320x100

시험문제

  1. 주요정보통신 기반시설을 점검할 수 있는 자 (아닌것은?)

한국인터넷진흥원 KISA

정보공유 분석센터,

정보보호 전문 서비스 기업 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)

한국전자통신연구원 

 

 

주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다 

제17조(취약점 분석 및 평가 시기) → 지정 후 6개월 이내에 분석을 해야함, 매년 취약점 분석 평가를 실시해야한다.

과학기술정보통신부고시 제2021-103호:

** 법률은 선택사항이 아닌 의무사항이다.

 

 

---

2. 시험문제

보안위협에 대해 설명하고 이것을 제거하기 위해서 설정해야할 것은?

 

Session Timeout 설정 - 383

주기적으로 세션 체크를 해서 연결이 정상적인지 확인한다 .

Session Timeout 설정 (5이하 권고)

Session Timeout 설정 유무를 점검하여 터미널 접속 후 일정 시간(Session Timeout 지정 시간)이 지난 뒤 터미널 세션이 자동으로 종료되어 관리자의 부재(터미널 작중 자리 비, 작업 완료 후 터미널 접속을 종료하지 않 음) 시 발생 가능한 비인가자의 터미널 접근 통제가 되는지 확인하기 위함

 

Session Timeout 정책이 적용되지 않을 경우, 관리자 부재 시 비인가자가 네트워크 장비 터미널에 접속된 컴퓨터를 통해 네트워크 장비의 정책 변경 및 제 등의 행위를 할 수 있는 위험이 존재함

Session Timeout: 터미널 접속 후 유휴 상태 일 때 자동으로 터미널 접속을 종료하는 시간 설정

---

3. 시험문제 - 387

SNMP(Simple Network Management Protocol) 서비스와 관련해서 라우터에 config 해야할 사항은??

가장 좋은 방법은 사용을 안하는것

하지만 사용을 해야한다면, 보안을 해야 할 사항들 중 틀린것은?

  • Community String이 디폴트로 되어있는 것은 사용하면 안된다 ( 삭제해야함)

  • 새롭게 Community String 을 생성해야하는데 복잡하게 생성을 해야함
  • Community String의 권한은 라이트 권한을 주어서는 안된다. (필요에 의해 사용을 할 수 있어도 기본적으로 라이트 권한은 안됌)

  • SNMP를 통해서 장비에 접근할 수있는 아이피를 제한한다. access list를 통해 제한한다.

Community String: SNMP는 MIB라는 정보를 주고받기 위해 인증 과정에서 일종의 비밀번호인 'Community String'을 사용함

---

 

4. 시험문제 - 397

스푸핑 방지를 위해 설정해야할 아이피 주소가 아닌것은? (객관식)

 

■ 장비별 조치방법 예시 공통 특수 용도 주소 차단(RFC 6890 참조)

 

0.0.0.0/8 자체 네트워크(This host on this network, RFC1122)

10.0.0.0/8 사설 네트워크(Private-Use, RFC1918)

127.0.0.0/8 루프백(Loopback, RFC1122)

169.254.0.0/16 링크 로컬(Link Local, RFC3927)

172.16.0.0/12 사설 네트워크(Private-Use, RFC1918)

192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737)

192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)

 

---

5. 시험문제 - 434 (단답형 주관식)

 

Directed-broadcast 차단

 Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함

IP Directed-Broadcast는 유니스트 IP 패정 서브넷에 도착 했링크-이어 브로드스트로 전되는 을 허용함. 이은 보통 의적으로 이용되, 특히 smurf 공격에 이용

 

스머프 공격 은 브로드캐스트

 

Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법

 

브로드캐스트 아이피 특징 :

그쪽으로 핑을 보내면 이 범위 안에 있는 호스트들에게 다 뿌린다.

