VPN과 IDS, IPS 그리고 보안장비의 간략한 설명이 시험범위입니다.
시험 출제는 객관식 20문제, 단답형 주관식 10문제가 나온다고합니다.
각 1점씩.. 쉬울 것 같으니 최대한 많이 맞아야 하겠죠.
VPN - 예상문항
[1] VPN 기술의 정의와 장점을 서술하시오.
회사 사내 네트워크에 접속하기 위해 터널링으로 인가된 사용자만 접근가능한 안전한 연결을 제공합니다.
물리적으로 구축하는 것보다 공용망에 터널을 생성하여 거치는 것이 비용이 절감되고 확장성을 제공합니다.
[2] Site-to-Site VPN이란 무엇인지 서술하시오.
주로 이용되는 VPN으로 분산된 지역들을 상호 연결하는 VPN방식입니다.
예를들어 사내 네트워크와 외부망을 연결하는 방식이라고 할 수 있습니다.
[3] VPN이 제공하는 보안성 세가지와 그 정의를 서술하시오.
VPN이 제공하는 보안성은 신뢰성, 무결성 그리고 인증입니다.
신뢰성은 권한이 없는 사용자로부터 보호하는 것이고
무결성은 데이터를 전송하는 동안에 변조가 발생하지 않도록 하는 것이며
인증은 인증된 출발지와 목적지를 보장하는 것입니다.
[4] VPN 터널링에 대해 설명하시오.
VPN 터널링은 공중망을 사용하여 사설네트워크인 것처럼 사용하는 것입니다.
송신자는 기존 패킷을 키를 사용하여 암호화하여 수신자에게 보내게 됩니다.
[5] VPN에서 무결성, 인증, 기밀성을 만족하는 IPsec 프로토콜은 무엇인가.
ESP 입니다.
*AH는 인증과 무결성만 제공합니다. 그러므로 데이터를 암호화하려면 ESP가 필요합니다.
VPN Settings
[1] Router-to-Router VPN
ISAKMP 정책 정의(1단계) -> IPsec 암호화와 Hash 정책 정의(2단계) -> ACL 설정 -> 암호화 맵 설정
[2] ASA-to-ASA VPN
ISAKMP 정책 정의(1단계) -> IPsec 암호화와 Hash 정책 정의(2단계) -> tunnel-group 생성 -> ACL 설정 -> 암호화 맵 설정
참고로 시스코 패킷 트레이서에서 ASA VPN 이용이 불완전하니 GNS3를 이용하여 구현하는 것이 좋다.
IDS 와 IPS
[1] IPS는 새로운 기술인지 아니라면 그 이유가 무엇인지 설명하시오.
침입탐지시스템(IDS)은 침입방지시스템(IPS)의 이전버젼이라고 할 수 있습니다.
[2] IPS를 IDS로 쓰는 방법을 기술하시오.
침입방지시스템에서 IDS처럼 쓰려면 prevention기능을 disable하면 됩니다.
[3] IDS의 개념을 설명하시오.
침입탐지를 자동으로 수행하여 악의적인 행위를 탐지하는 시스템입니다.
[4] IPS의 개념을 설명하시오.
IDS의 기능을 더불어 자동으로 침입을 막는 기능이 추가된 시스템입니다.
[5] IDPS의 특징이 아닌 것은? --- ④번
① 공격자의 회피기법을 무력화 할 수 있다.
② 이벤트 레벨에 따라 관리자에게 알릴 수 있다.
③ 이벤트에 대한 보고서를 작성할 수 있다.
④ 공격자의 악의적인 접근을 막을 수 없다.
⑤ 이벤트를 분리된 원격 로그 서버로 보낼 수 있다.
[6] IPS가 공격이 들어올 때 하지 않는 행동은? -- ③번
① 공격을 위해 사용된 사용자의 네트워크 연결을 종료시킨다.
② 방화벽이나 라우터의 설정을 변경시킨다.
③ 들어오는 공격자의 주소에 공격 패킷을 보낸다.
④ 취약점 업데이트를 호스트에 적용시킨다.
⑤ 공격 패킷을 조사하여 데이터의 악의적인 패킷 부분을 제거한다.
[7] false positive가 무엇인지 설명하시오.
정상적인 활동을 악의적인 활동으로 잘못 탐지하는 것입니다.
[8] false negative가 무엇인지 설명하시오.
악의적인 활동을 정상적인 활동으로 잘못 탐지하는 것입니다.
대부분은 이를 주로 선택하여 패킷을 검사합니다.
