보안기사 필기 11회 오답

init 
- 리눅스에서 process ID(PID) 1번을 가지고 있는 프로세스 


취약점 점검용 도구 
- SATAN, SAINT, Nessus, Nmap, ISS, COPS, OOPS


트로이목마 특징 Trojan Horse 
- 백도어(back door)로 사용할 수 있음 
- 유용한 프로그램에 내장되어 배포될 수 있음 
- 정보유출이나 자료파괴 같은 피해를 입힐 수 있음 
- 자기복제 능력은 없음 
- 일반 프로그램에 악의적인 루틴을 추가하여 그 프로그램을 사용할 떄 본래의 기능 이외에 악의적인 기능까지 은밀히 수행하도록 하는 공격 
- 예를 들어 사용자 암호를 도출 하기 위해 합법적인 로그인(login) 프로그램으로 가장하고 정상적인 로그인 순서와 대화를 모방하여 작성될 수 있음. 


OTP 
- 동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행 
- 온라인뱅킹, 전자상거래, 온라인게임, 기업네트워크 등에서 사용 
- 하드웨어 또는 소프트웨어로 모두 구현 가능 


스파이웨어 치료 방법 
- 수많은 스파이웨어는 윈도우 컴퓨터를 감염시킬 때, 유일한 치료법은 사용자 데이터를 백업하고 운영 체제를 완전히 다시 설치하는 것이다. 


NTLM 
(NT Lan Manager) 
- 윈도우 시스템에서 사용자 계정과 패스워드 인증을 위해 서버나 도메인 컨트롤러를 증명하는 Challenge&Response 기반의 인증 프로토콜 
- 요청, 응답의 과정을 위해 사용자 암호를 요구 
- 이 후 서버는 클라이언트로부터 암호를 요구하지 않고 클라이언트를 식별할 수 있게됨 
- 만약 클라이언트가 시스템 계정으로 실행 중이라면 인증 정보를 보낼 수가 없기 떄문에 인증은 실패하게됨 


LSA(Local Security Authority) 
- 식별 
- 로컬 보안 정책과 사용자 인증을 담당하는 서브 시스템 
- 사용자 정보와 보안 권한에 관한 정보를 가진 토큰을 생성 
- 감사메시지를 생성하고 기록 


SAM 
(보안응용모듈, Secure Application Module, Secure Access Module) 
- 인증 
- 스마트 카드 보안 응용 모듈 

- 사용자 계정의 비밀번호를 관리한다. 
- 해시된 비밀번호는 한 번 더 암호화되어 저장된다. 
- 액티브 디렉터리(AD)의 원격 사용자 인증에 사용된다. 


SRM 
(Security Reference Monitor) 
- 인가 
- 사용자가 특정 객체에 액세스할 권리가 있는지, 해당 객체에 특정 행위를 할 수 있는지를 검사하는 기능 


Kerberos 
- Trust-Third-Party Scheme 인증 방식 
- 표준 프로토콜로 네트워크에서 클라이언트와 서버를 상호 인증하는 방식 
- 세가지 주 요소 : KDC(key distribution center), 클라이언트, 접근할 서비스를 가지는 서버 
- KDC는 도메인 컨트롤러의 일부로서 설치되면 두가지 기능을 수행함 : AS, TGC 
AS(Authentication Service) 
TGS(Ticket-Granting Service) 


net 명령어 
- net share:서버의 모든 공유 리소스 확인, 제거 
- net user:서버의 사용자 계정 확인, 관리 
- net session:서버에 현재 원격 로그인된 사용자 확인, 세션종료 
- net computer:도메인 데이터베이스에서 컴퓨터를 추가, 삭제 


umask 
- 시스템의 파일 또는 디렉터리가 만들어질 떄의 허가권의 기본값을 지정 
- 해당 설정은 모든 계정 사용자들에게 존재하는 값으로서 각 계정 사용자들이 생성하는 파일 또는 디렉터리의 허가권을 결정하기 위한 값 
파일(666-umask)

디렉터리(777-umask)

secure-사용자 원격접속 정보-text file 
utmp-현재 로그인 사용자 정보-binary file-who 
pacct-사용자별 명령 실행 정보-binary file-lastcomm 
wtmp-최근 로그인 및 접속 호스트 정보-binary file-last 


