보안기사 필기 12회 오답

NTFS
- FAT시스템을 대체하기 위해 개발된 윈도우 파일 시스템
- 사용자마다 다른 보안을 적용할 수 있다.
- 파일과 폴더에 개별적으로 권한을 설정할 수 있으며 폴더에 설정한 권한보다 파일에 설정한 권한이 우선한다.
- 시스템 폴더는 Administrators/Power Users 그룹만 수정 가능하다.
- 파일 단위로 계정이 언제 파일을 열어보거나, 열려다 실패했는지 알 수 있는 감사기능이 있다.
- 마스터 파일 테이블(MFT)은 각 파일 정보를 포함한 1KB레코드이며 각 파일별로 1:1 대응한다.
- 기본 보안 설정은 Everyone그룹에 대해 모든 권한 허용한다.
- 윈도우NT 전용 파일시스템으로 다른 OS와 호환성이 떨어진다는 것이 단점이다.


PAM 동작 절차
1. 사용자나 프로세스가 접근 요청한다.
2. 해당 app의 PAM 설정 파일을 확인한다.
3. 스택의 PAM 모듈이 리스트 상 순서대로 호출된다.
4. PAM 모듈은 성공, 실패 상태를 반환한다.
5. 스택은 순서대로 확인되며, 실패 상태를 반환한다 해서 중단되지 않는다.
6. 모든 PAM 모듈 상태 결과가 종합돼 전체 인증 과정의 성공, 실패 상태를 반환한다.


HKEY_LOCAL_MANCHINE
- 설치된 하드웨어를 구동시키는데 필요한 정보를 포함하는 윈도우 레지스트리 루트 키


소유자에게 읽기 쓰기 권한을 부여하고, 일반사용자에게 읽기 권한을 제거하는 리눅스 명령
#chmod u=rw o-r
a - all
u - user
g -group
o - others
+ 추가, - 제거, = 지정(지정은 기존 속성값은 사라짐 )

 

 

LSA(Local Security Authority), 식별

->

SAM(Security Account Manager), 인증

->

SRM(Security Reference Monitor), 인가

 

UTM(Unified Threat Management)
- 여러 보안 장비를 하나의 장비로 통합한 것을 말한다
- 경제성이 있고 관리가 용이하지만 장애 발생시 보안기능에 심각한 영향을 미칠수 있다.
- 일반적으로 방화벽의 기능을 포함한다.
- 방화벽, 침입 탐지·방지 시스템, 백신, 가상사설망 등 다양한 보안 장비를 하나의 장비로 통합한 것을 말한다.
- 실무적으로 흔히 IDS·IDS와 방화벽이 결합된 형태를 말한다.
- 경제성이 있고 보안 관리가 편해지지만 장애 발생시 보안기능에 심각한 영향을 미친다.


워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유는 최초로 윈도 OS의 SMB 취약점을 활용했기 때문이다. 또 한대의 PC가 감염되면 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하는 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문이다.
페트야 랜섬웨어 역시 이 같은 워너크라이의 공격 방식을 동일하게 사용하고 있다.
워너크라이는 물론 기존 랜섬웨어는 사진, 문서 등 저장된 파일을 개별적으로 암호화 시켰던 반면, 페트야 랜섬웨어는 하드 디스크(HDD)와 같이 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킨다.


SAM(Security Account Manager)
- 사용자 계정의 비밀번호를 관리한다.
- 해시된 비밀번호는 한 번 더 암호화되어 저장된다.
- 액티브 디렉터리(AD)의 원격 사용자 인증에 사용된다.


DEP(Data Execution Prevention, 데이터 실행 방지), No-eXecute
- 버퍼 오버플로우, 힙 스프레이 등 메모리 기반의 공격을 예방할 수 있다.


윈도우 administrator과  power user 차이점
- Power Users group의 Member들은 로컬 사용자 계정을 resource를 공유하거나 수정할 수 있습니다. Administrator 그룹보다는 한단계 낮지만, 일반 user보다는 한단계 높습니다. 대부분의 관리 권한을 보유하고 있지만 제한적이라는 것이 특징


Guest:임시 사용자 계정으로 제한된 권한을 가진다.
Backup Operator:백업을 위해 모든 디렉토리에 접근 가능한 권한을 가진다.

