정보보안산업기사 16회 실기시험 [정리 및 복습]

오늘 처음으로 보안기사 실기시험을 쳤다.

공부를 제대로 안했더니 알랑말랑한 문제들이 다수 출제되었다.

 

---

1. 단답형 문제

 

1) KISA 사이버위협 단계

* 복수 정보통신서비스제공자(ISP)망, 기간통신망에 장애 또는 마비

* 침해사고가 다수기관에서 발생해썩나 대규모 피해로 확대될 가능성 증가

 

 

2) 메모리 보호 기법

 

* 메모리 보호기법 종류

 ① DEP (Data Excution Protection)

• NX(Non-eXecutable)와 w^x 동의어

• 메모리영역에 write 및 execute 권한을 동시에 부여하지 않음.

• 메모리 영역에서 실행권한을 뺌.  ex) 환경변수 실행권한 제거.  =>  Shell Code 삽입 공격을 막음.

• 메모리 공간 권한 확인

 

 ② ASLR (Address Space Layout Randomization)

•  메모리 영역들의 주소 공간 배치를 랜덤화하여 공격을 방해.

• 직접적인 메모리 참조가 힘들어짐. (but 우회 가능)

• 환경변수와 같은 곳을 직접참조가 힘들다.

 

 3) 웹 취약점

 * 디렉토리 리스팅

• 디렉토리 검색은 디렉토리 요청 시 해당 디렉토리에 기본 문서가 존재하지 않을 경우 디렉토리 내 모든 파일의 목록을 보여주는 기능임.

• 디렉토리 검색 기능이 활성화되어 있는 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하여 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 등 공개되어서는 안 되는 중요 파일 노출이 가능함

 

 4) Hosts 파일

*Hosts 파일

hosts 파일은 운영 체제가 호스트 이름을 IP 주소에 매핑할 때 사용하는 컴퓨터 파일이다. 이 hosts 파일은 플레인 텍스트 파일이며 전통적으로 hosts라는 이름을 사용한다.

 

 

 5)TCP Wrapper 설정 파일

 *TCP Wrapper

• 서비스별 중앙통제 ACL 시스템

• 리눅스 또는 BSD 같은 운영 체제의 인터넷 프로토콜 서버에서 네트워크 접근을 필터링하기 위해 사용됨

• 대부분 서비스 자체적으로 ACL기능을 제공하기 때문에 점점 안쓰이는 분위기다.

hosts.allow: 접속을 허용할 목록을 관리한다. 

hosts.deny: 접속을 차단할 목록을 관리한다. 

 

 6) /etc/securetty 파일 설정

 

 7) DNSSEC

*DNSSEC란?

DNS의 근본적인 문제인 보안 취약성을 극복하고 보안성을 부여하기 위한 DNSSEC 표준은 IETF에서 1995년경부터 표준화 작업이 시작되었다. IETF에서는 DNSSEC 워킹 그룹을 중심으로 DNS에 대한 보안 확장 표준을 개발하였다.

 

 

 8) UMASK 명령어

 

 9) 보안관리 시스템 

 

 10) 기억안남 ㅜㅜ

 

---

2. 서술형

 

 1)master , slave 의 named.conf 설정 내용

 

slave ip = 192.168.1.68

 

master named.conf

 

option{

  allow-transfer ={192.168.1.68;}

}

 

slave named.conf

 

option{

 allow-transfer={none;}

}

 

1) allow-transfer의 대상과 명칭에 대해 기술하시오

2)

3)

4)

 

2) 멀웨어 분석기법

 

① 다형성(polymorphic code)이 분석을 어렵게 하는 이유

 다형성 코드란 코드 자체의 기능은 변하지 않지만 실행 할때마다 코드의 내용이 변화되는 것을 의미

 

② 패킹(packing)이 분석을 어렵게 하는 이유

 

③ AVT(Advanced Volatile Threat)가 분석을 어렵게 하는 이유

AVT는 파일리스 기법이 활용되고, 메모리에서만 동작하는 인 메모리 멀웨어(in-memory malware)와 LOL 도구를 사용.