VPN(Vritual Private Network) 
- 터널링 기술:공중망에서 전용선과 같은 보안 효과를 얻기 위한 기술 
- 인증 기술:접속 요청자의 적합성을 판단하기 위한 인증 기술 
- 암호 기술:데이터에 대한 기밀성과 무결성을 제공하기 위해 사용되는 알고리즘 적용 기술 


스크린된 서브넷 게이트웨이 
(Screened Subnet Gateway, 스크린드 서브넷 게이트웨이) 
- 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 위한 구조 
- 비무장 지대(DMZ)라고 불리는 경계 네트워크에는 서비스를 위해 외부에서 접속이 많은 시스템을 구성하고 보호할 정보가 많은 시스템은 내부 네트워크 안에 구성 


Teardrop 
- 하나의 IP패킷이 분할된 IP단편의 offset값을 서로 중첩되도록 조작하여 이를 재조합하는 공격 대상 시스템에 에러와 부하 유발 


False Negative 
- 공격자가 실제로 시스템에 침입하였으나 침입탐지시스템은 이를 정상적인 동작으로 인식하여 침입을 제대로 탐지 못한 경우의 판정 


Ping of Death 공격 
- ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할됨 

 

ESM
(Enterprise Security Management)

- 구성요소:에이전트, 매니저, 콘솔

- Agent:보안 장비에 탑재되어 수집된 데이터를 Manager 서버에 전달하고 통제를 받음

- Manager:Agent로부터 받은 이벤트를 분석·저장 후 Console로 그 내용을 통보

- Console:Manager로부터 받은 데이터의 시각적 전달, 상황판단기능, 관리서버의 룰을 설정하도록 지휘 및 통제

 

 

방화벽의 기능

- 접근제어, 인증, 로깅 및 감사추적

 

 

지식기반침입탐지

- 시그니처(Signature), 페트리넷(Petrinet), 상태전이(StateTransition), 유전

 

 

행위기반침입탐지

- 통계적(Statistical), 면역학, 데이터 마이닝, HMM, 기계학습

 

 

IPSec 

- AH(Authentication Header) : Sequence number를 이용하여 재전송 공격을 방지한다. 무결성을 보장한다.
- ESP(Encapsulating Security Payload) : AH의 기능을 포함하고 추가적으로 패킷을 암호화하여 기밀성을 제공한다.
- IKE(Internet key Exchange) : 암호화 키 분배를 위해 쓰이는 별도의 프로토콜이다.

IPSec 2가지 모드
- Transport Mode : IP Header를 제외한 패킷의 내용이 암호화 된다. IP Header를 암호화하지 않는 것은 목적지는 알아야 라우팅이 가능하기 때문이다. 송신자와 수신자는 노출된다. 아래와 같이 기존 패킷에서 AH만 추가된다.

IP header

AH

TCP

Data

- Tunneling Mode : IP Header를 포함한 전체 패킷이 암호화된다. 별도의 게이트웨이를 목적지로 한 새로운 Header가 생긴다. 이 게이트웨이에서 실제 목적지가 복호화 되어 수신자에게 전달된다. 아래와 같이 기존 IP헤더는 남겨 두고 새로운 IP header가 사용된다.

New IP header

AH

IP header

TCP

Data

 

 

원격지 파일의 명령 실행 취약점 대응 대책

- php.ini파일에서 allow_url_fopen 옵션을 off값으로 설정

allow_url_fopen = Off

 

 

스팸 필터 솔루션

- 메일 서버 앞단에 위치하며 프락시 메일 서버로 동작

- SMTP 프로토콜을 이용한 DoS 공격이나 폭탄메일, 스팸메일을 차단

- 첨부파일 필터링 기능을 이용, 특정 확장자를 가진 파일만 전송되도록 설정

 

 

포맷스트링 취약점

- 프로그램의 파괴

- 프로세스 메모리 보기

- 임의의 메모리 덮어쓰기

 

 

PGP(pretty good privacy) 기능

- 전자서명

- 기밀성, 무결성

- 단편화 및 재조립

- 송신부인방지만 제공

(PGP는 수신 부인방지 기능은 제공하지 않음)

 

 

