정보보안산업기사 오답노트(네트워크 보안)
OSI 7계층
- 데이터링크 계층은 물리 계층의 있는 그대로의 전송 설비를 신뢰할 수 있는 링크로 변환한다. 이는 상위 계층인 네트워크 계층에게 오류 없는 물리 계층으로 보이도록 한다. 또한 물리 계층으로 보이도록 한다. 또한 물리 계층에서 전송하는 비트들에 대한 비트 동기 및 식별 기능과 원활한 데이터의 전송을 위한 흐름제어 기능 그리고 안전한 데이터 전송을 위한 오류제어 기능 등을 수행한다.
- 전송 계층은 세션을 맺고 있는 두 사용자 사이의 데이터 전송을 위한 종단간(End-to-End) 제어를 담당한다. 종단간 전송은 단순히 한 컴퓨터에서 다음 컴퓨터로의 전달이 아니라, 송신 컴퓨터의 응용프로그램(프로세스)으로의 전달을 의미한다.
ICMP 메시지
| ICMP | 메시지 기능 |
| Redirect | 데이터를 보내는 호스트에게 목적 IP 주소에 대한 좀 더 적합한 경로가 있음을 알리기 위해 라우터가 보내는 메시지 |
| Source Quench | 데이터를 보내는 호스트에게 IP 데이터그램이 라우터의 집중 현상에 의해 라우터가 보내는 메시지. 그러면, 데이터를 보내는 호스트에게는 전송률을 낮추게 된다. Source Quench는 선택적 메시지이며 대부분 구현되지 않는다. |
| Destination Unreachable | 라우터나 목적 호스트에 의해 보내지며 데이터그램이 전달되지 못한다는 것을 데이터를 보낸 호스트에 알려준다. |
주소 변환
- Static NAT : 하나의 내부 IP 주소와 외부 IP 주소를 1:1로 매핑
- Dynamic NAT : 여러 개의 내부 IP 주소와 여러 개의 외부 IP 주소를 동적으로 매핑시키는 방법
- PAT(Port Address Translation) : 하나의 공인 IP를 다수의 사설IP가 포트번호로 구분하여 주소를 매핑하는 방법
ICMPv4
- IP프로토콜은 호스트와의 관리 질의를 위한 메커니즘이 없다. 그러나 호스트는 간혹 라우터나 다른 호스트가 동작하고 있는지 알 필요가 있다. 그리고 간혹 네트워크 관리자는 다른 호스트나 라우터로부터 정보를 획득할 필요가 있다.
- 인터넷 제어 메시지 프로토콜 버전(ICMPv4)는 위의 두 가지 단점을 보완하기 위해서 설계되었다. ICMP는 IP프로토콜의 동반 프로토콜이다.
애니캐스트
- 단일 송신자로부터 데이터그램을 그룹내에서 가장 가까운 곳에 위치한 수신자에게 연결해주는 통신 방식이다.
Slow start
- 혼잡윈도우가 크기가 임계치에 도달하기 전까지 적용되며 혼잡 윈도우의 크기가 기하급수로 증가하는 혼잡제어 알고리즘
ingress 필터링
- 라우터의 외부에서 내부망 IP 주소 유입을 차단하는 필터링
blackhole 필터링
- 특정한 IP 또한 IP 대역에 대해 Null이라는 가상의 쓰레기 인터페이스로 보냄으로써 패킷의 통신이 되지 않도록 하는 것이다.
NIC의 기능
- 네트워크 장비와 LAN 사이의 통신 장비
- 전송될 데이터를 병렬에서 직렬로 전환
- 빠른 전송을 위해 데이터를 코딩하고 압축
- 목적지 장비의 NIC는 데이터를 수신하고 CPU로 데이터 전달
- OSI 모델의 Data Link계층 기능에는 Local Link Control 기능과 Media Acess Control 기능을 구현하도록 프로그래밍하는 하드웨어와 펌웨어가 들어있다.
SSH 주요 기능
- 인증
- 기밀성 유지 : 암호화
- 무결성 : MAC
- 압축
- 포트 포워딩
- 다중화
icmp 메시지 중 traceroute와 관련된 것
- 시간초과, 에코
netstat state 값
| 항목 | 내용 |
| LISTENING | 서버 프로그램이 연결요청을 기다리는 상태이다. |
| SYN-SENT | 클라이언트 프로그램이 원격 호스트에 연결을 요청한 상태이다. |
| SYN-RECV | 서버가 클라이언트 프로그램으로부터 연결요청을 받아 클라이언트에 응답을 하였지만 아직 클라이언트의 확인 메시지를 받지 않은 상태이다. |
| ESTABLISHED | 클라이언트와 서버 프로그램이 서로 연결된 상태이다. |
| CLOSE-WAIT | 연결 종료 메시지를 수신하고 그에 대한 확인 메시지를 보낸 상태이다. |
윈도우 ipconfig 옵션/인자
| /release[<어댑터>] | 지정한 어댑터(인터페이스) 또는 모든 어댑터의 DHCP 임대를 종료시킨다. |
| /renew[<어댑터>] | 지정한 어댑터(인터페이스) 또는 모든 어댑터의 DHCP 임대를 수동으로 갱신한다. |
| /displaydns | 호스트의 DNS 변환기 캐시의 내용을 출력한다. |
| /flushdns | 호스트의 DNS 변환기 캐시 내용을 삭제한다. |
| /registerdns | 모든 DHCP 임대를 갱신하고 호스트와 연관된 모든 DNS 이름을 다시 등록한다. |
ARP 리다이렉트
- 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 해당 네트워크에 broadcast한다. 이를 통해 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하고, IP Forward 기능을 통해 사용자들이 눈치채지 못하도록 하는 기법이다.
