14장(침입 탐지 및 모니터링) 연습문제 #네트워크 해킹과 보안

1. 전체 네트워크에 대한 탐지가 가능한 것은 무엇인가?

- NIDS

 

2. 침입 탐지 시스템의 기능이 아닌 것은 무엇인가?

- 침입자 회피

 

3. 특정 시도에 대한 실패 횟수에 따라 작동의 허용 또는 금지를 설정하는 것은 무엇인가?

- 클리핑 레벨 설정

 

4. 전문가 시스템에서 사용하는 침입 탐지 기법은 무엇인가?

- Knowledge Base Detection

 

5. 다음 중에서 리눅스용 IDS는 무엇인가?

- snort

 

6. 허니팟의 요건이 아닌 것은 무엇인가?

- 시스템에 꼭 필요한 구성 요소만을 갖추고 있어야 한다.

 

7. CEN-2에 추가된 요소는 무엇인가?

- 2계층의 IDS 게이트웨이

 

8. 다음 중에서 통합 보안 관리 시스템의 특징으로 볼 수 없는 것은 무엇인가?

- 공격의 사전 탐지

 

9. 침입 탐지 시스템의 목표는 무엇인지 설명하시오.

- 침입을 탐지하는 것을 목표로 한다.

 

10. IDS의 기능에는 어떠한 것이 있는지 설명하시오.

- 데이터 수집, 데이터 필터링과 축약, 침입 탐지(오용 탐지, 이상 탐지), 책임 추적성과 대응

 

11. NIDS와 HIDS를 각각 구분하여 설명하시오.

- 호스트 기반의 IDS인 HIDS, 네트워크 기반의 IDS인 NIDS

 

12. NIDS와 HIDS의 장점과 단점을 각각 설명하시오.

- HIDS 
  장점 : 어떤 사용자가 어떤 접근을 시도하고, 어떤 작업을 했는지에 대한 기록을 남기고 추적한다.
  단점 : 전체 네트워크에 대한 침입 탐지는 불가능하며, 스스로가 공격 대상이 될 때만 침입을 탐지할 수 있다. 다른 IDS에 비해 많은 비용이 든다.
  
  NIDS
  장점 : HIDS로는 할 수 없는 네트워크 전반에 대한 감시를 할 수 있고, 감시 영역도 상당히 넓다. IP 주소를 소유하지 않기 때문에 직접적인 공격은 거의 완벽하게 방어 가능
  단점 : 공격당한 시스템에 대한 결과를 알 수 없으며, 암호화된 내용을 검사할 수 없다. 1Gbps 이상의 네트워크에서는 정상적으로 작동하기 힘들다.

 

13. 침입 탐지 기법인 오용 탐지 기법과 이상 탐지 기법에 대해 설명하시오.

- 오용 탐지 기법 : 이미 발견되고 정립된 공격 패턴을 미리 입력하여 해당 패턴을 탐지하면 알려주는 것
  이상 탐지 기법 : 정상적이고 평균적인 상태를 기준으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 격우 침입 탐지로 알려주는 것

 

14. 공격이 탐지되면 IDS가 할 수 있는 일에는 무엇이 있는지 설명하시오.

- 공격자로 확인된 연결에 TCP Reset 패킷을 보내 연결을 끊는다.
  공격자의 IP 주소나 사이트를 확인하여 라우터나 방화벽으로 이를 차단한다.
  공격 포트를 확인하여 라우터와 방화벽을 설정한다.
  심각한 사태에 이르렀을 때는 네트워크 구조 자체를 임시로 바꾼다.

 

15. 네트워크에서 IDS의 위치에 따른 장단점을 설명하시오.

- 528p ~ 529p

 

16. 허니팟의 목표는 무엇인지 설명하시오.

- 공격자의 데이터를 모으는 것이 목표이다.

 

17. 허니팟이 갖추어야 할 요건은 무엇인지 설명하시오.

- 해커에게 쉽게 노출된다.
  쉽게 해킹이 가능한 것처럼 취약해 보인다.
  시스템의 모든 구성 요소를 갖추고 있다.
  시스템을 통과하는 모든 패킷을 감시한다.
  시스템에 접속하는 모든 사람에 대해 관리자에게 알려준다.