1. 정보보호 통제
- 통제의 구체성에 따라 일반통제와 응용통제(입력, 처리, 출력통제)가 있음
1) 일반통제 : 모든 응용시스템에 공통으로 적용가능한 것, IT조직관리, 백업, 하드웨어 통제 등
2) 응용통제 : 각각의 응용시스템 거래와 데이터의 무결성 확보를 위한 통제
. 출력 통제 : 정보시스템의 출력 시 부적절한 보고서의 배포, 배포 지연이나 유실 등을 방지하기 위한 통제
. 예방 통제 : 정보시스템 근본 목적에 위배되거나 목적 달성을 방해하는 일이 발생되지 않도록 하기 위한 통제
> 물리적 접근통제 : 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종 통제
> 논리적 접근통제 : 승인 받지 못한 사람이 정보통신망을 통해 자산에 대한 접근을 막기 위한 통제
. 탐지 통제 : 이미 발생한 부정적 상황을 발견해 내고자 하는 통제, 재발방지책 마련/복구책 동원을 위해 필요
. 교정 통제 : 발견된 부정적 상황을 벗어나 원래의 상태를 복구하기 위해 필요한 통제
2. RAID
- 여러 대의 하드 디스크가 있을 때 동일한 데이터를 다른 위치에 중복해서 저장하는 방법
- 이중화 및 성능 향상을 위한 기술
- 몇 개의 물리적인 디스크를 묶고 이것들을 논리적 Array로 정의해 실제 데이터는 여러 개의 물리적 디스크에 저장
3. BCP (Business Continuity Planning), 업무연속성계획
- 정보기술부문뿐 아니라 인력, 설비 등 제반 자원을 대상으로 장애 및 재해를 포괄하여 조직의 생존을 보장하기 위한 예방 및 복구활동 등을 포함하는 보다 광범위한 계획
. BIA (Business Impact Analysis), 사업영향분석 : 업무 중단 시의 손실 영향도를 파악해 재해에 따른 업무별 우선순위를 부여하고 실행 가능한 대안을 개발하는 활동
4. 공개키 기반 구조인 PKI의 구성요소
- CA(인증기관) : 인증정책 수립, 인증서의 발행, 효력정지, 폐지 등을 관리, 다른 CA와의 상호인증 수행
- RA(등록기관) : 인증기관 대신 사용자의 신원 확인, 인증 기관에 사용자 등록, 발행된 인증서를 사용자에게 전달
- 공개키 인증서 소유자 : 공개키 인증서를 요청하고 획득
- 전자서명 검증자 : 인증서의 유효기간 및 인증서가 CRL에 있는지 확인, 인증서 검증
- CRL : 효력이 정지되거나 폐기된 목록, 인증기관별로 관리
- 보관소 : 인증서와 사용자 관련 정보, 인증서 취소목록(CRL) 등을 저장 및 검색하는 장소
5. 강제적 접근통제(MAC) 모델
1) BLP 모델 : 기밀성, No-Read-Up / No-Write-Down
- 주체보다 보안수준이 높은 객체에 대한 읽기 허용X
2) Biba 모델 : 무결성, 위와 반대
6. xinetd 설정파일
- disable : 해당 서비스 실행 여부 결정 (yes/no)
- socket_type : 서비스 소켓 유형 설정 (stream/dgram)
- wait : 서비스 요청 처리 중 다음 요청이 들어오면 즉시 처리할 것인지(no) / 이전 요청 완료 시까지 대기할 것인지(yes)
- user : 어떤 사용자로 서비스를 실행할지
- server : 서비스 파일 절대경로
- log_on_failure : 서버 접속 실패 시 로그파일에 기록하는 내용
- cps =20 5 : connection per second, 초당 연결 개수를 20개로 제한하고, 이를 초과시 5초간 일시 중지 후 다시 서비스 개시
- instances =50 : 동시에 서비스할 수 있는 서버의 최대 개수를 50개로 제한
- per_source =10 : 동일 출발지 IP 클라이언트의 최대 서비스 연결 개수를 10개로 제한
<telnet 서비스 설정>
- only_from : 특정 주소, 대역만 접근 허용
