2015년 3월 31일 화요일

패킷 분석법

ㅇ ㅂㅇ

패킷 분석법 

1 byte (16진수 2자리) = 8 bit (2진수 8자리)라는 것을 알아 두자

패킷을 보며 패킷을 분석해보자

색색으로 표시한 부분이 Ethernet 헤더 부분이다
여기서 Destination MAC Address와 Source MAC Address를 확인 할 수 있다.
그 이후 부분이 IP 패킷이 되겠다.

1. Ethernet 패킷 분석




2. IP 패킷 분석


 45 00 00 28  : 01000101 00000000 00000000 00101000
 7a 3a 40 00  : 01111010 00110101 01000000 00000000
 80 06 00 00  : 10000000 00000110 00000000 00000000
 c0 a8 0a 65  : 11000000 10101000 00001010 01100101
 c6 29 d0 68  : 11000110 00101001 11010000 01101000




3. TCP 헤더 분석


 c2 69 00 50  : 11000010 01101001 00000000 01010000
 e8 c7 42 c4  : 11101000 11000111 01000010 11000100
 4c b3 46 f0  : 01001100 10110011 01000110 11110000
 50 10 ff 37  : 01010000 00010000 11111111 00110111
 61 ba 00 00  : 01100001 10111010 00000000 00000000




문제 !

1. 패킷
00 25 22 5f 48 34 00 0c 29 15 e4 5e 08 06 00 01 08 00 06 04 00 02 00 0c
29 15 e4 5e c0 a8 0a 7d 00 25 22 5f 48 34 c0 a8 0a 33

 -- 부분 별로 나눔

00 25 22 5f 48 34
00 0c 29 15 e4 5e
08 06

00 01 08 00 : 00000000 00000001 00001000 00000000
06 04 00 02 :  00000110 00000100 00000000 00000010
00 0c 29 15 e4 5e
c0 a8 0a 7d :  11000000 10101000 00001010 01111101
00 25 22 5f 48 34
c0 a8 0a 33 :  11000000 10101000 00001010 00110011



2. 패킷

00 0c 29 15 e4 5e 00 25 22 5f 48 34 08 00
45 00 00 54 00 00 40 00 40 01 a4 a8 c0 a8
0a 33 c0 a8 0a 7d 08 00 93 a7 15 2d 00 01
c1 56 f7 4c 9f 83 0c 00 08 09 0a 0b 0c 0d
0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b
1c 1d fe 1f 20 21 22 23 24 25 26 27 28 29
2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37





3.
78 28 03 0d 8f 78 00 0c 29 15 e4 5e 08 00 45 00 00
47 03 f5 40 00 40 11 84 0c c0 a8 0a 7d a8 7e 3f 01
e0 08 00 35 00 33 d2 d2 4c e4 01 00 00 01 00 00 00
00 00 00 01 33 02 31 30 03 31 36 38 03 31 39 32 07
06 6e 2d 61 64 64 72 04 61 72 70 61 00 00 0c 00 01




4.
00 0c 29 15 e4 5e 00 25 22 5f 48 34 08 00 45 00 00
3c de 72 40 00 40 06 c6 48 c0 a8 0a 33 c0 a8 0a 7d
2a bc 00 15 d5 c7 47 5d 00 00 00 00 a0 02 16 d0 7b
43 00 00 02 04 05 b4 04 02 08 0a 3e c6 99 2f 00 00
00 00 01 03 03 07


















Wireshark 설치 및 사용법

ㅇ ㅂㅇ

Wireshark 설치 방법 및 사용 방법

1. 아래 경로에 가서 Wireshark를 다운 받음


2. 다운 받은 Wireshar를 실행하여 아래와 같은 과정을 통해 설치함








설치 도중 뜬금 없이 Wincap을 설치 하라는 명령이 등장한다

Wincap은 Wireshark 설치시 필수인 프로그램으로 프러미스큐어스 모드로 작동을 시키는 역할을 담당한다.
그러므로 필수적으로 설치를 하여야 한다.







3. 위와 같은 설치 과정 후 설치를 완료 한 뒤 관리자 권한으로 실행을 하자



관리자 권한으로 실행하는 이유는 이렇게 실행하여야 네트워크 카드가 보이지 않는 경우가 생기는 것을 방지 하기 위함.


