[알쓸신잡] 정보보호병 시험, 면접 준비

XSS / CSRF 차이

- XSS : Client 공격

- CSRF  : Server 공격

웹 프록시 툴 종류

- burp suite

- fiddler

- 클라이언트의 요청을 받아 중계하는 서버

- 클라이언트 - Proxy - 서버

- 즉, 데이터 조작이 가능

VPN(Virtual Private Network)

- 가상 사설망

- 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망

VPN 터널링

- 데이터 패킷의 암호화

- VPN 터널의 생성 및 관리

- 암호화 키 관리 수행

OWASP top 10

- 인젝션 : SQL injection

- 취약한 인증 : 암호, 키, 세션 토큰을 위험에 노출 시키거나 일시적 또는 영구적으로 다른 사용자 권환 획득

- 민감한 데이터 노출 : 금융 정보, 건강 정보, 개인 식별 정보와 같은 데이터 노출

- XML 외부 개체(XEE) : 외부 개체는 파일 URL 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 공개

- 취약한 접근 통제 : 접근 권한이 없는데 데이터에 접근

- 잘못된 보안 구성 : 에러 메시지 출력 등

- 크로스 사이트 스크립트(XSS) : 스크립트 실행

- 안전하지 않은 역직렬화 

- 알려진 취약점이 있는 구성요소 사용

- 불충분한 로깅과 모니터링 

OSI 7계층

- 응용 계층 : 응용프로그램

- 표현 계층 : 암호화

- 세션 계층 : 세션 연결(연결 복구 시도)

- 전송 계층 : 송수신 연결(TCP, UDP)

- 네트워크 계층 : 라우팅, 패킷 포워딩, 흐름 제어, 오류 검사

- 데이터 링크 계층 : 오류감지, 주소할당, MAC 주소

- 물리 계층 : 비트 전송

TCP 흐름 제어

- 패킷의 양과 속도를 조절하여 네트워크를 효율적으로 사용

TCP 혼잡 제어

- 혼잡시 MSS를 1로 낮추어 Slow Start

- 일정 MSS에 도달하면 다시 선형으로 증가

- 3-duplicate 발생시 MSS를 반으로 줄임

MSS(Maximum Segment Size)

Slow Start

- 천천히 시작하는 것을 방지하고자 MSS를 두배씩 늘림

- 1 -> 2 -> 4 -> 8 -> 16

IP Fragmentation(단편화)의 취약점을 이용한 공격 기법

- Tear Drop

- 시스템의 오류및 오동작을 유발해서 DoS 상태를 유발하기 위한 공격 기법

- IP 패킷의 여러 조각들의 Offset 값을 변경한다.

- 이를 수신한 호스트는 문제가 발생하고, 재조합 하기 위해 버퍼를 할당하고 메모리 복사를 위함 시스템함수들을 수행하는데

- 시스템 함수에 취약점이 존재하고 버퍼의 크기와 전달된 패킷의 조각에 대한 검증이 없다면 BoF가 발생

- 시스템 메모리는 프로세서 진행이 불가능하고 비정상적인 종료

- Tiny Fragment : 패킷 필터링 기반의 침입탐지/차단시스템(Firewall, IDS, IPS)을 우회해서 내부 시스템에 침입하기 위해서 작은 패킷을 만든다.

- 네트워크 장비가 만약 목적지 port를 보고 필터링 정책을 적용한다면 작은 패킷은 목적지 port를 없애고 보낸다. 

- 네트워크 장비는 목적지 port를 보려고 하지만 목적지 port가 없으므로 오작동을 일으켜 작은 패킷을 통과 시킨다.

-  그 후에 들어오는 패킷들은 이미 통과된 ip fragment id를 가지고 있으므로 자동으로 통과가 된다.

- Fragment Overlap

- 대부분 네트워크 망은 80(http), 53(dns)등의 포트는 외부에서 접근이 가능하도록 한다.

- 내부망의 포트 정보를 담은 패킷을 전송할 때, 80포트로 전송하고 offset 값을 조작하여 재조합시 80포트 부분을 내부망의 포트 번호로 덮어 쓰이도록 한다.

- 결과적으로 재조합 된 IP Datagram의 목적지는 80포트가 아닌 내부망 포트이다.

- 즉, 80포트로 보낸뒤 offset 조작으로 목적지 포트 변경

쿠키와 세션 차이

- 쿠키 : 클라이언트 로컬에 저장되는 키와 값이 들어있는 작은 데이터

- 쿠키 : 이름, 값, 만료날짜, 경로 정보가 들어있다.

- 세션 : 일정 시간동안 같은 브라우저로 부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 유지하는 기술

- 세션 : 로그인 정보 유지에 사용 

- 차이 : 저장위치 _ 쿠키는 클라이언트에 파일로, 세션은 서버에 저장

- 차이 : 보안 _ 쿠키는 조작 가능, 세션은 조작 불가능

워터링 홀

- 타겟이 된 관심 대상이 방문 할 가능성이 높은 사이트를 대상으로 하여, 공격자가 사이트를 침해하여 피해자를 악성코드로 리다이렉트 하기 위해 자바스크립트와 HTML을 삽입한다.

