정보보안기사 시험 전 암기사항

Mayton·2021년 9월 3일
0

정보보안기사

목록 보기
1/2
post-thumbnail

내일 9시부터 정보보안기사 필기 시험을 본다.
시험 전에 헷갈렸던 부분들을 확실하게 정리를 하고자 하였고, 정리한 내용을 공유해보려고 한다.
공부를 어떻게 했는지는 합격을 한 이후에, 시험보고 시험이 어땠는지, 개발을 하는데 도움이 된다고 생각하는 지 등등은 시험 본 이후에 남겨보려고 한다

대칭키 정리

평문,암호문블록크기키크기라운드 수
DES645616
3DES64112 , 16848
AES128128,192, 25610,12,14
IDEA64128 8
SEED128128,25616,24

해시함수 정리

MD5SHA-1SHA-224SHA-256SHA-384SHA-512
MD길이128160224256384512
최대 메시지2^64-12^64-12^64-12^164-12^128-12^128-1
블록 길이51251251251210241024
워드 길이-3232326464
단계 수648064648080

IPSEC의 종류 정리( AH, EAP, 전송모드와 터널모드)

  • IPSEC : 호스트, 게이트웨이 - 호스트, 게이트웨이간 경로를 보호하기 위한 프로토콜, 강력한 암호화, 인증방식을 가짐 ( 인증, 기밀성, 키관리로 분류)

AH: 무결성, 인증 재전송공격에 대한 보호 제공( 기밀성 X로 사용하지 말아야함)
-전송모드 : 상위 계층 데이터의 앞, IP헤더 뒷부분에 인증데이터 삽입 ("before and after"원칙
-터널모드 (전송 경로를 보호하는 방법으로 네트워크 계층의 헤더를 포함한 모든 데이트에 대해 인증용 데이터 생성, 한쪽이 라우터이면 무조건 터널모드 사용): 최종목적지와는 다른 IPHEADER 삽입
ESP : 무결성, 재전송공격 방지, 제한된 트래픽 흐름 기밀성, 인증

  • 전송모드 : 상위 계층의 데이터에 대하여 암호화 데이터 및 인증용 데이터 생성 IPheader 뒤 상위계층 데이터 앞
  • 터널모드 : 모든 데이터에 대하여 암호화 데이터 및 인증용 데이터 생성 ( IPheader앞에 ESP헤더 생성

Snort 관련 정리

  • snort
    : 일종의 IDS로 다양한 공격과 스캔을 탐지 할 수 있다.
  • rule/ signature 는 크게 header(처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준) 와 body(alert message, 패킷 데이터를 조사하기 위한 내용) 부분으로 구성

주요 옵션
msg: alert나 로그 출력시 이벤트 명으로 사용
content: 패킷의 payload 내부를 검색하는 문자열
offset: content로 지정한 문자열의 검색 시작 오프셋을 의미
depth: offset부터 검사할 바이트 수를 지정
no case: 대소문자를 구분하지 않는다
sid: rule을 식별하기 위한 식별자
flow: tcp계층의 reassembly 시 함께 동작
rev: rule 버전번호로 수정횟수를 표기

OWASP TOP10

InJection(인젝션), Broken Authentication(취약한 인증) Sensitive Data Exposure(민감정보 노출), ::XML External Entities(XXE, XML 외부 개체):: , Broken Access Control(취약한 접근 통제), Security Misconfiguration(보안 설정오류), Cross Site Scripting(크로스사이트 스크립팅), ::Insecure Deserialization(불안전한 역직렬화)::, Using Components with Known Vulnerabilities, ::Insufficient Logging & Monitoring(불충분한 로깅과 모니터링)::
-> DDos, CSRF 없음!

레지스트리 정리

  • Master Key : 하이브 파일에서 직접 읽어 들여 구성되는 키
  • Derived Key : MasterKey로 부터 값을 가져와서 재구성하는 키

MasterKey : HKLM, HKU(LocalMachine, User)
Derived Key : HKCU, HKCC, HKCR (User, Config, Root)

HKLM : 하드웨어 구동에 필요한 드라이버나 설정사항
ex) SAM, Security, Software, System, Clone등의 디렉토리 존재
HKU : 시스템에 있는 모든 계정과 그룹에 관한 정보 서브키가 HKCU와 동일 user.dat에 저장됨, HKCU 키값이 변경되면 HKU의 보안식별자 내용도 변경

HKCC: 시스템이 시작할 때 사용하는 하드웨어 프로파일 저장 서브로 존재하는 config 내용, 디스플레이와 프린터에 관한 설정

HKCR : 시스템에 등록된 파일 확장자와 열때 사용할 애플리케이션 맵핑정보, COM 오브젝트 등록 정보

  • 재부팅 시 악성 코드 구동 디렉터리 위치
  1. 개별사용자 지속 : HKCU₩ ... ₩Run

  2. 개별사용자 일회용 : HKCU₩ ... ₩ RunOnce

  3. 전체 사용자 지속 : HKLM ₩...₩ Run

  4. 전체 사용자 일회용 : HKLM ₩ ...₩ RunOnce

윈도우 부팅 및 로그인 정리

::윈도우 부팅순서::

  1. POST(Power on Self Text) 실행 : 하으뒈어 스스로 시스템이 문제가 없는지 기본사항을 검사
  2. CMOS 시스템 설정사항 및 부팅 관련 정보 시스템 적용
  3. MBR(Master Boot Record) 로드 : 부팅 매체에 대한 기본 파일시스템 정보 로드
    나머지는 기억 안해도 됨!

