정보보안기사 실기 13회

문제 1. MAC 주소를 위조해서 스니핑하는 기법은?

정답: ARP Spoofing 

 

문제 2. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공하며 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영하며 금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하는 조직은?

정답: ISAC(정보공유분석센터)

 

문제 3. IDS/IPS의 탐지방식의 분류

침입 탐지의 종류에는 모델과 일치하면 검출되는 (1)과 패턴에서 벗어난 이상을 감지했을 경우 탐지되는 (2)이 있고 정상 패킷인데 침입으로 판단하는 경우를 (3)이라 한다.
정답 (1): 패턴기반탐지 (2): 행위기반 침입탐지 (3): 오탐(False Postivie)

 

문제 4.

최근 Github은 (  괄호  )를 통한 DDoS 공격을 받았다. (  괄호  )는 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴이다. 통상 캐시가 필요한 시스템에만 사용되고, 인터넷에 노출되지 않기 때문에, 별도 권한설정을 요구하지 않는다. 하지만 현실은 인터넷에 노출된 (  괄호  ) 서버가 적지 않고, 이들은 DDoS 공격 수단으로 전락할 수 있다.

정답: Memcheched 

 

문제 5. 다음 설명에 해당하는 파일

이것은 리눅스의 "/etc"에 위치하고 있으며 패스워드의 사용기간 만료, 패스워드 최대 사용기간, 패스워드의 최소 변경기간 등의 패스워드 정책을 설정 할 수 있다

정답: login.defs

 

문제 6. 빈칸을 채우세요.

웹 애플리케이션의 취약점 분석 방법에는 분석 도구를 사용해 외부 인터페이스를 살피는 방법인 (ㄱ)과 코드를 직접 실행하여 분석하는 (ㄴ) 방법이 있다.
정답: (ㄱ) 블랙박스 테스트 , (ㄴ) 화이트박스 테스트

문제 7. 위험분석의 방법론

 정성적 위험분석에는 미지의 사건을 확률적 분포를 이용해 최저, 보통, 최고의 위험평가를 예측하는 (ㄱ) 방법과 전문가 집단을 구성하여 다양한 위협과 취약점을 분석하는 (ㄴ) 방법이 있다.

정답: (ㄱ) 확률분포법 , (ㄴ) 델파이법

문제 8. 위험의 처리 방법

어떤 기업이 위험이 있음이 식별되고 평가되면 그에 알맞는 정보보호 대책을 선정해야한다. 이 기업은 보험을 가입하는 방법을 선정했을 때 어떠한 위험대응 전략을 이용한 것인가?
정답: 위험전가

문제 9. 위험분석의 방법론

보호의 기준 수준을 정하고 모든조직에서 기본적으로 필요한 보호대책 선택이 가능하며 적정 보안수준보다 높거나 낮게 보안통제를 적용하는 위험분석 기법은 무엇인가?
정답: 베이스라인 접근법

문제 10. 업무연속성

주요 재난 및 상황에 따른 컴퓨터 시스템 장애에 대한 서비스 복구 계획, 비지니스 운영의 위험을 대처하여 리스크를 최소화하고 신뢰와 안정을 위한 계획 수립은 무엇인가?
정답: BCP(업무연속성계획)

 

문제 11. htaccess

1) <FilesMatch "\.(php|inc|lib)">

     order allow, deny

     deny from all

    </FilesMatch>

정답: FilesMatch 지시자를 이용, Server Side Script 파일에 대해서 직접 URL 호출 금지 (업로드 된 스크립트의 실행을 방지하는 목적)

 

2) AddType text/html .html .php .htm .php3 .php4 .phtml .phps .in .cgi .pl .shtml .jsp

정답: AddType 지시자를 이용 Server Side Script 확장자를 text/html으로 재조정하여 업로드된 스크립트 실행 방지 

 

문제 12.  IDS와 IPS의 차이

IDS는 외부와 내부망 사이에서 패킷 캡쳐해 복사본을 타 서버에서 분서갛며 IPS는 내부망 진입지점에서 실시간으로 패킷을 분석한다. 이유는?

정답: IPS는 실시간 차단을 목적으로 하기 때문에 인라인 방식으로 구성되어야 하며, 외부에서의 악의적인 침입 시도를 차단하는 데 포커스를 두어 내부와 외부의 접점에 배치하는 것이 좋다. IPS를 내부망에 배치하여 운영하는 경우 오탐으로 인하여 네트워크에 문제가 발생할 수 있으므로, 내부망에는 침입 탐지를 목적으로 하는 IDS를 배치하는 것이 좋다. IDS는 포트 미러링 방식으로 업무 데이터 흐름에 영향을 주지 않고 패킷 분석하여 침입 여부를 탐지할 수 있기 때문이다.

문제 13. IPSec 

IPSec의 AH, ESP 보안 헤더에 대하여 전송모드/터널모드로 운영 시 인증 구간, 암호화 구간을 설명하고, 키 교환 프로토콜명을 기술하시오.

 

AH의 전송모드, AH의 터널모드

 

1) AH 전송모드

인증 구간: IP헤더의 변경 가능 필드를 제외한 전체인증

암호화 구간: 암호화 미지원

AH 터널모드

인증 구간: NEW IP헤더의 변경 가능 필드 제외한 전체인증

암호화 구간: 암호화 미지원

 

ESP의 전송모드, ESP 터널모드

 

ESP 전송모드

인증 구간: ESP 헤더 부터 ESP 트레일러 까지

암호화구간: IP 페이로드부터 ESP 트레일러 까지

ESP 터널모드

인증구간: ESP 헤더부터 ESP 트레일러 까지

암호화구간: 오리지널 IP헤더부터 ESP 트레일러 까지

 

2) IKE 프로토콜

 

문제 14. Snort 룰 정책

alert tcp any any <> any [443,465,523] (content:"|18 03 00|"; depth: 3; content:"|01|"; distance: 2; within: 1; content:!"|00|; within: 1; msg: "SSLv3 Malicious Heartbleed Request V2"; sid: 1;)

 

 

 

 

 

 

1) 탐지 대상 포트 번호를 443, 465, 523으로 지정

2) Content에서 첫 3바이트를 검사하여 바이너리 값으로 "18 03 00"이 있는 지 검사

3) (2)번이 끝난 위치에서 2바이트 떨어진 위치에서 1바이트를 검사하여 바이너리 값으로 "01"이 있는 지 검사

4) (3)번이 끝난 위치에서 바로 1바이트를 검사하여 바이너리 값으로 "00"이 없는 지 여부를 검사

5) (1)~(4)의 탐지 룰에 모두 매칭이 되는 경우 로그에 "SSLv3 Malicious Heartbleed Request V2"로 기록

6) 해당룰의 식별자를 1로 지정

 

문제 15. robots.txt

1. robots.txt 무엇인지 설명하라

정답: 검색엔진에서 자동 크롤링 도구에 대하여 접근 허용 여부를 제어하기 위한 파일

2. 3가지 경우의 의미를 설명하라

(2) 아래 설정값의 의미

useragent : yeti

useragent : googlebot

(가) allow : /

​

useragent : googlebot-image

(나) disallow : /admin/

(다) disallow : /*.pdf$

 

(2-가) 검색 엔진 로봇(yeti, googlebot)에 대하여 root 디렉토리(/) 밑의 모든 파일 및 디렉토리의 접근을 허용
(2-나) 검색 엔진 로봇(googlebot-image)에 대하여 /admin 폴더 접근을 허용하지 않음.
(2-다) 검색 엔진 로봇(googlebot-image)에 대하여 pdf 확장자를 가진 파일에 대하여 접근을 허용하지 않음