[정보 보안] 실기 문제 풀이 - 15

Cookie·2024년 10월 20일
네트워크 보안보안 단답형보안 서술형정보보안정보보안 문제정보보안 실기
0

정보보안

목록 보기
22/40
post-thumbnail

네트워크

단답형


318 ⭐️

다음중 TLS/SSL의 취약성을 이용한 공격과 가장 관계가 있는 공격 2개를 고르시오.

BEAST attack, SMURF attack, CSRF attack, Slowloris attack, CRIME attack
  • 정답
    BEAST, CRIME attack

  • 해설
    • BEAST attack (Browser Exploit Against SSL/TLS)
      : 사용자 브라우저의 취약점을 이용하여 HTTPS 쿠키를 훔쳐서 HTTPS 세션을 가로챌 수 있는 공격
    • CRIME attack (Compression Ration Info-Leak Masss Exploitaion)
      : HTTPS의 압축에 따른 취약점을 이용하여 HTTPS 쿠키를 훔쳐서 HTTPS 세션을 가로챌 수 있는 공격

319

관리자가 일반적으로 FTP 혹은 telnet을 사용하면 평문 형태의 통신이 이루어져 공격자의 스니핑 위험에 노출되게 된다. 다음 중 이에 대한 대안으로 사용할 수 있는 솔루션은 무엇인가?

  • 정답
    SSH (port : 22)

  • SSH (Secure Shell)
    • 인터넷에서 원격으로 호스트를 관리하는 안전한 암호통신 터미널 프로그램
    • 안전하지 않은 채널 사이의 강력한 인증기능 제공
    • rlogin, rsh, telnet, ftp와 같은 프로그램을 안전하게 대체

322

라우터를 활용한 네트워크 보안 기능과 관련하여 빈칸에 적절한 용어를 쓰시오.

( A ) : Standard 또는 Extended Access-List를 활용하여 라우터 내부로 즉, 사내 네트
워크로 유입되는 패킷의 출발지 IP 주소를 점검하여 허용 또는 거부하도록 하는 것이다.
( B ) : 내부에서 라우터 외부로 나가는 패킷의 출발지 IP 주소를 검사하여 허용 또는 거부
하도록 하는 것이다. 
( C ) : 특정한 목적지 IP 주소 또는 IP 주소 대역에 대해서 null이라는 가상의 인터페이
스로 보내도록 함으로써 패킷의 통신이 되지 않도록 하는 것이다.
  • 정답
    A : Ingress
    B : Egress
    C : 블랙홀 필터링 or NULL 라우팅

323

다음 빈칸( A ), ( B )에 적절한 용어를 쓰시오.
교육기관의 네트워크 관리자가 네트워크 성능이 심각하게 저하되는 현상을 발견하고 트래픽 모니터링을 시행한 결과, 아래 그림과 같은 트래픽이 대량으로 발생하는 것을 확인하였다. 관리자는 라우터에서 이러한 트래픽을 필터링하기 위해 access-list rule을 생성하고자 한다. 이를 위해 다음의 rule을 완성하시오.

49  40.043491  33.228.79.82      2235   192.168.159.133   53   DNS
50  40.144564  170.91.141.31     2235   192.168.159.133   53   DNS
51  40.245563  170.203.168.176   2235   192.168.159.133   53   DNS
52  40.346658  6.133.62.251      2235   192.168.159.133   53   DNS
53  40.447705  62.42.23.216      2235   192.168.159.133   53   DNS
54  40.548938  71.56.58.54       2235   192.168.159.133   53   DNS
55  40.650258  33.160.34.38      2235   192.168.159.133   53   DNS
56  40.750777  46.170.231.44     2235   192.168.159.133   53   DNS
access-list 100 deny ( A ) any any eq ( B )
  • 정답
    A : udp
    B : 53

  • 해설
    • 문제의 acl 설정은 acl번호를 100으로 설정하고 출발지 및 목적지가 모두 any이고 목적지 포트가 53인 UDP 패킷을 차단하는 설정임

  • Extended access-list
    : 패킷의 출발지 IP뿐만 아니라 목적지 IP, 포트, 프로토콜 등을 이용하여 차단할 수 있는 기능으로 access-list(acl) number로 100~199번까지 사용한다.
    • 기본형식
      access-list acl번호 [permit 또는 deny] 프로토콜 출발지 [출발지-wildcard]

324

라우터 설정에서 SNMP 서비스를 비활성화하고자 한다. 다음의 빈칸에 명령어를 완성하시오.