PGP vs PEM

	PGP	PEM
국제표준	아님	표준(IETF)
사용	보편적	제한적
보안성	낮음	우수
키관리	분산화	중앙 집중식
보안서비스	- 메시지 기밀성,무결성 제공 - 사용자/메시지 인증 - 전자서명 - 송신 부인 방지만 제공 (수신부인방지기능없음)	- 기밀성 - 무결성 - 인증 - 송수신 부인 방지
기타	- 필 짐머만 - 기밀성 : 대칭키(IDEA) - 무결성 : 해시함수(MD5) - 송신 부인 방지 : 전자서명(RSA)	- 메일이 유출되어도 메일 내용은 확인 불가(군사,은행용) - 하위 프로토콜, 운영체제, 호스트와는 독립적으로 동작 - 구현이 어려움 - 기밀성 : 대칭키(3DES) - 무결성 : 해시함수(MAC,MD5 등) - 송수신 부인 방지

 

 

S/MIME
(Secure Multi-purpose Internet Mail Extension)

- IETF의 작업 그룹에서 RSADSI(RSA Data Security Incorporation)의 기술을 기반으로 개발된 전자우편 보안 시스템

- MIME에다가 PKCS 표준에 따라 암호화와 전자서명 기능을 추가

- 보안성이 낮은 PGP의 단점과 구현이 어려운 PEM을 보완

- 표준 보안 메일 규약

- 송신자와 수신자를 인증

- 메시지 무결성 증명

- 첨부 파일 포함

- 메일 전체를 암호화

 

 

/etc/vsftpd/ftpusers

- ftp 접근제어 설정 파일인 ftpusers 파일의 소유자를 root로 하고, 접근 거부할 계정을 등록

 

 

Bounce 공격

- 익명 FTP 서버를 이용하고 그 FTP 서버를 경유하여 호스트를 스캔

- FTP PORT 명령어를 이용한다. PORT

- 서버를 통해 임의의 네트워크 접속을 릴레이하여 수행

- 네트워크 포트를 스캐닝하는 데 사용

- FTP 프로토콜의 취약점을 이용한 공격

 

 

Replay Attack

- 암호화된 인증정보를 정상적인 인증이 이뤄어지는 트래픽을 탈취

- 인증정보가 암호화되어 있어 파악할 수 없지만 동일한 인증정보를 보냄으로써 인증을 시도

 

 

DNSSEC

- 기밀성 제공안함

- 서비스 거부 공격에 대한 방지책은 없음

- DNS 데이터 위-변조 공격에 대응할 수 있다

- 메시지 송신자 인증과 전자서명을 제공

- 피싱, 파밍 유도 DNS 차단

 

 

블록체인

- 분산 데이터베이스의 한 형태로, 지속적으로 성장하는 데이터 기록 리스트로서 분산 노드의 운영자에 의한 임의 조작이 불가능하도록 고안

 

 

 BYOD 보안솔루션

- NAC

- MDM

- MAM 


BYOD 환경에서의 주요 보안 솔루션

• NAC (Network Access Control) 솔루션
  - 사용자 기기가 기업 내부 네트워크 접근 전 보안정책을 준수했는지 여부를 검사하여 비정상 접근 여부에 따라
     네트워크 접속을 통제하는 솔루션

• MDM (Mobile Device Management) 솔루션
  - 언제 어디서나 사전 등록된 모바일 기기가 전원이 켜져 있는 상태이면 원격에서 개인 사용자 기기를 등록/관리,
     분실단말 사용중지, 추적 기능을 지원하는 단말기기 관리 솔루션

• MAM (Mobile Application Management) 솔루션
  - 기업자체 앱스토어를 통해 직원들에게 업무용 앱을 배포하고 컨테이너 방식으로 앱 동작 지원, 애플리케이션
     보안 및 각종 관리 기능을 지원하는 솔루션

 

XML 외부 개체 (XXE, XML External Entity) 

- OWASP TOP 10 2017에서 새로 선정된 보안취약점

- XML 타입의 데이터 웹 요청을 통해 전송, 서버에서 XML 외부 엔티티 처리 가능하게 설정된 경우 발생

- XML 외부 엔티티 선언 형태 : <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>

 

 

스트림 암호

- 평문과 같은 길이의 키를 생성하여 평문과 키를 비 트단위로 XOR하여 암호문을 얻는 방법

 

 

공개키 암호에서 보안기능

- 비밀성 : 수신자의 공개키로 암호화하여 송신한다.

- 부인방지 : 발신자의 개인키로 암호화하여 송신한다.