그래서 스머프 공격이라는 것은 내가 공격 대상자 소스 IP를 변조해서 브로드 캐스트 아이피로 핑을 보냄,

브로드캐스트 아이피가 같은 범위 안ㅇ ㅔ있는 호스트에게 request 를 보냄

→ 이것을 받은 호스트들이 공격 reply 를 공격자가 변조를 시킨 공격 대상 IP로 공격을 보냄

 

이것을 차단하기 위해서 차단해야 하는 항목은 무엇인가?

 

다이렉트 브로드캐스트 차단.

 

 


객관식 3문제 / 주관식 2문제

사설 아이피는 객관식

주관식은 스머프 공격

취약점 진단개요

취약점 : 위협발생의 사전 조건으로 자신이 가진 취약한 속성

안전장치의 부재 + 보안상의 결점

ex)

  • 서버에서 실행되는 오래된 버전의 서비스 ( 버그나 패치등이 나오기 때문에) → 하위 버전의 취약점이 제거가 됌 하지만 제거하기 힘들다.

왜냐면? 업데이트를 했을때 서비스에 문제가 없을지 판단이 안됌. 하나의 버젼이 업데이트되면 다른 운영 버젼들이 못따라 줄 수가 있다. → 그렇기에 항상 취약점이 존재하다.

웹서비스를 운영하기위해 웹

취약점 진단하는 두가지 방법

1 체크리스트 (서버에 보안 설정이 되어있는가?)

2.취약점 진단 스캐너 (스캐너가 패턴을 보내서 돌아오는 값을 보고 판단) - 진단 스캐너 Tool 넥세스

  • 제한없는 네트워크 접근 (보안에서 가장 중요한 핵심)

접근제한 (서버, 라우터, 시스템에서 접근할 수 있는 아이피만 허용하고 나머지는 막는다.) → 가장 효과적인 방법

  • 침입차단 시스템의 열린 포트

우리 회사쪽으로 접근이 허용된 IP주소 포트가 있을거고 접근 허용이 안된 포트를 제어하는 것이 방화벽 / 방화벽이 열린 포트 제어를 안하면 뻥 뚫려있음 → 불필요한 포트까지 오픈되어 있어서 내부로 침입이 가능하는 취약점을 가지고 있다.

TCP 80 , TCP 443 포트를 open 시켜놓으면 누구든지 아이피를 제한을 안해놨기때문에 접속이 가능하다. → 이 홈페이지를 공격하는 해킹 트래픽을 방화벽에서는 막을 수 없다. 이것을 해결해줌 공격IP만잡아주는 것 IPS.

web service 에 특화된 공격을 막아주는 것은 web firewall.

접근통제가 안될때 올드한 버젼에 대해 방어할 수 있는 최선의 대책은 IPS (허용된 트래픽 중에서 해킹성 트래픽을 막아준다.)

UTM :하나의 장비에 여러가지 보안서비스를 구축해놓은 것

(기본기능은 방화벽 + VPN) + 옵션추가해야함 IPS ANTI VIRUS, 유해차단

오래된 서비스에 UTM을 사용하고 있다면 적용가능한 것은 ?

접근통제하는방법

UTM안에 들어있는 IPS 기능을 활성화 시켜야함

  • 느슨한 통제구역의 물리적 보안
  • 서버와 PC에 취약한 패스워드 설정

취약점 발생유형

환경 및 시설

물리적 보호 결여, 불안정한 전원 설비, 재해를 입기 쉬운 입지조건 …

DI → 재해복구

CSP

MSP 구축되어있는 클라우드 시설에 고객의 아이티 시설을 옮겨줘야 하는데, 그러기 위한 컨설팅과 옮겨주는 기술을 MSP 사업이라고 함 → MSP 역할을 하려면 클라우드에 대한 CSP에 대한 이해도가 높아야함