[Cisco IOS]
Router# config terminal
Router(config)# (  A  ) (  B  )
  • 정답
    A : no
    B : snmp-server

325

라우터 설정에서 directed broadcast를 허용하면 내부 네트워크가 스머프 공격을 비롯한 여러 공격에 대한 증폭과 반사 수단으로 악용될 수 있다. 이를 허용하지 않도록 빈칸에 명령어를 완성하시오.

[Cisco IOS]
Router# conf t
Router(config)# interface FastEthernet 0/0
Router(config-if)# (  A  ) (  B  ) (  C  )
  • 정답
    A : no
    B : ip
    C : directed broadcast

  • 해설
    • Router# conf t
      : 관리자 모드에서 설정모드로 전환, conf t 는 config terminal의 단축 명령
    • Router(config)# interface FastEthernet 0/0
      : 설정할 인터페이스(FastEthernet 0/0) 지정
    • Router(config-if)# no IP directed broadcast
      : ip directed broadcast를 허용하지 않음

326

다음 빈칸에 들어갈 용어를 쓰시오.

라우링은 정적 또는 동적 방식을 통해 라우팅 테이블을 갱신하고 이를 통해 전송할 패킷의 
최적 목적지 경로를 선정하여 전송하는 일련의 작업을 말한다. 동적 라우팅을 위한 라우팅
프로토콜을 분류하면 다음과 같다.
1. IGP(Interior Gateway Protocol) : 자율 시스템(AS) 내부 라우팅
  가. ( A ) 방식 : RIP, RIPv2, IGRP
  나. ( B ) 방식 : IS-IS, OSPF
  다. ( C ) 방식 : EIGRP
2. EGP(Exterior Gateway Protocol) : 자율 시스템(AS) 간 라우팅
  가. ( D ) 방식 : BGP
  • 정답
    A : 거리 벡터
    B : 링크 상태
    C : 하이브리드
    D : 경로 벡터

  • 라우팅
    1. 정적 라우팅(static routing)
      : 관리자가 직접 라우팅 테이블을 설정하는 방식
      • 정확한 라우팅, 트래픽 낭비 막을 수 있음
      • 큰 규모의 경우 관리의 어려움 존재

    2. 동적 라우팅(dynamic routing)
      : 라우팅 프로토콜을 이용하여 자동으로 경로를 탐색하고 패킷을 전달하는 방식

    • 라우팅 프로토콜 분류

      1. IGP : 자율 시스템 내부에서 사용하는 라우팅 프로토콜

        • 거리 벡터 : RIP, RIPv2, IGRP
        • 링크 상태 : IS-IS, OSPF
        • 하이브리드 : EIGRP

      2. EGP : 자율 시스템 간에 사용하는 라우팅 프로토콜

        • 경로 벡터 : BGP

        자율 시스템(Autonomous System) : 조직/기관 내부에서 직접 관리하는 라우터 집합


327

다음 라우팅 프로토콜에 대한 설명이다. 빈칸에 적절한 용어를 쓰시오.

( A ) : 자율 시스템 내부에서 사용하는 라우팅 프로토콜로 거리 벡터(distance vector)
알고리즘을 사용하며 가장 오래되고 널리 사용되고 있다.
( B ) : 자율 시스템 내부에서 사용하는 라우팅 프로토콜로 링크 상태(link state) 알고
리즘을 사용하며 링크 상태에 변화가 생긴 경우에만 라우팅 정보를 교환하므로 라우팅 정보를
신속하게 갱식하고 트래픽 양을 줄일 수 있는 장점이 있따디.
( C ) : 시스코에서 제안하였으며, 거리 벡터와 링크 상태 알고리즘의 장점을 수용한 하이브
리드 라우팅 프로토콜로 효율성과 수렴 속도가 개선되어 안정적인 라우팅을 지원한다.
  • 정답
    A : RIP(Routing Information Protocol)
    B : OSPF(Open Shortest Path First)
    C : EIGRP(Enhanced Interior Gateway Routing Protocol)



서술형


331

스위칭 허브의 기능과 동작 원리에 관하여 서술하시오.