- 1. 공격자는 피해자를 프로파일하고, 이들이 자주 가는 웹사이트의 종류를 파악

- 2. 공격자는 취약점들을 이용하여 웹사이트들을 테스트

- 3. 공격자는 취약점을 이용하여 피해자를 리다이렉팅하기 위해 자바스크립트나 HTML을 삽입

- 4. 손상된 웹 사이트는 피해자를 대기한다.

DoS 공격 종류

- Ping Of Death : 패킷의 크기를 크게 하여 ping을 보낸다.

- Land Attack : 출발지 주소/포트와 목적지 주소/포트가 같은 곳으로 설정(loopback attack)

- SYN Flooding : SYN 패킷을 받은 후 Backlog Queue의 자원을 할당해 준다. 이를 이용한 공격 SYN을 계속 보내기

- Smurf : Local BroadCast를 이용한 공격

- Fragment Manipulation : fragment offset 필드를 조작해서 재조합 하는 과정에서 오류가 발생하도록 유도

- DHCP Starvation : 공격자가 MAC Address를 계속 변경하여 DHCP로 부터 IP를 계속 할당 받아 IP주소를 고갈 시키는 방법

DoS, DDoS, DrDoS

- DoS : 서비스 거부 공격

- DDoS ; 한 타겟 시스템을 집중으로 공격하는 방법, DoS 공격기법을 좀비 PC가 공격 (분산)

- DrDoS : 타겟의 IP를 스푸핑해서 요청 패킷을 여러 DNS 서버에 보내면 DNS 서버는 타겟에게 응답 패킷을 보낸다. (반사체) 

ARP Spoofing

- 내부망에서 상대의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법.

- 상대에게 게이트웨이의 ip주소와 공격자의 mac 주소가 담긴 arp 메시지를 발송하면 상대방은 공격자를 게이트웨이로 인식하게 되고 공격자에게 패킷을 전송하게 되는 기법

자신의 인생관이나 가치관은 무엇인가?

 

사회봉사나 알바 경험이 있는가?

최근 감명깊게 읽은 책은 무엇인가?

우리나라의 주적은 누구인가?.

가족관계는 어떻게 되며, 가족중에 가장 존경하는 사람은 누구인가?

정보보호병에 지원한 동기는 무엇인가?

정보보호병은 무엇을 하는가?

- NAC 장비 운용

- 보안 관제

- 포맷

NAC란 무엇인가?

- 자가망이 들어와있는 망의 제일 최상단에 존재하는 장비로

- 군 조직 내부 인트라넷 망에 불필요한 접근이 발생하면 차단하고 허용해 주는 역할을 한다.

정보보호병이 되면 무엇을 하고 싶은지, 계획은 무엇인가?

최근 이슈되고 있는 보안 문제, 공격기법은 무엇이 있는가

랜섬웨어의 기법은?

- 파일 데이터에 암호화 알고리즘을 이용하여 암호화하여 사용할 수 없도록 하는 것.

랜섬웨어 예방 방법은?

- 백신, 소프트웨어를 최신 상태로 업데이트를 하며, 모든 디지털 파일들을 수시로 백업을 하고, 불확실한 이메일, 실행파일들을 멀리 하는 것.

내부망에서 외부 침입자를 막기위한 방법은 무엇이 있는가?

- 패킷 필터링 방식이 있으며, 패킷 헤더의 주소와 서비스 포트를 검색하여 서비스 허용 여부를 파악하는 것.

- 장점으로는 속도가 빠르지만, 헤더만 보기 때문에 패킷 내의 데이터 파악이 힘들고, 패킷의 헤더가 조작이 될 수 도 있다.

패킷의 구성요소는 어떻게 이루어져 있는가?

- 헤더 + 데이터 + 꼬리로 이루어져 있스빈다. 헤더에는 IP주소, Port 번호 등 주요 제어 정보들이 들어 있고, 데이터에는 데이터가, 꼬리에는 에러 검출을 위해 있고 꼬리가 없는 경우도 있다.

IDS/IPS, 방화벽은 무엇이며 공통점과 차이점은 무엇인가?

- IDS는 침입 탐지 시스템이고, 시스템에 원치 않은 조작을 탐지하는 것이 목표. 

- IPS는 침입 방지 시스템. 공격 탐지를 넘어서 방지하는 것이 목표.

- 방화벽은 서로 다른 네트워크를 지나느 데이터를 허용 및 거부하거나 검열 또는 수정하는 것이 목표.

- 공통점은 외부 -> 내부로 들어오는 데이터들을 막기 위한 것이고,

- 차이점은 방화벽과 IPS는 패킷을 차단할 수 있지만 IDS는 차단할 수 없으며 방화벽은 패킷 내용을 분석할 수 없지만 IDS, IPS는 내용 분석이 가능함.

+후기.

- 너무 네트워크 위주로 공부함.

- 무선 네트워크 보안, 윈도우 보안, 파일시스템, 등 여러 분야를 공부하는것이 더 좋음