취약점 점검 분류 기준

관리적 관점 : 정보보호관리체계 보안 통제에 근거하여 취약점 점검

기술적 관점 : 아이티 시설 네트워크, 서버, 웹,PC에 대해 취약점 점검

물리적 관점: 문서 검토, 체크리스트, 면담, 실사 통해 점검

취약점 진단 절차

  1. 자산 조사 및 분석 → 자단을 파악, 그 회사가 운영하고 있는 아이티 시설들이 리스트화 되어 있는데 그중에서 진단 대상을 설정 예를들어 같은 역할을 하는 장비가 여러대 있을 수 있는데 그 중 샘플링 작업을 통해 뽑아서
  2. 진단 대상 선정
  3. 제약 사항 및 일정 확인 → 서비스에 영향을 줄 수 있어서 서비스 제한이 없는 야간에 할 수도 있음
  4. 진단 수행 → 수동점검, 자동점검으로 나눠짐 // 네트워크 시스템 또는 보안장비는 체크리스트가 나와있다. 리스트의 내용대로 설정이 되어 사용하는지 확인해야함 , 윈도우나 유닉스 계열 서버는 점검해야할 체크리스트가 많다. 한 서버 하는데 2시간 걸림 시간 단축을 위해→ 그래서 서버쪽은 스크립트 기반 점검을 진행한다 (명령하는 것을 하나의 스크립트 파일로 만들어서 하나씩 스크립트를 실행하고 그것을 파일로 만들어줌) ///////// 자동진단(스크립트프로그램, 넥세스라는 진단프로그램을 사용) ////// 수동진단(주요정보통신기반시설 기술적 취약점 분석평가 가이드를 통해 진단을 함)
  5. 결과분석
  6. 결과 보고서 작성 . 보고
  7. 진단 완료

시험 출제 (여기서 부터)


주요 정보통신 기반 시설점검

  • 주요정보통신 기반시설 점검의 이해
  • 네트워크 장비 보안 점검/실습
  • 유닉스 서버 보안 점검
  • 윈도우 서버 보안 점검
  • 보안장비 보안점검
  • PC 보안 점검

42p

정보통신기반 보호법 : 주요정보통신 기반시설 점검은 정보통신기반보호법 제9조(취약점의 분석 평가) 및 시행령 제17조(취약점 분석 평가의 시기)를 준용하고 있음.

헌법 → 법률 → 대통령령(시행령) → 시행규칙 → 고시

국가법령정보센터에서 모든 법률 정보를 조회할 수 있음

제8조(주요정보통신기반시설의 지점) : 정부기관에 많은 아이티 시스템이 운영되고 있는데 , 이 시스템 중에서 대국민 서비스를 하기 위해 매우 중요한 시스템들을 지정하고 그 시설들을 주요정보통신기반 시설이라고함. ex) 고등학교 성적표는 교육청시설의 nice에 들어가 있음 이런 시설같이 대국민 대상으로 서비스를 하는 시설들을 주요정보통신기반시설으로 지정한다.

보호법 → 제8조 → 1항 // 보호가 필요하다고 인정되는 시설을 지정할 수 있다. (국가사회적 중요성, 기관이 수행하는 업무 정보통신기반시설의 의존도, 상호연계성, 침해사고가 발생시 국가 경제사회에 미치는 피해규모 및 범위, 침해사고 발생가능성 또는 복구의 용이성

취약점 분석 평가를 할 수 있는 기업이 정해져 있다. ( 아무나 취약점 진단을 하는것이 아님) - 한국인터넷진흥원 KISA or 정보공유 분석센터, 정보보호 전문 서비스 기업, 한국전자통신연구원 만 점검 할 수있다.

주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)

제17조(취약점 분석 및 평가 시기) → 지정 후 6개월 이내에 분석을 해야함, 매년 취약점 분석 평가를 실시해야한다.

과학기술정보통신부고시 제2021-103호:

** 법률은 선택사항이 아닌 의무사항이다.


시험문제

  1. 주요정보통신 기반시설을 점검할 수 있는 자 (아닌것은?)