  • 정답 및 해설
    스위칭 허브는 더미 허브와 달리 유입된 프레임의 목적지 MAC주소의 포트로만 프레임을 전달해주는 네트워크 장비
    • 주요 기능 및 원리
      • 학습
        : 특정 포트로 유입된 프레임의 MAC주소를 기반으로 MAC address table 을 생성하여 포트별 연결된 장비의 MAC주소를 식별
      • 전달
        : MAC address table 을 참조하여 전송할 프레임의 목적지 MAC 주소의 포트로 프레임을 전달
      • 필터링
        : 목적지 포트 외에는 프레임을 전송하지 않음
      • 플러딩
        : MAC address table에 등록되지 않은 목적지 MAC 주소의 프레임은 더미 허브 처럼 모든 포트로 프레임을 전송

332

스위치(L2 스위치, 스위치 허브) 환경에서는 통상적인 방법으로 스니핑이 불가능하다. 그러나 여러 방법으로 스위치 환경에서 스니핑이 가능할 수 있다. 가능한 방법들을 모두 나열하고 간단히 설명하시오.

  • 정답 및 해설
    • Switch Jamming / MAC Flooding
      : 스위치의 MAC address table을 모두 채워서 스위치가 허브처럼 동작하게 만들어 패킷을 스니핑
      • 일반적으로 공격자는 변조한 MAC 정보를 담고 있는 ARP Reply 패킷을 계속해서 전송함
    • ARP Spoofing / ARP Cache Poisoning
      : 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속해서 전송하면 희생자의 ARP Cache Table에 특정 호스트의 MAC 주소가 공격자의 MAC 주소로 변조됨
      • 희생자로부터 외부 네트워크로 나가는 패킷을 공격자가 스니핑할 수 있게됨
    • ARP Redirect
      : 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조한 ARP Reply 패킷을 해당 네트워크에 브로드캐스트하면 해당 네트워크에 연결된 모든 호스트의 ARP Cache Table에 라우터의 MAC 주소가 공격자의 MAC 주소로 변조됨
      • 희생자로부터 외부 네트워크로 나가는 패킷을 공격자가 스니핑할 수 있게됨
    • ICMP Redirect
      : 라우터에서 호스트 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지로 이를 악용하여 특정 IP 또는 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 전송함으로써 희생자의 라우팅 테이블에 공격자로 향하는 경로를 생성함
      • 특정 IP 또는 대역으로 나가는 패킷을 공격자가 스니핑할 수 있게 됨
    • Switch 의 Span/Monitor Port를 이용 (포트 미러링)
      : 스위치가 통과하는 모든 트래픽을 볼 수 있는 포트로 네트워크 관리 목적이지만 공격자가 악용하기 좋은 장소

334 ⭐️⭐️

VLAN의 개념을 설명하고 구성 방식에 따른 종류를 설명하시오.

1) VLAN 개념
2) VLAN 종류 및 각 방식 설명
  • 정답 및 해설
    1. Virtual LAN을 의미하며, 데이터링크 계층에서의 브로드캐스트 도메인을 논리적으로 나누기 위해 사용하는 기술
    2. 종류
      • Port 기반
        : 스위치 포트를 각 VLAN에 할당하는 것, 같은 VLAN에 속한 포트에 연결된 호스트들간에만 통신 가능
      • MAC 기반
        : 각 호스트들의 MAC 주소를 VLAN에 등록하여 같은 VLAN에 속한 MAC 주소의 호스트간에만 통신이 가능, 호스트들의 MAC 주소를 전부 등록하고 관리해야하는 어려움이 존재
      • 네트워크 주소 기반
        : 네트워크 주소별로 VLAN을 구성하여 같은 네트워크에 속한 호스트들 간에만 통신할 수 있도록 구성, 주로 IP 네트워크 VLAN을 사용
      • 프로토콜 기반
        : 같은 통신 프로토콜을 가진 호스트들 간에만 통신할 수 있도록 구성

