본문 바로가기
정보보안/신용어 정리

용어 빈칸문제 - 정보보안기사 실기 대비 v4

by 쭈로미 2021. 10. 24.


1. 정보보호 통제

- 통제의 구체성에 따라 일반통제와 응용통제(입력, 처리, 출력통제)가 있음

1) 일반통제 : 모든 응용시스템에 공통으로 적용가능한 것, IT조직관리, 백업, 하드웨어 통제 등

2) 응용통제 : 각각의 응용시스템 거래와 데이터의 무결성 확보를 위한 통제

  . 출력 통제 : 정보시스템의 출력 시 부적절한 보고서의 배포, 배포 지연이나 유실 등을 방지하기 위한 통제

  . 예방 통제 : 정보시스템 근본 목적에 위배되거나 목적 달성을 방해하는 일이 발생되지 않도록 하기 위한 통제

    > 물리적 접근통제 : 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종 통제

    > 논리적 접근통제 : 승인 받지 못한 사람이 정보통신망을 통해 자산에 대한 접근을 막기 위한 통제

  . 탐지 통제 : 이미 발생한 부정적 상황을 발견해 내고자 하는 통제, 재발방지책 마련/복구책 동원을 위해 필요

  . 교정 통제 : 발견된 부정적 상황을 벗어나 원래의 상태를 복구하기 위해 필요한 통제 


2. RAID

- 여러 대의 하드 디스크가 있을 때 동일한 데이터를 다른 위치에 중복해서 저장하는 방법

- 이중화 및 성능 향상을 위한 기술

- 몇 개의 물리적인 디스크를 묶고 이것들을 논리적 Array로 정의해 실제 데이터는 여러 개의 물리적 디스크에 저장


3. BCP (Business Continuity Planning), 업무연속성계획

- 정보기술부문뿐 아니라 인력, 설비 등 제반 자원을 대상으로 장애 및 재해를 포괄하여 조직의 생존을 보장하기 위한 예방 및 복구활동 등을 포함하는 보다 광범위한 계획

  . BIA (Business Impact Analysis), 사업영향분석 : 업무 중단 시의 손실 영향도를 파악해 재해에 따른 업무별 우선순위를 부여하고 실행 가능한 대안을 개발하는 활동


4. 공개키 기반 구조인 PKI의 구성요소

- CA(인증기관) : 인증정책 수립, 인증서의 발행, 효력정지, 폐지 등을 관리, 다른 CA와의 상호인증 수행

- RA(등록기관) : 인증기관 대신 사용자의 신원 확인, 인증 기관에 사용자 등록, 발행된 인증서를 사용자에게 전달

- 공개키 인증서 소유자 : 공개키 인증서를 요청하고 획득

- 전자서명 검증자 : 인증서의 유효기간 및 인증서가 CRL에 있는지 확인, 인증서 검증

- CRL : 효력이 정지되거나 폐기된 목록, 인증기관별로 관리

- 보관소 : 인증서와 사용자 관련 정보, 인증서 취소목록(CRL) 등을 저장 및 검색하는 장소


5. 강제적 접근통제(MAC) 모델

1) BLP 모델 : 기밀성,  No-Read-Up / No-Write-Down

   - 주체보다 보안수준이 높은 객체에 대한 읽기 허용X

2) Biba 모델 : 무결성, 위와 반대


6. xinetd 설정파일

- disable : 해당 서비스 실행 여부 결정 (yes/no)

- socket_type : 서비스 소켓 유형 설정 (stream/dgram)

- wait : 서비스 요청 처리 중 다음 요청이 들어오면 즉시 처리할 것인지(no) / 이전 요청 완료 시까지 대기할 것인지(yes)

- user : 어떤 사용자로 서비스를 실행할지

- server : 서비스 파일 절대경로

- log_on_failure : 서버 접속 실패 시 로그파일에 기록하는 내용

- cps =20 5 : connection per second, 초당 연결 개수를 20개로 제한하고, 이를 초과시 5초간 일시 중지 후 다시 서비스 개시

- instances =50 : 동시에 서비스할 수 있는 서버의 최대 개수를 50개로 제한

- per_source =10 : 동일 출발지 IP 클라이언트의 최대 서비스 연결 개수를 10개로 제한

 

<telnet 서비스 설정>

- only_from : 특정 주소, 대역만 접근 허용

- no_access : 특정 주소, 대역만 접근 차단

- access_times 09:00-12:00 : 접속을 허용할 시간대 설정


7. Fragment Overlap 공격  (DoS공격 X)

- Fragment의 offset값을 조작해서 패킷 필터링 장비를 우회

- offset을 조작해 서비스 포트 필드를 중첩시켜, 허용하지 않는 서비스에 접근 가능하게 만듦


8. Tiny Fragment  (DoS공격 X)

- IP 헤더보다 작은 단편을 만들어 우회


8. Teardrop Attack  (DoS공격)

- IP 패킷의 재조합 과정에서 잘못된 offset 정보로 인해 타겟이 문제를 발생하도록 만드는 공격

- offset값을 중첩되도록 혹은 간격을 띄워서 조작 → 타겟이 재조합 과정에서 오류 발생, 시스템 기능 마비


9. DDoS 공격 도구

- Trinoo : UDP Flooding DDoS 공격을 유발하는데 사용

- TFN : TCP, UDP, ICMP 등을 복합적으로 사용해 TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 등 공격 사용

- Stacheldracht : Trinoo와 TFN의 발전된 형태, TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 등 공격 사용

- TFN2K : TFN의 발전된 형태, 통신에 특정 포트가 사용되지 않고 암호화되어 있음

- 이외 Shaft, Trinity 등


10. DDoS 공격 종류

1) HTTP GET Flooding : 공격자가 동일한 동적 컨텐츠에 대한 GET 요청을 다량으로 발생

2) Hulk DoS : 대상 URL 지속적으로 변경하면서 다량으로 GET 요청 (임계치 기반의 DDoS 대응 장비 우회)

3) Hash DoS : 서버는 클라이언트 HTTP 요청을 통해 전달되는 파라미터를 효율적으로 저장, 검색하기 위한 자료 구조로 해시테이블 사용 > 공격자는 이런 특성을 악용해 조작된 많은 수의 파라미터를 POST 방식으로 전달

4) Slow HTTP Header DoS (Slowloris) : 요청 헤더의 끝(빈 라인)을 전달 X, 지속적으로 불필요 헤더 필드 전달

5) Slow HTTP POST DoS (RUDY) : Content-Length를 비정상적으로 크게 설정 → 매우 소량의 데이터 지속적 전송

6) Slow HTTP Read DoS : HTTP 요청을 보낸 후 Window 크기를 조작해 0인 "zero window packet"을 지속 전송 → 서버가 요청에 대한 응답을 전송하지 못하고 연결 지속

 

[Slow HTTP Header/POST 공격 대응책]
1) 동시 연결에 대한 임계치 설정 
  - iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
2) 연결 타임아웃 설정
  - httpd.conf에 Timeout 설정
3) 읽기 타임아웃 설정
  - httpd.conf에 RequestReadTimeout header=5 body=10
   . 요청 헤더가 5초 이내 수신되지 않거나 (Header DOS 대응) 바디 정보가 10초 이내 수신되지 않으면 (POST 공격 대응)

httpd.conf 지시자는 여기 참고

댓글