scan : UDP패킷 전송(Open : 응답 X, Close: ICMP Unreachable), 신뢰성 낮음
5) X-MAS Scan : FIN,PSH,URG 패킷 전송 (Open: 응답 x, Close: RST)
6) NULL Scan : NULL패킷 전송(Open : 응답x ,Close : RST)
스니핑 공격(Sniffing Attack) 수동적 공격, Promiscuous 모드 사용, tcpdump 이용
Session Hijacking : 스니핑 공격을 이용하여 이미 인증을 받은 세션을 탈취하여 인증 우회
(Hunt,Arpsppof,IPWatcher,Ferret,Hemster,WireShark)
스푸핑 공격(Spoofing Attack)
TCP/IP구조 취약점을 이용하여 IP 변조 후 SynFlooding 인증우회
ARP Spoofing : 클라이언트 MAC주소를 탈취하여 서버 인증우회,연결이 끊어지지 않도록 Release 해야함
네트워크 대응 기술 및 응용
침입차단 시스템(Firewall) : 네트워크 경유 후 트래픽 모니터링,접근통제
- 인바운드 : 외부에서 내부로 들어오는 규칙
- 아웃바운드 : 내부에서 외부로 나가는 규칙
1) 패킷필터링(네트워크,전송계층) : IP주소,Port 번호등을 이용해 접속제어,유연성 높음
2) 애플리케이션 게이트웨이(응용계층) : Proxy Gateway,보안성우수,유연성 결여
3) 회선 게이트웨이 (응용-세션 계층) : Client측에 Proxy를 인식할 수 있는 수정된 프로그램,관리수월
4) 상태 시반 패킷 검사(전 계층): 세션 추적 가능,방화벽 표준 내부 대응 어려움
5) 심층 패킷 분석(DPI : Deep Packet Inspection) : 콘텐츠까지 모두 검사 상태기반 패킷 검사에서 발전
침입차단 시스템 구축 유형
스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 permit/drop
배스천 호스트 : 내부 네트워크 전면에서 내부 네트워크 전체를 보호,외부 인터넷과 내브 네트워크를 연결
듀얼 홈드 호스트 : 2개의 NIC로 외부 네트워크와 내부 네트워크를 연결, Proxy 기능
스크린드 호스트 : 패킷,패킷 인증 구성
스크린드 서브넷 : 외부네트워크와 내부네트워크 사이에 하나 이상의 경계 네트워크 생성
침입탐지 시스템
DB에 저장된 패턴정보를 바탕으로 시스템의 침입을 실시간으로 모니터링하는 보안 시스템
- 오용탐지 : 침입패턴 - 활동로그 비교, 오타율 낮음, 새로운 패턴 탐지 불가능
(패턴 비교, 전문가 시스템,유전 알고리즘)
- 이상탐지 : 정상패턴 - 활동로그 비교, 오탐율 높음,새로운 패턴 탐지 가능
(신경망,통계,특징 추출,머신러닝)
NIDS : 네트워크 패킷 검사 부가장비 필요
HIDS : 시스템상에 설치,시스템로그 검사(바이러스 윔)
Snort : 패킷탐지 침입탐지 시스템
Alert tcp any any -> any any |(msg: "massage"; sid : 10000000; content:"content"flag:SYN)
룰 헤더 // 룰옵션
<룰 헤더>
Action (alert,log,pass,dynamic)
Protocol(TCP,UDP,IP)
송신지,수신지(any,127.0.0.1)
Derection -> <>
<룰옵션>
Msg: log 내용
Sid : 고유 ID
Content : 검사할 콘텐츠 내용
Flag(SYN,FIN,PSH):패킷 검사
Nocase : 대소문자 구분 x
침입대응 시스템(lntrusuon Prevention System : IPS)
공격 시그니처를 찾아 비정상 패턴을 감시하고 차단(능동적)
허니팟 :의도적으로 취약한 사이트를 해킹에 노출시켜 해킹 기법,행동 분석
가상 사설망: 공중망을 이용하여 사설망을 가상으로 구축하는 방법(USB사용 인증)
1)SSL VPN: 웹브라우저(SSL)을 이용한 VPN 소프트웨어 설치 필요 없음(인증,무결성,기밀성,부인 봉쇄)
2)IPSEC VPN : 터널모드(전체암호화,새로운헤더 생성), 전송모드(End to End 보안)을 이용한 VPN
3)PPTP VPN: IP네트워크에 전송하기 위한 터널링 기법 (네트워크 계층)
4)L2TP VPN: PPTP 호환성 터널링 프로토콜(네트워크 계층)
NAC: 등록되지 않은 단말기 식별,차단,네트워크 무결성
1) 정책관리 서버: 정책설정,접근 로그관리
2) 차단 서버 : 단말기 통제, 단말기 정보 수집 분류, 트래픽 감지
3) 에이전트 : 사용자 단말기 설치, 무선인증 지원
4) 콘솔 : 웹기반 네트워크 보안정책 성정,감사,모니터링,대시보드 제공
ESM
기업의 정보보안 정책을 반영,보안시스템 통합한 보안관제 시스템
- 기업자산 및 자원관리
- 보안감사,상관성 분석
무선랜 보안기법
1)SDR : AP는 동일한 SSID를 가진 클라이언트만 접속 허용
2)WEP : IEEE 802.11b RC4 스트림암호화 알고리즘,40bit 키사용
3)WPA(Wi-Fi Protected Access): IEEE 802.1x/EAP.128bit 동적 암호화
4)WPA2 : IEEE802.11i, WPA+AES
'정보보안기사' 카테고리의 다른 글
| [정보보안기사 필기] 정보보안기사관리 및 법규 (0) | 2021.08.17 |
|---|---|
| [정보보호 일반] 정보보안기사 필기 (0) | 2021.08.13 |
| [애플리케이션 보안] 정보보안기사 필기 (0) | 2021.08.13 |
| [시스템 보안] 정보보안기사 필기 (0) | 2021.08.12 |