취약점 분석 평가를 할 수 있는 기업이 정해져 있다. ( 아무나 취약점 진단을 하는것이 아님) - 한국인터넷진흥원 KISA or 정보공유 분석센터, 정보보호 전문 서비스 기업, 한국전자통신연구원 만 점검 할 수있다.

주요정보통신 기반시설로 지정이 되어 있는 장소는 1년에 한번 취약점 진단을 꼭 받아야한다 (정보보호 전문 서비스 기업은 SK쉴더스를 포함 총 28기업이 있다.)


취약점 분석 및 평가 수행

주요정보통신기반시설에 대해 종합적으로 분석 및 평가, 개선하는 일련의 과정

주요시설로 지정된 시설은 스캐너를 사용할 수 없다. 가이드에 있는 체크리스트로 진단해야한다.

기반시설에 대해 취약점을 분석 평가 수행할 수 있는 수행주체

  • 관리기관이 직접 수행할 수 있다.
  • 외부기관 위탁
  • 정보보호 전문서비스 기업, 한국인터넷진흥원, 정보공유 분석센터, 한국전자통신연구원.

보안관제 전문기업은 안된다. 정보보호 전문서비스 기업으로 지정이 된 기업만 취약점 분석이 가능하다.

정보보호전문서비스기업으로 지정받으려면, 정보보호산업진흥법 법률 제23조 ( 학력, 자격증, 경력으로 차별을 둔다. )

수행 주기

시설로 지정된 이후 6개월 이내 평가를 해야한다. + 매년 정기적으로 취약점 분석 평가를 진행 해야한다.

분석 평가 대상 범위

주요정보통신기반시설의 세부시설로 정의된 정보보호 대상 자산

분석 평가 기본항목은 1 관리적 2물리적 3기술적 으로 구분

수행절차

1단계: 취약점 분석 평가 계획 수립 (수행주체, 수행절차, 소요예산, 산출물 등을 포함한 자체 세부계획 수립)

2단계: 취약점 분석 평가 대상 선별

네트워크, 보안, 시스템 별로 그룹화하여 취약점 분석, 평가 대상 목록 작성 (동일한 장비에 대해서 샘플링을 하기 위해서는 그룹으로 묶어놔야한다.)

3단계: 취약점 분석 수행

취약점 분석 요령….

4단계: 취약점 평가 수행

정보보호의 3대 목표 CIA 기밀성, 무결성, 가용성

이것을 기준으로 하여 자산의 중요도를 평가한다.

CIA 관점에서 등급에 따라 급수를 나눈다.

조치불가 취약점으로 분류된 것들 (오래된 버전 등)은 다른 방안을 사용하여 준비를 하고 보고를 하면 된다.

취약점이 발견이 되면, 이용도 부분에서 상 중 하로 평가를 한다.

주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드

한국인터넷진흥원의 지식플랫폼 → 가이드라인


실습


네트워크 장비 보안 점검

  1. 계정관리: 사용하고 있는 계정의 계정정보를 어떻게 하는지
  2. 접근관리: 장비쪽으로 접근할 수 있는 접근 통제를 어떻게 해놨는가?
  3. 패치관리: 시스템의 버전 정보를 보고 체크

UTM 외부인터넷과 내부 망을 분리하는 역할을 함 → 공인 아이피로 분류되는 것은 UTM

내부 망은 공인 아이피가 아니다 = 외부에서 접속이 안된다. (사설 아이피는 라우팅이 안된다.)

공인 아이피를 사용하고 있는 외부 PC와는 접속이 안된다

내부 망에서 운영하고 있는 네트워크 장비, 보안장비는 해커들의 공격 대상이 되지 않는다.

