[정보보안기사] 네트워크 보안 암기 항목

오용/비정상 행위 탐지 예시

1) 오용 탐지

서명 분석, 전문가 시스템, 페트리넷, 상태 전이 분석

2) 비정상 행위 탐지

통계, 신경망, 컴퓨터 면역학, 데이터 마이닝

사용자인증, IPS/IDS에서의 침입탐지

1) 사용자 인증

FRR (오 거부율): 합법적인 사용자를 거부

FAR (오 인식률): 침입자를 허용

CER/ EER: FRR과 FAR이 일치하는 지점으로 수치가 낮을수록 정확하다.

2) IPS/IDS

False Positive:  합법적인 사용자를 침입자로 판단

False Negative: 침입자를 합법적인 사용자로 판단

Port 번호

SNMP: 161

POP3: 110

SMTP: 25

IMAP: 143

L7 Swich

모든 TCP/UDP에 기반한 응용프로그램을 분류하고 제어할 수 없음

well-known port인 (FTP, NFS, H.323, RTP)등에서 세션 처리가 가능하지만 임시 포트를 제어하는건 불가능하다.

DDOS 대응순서

모니터링 → 침입탐지 → 초기대응 → 상세분석 → 차단수행

NIC

전송될 데이터를 병렬에서 직렬로 전환한다.

빠른 전송을 위해 데이터를 코딩하고 압축한다.

BODY

MDM: 기기를 완전히 제어

MAM: 기기에 설치 된 업무 관련 앱만 제어

모바일 가상화: 개인용, 업무용 OS를 설치하여 정보를 분리

컨테이너화: 업무용과 개인용 영역을 구분

DRDOS

취약점이 있는 외부의 정상적인 서버들을 이용하여 공격을 수행하는 분산 서비스 거부 공격

ICMP Message

인터넷 제어 메시지 프로토콜 오류 메세지를 전송받는 데 주로 쓰임

 

0: 에코 응답

8: 에코 요청

3: 수신처 도달 불가

5: 라우트 변경

11: 시간 초과

APT

침투 → 탐색 → 수집 → 공격

 

스피어 피싱: 특정 기관의 목표로 진행되는 목표 지향적인 피싱 공격

드라이브-바이-다운로드 공격: 자주 방문할 사이트에 미리 악성코드를 배포한 후 다운받게 한다.

워터링홀 공격: 공격 대상이 주로 방문하는 사이트에 사전 정보를 조사한 후 제로데이 취약점을 이용해 악성 코드를 심어 놓고 공격 대상이 해당 사이트에 접근하게 되면 해당 악성코드에 감염된다.

IPSEC

IKE프로토콜은 SA를 협의하기위해 사용됨

SSL/TLS Attack

Heart Bleed: 메모리 데이터 누출

POODEL: 다운그레이드한 통신 강요

DLP, DRM

DLP(Data Loss Prevention): 데이터의 흐름을 감시하여 중요 데이터의 유출을 방지

DRM(Data Rights Management): 자신의 콘텐츠에 대한 접근을 자신 또는 자신의 위임자가 지정하는 다양한 방식으로 제어할 수 있게 하는 기술적인 방법

방화벽 구조

스크리닝 라우터: 라우터를 이용해 각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할

이중 네트워크 호스트: 내부 외부 2개의 인터페이스를 가지는 장비

스크리닝 호스트 게이트웨이: 내부 네트워크에 놓여 있는 배스천호스트와 외부 네트워크 사이에 스크리닝 라우터로 구성

스크리닝 서브넷 게이트웨이: DMZ(Demilitarized Zone)라는 서브넷을 운영하는 방식 (스크리닝 + 이중 + 호스트)

배스천 호스트: 침입차단 S/W가 설치되어 내 외부 네트워크 사이에서 게이트웨이 역할을 수행하며 철저한 보안 방어기능이 구축되어 있는 컴퓨터 시스템

DNS Cache

ipconfig /displaydns

ipconfig /flushdns

VPN

기밀성(ESP), 무결성(AH), 접근 통제(SSL VPN), 인증

TOOLS

dsniff: sniffing 

hunt: Session hijacking

tripwire: 무결성

tcpdump: 트래픽

rlogin, TCP Wrapper

rlogin: .rhosts파일 또는 /etc/hosts.equiv 파일에 호스트가 등록

Tcp_wrapper: /etc/hosts.allow, /etc/hosts.deny