여기서 여러가지 색색 라인으로 구성된 화면을 볼 수 있다.

ctrl + m 으로 특정 패킷을 선택 지정 할 수 있다.































2015년 3월 30일 월요일

D7 Security Architecture & Models 보안 구조 및 모델

ㅇ ㅂㅇ

1. 시스템 구조

 컴퓨터의 기본적인 구성 요소

 CPU
 • 산술논리장치(Arithmetic Logic Unit : ALU), 하나 이상의 누산기, 레지스터 … 로 구성

 버스(Bus)
 • CPU, 메모리, I/O를 상호 연결해주는것

 메모리


 • 이외 메모리 구분
  - 가상 메모리 : 2차 메모리를 1차 메모리처럼 사용
  - 읽기 전용 메모리 : 펌웨어 처럼 드물게 바뀌는 프로그램과 데이터를 보호하는데 이용된다.
  - 순차적 메모리 : DAT

 개방형 시스템과 폐쇄형 시스템
 • 개방형 시스템(Open system)
  - 공개된 사양으로 여러 공급자에 의해 공급되는 시스템이다.
  - 상호 운영 허용되고 독립기관에 의해 검토 평가되는 장점이 있다.
  - 정밀 검사를 통해 에러나 취약점을 찾는다.
 • 폐쇄형 시스템(Closed system)
  - 벤더 의존형 독점 시스템
  - 독립적인 검사 과정을 거치니 않음으로 알려지지 않은 취약점이 존재할 가능성이 있다.




2. Protection Mechanisim

 프로텍션 도메인 (Protection domain)
 • 각 프로세스에 할당된 메모리 영역
 • 허가되지 않은 수정이나 접근으로 부터 프로세스를 보호하는 것이 목적
  ex) 프로세스 메모리 영역이 침범 될 경우 블루스크린이 뜸 (보안에 따른 행동)
 신뢰할 수 있는 컴퓨터 기반(Trusted Computing Base : TCB)
 • 컴퓨터 시스템 내에 보안 정책이 적용되고 있다는 것을 신뢰할 수 있는 프로텍션 매커니즘의 총체적 조합이다. – 안전한 컴퓨터 환경
 • 시스템이 제공하는 신뢰수준을 의미한다.
  - 보안 수준(security level)을 의미하는 것이 아니다.
   (평가 기준을 의미하는 것이 아니라 구현 목표를 의미한다.)
  - 다양한 위험 환경 내에서 예측 가능한 범위 내에서 동작 하도록 하는 것
 • 보안 경계(security perimeter) : TCB와 이외 영역을 구분하는 경계 -> 명확해야 함
  - 보안 정책이 수립되지 않은 부분
 • 신뢰 경로(trusted path) -> 물리적 보안 정책이 포함되어야 함
  - 사용자가 TCB에 접근하는 안전한 경로
 • 보안 커널 -> TCB 안에 가장 핵심적인 H/W, S/W, OS 등을 말함 (Internal 영역을 말함)
  - 참조 모니터를 구현한것
  - TCB내에 존재하는 H/W,S/W, firmware의 조합으로 TCB의 핵심
  - 격리성, 완전성, 검증가능
 • 참조 모니터 -> TCB 접근과 관련된 것들을 정의 한 것을 문서화 한 것
  - 주체의 개체에 대한 접근 통제를 담당하는 추상 머신으로 물리적인 구성이 아니라 TCB의 접근 통제 개념을 정리한 것이다.

 신뢰 할 수 있는 컴퓨터 시스템 (Trusted Computer System) -> 보안이 제대로 되어 있으며, 되고 있는 PC
 • 민감한 정보의 처리를 위해 S/W, H/W에 보안 보증 수단을 채용한 것을 의미한다.
 • 다단계로 분류 가능하고 신뢰성과 보안을 위한 명시 요구사항에 부합해야 한다.

 > 다단계로 분류하면 여러 단계로 세밀하게 분류 
    -> 보안의 강, 약점이 생길 수 있음 
    -> 구현이 어려움
     >> 취약점이 발생

 -- 프로텍션 링

 링의 중앙으로 갈수록 권한이 많아지는 모델로 중첩된 보안 도메인을 생성한다.
  Ex. 보안 커널
  - 0번 링, 모든 접근을 중재하고 수정으로부터 보호되며 올바르게 검증된다.