보안 담당자는 취약으로 나온 부분에 대해 보안조치 계획서를 만든다. → IT 시설을 운영하고 있는 협력사와 협의를 해서 계획서를 만들거나 협력사에게 던짐

만약 장비가 너무 오래되서 조치불가가 떨어져서 장비를 바꿔야 한다면,

장기, 단기, 중기로 나눠져서 계획서를 작성하게 된다.

모델은 안보이고 소프트웨어 버젼만 보고 취약으로 보고서를 작성하지만, 담당자는 너무 오래되서 조치가 안된다. 컨설턴트는 이러한 기준을 생각해야한다.

  1. 로그관리: 원격 로그 서버를 운영하고 있느냐, 로깅 버퍼

장비나 서버에서 로그는 보안사고 발생시 추척을 할 수 있는 정보로 중요

로그는 해커가 지우고 나오면 흔적이 안보이기 떄문에, 보안에서 로그는 로그서버에 별도로 저장을 하는 것으로 권고 하고 있음

  1. 기능관리



패스워드 설정

371 372 375 377 378 379

383 387 396 397 400 402

CISCO 는 두가지 암호를 사용한다.

enable password

enable secret 일 방향 암호화 SHA 함수에 의해

enable password 는 service password-encryption이 설정이 안되어 있으면 서비스 상에 암호가 그대로 보임 - 377

원격 터미널(VTY) 통해 네트워크 장비 접근 시 지정된 IP에서만 접근이 가능 하도록 설정되어 있는지 점검 - 379



  1. 시험문제

Session Timeout 설정 - 383

주기적으로 세션 체크를 해서 연결이 정상적인지 확인한다 . 보통 5분정도 주기

보안위협에 대해 설명하고 이것을 제거하기 위해서 설정해야할 것은?



SNMP 서비스 확인 - 387

각 호스트 에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜

SNMP 가 없을떄는 Ping 테스트를 통해서 장비 관리를 하였다.

실시간으로 장비의 트래픽. CPU, 메모리 사용률, 누가 어디서 로그인했는지, 실시간 트래픽이 얼마만큼 흘러다니는지 → 실시간으로 관리를 하기 위해서 나온 프로토콜이 SNMP 이다.

SNMP 를 사용하기 위해서는 버젼이 동일해야한다. SNMP community string이 일치해야 정보를 받을 수 있다. 이것을 사용하는데 서버 같은 경우 OS 가 설치가 되면 default 값으로 퍼블릭과 프라이빗 값이 생성이 되는데 이것들은 사용하면 안된다. 왜? 해커가 그 커뮤니? 값을 이용해 장비의 정보를 가져올 수 있다.

그래서 새로운 커뮤니티를 만들어서 사용하는 것을 권고.

커뮤니티 스트링은 권한이 주어짐

  • need 오닉 - 장비 접근해서 정보만 가져옴 ( CPU얼마
  • need light 쓸 수 있는 권한 ( config 에 장비를 재현할 수 있다, ex 라우터를 리부팅, 인터페이스를 죽이고, 데몬을 다운 할 수도 있다.)

그런 권한을 가지고 있는 곳은 부가적으로 접근통제를 해서 관리자만 접근할 수 있게 해야한다.



  1. 시험문제 - 387


SNMP 서비스와 관련해서 라우터에 config 해야할 사항은??

가장 좋은 방법은 사용을 안하는것

하지만 사용을 해야한다면, 보안을 해야 할 사항들 중 틀린것은?

  • 커뮤니티스트링이 디폴트로 되어있는 것은 사용하면 안된다 ( 삭제해야함)
  • 새롭게 커뮤니티 String을 생성해야하는데 복잡하게 생성을 해야함
  • 커뮤니티스트링의 권한은 라이트 권한을 주어서는 안된다. (필요에 의해 사용을 할 수 있어도 기본적으로 라이트 권한은 안됌)
  • SNMP를 통해서 장비에 접근할 수있는 아이피를 제한한다. access list를 통해 제한한다.