 

 

CRL(인증서 효력 정지 및 폐지목록)

- 인증기관(CA)이 개인키와 쌍을 이루는 공개키를 포함한 인증서들을 더이상 신뢰하지 말라는 목적으로 작성되는 목록

- 인증기관(CA)의 개인키로 전자서명을 생성 및 첨부하여 인증서 효력정지 및 폐지목록의 유효성을 확인

- 인증기관(CA)는 인증서폐지목록(CRL)을 생성하는 주체

- 인증서 유효기간 만료 시 인증서 효력은 소멸, 폐지되지 않음, 디렉터리에서 삭제되며 폐지목록(CRL)로 이동

 

CRL 기본 확장자

- CA키 고유번호

- 발급자 대체 이름

- CRL 발급 번호

- 발급 분배점

- 델타 CRL 지시자

 

 

CRL 개체 확장자

- 취소(폐지) 이유 부호, 명령(지시) 부호, 인증서 발행자, 무효 날짜

- Reason Code:폐지의 원인(이유)을 정의하기 위한 코드, 폐지(취소)이유 부호

- Hold Instruction:인증서의 일시적인 유보를 지원하기 위해 사용(정지 지시 코드, 명령 부호)

- Certificate Issuer:인증서 발행자 이름(인증서 발행자)

- Invalidity Date:개인키 손상이 발생하는 등의 이유로 인증서가 유효하지 않게 된 날짜와 시간의 값(무효 날짜)

- 간접 CRL:다른 인증기관(CA)의 생성 CRL을 모아둠

- 델타 CRL:가장 마지막으로 취소, 폐지된 인증서를 CRL로 발행, CRL size를 줄일 수 있음

 

 

 OCSP

- 인증서 상태를 관리하고 있는 서버는 유효성 여부에 관한 이 답을 즉시 보내주는 프로토콜

 

 

알고리즘이 개발된 배경

- 스트림암호:One Time Pad를 실용적으로 구현할 목적

- 블록암호:암호문의 위변조를 막기위한 목적

- 공개키암호:키 관리 문제를 극복하기 위한 목적

- 해시함수:무결성 제공 목적

 

 

생체 인식의 요구사항

1. 보편성: 모든 대상자들이 보편적으로 지님
2. 유일성(구별성): 개인별로 특징이 확연히 구별됨
3. 지속성(영구성): 발생된 특징은 그 특성을 영속
4. 수집성(획득성): 특징의 취득 용이성
5. 성능: 개인 확인 및 인식의 우수성
6. 수용성: 생체 인식 대상자의 거부감이 없어야 함
7. 위변조가능성: 불가능해야함

 

공개키 암호

- 하나의 알고리즘으로 암호와 복호를 위한 키 쌍을 이용해 암호화와 복호화를 수행 

- 두 개의 키 중 하나는 비밀로 유지

- 암호화 알고리즘, 하나의 키와 암호문에 대한 지식이 있어도 다른 하나의 키를 결정하지 못해야함

 

 

블록암호에 대한 공격 방식

- 차분공격(선택평문공격)

- 선형공격(기지평문공격)

- 전수공격

- 통계적분석

- 수학적분석

 

- 차분 공격:선택 평문 공격, 두 평문 블록들의 비트 차이에 대응되는 암호문 블록의 비트 차이를 이용하여 키를 찾는다.
- 선형 공격:기지 평문 공격, 알고리즘 내부의 비선형 구조를 선형화시켜 키를 찾는다.
- 전수 공격:암호화 시 발생가능한 모든 경우에 대해 조사
- 통계적 분석 공격:암호문에 대한 평문의 단어 빈도등 통계적인 자료를 분석하여 해독
- 수학적 분석 공격:통계적인 방법을 포함하여 수학적 이론을 이용하여 해독

 

 

페이스텔(Feistel) 구조

- DES, SEED, RC5

 

 

이중서명의 특징

- 분쟁에 대한 대비를 위해 두 메시지 간의 연관성이 구현되어야 함

- 구매자의 자세한 주문정보와 지불정보를 판매자와 금융기관에 필요 이상으로 전달하지 않아야 함

- 이중 서명은 SET에서 도입된 기술로 고객의 카드 정보를 상인에게 전달하면 상인은 그 요청에 유효성을 확인하게 됨

- 구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화 하여 이중서명을 생성함