 접근 권한은 링 번호가 커질수록 감소된다.
 • 신뢰도가 높은 낮은 링은 좀더 많은 자원에 접근 가능하다.

 MIT의 MULTICS time shared 운영 시스템에 구현
 • 64링을 지원하도록 설계되었으나 8개 링만이 정의되었다.

 CISCO, Linux등에서 보안 정책 모델로 일부 사용됨

 구성
 • Ring 0 : 커널
 • Ring 1 : OS의 나머지 부분
 • Ring 2 : 드라이버와 유틸리티
 • Ring 3 : 응용 시스템
 • 보통의 OS에서는 Ring 1는 0이나 2에 포함되어 구현된다.


 -- 보안 모드

 OS가 보안 관련된 운영 모드로 구현될 서로다른 여러가지 모드
 • 전용 보안 모드(Dedicated Security Mode)
  - 사용자가 모든 자원에 접근 가능
  - 사용자는 모든 자원에 대한 비밀 취급 인가, 공식적인 접근 허가가, NDA에 대한 서명, need to know를 가져야 한다.
 • 시스템 상위 보안 모드(System High Security Mode)
  - 사용자가 자신의 need to Know에 따라 필요한 일부 자원에 접근 가능
  - 사용자는 모든 자원에 대한 비밀 취급 인가, 공식적인 접근 허가가, NDA에 대한 서명을 가져야 한다.
  - 일부 자원에 대한 need to know를 가져야 한다.
 • 구획된 보안 모드(Compartment Security Mode)
  - 사용자가 자신의 need to know와 공식적인 접근 인가에 따라 일부 자원에 접근 가능
  - 모든 자원에 대해 접근 허가를 가져야 한다.(뭔소리 일까요??)
  - 정보 민감성에 대한 보안 레이블을 할당 받아야 한고 이를 통해 정보의 일부분에 만 접근 가능하다.

> 레이블(Lable)
 - 권한을 나타내는 것
  ex) 리눅스에서 그룹에 권한을 부여 한 후 그 권한을 사용하기 위해서는 사용자를 그 그룹에 포함 시키며, 그 권한을 박탈 시킬 시 그룹에서 탈퇴시킴

 • 다중 보안 모드(Multilevel security Mode)
   -> 강제, 임의적 접근 제어 등 다양한 접근 통제 방법을 쓰는 것
  - 사용자가 일부 자원에 대해서 need to know, 공식적인 접근 인가, 비밀 취급 인가등과 같은 다양한 접근 통제에 따라 접근 가능한 모드.
  - 다중 보안 모드에서는 다양한 정보 분류 레벨이 존재하므로 정보에 접근 하기 위해서는 다양한 경로의 승인이 필요하다.
  - 벨 - 라파둘라 모델

     cf.
    - 여러 문서에서 설명 중에 나오는 ‘모든 사용’자의 의미는 해당 운영체제의 모드에서 접속 가능한 사용자를 의미하는 것으로 아무런 의미가 없다.
    - Need to know는 승인이나 인가를 의미하지 않지만 책임 추적성에 기반한다.
    - NDA(nondisclosure agreements) : 정보 비 유출 합의서
    > NDA는 입사시 작성하며, 문서의 내용에 따라 퇴사시 재취업, 혹은 금전 지불 등의 불이익을 입을 수 있음

 -- 보안 구조의 전형적인 취약성

 은닉 채널 (Corvert channel)(B2)
 • 기존에 계획되지 않은 통신 채널 및 전체 시스템 채널(보안에 위배되는 채널)
 • 보안 정책이 위반되고 모니터링 되지 않을 가능성이 높다.
 • Storage and timing(B3)
 >> Storage : 저장영역과 관련 / Timing : 통신과 관련
 • 자원 사용 분석을 통해 검출

 매개변수 점검 미비
 > 매개변수의 예
 오라클 : 파라미터 
 유닉스 : 환경변수... 
 윈도우 : 레지스터

 유지 보수용 특별 명령어
 • 시스템 유지 보수를 위한 트랩 도어(Trap door) (백 도어)

 TOC/TOU (Time Of Check to Time Of Use)
 • 보안 정책이 적용되는 시간과 서비스가 시작되는 시간간격
 => boot가 되어서 보안 정책이 적용되기 전까지의 시간
 • 이때는 공격이 쉽다는 문제가 있다.