 

 

WPA2

- 무선랜 보안 표준 IEEE802.11를 준수

- 별도의 인증 서버를 이용하는 EAP 인증 프로토콜을 사용

- 암호 키를 동적으로 변경 가능

- AES 등 강력한 블록 암호 알고리즘을 사용

 

 

파밍

- 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법

 

 

itwiki.kr/w/NAT  NAT 종류별 정리

Policy NAT
- 패킷의 출발지와 목적지 모두를 반영하여 주소 변환을 수행하는 NAT

- ACL를 사용하여 출발지와 목적지에 따라 변환이 일어나게 됨

 

 

Bypass NAT

- NAT에 해당되지 않는 패킷은 바로 라우팅됨

 

 

Dynamic NAT

- 내부에서 외부로의 트래픽만 허용

- 여러 개의 내부 IP주소에 대해 여러 개의 외부 IP주소를 동적으로 할당

- IP 주소를 절감할 수 있으며 보안 측면에서 장점

- 외부 IP주소가 모두 사용 중이라 할당 받을 IP가 없을 경우 외부에서의 연결은 제한됨

 

Static NAT

- 사설주소와 공인 주소를 1:1로 변환

- 외부에서 내부로의 트래픽 허용

- IP 주소 절감 효과 없음

 

 

Port Address Translation(PAT)

- 하나의 외부 IP주소를 다수의 내부 IP주소가 Port번호로 구분하여 사용

- Well-Known port를 제외하고 랜덤으로 사용

 

 

Heartbleed 취약점

- OpenSSL 1.01f 이전 버전에서 발생

- 서버의 정상 기동 여부를 진단하기 위한 프로토콜을 이용한 공격

- 임의의 메모리 데이터를 누출(유출)시킴

 

 

 Knowledge Based Dection

-  전문가 시스템(expert system)을 이용한 IDS 에서 사용되는 침입탐지기법

 

 

Store & Forwarding

- 전체 프레임을 모두 검사 후 데이터를 전송하는 스위치 전송 방식

 

 

DoS 공격 대응 절차

- 모니터링 -> 침입탐지 -> 초동조치 -> 상세분석 -> 차단조치

(모침초상차)

 

APT

- 지속적(Persistent), 지능적(Advanced), 들키지 않게 공격

 

 

DDoS

- 지속적 대량 패킷, 요청, 시스템 마비

 

UDP 스캔

- close : ICMP 메시지

- open : 응답없으

 

 

TCP 세션 하이재킹 탐지 방법

- ACK stom 탐지

- 패킷의 재전송 증가 탐지

- 예기치 못한 RST 증가 탐지

 

 

DDoS공격과 DRDoS공격의 차이

- DRDoS는 IP Spoofing을 이용하여 정상적인 호스트를 공격 수단으로 이용

 

 

데이터베이스 보안 유형

- 접근제어(Access Control)

- 허가규칙(Authorization Rule)

- 암호화(Encryption)

 

 

XML 기반

- UDDI

- WSDL

- SOAP

 

 

OCSP - SSL 인증서

 

 

전자입찰시스템

- 전자입찰도구로는 자바, 디지털서명, XML 등이 이용됨

- 전자입찰은 입찰자, 입찰공고자, 전자입찰시스템으로 구성

- 전자입찰 시 독립성, 비밀성 무결성 등이 요구됨

 

 

전자화폐 구성 프로토콜

- 인출 프로토콜:사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자 에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.

- 지불 프로토콜:사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.

- 예치 프로토콜:상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자 로부터 받은 전자 화폐를 은행이 결제해 주는 프로토콜이다.

 

 

디지털 핑거프린팅 

- 디지털 핑거프린팅 기술은 콘텐츠 내에 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린트 경보를 사입하여 후에 불법으로 배포된 콘텐츠로부터배포자가 누구인지를 역추적 할 수 있도록 해 주는 기술이다.

- 핑거프린팅된 콘텐츠는 서로 다른 구매자 정보를 삽입하기 때문에 구매자에 따라 콘텐츠가 조금씩 다르다.

- 디지털 핑거프린팅 기술은 워터마킹 기술과 같이 삽입과 추출기술로 분류하는데 삽입기술은 삽입하는 정보만 다 를 뿐 워터마킹 기술과 동일하다.