TFTP 서비스 차단 - 396

TFTP : 계정 정보 없이 정보를 다운로드 받을 수 있는 기능

그래서 이 서비스는 사용하지마라.



Spoofing 방지 필터링 적용 또는 보안장비 사용- 397

사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소 를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검

사설아이피 대역은 라우팅이 안되서 정보가 밖으로 나갈 수 없다.




  1. 시험문제 - 397

스푸핑 방지를 위해 설정해야할 아이피 주소가 아닌것은?

사설아이피 범위에 대해서는 명확히 알고 있어야한다.

■ 장비별 조치방법 예시 공통 특수 용도 주소 차단(RFC 6890 참조) 0.0.0.0/8 자체 네트워크(This host on this network, RFC1122) 10.0.0.0/8 사설 네트워크(Private-Use, RFC1918) 127.0.0.0/8 루프백(Loopback, RFC1122) 169.254.0.0/16 링크 로컬(Link Local, RFC3927) 172.16.0.0/12 사설 네트워크(Private-Use, RFC1918) 192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737) 192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)




내가 보안점검을 하려는 장비의 위치가 방화벽, 백본 밑 스위치 장비이면 사설아이피를 운영하고 있기 때문에 디도스 공격을 받을 일이 없다.

디도스 공격은 경계라우터에 대해서만 설정을 하면 된다.

사용하지 않는 인터페이스의 Shutdown 설정 402

사용하지 않은 포트에 광케이블을 꼿으면 상대라우터와 통신이 된다.

사용하지 않는 포트는 강제로 셧다운을 시키고 사용할때는 노 셧다운을 시켜서 사용해야한다.

사용자·명령어별 권한 수준 설정 - 404

계정별로 레벨을 달리해서 세팅을 하기를 권고하고 있음

VTY 접속 시 안전한 프로토콜 사용 - 409

텔렙 접속, SHH. web 접속

텔렙과 web 은 통신할때 암호화 통신을 안하기 떄문에 중간에 탈취가 될 수 있다.

장비에 접속을 할때는 암호화된 프로토콜 SHH 를 사용해라.

불필요한 보조 입·출력 포트 사용 금지 - 411

사용하지 않는 보조(Auxiliary) 포트의 사용을 제한하여 비인가 접근을 원천 적으로 방지

로그온 시 경고 메시지 설정 - 413

배너정보가 설정되어 있는지 확인

로그온 시 접근에 대한 경고 메시지를 설정한 경우

Router(config)# banner motd #

원격 로그서버 사용 - 415

로컬에 발생되는 메모리를 원격 로그 서버로 실시간 전송을 해야한다.

원격 로그 서버 아이피가 지정이 되어있는지

버퍼 크기가 적절하게 설정되어있는지

정책에 따른 로깅 설정이 되어 있는지

NTP 서버 연동 - 422

시스템마다 시간이 다르면 분석을 할 수 없다. 그래서 시간을 모든 장비들을 동기화 시키기 위해 NTP 서버를 사용 해야한다.

timestamp 로그 설정

TCP Keepalive 서비스 설정 (연관 되는 것이 세션 타임아웃)

네트워크 장비의 Telnet 등 TCP 연결이 원격 호스트 측에 예상치 못한 장애 로 비정상 종료된 경우 네트워크 장비가 해당 연결을 지속하지 않고 해제하 도록 TCP Keepalive 서비스를 설정

Finger 서비스 차단 - 426

Finger 서비스로 사용하여 네트워크 장비에 로그인한 계정 ID, 접속 IP 등 정보 노출 Finger 서비스가 활성화되어 있으면, 장비의 접속 상태가 노출될 수 있고 VTY(Virtual Type terminal)의 사용 현황을 원격에서 파악하는 것이 가능함

핑거 서비스를 가지고 장비에 현재 접속되어있는 계정정보와 아이피 주소를 가져온다. 이 아이피 주소는 서버에 접속하도록 허용되어있는 아이피이다. → 이것을 이용해 아이피 스푸핑을 통해 장비에 접속이 가능하다.