 -- 복구

 IS에서 발생하는 장애는 보안 정책 요구사항을 악용하거나 복구 프로시저가 보안 정책의 위반할 기회를 제공해서는 안되며 재 시작은 반드시 특수한 사용자가 지정된 터미널에서만(maintenance mode) 허용되어야 한다.

 장애 방지(fault-tolerant) (=> 백업, 리던던트 서버)
 • 장애 시에도 지속적인 기능을 제공
 • 장애를 탐지하고 복구하고 운영을 지속시킬 능력이 필요
 > 민감한 작업 부터 복구함 -> 수작업 하기 어려운 작업들, 장시간 걸리는 작업들
 안전한 장애 보장(fail safe)
 • 시스템을 종료하여 악용되지 않도록 보호
 장애 완화(fail soft, fault-resilient)
 • 장애 탐지 시에 비 핵심적인 프로세싱을 중지시켜 핵심 기능에서 이용하도록 하는것
 비핵심적인 것은 운용하지 않도록 해야 함 => 핵심적인 것만으로도 운용하기 힘들 수 있기에
 장애시 운전 전환(failover)
 • 장애 발생시 실시간으로 이중 처리 시설로 전환 시키는것
> 이중 처리 시설 (핫사이트 등)은 서비스 업체가 따로 있음

3. 정보 보안 모델

 정보 보안 모델은 보안 정책을 정형화 하기 위한 수단으로 세가지 도메인으로 구분된
다.
 • 접근 통제 모델
 • 무결성 모델
 • 정보 흐름 모델 - 권한대로, 권한이 없는 사람에게는 않가게 하는 모델

 -- 접근 통제 모델

 정보 접근 통제 에 대한 상이한 접근법으로 다음과 같은 모델이 있다.
 • 접근 행렬(Access Matrix) 모델
 • 테이크 그랜트(Take-Grant) 모델
 • 벨라파둘라(bell-LaPadula)모델 : 기밀성을 위한 상태 기계(State Machine) 모델
 • 만리장성(Chinese wall) 모델 : 직무분리를 접근 통제에 도입한 모델

 > 접근을 어떻게 통제 할 것인가에 대한 모델

 -- 접근 통제 모델(Access matrix)

접근 통제 모델의 사용 이유
 : 업무에 대한 근거를 추적하기 쉽기에 >> 상호 교차 검증 시 편리함

 열(접근 통제 목록:Access Control List:ACLs)과 행(기능 목록:Capability list)로 구성된 접근 행렬을 이용한 접근 통제 모델
 • 객체에 대한 접근 권한을 주체에게 직접 할당하는 모델이다.

 접근 통제에 대한 판단을 허가 권한을 가진 개인이 판단함으로 임의적 접근 통제에
속한다.


 주체와 객체로 구현된다.
 • 주체 : 사람, 직위, 프로세스 … => 직무 분리가 필수되어야 함
 • 객체 : 파일, 시스템, DB … => 자산 분리 필수

 -- 접근 통제 모델(Take-Grant)

 주체가 객체에 대해서 갖는 접근 권한을 다른 객체로 이관시키는 것을 방향성 그래프
로 표현한 모델
 소유자가 접근 권한을 다른 사용자에게 양도해주는 관계 모델 – 오라클에서 구현


 -- 접근 통제 모델(Bell-LaPadula)

 미국방성에서 다단계 보안 정책을 정형화 하기 위해 상태 기계 개념 위에 정형화 한
것 : 최초의 수학적 모델 -> 기밀성을 다룸
 • 대상을 미분류(Unclassified), 비밀(Confidential), 기밀(Secret), 극비(Top Secret) 네 단계로 분류
 • 주체는 동일하거나 낮은 등급의 레벨에만 접근 가능
 • 접근에는 알 필요성이 필요
 • 분류된 대상의 기밀성만을 다룬다. – 무결성이나 가용성은 다루지 않는다.