::윈도우 인증::

  • LSA(Local Security Authority): 로그인을 검증, 접근권한 검사, 이름과 SID를 매칭, 비밀번호 변경, SRM 감사 로그 기록
  • SAM(Security Account Manager): 사용자 / 그룹 계정 정보에 대한 데이터베이스를 관리, 데이터 정보를 비교해 인증 여부 결정
  • SRM(Security Reference Monitor): SAM이 ID PASSWORD일치 여부를 확인해서 알리면, SID를 부여, 접근의 허용 결정

IIS 웹 서버 로그

  • IIS(Internet Information Services)
    : IIS 웹 서버의 기본 설정이면 웹서버 로그는 기본 W3C 형식으로 남는다. 그 외에는 NCSA 공통 로그 파일형식, Microsoft IIS로그 파일 형식등으로 사용한다

W3C로그 예제
2019-06-03 09:53:12 195.168.137.128 GET /XSS/GetCookie.asp?cookie=ASPSESSIONIDQQCAQDDA 80 - 192.168.137.1 Mozlila/5.0 + (compatible; +MSIE+9.0;+Windows+NT+6,1;) 200 0 0 255
날짜와시간 / 서버 IP / HTTP접근 방법과 URL / 서버 포트 / 클라이언트 IP / 클라이언트 브라우저 / 실행 결과 코드 / 서버-클라이언트 전송 데이터크기 / 클-서버 전송 데이터 크기 / 처리 소요 시간

::Apache 웹 서버로그::

httpd.cont 파일에서 LogFormat 확인 가능
/etc/httpd/logs/error_log, access_log 확인 가능

디렉터리 데이터 베이스

네트워크 디렉터리 서비스 : 사용자들에게 리소스를 투명하게 제공, 정확한 위치, 접근하기 위해 필요한 단계들을 알 필요가 없다
Ex) LDAP, NDS, Active Directory

Active Directory :
1. 네트워크 상의 개체에 대한 정보를 저장
2. 논리적인 계층 구조로 조직
3. 서버, 볼륨, 프린터 등의 공유 리소스와 네트워크 사용자 및 컴퓨터 계정이 포함

Active Directory 서버:
구성원 서버나 도메인 컨트롤러의 역할 중 하나 수행 or 독립 실행형 서버
파일서버, 응용프로그램서버, 데이터베이스 서버, 웹 서버, 인증 서버, 방화벽 및 원격 액세스 서버 동작

  • 사용자가로그인 하면 DC에 로그인 -> 네트워크 리소스 정리 -> AD(네트워크 리소스 정리, 사용자 접근 통제기능 수행)

X.509 확장 관련 정리

  • X.509 : IP 보안, SSL, SET, S/MIME과 같은 네트워크 보안 응용에서 널리 사용하는 인증서의 표준 규격

::X.509v3포함 요소::

  1. 키와 정책정보
    : 기관 키 식별자, 사용자 키 식별자, 키 사용, 인증서 정책
  2. 사용자와 발행자 속성
    : 사용자 대체 이름, 발급자 대체 이름
  3. 인증 경로 제약조건
    : 기본제한(인증서의 사용자가 인증기관인지 여부를 구분), 이름제한(사용자 DN이나 사용자 대체 이름에 제약을 가할 수 있음), 정책 제한(정책 제한 확장 가능)
  • V2까지 포함요소 (버전, 일련번호, 서명 알고리즘 식별자, 발행자 이름, 유효기간, 주체이름, 주체의 공개키 정보, 발행자 유일식별자, 주체 유일 식별자, 확장, 서명)

PGP와 PEM비교 정리

::이메일 콘텐츠 보안을 위한 보안기술::

PEM -> PGP -> S/MIME 순으로 발전

  • PEM: 중앙집중화된 키 인증, 구현의 어려움, 높은 보안성, 이론중심
  • PGP: 분산화된 키 인증, 실세계 사용 중심
  • S/MIME : MIME 기반, X.509 인증서 지원

::PGP:: : 인증, 기밀성(ElGamal), 압축, 전자우편 호환성, 단편화 조립 제공( 개인키고리, 공개키 고리 존재) *PGP인증서에는 CA가 필요 없음

::S/MIME::: : 기밀성, 무결성, 사용자인증, 송신사실부인방지/ PEM 구현의 복잡, PGP의 낮은 보안성, 기존시스템과 용이하지않은 점, X.509 인증서 사용

FTP Bounce Attack 과 Anonymous Attack

FTP Bounce Attack: 제어채널과 데이터 채널을 다르게 하고 목적지를 확인하지 않는 취약점 이용 , 능동모드에서는 (Port명령 이용), 익명의 FTP서버를 FTP의 상대방을 검증하지 않는 취약점을 이용하여 공격 대상의 포트를 스캔 하는 용도

Anynomous Attack은 익명의 FTP서버를 FTP의 상대방을 검증하지 않는 취약점을 동일하게 이용하지만 추가로 ID가 입력되어 있지 않는 사용자에게 쓰기권한이 부여 되어 있는 경우 그 권한을 이용하여 프로그램 파괴 (꼭 필요한 경우가 아니라면 서비스 제거)

profile
개발 취준생

0개의 댓글