타깃 시스템 내 에 악의적인 흔적을 남기지 않으려함. 공격과정에서 외부 도구가 아닌 대상 시스템 내 정상적 도구를 사용하기 때

 

 3) 리눅스 로그 파일

① UTMP WTMP 내용상 차이 세가지 이상

• utmp: 현재 로그인한 사용자 상태 정보를 담고 있는 로그파일. 바이너리 파일, w, who, user, whodo, finger 등의 명령어로 로그 확인, /var/log/utmp
• wtmp: 성공한 로그인/로그아웃 정보 및 시스템의 boot/shutdown의 히스토리를 담고있는 로그 파일. 바이너리 파일, last명령어로 로그 확인, /var/log/wtmp

 

② BTMP 내용 무엇이며 사용 명령어는?

• btmp: 로그인 실패한 정보를 담고 있는 로그파일
• btmp는 lastb 명령어로 확인

 

③ LASTCOMM은 무슨 명령어인가? 어떤 로그파일을 참조하나

• /var/account/pacct 파일에 저장되어 있는 이전 명령어들에 대한 정보를 알려줌. 옵션으로 명령어와 사용자 이름을 지정 할 수 있음
• /var/account/pacct 파일 참조

 

---

3. 실무형

 

 1) xferlog 분석

로그를 보고 문제에 해당하는 답 작성하는 유형

 

① 전송 날짜와 시간: Thu May 17 11:54:41 2018

② 전송 시간: 6초

③ 원격 호스트 주소: file.test.kr

④ 전송된 파일의 크기: 1234567 Byte

⑤ 전송 파일명: /home/user/test1.mp3

⑥ 전송 파일 유형: b

• a = ascii (문자, 텍스트)
• b = binary(파일)

 

⑦ 액션 플래그: _

• FTP 서비스에서 적용하는 내용, 어떠한 동작을 수행했는지 나타내는 플래그
• 압축, 묶음에 관한 액션
• 종류: _(행위가 일어나지 않음),C(파일이 압축된 경우) ,U(파일이 압축되지 않음),T(tar로 묶임)

 

⑧ 전송 방향: i

• 종류: i,o,d가 있음
• i = 파일 업로드(incoming)
• o = 파일 다운로드(outgoing)
• d = 파일 삭제(delete)

 

⑨엑세스 모드: r

• 사용자가 접근한 방식이나 형태를 나타내는 것
• 종류: r,a,g
• r = 시스템의 사용자 계정
• a = 익명사용자(anonymous)
• g = 비밀번호가 있는 게스트 계정

 

⑩사용자명: itwiki

⑪서비스명: ftp

• 호출된 서비스를 나타내는 것으로, 일반적으로 FTP

 

⑫사용자의 인증 방식: 0

• 사용자의 인증 방법
• 0인 경우 없음을 나타내고 1인 경우 RFC 931 authentication

 

⑬인증 사용자 ID: *

• 인증 메소드가 되돌려주는 사용자 ID. *는 인증된 사용자 ID를 사용할 수 없는 경우

 

⑭완료 상태: c

• 전송의 완료 상태
• c = 전송 완료 (complete)
• i - 전송 실패(incomplete)

 

 

 

 2) 방화벽 정책 분석

방화벽 정책 내용

정책 내용보고 아래 문제 풀기

① 1,2번 규칙으로 할 수 있는 서비스 시나리오 간략히 기술

② 3,4번 규칙으로 할 수 있는 서비스 시나리오 간략히 기술

③ 외부망상의 8080포트로 접속을 할 수 있다. 못하도록 1~4번 규칙의 출발지 포트 변경 (잘 기억안남)

④ 3번 규칙 설정하기 전에 발생할 수 있는 취약점 및 공격 기술

 

 

 3) 안풀어서 모름