IP spoofing
- 순서제어번호 추측
- 반접속시도 공격(SYN Flooding)
- 접속가로채기
- RST를 이용한 접속 끊기
- FIN을 이용한 접속 끊기
- SYN/RST 패킷 생성공격
- 네트워크 데몬 정지
- TCP 윈도우 위장
dsniff
- 한국계 미국인으로, 해커이자 정보보호기술 전문가인 미국 미시간대학교 교수 송덕준이 개발한 해킹도구이다. 미국 연방수사국(FBI)의 범죄 용의자 추적용인 카니보어, 이 카니보어에 맞서기 위해 해커들이 개발한 알트보어와 함께 대표적인 스니핑 소프트웨어로 꼽힌다.
Signature-based detection
- Telnet 접속 시 사용되는 계정이나, 메일의 첨부파일 형태, 웹서버에 전송되는 패킷의 내용 등에서 미리 정의된 공격자 패턴과 일치하는지의 여부에 따라 침입여부를 결정하는 방법
Snort
- 네트워크 모니터링이 가능한 도구로서 실시간 트래픽 분석과 IP 네트워크상에서 패킷 로깅이 가능하다. 이것은 프로토콜을 분석, 내용 검색/매칭을 수행할 수 있으며 버퍼 오버플로우, 스텔스 포트 스캔, SMB 탐색 등을 탐지할 수 있다.
Snort 룰 옵션
| 옵션 | 의미 |
| msg | alert나 로그 출력 시 이벤트명으로 사용된다. |
| content | 패킷의 payload 내부를 검색하는 문자열 |
| offset | content로 지정한 문장려의 검색 시작 오프셋을 의미한다. |
| depth | offset으로부터 검사할 바이트수를 지정한다. 빠른 검색을 위해서는 이 옵션을 사용하는 것이 적절하다. |
| nocase | 대소문자를 구분하지 않는다. |
| sid | 룰을 식별하기 위한 식별자 - 100 미만은 예약 - 100~100만 상이는 www.snort.org에서 배포하는 툴 - 100만 초과는 커스텀 룰 |
| flow | TCP계층의 reassembly 시 함께 동작한다. - established : 통신이 established 된 패킷만 - stateless : 상태 상관없이 활성화 되며, 비정상 무작위공격에 대비 |
| rev | 룰 수정 횟수 |
네트워크 변환 기술(NAT)
- 사설 주소와 범용 주소의 매핑을 제공하고 동시에 가상 시설 네트워크를 지원하는 기술이다. 이 기술은 한곳에서 내부 통신을 위해 사설 주소를 사용하고 다른 네트워크와의 통신에는 범용 인터넷 주소를 사용할 수 있도록 해준다.
방화벽 패킷 차단 규칙
- positive 규칙 : 모두 차단하고 허용할 것만 통과하는 정책
- negative 규칙 : 모두 허용하고 차단할 것만 거부하는 정책
DMZ 설치 위치
- 웹 서버, 메일 서버, DNS 서버
VPN의 기능
| 데이터 기밀성 | 송수신되는 데이터를 제3자가 그 내용을 파악하지 못하도록 암호화하여 전송 |
| 데이터 무결성 | 송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법으로 암호화 및 전자서명을 이용 |
| 데이터 근원 인증 | 수신한 데이터가 해당 송신자에 의해서 전송된 것임을 확인할 수 있는 서비스 제공 |
| 접근통제 | 인증된 사용자에게만 접근을 허용하는 기능으로 협상내용을 모르는 제3자의 접근을 통제하는 서비스를 제공 |
NAC(Network Access Control)
- 네트워크에 접근하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제할 수 있는 보안 인프라이다.
- 사용 단말이 내부 네트워크에 접속하기 전에 보안정책을 준수했는지 여부를 검사해 네트워크 접속을 통제하는 보안 솔루션이다.
- 주요 기능으로는 접근제어/인증, PC 및 네트워크 장비 통제, 해킹, 웜, 유해 트래픽 탐지 및 차단 등이 있다.
SIEM
- 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 모니터링 체계