335

ARP 스푸핑에 대하여 다음 각 질문에 답하시오

1) ARP 스푸핑 공격에 대해 간단히 설명하시오.
2) ARP 스푸핑은 공격 대상이 어디에 존재할 때 가능한지 이유를 설명하시오.
3) 철수와 영희 사이에서 공격자가 ARP 스푸핑 공격을 하는 과정을 서술하시오.
  - 철수_IP : 192.168.0.1    철수_MAC : A
  - 영희_IP : 192.168.0.2    영희_MAC : B
  - 공격자_IP : 192.168.0.3  공격자_MAC : C
4) 철수는 영희와 안전하게 통신하기 원한다. 다른도구를 사용하지 않고 ARP Cache Table
을 이용한 대응 방안을 서술하시오.
  • 정답 및 해설
    1. 스위치 환경에서 스니핑하기 위한 공격기법중 하나로 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 만들어 희생자에게 지속해서 전송하여 ARP Cache Table 에 특정 호스트의 MAC 정보가 공격자의 MAC 정보로 변경되어 희생자로부터 특정호스트로 나가는 패킷을 공격자가 스니핑할 수 있게되는 공격 기법
    2. ARP 요청/응답 패킷은 서로 다른 네트워크로는 라우팅 되지 않기 때문에 공격자와 희생자가 동일한 네트워크에 있어여야함
    3. ARP 스푸핑 과정
      • 공격자가 철수에게 영희의 MAC주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 지속적으로 전송하여 철수의 ARP Cache Table 정보를 조작
      • 공격자는 영희에게 철수의 MAC주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 지속적으로 전송하여 영희의 ARP Cache Table 정보를 조작
      • 공격자는 철수와 영희가 통신할 수 있도록 IP 포워딩 기능을 활성화 한 후 둘 사이에 주고 받는 패킷을 스니핑함
    4. arp 명령어를 사용하여 ARP Cache Table 정보를 정적으로 구성
      • 명령어 형식 : arp -s [대상 IP 주소] [대상 MAC 주소]
      • 철수의 컴퓨터 : arp -s 192.168.0.2 B
      • 영희의 컴퓨터 : arp -s 192.16.0.1 A

337

다음은 보안 담당자가 의심으로운 시스템 운영자 PC를 점검한 결과이다. 각 질문에 답하시오.

c:\arp -a
Internet Address      Physical Address       Type
192.168.13.1          11-11-11-11-11-11      dynamic
192.168.13.20         aa-aa-aa-aa-aa-aa      dynamic
192.168.13.21         bb-bb-bb-bb-bb-bb      dynamic
192.168.13.22         11-11-11-11-11-11      dynamic
(네트워크 설정)default gateway address(mac) : 192.168.13.1(cc-cc-cc-cc-cc-cc)

1) 무슨 공격을 받고 있다고 판단하는가?
2) 판단의 이유는 무엇인가?
3) 공격자(공격근원지)는 누구인가?
4) 해당 공격을 방어하기 위한 수동명령 구문을 작성하시오.
  • 정답
    1. ARP Redirect
    2. 192.168.13.1(기본 게이트웨이)과 192.168.13.22가 동일한 MAC 주소(11-11-11-11-11-11)를 사용 중임 이는 네트워크 상에서 ARP 테이블이 조작되어 트래픽 가로채기 시도일 가능성 있음
    3. 192.168.13.22
    4. 윈도우 기준 : arp -s 192.168.13.1 cc-cc-cc-cc-cc-cc

338

다음은 보안 담당자가 의심스러운 시스템 운영자 PC를 점검한 결과이다. 다음 각 질문에 답하시오.

c:\netstat -rn
Routing Table

Destination         Netmask            gateway            ~
0.0.0.0             0.0.0.0            192.168.8.2        ~
127.0.0.1           255.0.0.0          127.0.0.1          ~
172.16.18.13        255.255.255.255    192.168.8.192      ~
192.168.8.0         255.255.255.0      192.168.8.11       ~
default gateway :   192.168.8.2

1) 무슨 공격을 받고 있다고 판단하는가?
2) 판단의 이유는 무엇인가?
3) 공격자(공격근원지)는 누구인가?
4) 해당 공격을 방어하는 방법을 설명하시오.
  • 정답
    1. ICMP Redirect
    2. 172.16.18.13의 넷마스크가 255.255.255.255인 것은 이 IP가 단일 호스트를 의미하며, 정상적으로는 기본 게이트웨이인 192.168.8.2를 통해 나가야 한다. 그러나 라우팅 테이블에서 이 트래픽이 192.168.8.192를 경유하고 있다면, 이는 비정상적인 설정으로 이는 공격자가 ICMP Redirect 패킷으로 네트워크 경로를 조작했을 가능성을 의심하게 만든다.
    3. 172.16.18.3 목적지의 gateway 주소인 192.168.8.192
    4. 호스트의 라우팅 테이블 정보가 ICMP Redirect 메시지에 의해 변경되지 않도록 호스트의 ICMP Redirect 옵션을 해제
profile
Cookie
나만의 공부 일지... [임시 休]
이전 포스트

[정보 보안] 실기 문제 풀이 - 14

다음 포스트

[정보 보안] 봇(Bot)/봇넷(Botnet)

0개의 댓글