[9] Learning or Simulation 모드가 무엇인지 설명하시오.
IDPS가 제대로 작동하기 전에 일정기간동안 모니터링하며 트래픽을 분석하는 것입니다.
이후에 평균적인 트래픽이나 패킷 값을 구하면 자동으로 침입방어모드로 바뀝니다.
①②③④⑤
[10] IDPS의 탐지 방법이 아닌 것은? -- 답 ④번
① 시그니처(Signature) 기반 탐지
② 변칙(Anomaly) 기반 탐지
③ 상태 프로토콜 분석
④ 정책(Policy) 기반 탐지
[11] 시그니처(Signature) 기반 탐지란 무엇인지 설명하시오.
시그니처 기반 탐지는 들어오는 이벤트를 이미 측정해둔 시그니처와 비교하여 공격을 탐지하는 것입니다.
효율적이라고 볼 수 있겠지만 알려지지 않은 공격이나 회피공격에는 비효율적입니다.
[12] 변칙(Anomaly) 기반 탐지란 무엇인지 설명하시오.
수집된 이벤트와 정상 이벤트를 비교하여 어떤 차이가 발생하는지 계산하는 탐지입니다.
분석을 위해 일정기간동안 모니터링만 수행합니다. 그러므로 알려지지 않은 공격에 효율적입니다.
* 변칙 기반 탐지에는 두가지의 프로파일이 있다.
Static 프로파일은 모니터링 기간을 거친 후 프로파일을 생성한 뒤 따로 명령을 내리기 전까지는 방어모드만 수행하는 것이다.
Dynamic 프로파일은 IDPS가 자동적으로 어느시기에 모니터링을 다시 수행한다는 것인데, 이 시기에 공격자가 악의적인 패킷을 조금씩 보내며 정상 패킷처럼 인식되게 한다면 IDPS는 그 패킷을 정상 패킷으로 오탐할 수 있다.
--- 이 이후는 아마 수업 진도가 아닌듯 싶다. ---
각종 장비들에 대한 개념 정리
영남이공대학교 사이버보안학과에서는 아래와같은 장비들을 2주차에 걸쳐서 조별로 하나씩 장비를 시험해보고 그에대한 발표를 합니다. (이상 학과자랑이었습니다 ㅋㅋ)
말그대로 개념..아니 개념도 아니고 간단한 설명만 적는다.
매뉴얼 자체가 책 한권이고 모두 중요하기 때문에 여기에 몇개만 적을 수가 없다.
그렇다고 메뉴얼을 올릴 수는 없다.
[1] SIEM 장비와 Arcsight 매니저
인프라 전반에 실시간 데이터 분석을 통해 잠재적인 보안 위협을 미리 식별하는 보안 솔루션입니다.
보안 위협에 우선순위를 부여하거나 모니터링을 통한 이벤트 데이터 통합, 의미 있는 이벤트들을 묶어 유용한 정보로 만드는 상관 관계 분석, 이벤트를 관리자에게 알리거나, 이벤트 데이터를 가지고 패턴을 나열해주는 대시보드 등이 있습니다.
[2] HP의 Tipping Point 장비(IPS)
IPS 설명을 알아두면 된다.
[3] Baracuda 장비
Layer 7에서 웹 애플리케이션 보안에 특화된 웹 방화벽입니다.
이 WAF에는 두가지의 모드가 있습니다.
첫번째로 인라인 모드는 외부에 노출이 되지 않아 웹방화벽의 존재를 알 수 없지만 한 서버당 WAF 하나가 필요하기 때문에 비용이 많이 듭니다.
두번째로 프록시 모드는 일반적으로 많이 이용하는 방법이며 서버를 외부로 노출하지 않고 웹방화벽이 대신 존재를 알리는 것입니다. 하나의 WAF로 여러 서버나 장비를 보호할 수 있습니다.
[4] Defense Pro 장비와 Apsolute Vision 매니저
패킷을 검사해서 악의적인 패킷을 걸러내며 높은 트래픽 수용량을 가지고 있습니다.
[5] IBM의 ISS-IPS(GX 5008) 장비
IPS 설명을 알아두면 된다.
[6] SRX-240 장비와 JuniperOS
라우팅 등의 보안을 위한 네트워크 장비와 운영체제 입니다.
[7] AhnLab MDS 장비와 TrusWatcher 매니저
Layer 3에서 악성코드를 탐지하고 분석, 대응하며 APT와 같이 진화하는 보안입니다.