- no_access : 특정 주소, 대역만 접근 차단
- access_times 09:00-12:00 : 접속을 허용할 시간대 설정
7. Fragment Overlap 공격 (DoS공격 X)
- Fragment의 offset값을 조작해서 패킷 필터링 장비를 우회
- offset을 조작해 서비스 포트 필드를 중첩시켜, 허용하지 않는 서비스에 접근 가능하게 만듦
8. Tiny Fragment (DoS공격 X)
- IP 헤더보다 작은 단편을 만들어 우회
8. Teardrop Attack (DoS공격)
- IP 패킷의 재조합 과정에서 잘못된 offset 정보로 인해 타겟이 문제를 발생하도록 만드는 공격
- offset값을 중첩되도록 혹은 간격을 띄워서 조작 → 타겟이 재조합 과정에서 오류 발생, 시스템 기능 마비
9. DDoS 공격 도구
- Trinoo : UDP Flooding DDoS 공격을 유발하는데 사용
- TFN : TCP, UDP, ICMP 등을 복합적으로 사용해 TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 등 공격 사용
- Stacheldracht : Trinoo와 TFN의 발전된 형태, TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 등 공격 사용
- TFN2K : TFN의 발전된 형태, 통신에 특정 포트가 사용되지 않고 암호화되어 있음
- 이외 Shaft, Trinity 등
10. DDoS 공격 종류
1) HTTP GET Flooding : 공격자가 동일한 동적 컨텐츠에 대한 GET 요청을 다량으로 발생
2) Hulk DoS : 공격 대상 URL을 지속적으로 변경하면서 다량으로 GET 요청 (임계치 기반의 DDoS 대응 장비 우회)
3) Hash DoS : 웹서버는 클라이언트 HTTP 요청을 통해 전달되는 파라미터를 효율적으로 저장, 검색하기 위한 자료 구조로 해시테이블 사용 > 공격자는 이런 특성을 악용해 조작된 많은 수의 파라미터를 POST 방식으로 전달
4) Slow HTTP Header DoS (Slowloris) : 요청 헤더의 끝(빈 라인)을 전달 X, 지속적으로 불필요 헤더 필드 전달
5) Slow HTTP POST DoS (RUDY) : Content-Length를 비정상적으로 크게 설정 → 매우 소량의 데이터 지속적 전송
6) Slow HTTP Read DoS : HTTP 요청을 보낸 후 Window 크기를 조작해 0인 "zero window packet"을 지속 전송 → 서버가 요청에 대한 응답을 전송하지 못하고 연결 지속
[Slow HTTP Header/POST 공격 대응책]
1) 동시 연결에 대한 임계치 설정
- iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
2) 연결 타임아웃 설정
- httpd.conf에 Timeout 설정
3) 읽기 타임아웃 설정
- httpd.conf에 RequestReadTimeout header=5 body=10
. 요청 헤더가 5초 이내 수신되지 않거나 (Header DOS 대응) 바디 정보가 10초 이내 수신되지 않으면 (POST 공격 대응)
httpd.conf 지시자는 여기 참고
'정보보안 > 신용어 정리' 카테고리의 다른 글
용어 빈칸문제 - 정보보안기사 실기 대비 v6 (0) | 2021.10.25 |
---|---|
용어 빈칸문제 - 정보보안기사 실기 대비 v5 (0) | 2021.10.24 |
용어 빈칸문제 - 정보보안기사 실기 대비 v3 (0) | 2021.10.22 |
정보보안기사 실기 대비 신용어 정리 3탄 (빈칸문제) (0) | 2021.10.17 |
용어 빈칸문제 - 정보보안기사 실기 대비 v2 (0) | 2021.10.16 |
댓글