 

 

메일 서버 구성 요소

- MUA(Mail User Agent):사용자가 메일을 송수신하기 위해 사용하는 프로그램

- MTA(Mail Transfer Agent):MUA로부터 전달받은 메일을 다른 MTA로 전송하는 서버프로그램(목적지는 수신자의 MTA)

- MDA(Mail Delivery Agent):최종 MTA에 도착한 후, 수신된 메일을 사용자의 메일함에 저장하는 프로그램(POP과 IMAP방식)

- MRA(Mail Retrieval Agent):MDA가 저장한 메일을 MUA로 가져오는 프로그램/아이디와 패스워드로 사용자 인증 수행

 

 

vsftp의 설정파일인 vsftpd.conf

- anonymous_enable=NO, 익명 접속 차단으로 권장은 NO, 익명 사용자 차단

- port_enable=YES, 데이터 전송을 passive mode를 사용하지 못하도록함

- xferlog_enable=YES, 로그파일에 전송로그 기록

- xferlog_file=/var/log/vsftpd.log, 로그파일 지정

- local_enable=YES, 로컬계정 사용자의 ftp 접속 허용

 

 

SET

- 이중서명 구조를 가지는 전자상거래 프레임워크

 

XML(eXtensible Markup Language)

- 데이터의 저장 및 교환을 위한 대표적인 문서교환 표준 SGML과 HTML의 장점을 모두 가지고 있음

- 1996년 W3C에서 제안

- 웹상에서 구조화된 문서를 전송 가능하도록 설계된 웹표준

- 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용

 

 

스테가노그래피(steganography)

- 전달하려는 정보를 이미지, 오디오 파일에 인간이 감지할 수 없도록 숨겨 상대방에게 전달하는 기술을 총칭한다. 일반 암호화 방법은 암호화를 통해 정보의 내용을 보호하는 기술인 반면에 이 기술은 정보의 존재 자체를 숨기는 보안 기술이다.

 

 

PGP(pretty good privacy) 기능

- 전자서명

- 기밀성, 무결성

- 단편화 및 재조립

- 송신부인방지만 제공

(PGP는 수신 부인방지 기능은 제공하지 않음)

 

 

인증서 폐지 사유

- 인증서 발행 조직에서 탈퇴

- 개인키의 손상

- 개인키의 유출 의심

(인증서 폐기:인증서의 유효기간 만료)

 

 

커버로스(Kerberos Protocol)

- 이것은 MIT대학에서 개발한 분산 환경 하에서 개체 인증서비스를 제공하는네트워크 인증시스템이다. 비밀키 암호작성법에 기초를 둔자주 이용되는 온라인 암호키 분배방법이다. 이 시스템의 목적은인증된 클라이언트만이 서버에 접속하도록 하는 것이다.이것의 장점으로는 데이터의 기밀성과 무결성을 보장한다는 점을 들 수 있고,이것의 단점으로는 키 분배센터에 장애 발생 시 전체서비스가 사용 불가 상태가 됨을 들 수 있다.

 

 

SET

- 이중서명(Dual Signature)은 사용자가 구매정보와 지불정보를 각각 해시한 후 해시값을 합하여 다시 해시 그리고 최종 해시값을 카드 사용자의 개인키로 암호화한 서명을 말하는 것

 

 

스트림 암호의 특징

- 원타임패스워드를 실용적으로 구현할 목적으로 개발

- 블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠름

- 블록 암호의 CFB, OFB, CTR 모드는 스트림 암호와 비슷한 역할을 수행

 

 

Needham-Schroeder 키 분배 방식

- 키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념이다.한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며,둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 한다.

 

 

키 분배(key distribution)

- 한 사용자 또는 기관이 비밀키를 설정하여 다른 사용자에게 전달하는 기술

 

키 공유(key agreement)

- 다수의 사용자가 공동으로 비밀키를 설정하는 것

 

키 분배센터(KDC:key distribution center)

- 비밀키를 만들어서 대칭키 암호화 통신지에 전달

- 관리기관(TA,Trusted Authority)를 포함하는 개념

 

 

키 분배 방식 - 사전 키 분배

1. Blom 방식

- 분배센터에서 두 사용자에게 임의의 함수값을 전송

- 각 사용자는 전송받은 값을 이용해 다른 사용자와 통신에 필요한 세션키를 생성

 

2. 중앙 집중식

- 각 사용자는 TK(Terminal Key)를 생성

- KDC에 등록한 뒤, 세션키가 필요할 떄 TK로 세션키를 암호화하여 분배

- 커버로스가 대표적임

 

3. 공개키 분배

- KDC가 공개키 분배

 

키 공유방식

1. Diffie-Hellman(DH)

- 공개키(이산대수기반)

- 서버 없이 키 공유, 세션키 분배

- MITM 공격에 취약 -> KDC를 통한 상호인증으로 방지 가능

 

2. Matsumoto-Takashima-Imai

- DH방식에서 사용자 A와B가 항상 동일한 세션키를 가지는 문제개선

 

