한빛미디어 - 정보 보안 개론과 실습 제 13장 연습문제

1. 침입자 발생 시 시스템 복구를 위해 살펴봐야 할 사항이 아닌 것은?

① 시스템에 설치된 응용 프로그램의 변조 여부

② 시스템 설정 파일의 변조 여부

③ 데이터의 삭제 및 변조 여부

④ 실행된 프로세스의 조사 (정답)

2. NTFS 파일 시스템에서 모든 파일과 디렉터리에 대한 파일 이름, 크기, 생성 시간 등 파일에 대한 데이터 이외의 모든 정보를 담고 있는 곳은?

① PBS

② MBR

③ MFT (정답)

④ MST

3. 프라이머리 수퍼 블록에 저장되는 내용이 아닌 것은?

① 데이터 블록의 개수

② 저장된 데이터의 바이트 수 (정답)

③ 데이터 블록의 크기 및 조각(fragment)

④ 하드웨어 정보

4. 시스템에 현재 해커가 침투한 경우 대응 절차를 순서대로 설명하시오.

1. 로그 확인

- 시스템에 현재 해커가 침투하여 활동하고 있는지 도는 활동을 했었는지 확인

2. 현재 해커가 침투한 경우의 대응 -

1) 메모리 덤프 ( 강력한 법적 효력을 지님)

법적 증거물의 적절성을 위해 위/변조가 불가능한 CD-ROM 도는 재기록 불가능한 백업장비에 저장

2) 해커의 접속차단

- 메모리 덤프후 접속해 있는 해커의 연결 차단

- 디스크의 이미지를 CD-ROM등에 저장

(이미지 법적 증거물 제출용과 침입 추적(Forensic)용으로 2개 저장)

3) 운영자에게 통보

4) 침입자 추적

공격 컴퓨터 시스템 이미지와 정상적인 다른 시스템의 이미지를 만들어 이를 이용해서 침입자 추적

- 공격자가 삭제한 파일 복구

- 증거로서 제출할수 있는 각 과정의 기록이 필요

- 시스템 분석과 동시에 시스템 복구

- 추적 확인사항

; 시스템에 설치된 응용프로그램의 변조여부

; 시스템 설정 파일의 변조 여부

; 데이터의 삭제 및 변조 여부

; 운영중인 다른 시스템에 대한 침부 여부 확인

5) 침입후 대응 및 시스템 복구

백업장치를 이용해 해킹으로 손상된 부분 복구

6) 법적 절차에 따른 대응

5. 현재 접속해 있는 해커의 접속을 차단하는 방법을 설명하시오.

방화벽, TCPWrapper 등과 같은 접근 제어를 이용하거나, 해커의 셸 프로세스를 확인하여 종료시키는 방법이 있다.

6. NTFS 파일시스템을 간단히 소개하고, 파일 복구 원리를 설명하시오.

NTFS는 윈도 NT 계열 운영체제의 파일 시스템으로 윈도 2000, 윈도 XP, 윈도 서버 2003, 윈도 서버 2008, 윈도 비스타, 윈도 7, 윈도 서버 2008 R2 등에도 포함되어 있다. NTFS의 NT는 윈도 NT와 비슷하게 새로운 기술이라는 뜻의 New Technology의 준말이다. MS-DOS와 이전 버전의 윈도에서 쓰였던 마이크로소프트의 이전 FAT 파일 시스템을 대체하였다. NTFS는 FAT와 HPFS(고성능 파일 시스템)을 거쳐 몇 가지 개선이 있다. 이를테면, 메타데이터의 지원, 고급 데이터 구조의 사용으로 인한 성능 개선, 신뢰성, 추가 확장 기능을 더한 디스크 공간 활용을 들 수 있다

복구성 : 시스템 고장과 디스크 손상을 복구하는 능력이 있다. 손상이 발생하면 NTFS는 디스크 볼륨을 재구성하여 일관성 있는 상태로 복구한다. 파일 시스템을 변경하기 위해 트랜잭션 처리 모델이 적용되어, 각 진행 단계들은 원자적 행위(atomic action)로 처리된다. 손상된 시점에서 처리중이었던 각 트랜잭션은 차후에 실행이 완료되거나 파기된다. 다른 한편으로는 중요한 파일 시스템 데이터를 보존하기 위해 중복 저장장치를 사용한다. 그렇게 함으로써 디스크 섹터의 일부가 파손되더라도 파일 시스템의 구조에 관한 데이터 상실을 방지한다.

시스템 보안 제 13장 연습문제.hwp