웹 서비스 차단 - 428

HTTP 접속을 하지 않게 해라 → 암호화된 통신이 아니기 떄문

TCP/UDP Small 서비스 차단

※ TCP/UDP Small 서비스는 IOS 11.3 이상에서는 기본적으로 서비스가 제거된 상태이므 로 Small 서버들이 Default로 Disable되어 있지만 낮은 버전의 경우는 직접 설정해 주 어야 함

Bootp 서비스 차단

Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음

※ Bootp 서비스: 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게 하는 프로토콜임

CDP 서비스 차단

시스코 장비 두대가 연결이 되어있으면 한쪽 장비에서 다른쪽 장비의 정보를 알 수있다. 그렇기 때문에 CDP 서비스를 차단해야한다.



  1. 시험문제 - 434 (단답형 주관식)

Directed-broadcast 차단

스머프 공격 은 브로드캐스트

※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법

브로드캐스트 아이피 특징 : 그쪽으로 핑을 보내면 이 범위 안에 있는 호스트들에게 다 뿌린다. 그래서 스머프 공격이라는 것은 내가 공격 대상자 소스 IP를 변조해서 브로드 캐스트 아이피로 핑을 보냄, 브로드캐스트 아이피가 같은 범위 안ㅇ ㅔ있는 호스트에게 request 를 보냄 → 이것을 받은 호스트들이 공격 reply 를 공격자가 변조를 시킨 공격 대상 IP로 공격을 보냄

이것을 차단하기 위해서 차단해야 하는 항목은 무엇인가?

→ 다이렉트 브로드캐스트 차단.



Source 라우팅 차단 - 436

목적지 아이피를 보고 찾아간다.

라우터에서 밖으로 인터넷으로 보내려고하는데 목적지 아이피 주소를 가지고 찾아가는 것이 아니고 소스 아이피주소를 가지고 목적지를 찾아가는 방식.

소스 아이피에 대해서는 라우팅을 별도로 운영할 수 있다.

Proxy ARP 차단

Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신 이 이루어지지 않을 수 있음

ICMP unreachable, Redirect 차단 - 438

목적지를 찾아갈때 ICMP 프로토콜이 없으면

ICMP 프로토콜을 이용해 사용하는 프로그램 ping test …

ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스 템의 현재 운영되고 있는 상태 정보가 노출될 수 있음

ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과 정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음

ICMP unreachable: ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷 을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있음

identd 서비스 차단 (핑거서비스도 사용자 식별이 가능)

identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음

Domain lookup 차단

명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단

PAD 차단

mask-reply 차단

스위치, 허브 보안 강화

스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검

스위치에서 패킷을 분석하기 위해 설정해 놓은 것이 있는가? 스니핑과 같음. 이런 것 설정이 안되어 있어야 양호 를 줄 수있음.



실제 config 를 보고 해당사항이 없는지 엑셀파일로 실습 + 보고서 작성

비밀번호 기술지원


정보보호 분야 자격증

민간자격

  1. 컴퓨터보안전문가
  2. CPPG 개인정보관리사 ( 개인정보 보호에 관한 자격증)
  3. 산업보안관리사 ( 국가 공인)

국가공인

  1. 정보처리기사
  2. 정보보안기사
  3. 정보시스템 감리사
  4. 기술지도사
  5. 정보통신/관리기술사
  6. ISMS-P 인증심사원

국제자격증

  1. CISSP 정보시스템 감사사
  2. CISA 정보시스템 보안전문가
  3. ISO27001 정보보호관리체계 인증심사원
  4. BS10012 개인정보보호 인증심사원

해외취업

CISSP CISA CCNA CCNP

결론은 기술사 자격증

취업과 동시에 기술사 공부를 해야한다. 보통 2년 정도를 본다.

300x250

+ Recent posts