3. Okamoto-Nakamura

- 사용자가 암호통신 때마다 다른 세션키 사용 가능

 

 

키 분배 프로토콜

1. Needham-Schroeder

- 재전송 취약점이 존재 -> 타임스탬프를 이용해서 해결 가능

 

2. DH(Diffie-Hellman)

- 비밀키 암호가 불필요 -> 로컬에서 계산 가능

- 단순하고 효율적

- 사용자 A,B만 키 생성 -> 기밀성

- MITM(중간자 공격), 재전송공격에 취약

 

 

차분공격(Differential Cryptanalysis)

- 1990년 Bham과 Sharir에 의하여 개발된 선택 평문 공격법 으로,두 개의 평문 블록의 비트 차이에 대하여 대응되는 암호문 블록들의비트 차이를 이용하여 사용된 암호키를 찾아 내는 방법이다.

 

 

전수공격(Exhaustive key search)

- 1977년 Diffie와 Hellman이 제안하였으며 암호화할 때 일어날 수 있는모든 가능한 경우에 대하여 조사하는 방법으로 경우 의 수가 적을 때는가장 정확한 방법이지만, 일반적으로 경우의 수가 많은 경우에는 실현 불가능하다.

 

 

Diffie-Hellman 프로토콜

- 공유할 암호키를 계산하여 만들어낸다.

- 유한체상의 이산대수문제를 풀기 어려움에 기반한다. 

- 중간자 공격이나 재전송 공격에는 취약하다.

 

 

n명의 사람이 대칭키 암호화 통신을 할 경우 몇 개의 대칭키가 필요한가?

- n(n-1)/2

 

- 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 Port Mirroring 기능을 사용해야한다.


TCP Wrapper에서 제공하는 기능
- 로깅
- IP 기반 접근 통제
- 네트워크 서비스 기반 통제
(포트 관련 기능은 없음)


OCSP
- OCSP는 인증서 폐기시 실시간으로 반영
- OCSP는 동기화 비용이 발생하는 유료 서비스


CRL
- CRL은 제한된 네트워크 환경에서 사용하기 유리
- CRL은 CA를 통해서 서비스됨


S/MIME
- RSA Data Security, INC 개발
- 전자우편 메세지 표준 기반
- 다양한 상용툴킷
- X.509 지원


해커가 리눅스 시스템을 해킹하여 백도어 프로그램을 설치하였다. 만약 시스템이 재시작되어도 본인이 설치한 프로그램이 실행되도록 하고 싶다면 다음중 어떤 파일에 접근해야 하는가?

rc.d/rc.local

 

이중서명
- 고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.


Blind SQL injection
- 문자열 단위로 문자열의 일치 여부(참/거짓) 값 만을 반환받는 과정을 수없이 반복하여 테이블 정보나 데이터 값을 추출해내는 공격법


재전송 공격 방지 대책
- 1씩 증가하는 순서번호 사용
- 타임스탬프 사용
- 일회용 nonce 비표 사용


bof 대응 함수
- fgets, strncpy


CSRF 특징
- 특정 소수가 아닌 불특정 다수를 대상으로 한다.
- 원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
- XSS에서 진보한 공격이라고 보는 의견이 있다.
- XSS는 클라이언트측에서 실행, CSRF는 서버측에서 실행


FTP 로그 분석, xferlog 분석

/var/log/xferlog

(gukii.tistory.com/24)

Wed Jul  1 14:44:47 2009 1 222.222.222.222 59771 /web/200905/New/0701/333/45.jpg b _ i r test01 ftp 0 * c

Wed Jul  1 14:44:47 2009 1 222.222.222.222 -> 접속날짜, 시간, 접속 IP
59771 -> 파일사이즈
/web/200905/New/0701/333/45.jpg -> 작업한 파일명
b : binary / a : ascii
_ -> 아무런 action이 없다.
c : compressed / u : uncompressed / t : tar / d : delete / i : incoming(업로드) / o : outgoing(다운로드) 
r : real(인증된 사용자) / a : anonymous(익명)
test01 -> 접속한 사용자 ID
ftp -> 발생된 서비스
0 -> 인증된 사용방법(true) / 1 : RFC931 Authentication(Identification이 동일)
* -> authenticated-user-id 부분으로 인증 방법에 의해 돌려지는 user id 라고 합니다. 즉, 인증되여진 사용자 id 가 이용될 수 없다면 * 가 사용된다고 합니다.
c : complete transfer의 약자(전송완료) / i : incomplete transfer의 약자(전송미완료)