 세가지 다단계 속성
 1. 단순 보한 속성 : no read up => 자기 보다 상위 등급 문서는 읽기 불가
 2. 스타(*) 보안 속성 : no write down : Confinement property - 성형특성
  => 자기 보다 하위 등급 문서는 만들거나 읽으면 안됨
 3. 임의적 보안 속성 : 임의적 접근 통제는 접근 행렬을 이용한다.
 • 평정 속성(tranquility property)
  - 객체의 보안 등급이 컴퓨터 시스템 수행 과정에서 변경될 수 없다.

 문제점
 • 은닉 채널을 염두해 두지 않았다.
 • 파일 공유등의 현대적 시스템은 다루지 않는다.
 • 안전한 상태 전이가 명확히 정의되어있지 않다.
 • 다단계 보안정책에 기반하여 다른 정책은 언급하지 않는다.

 -- 무결성(integrity) 모델 

 조직 내에서 무결성 모델은 기밀성만큼이나 중요하다. 초기 Bell-Lapadula 모델에 연속하여 무결성 모델이 만들어졌다.

 무결성 모델에는 비바(Biba) 무결성 모델이나 클락-윌슨(Clark-Wilson) 무결성
모델, Brewer-Nash (만리장성)모델 등이 있다.

 무결성의 목적
 • 데이터가 허가되지 않은 사용자에 의해 수정되지 않도록 보호해야 한다.
 • 데이터가 허가된 사용자에 의해 비인가(허가 되지 않은 방법) 수정되지 않도록 보호해야 한다.
 • 데이터는 내.외부 무결성을 유지해야 한다.

> 기업이 필요로 하는 모델

 -- 무결성 모델(Biba)

 Bell-Lapadula 모델과 유사하게 객체를 무결성 레벨(integrity Level)로 분류하
고 세단계의 무결성 원칙을 명시한다.
 • 단순 무결성(Simple Integrity) 원칙 : no read down
  - 무결성 레벨이 있는 주체는 더 낮은 무결성 객체를 읽을 수 없다.
  - 낮은 수준의 무결성 문서가 인용되는 것을 막는다.
 • * 무결성 원칙 (성형 무결성 원칙) : no write up
  - 무결성 레벨이 있는 주체는 더 높은 무결성 객체를 수정하거나 생성할 수 없다.
 • 무결성 레벨이 있는 주체는 더 높은 무결성 객체를 활성화할 수 없다.

 데이터가 허가되지 않은 사용자에 의해 수정되지 않도록 보호하는 것만 명시한다.



 -- 무결성 모델(Clark-Wilson)

 상업적 환경에서 무결성을 확보하기 위한 프레임워크로 개발

 무결성 상태를 검증하고 변경하기 위해 제한적 데이터 항목들과 절차를 결합시킨 모


 용어
 • 제한된 데이터 항목(Constrained Data Item : CDI)
  - 무결성이 보존될 데이터 항목
  -> 내용에 무결성이 확보 된 것 < 그것에 대한 내용 확인은 IVP 절차를 통해 입증
 • 무결성 입증 절차(Integrity Verification Procedure : IVP)
  - CDI가 유효한 무결성 상태에 있다는 것을 확증하는 절차
    => 문서로 할 때도 위 절차를 거치는데 위 절차를 적용 할 때 문서의 완전 무결성(문서양식, 문서 용지, 문서 내에서의 띄어쓰기 등을 일체 수정하지 않고 일정해야 하며, 위가 수정 되었을 때 변한 내용에 대해 모두 기록되어야 함)
 • 변환 절차(Transformation Procedure:TP)
  - 유효한 무결성 상태를 유지하면서 CDI를 조작하는 트렌젝션
 • 제한되지 않은 항목(Unconstrained Data Item : UDI)
  - 통제 영역 외부의 항목

 CDI는 TP에 의해서만 조작됨 
 UDI는 TP에 조작되지 않은 것 
  -> ( 산출은 UDI에서도 TP를 통해서 이루어짐 ex) 보도 자료 등..)

 특징
 • 주체들은 허가된 프로그램(TP)에 의해서만 데이터(CDI,UDI)에 접근 가능하다.
 • 데이터 항목에 무결성 레벨 정의와 TP이후에도 무결성이 보장될 무결성 레이블을 요구
 • 내외부적 일관성과 직무 분리, 강제적 무결성 정책 준수등을 포함
  - 트랜젝션 처리를 분리해서 무결성 보장
 • 레벨, 무결성 레이블, 정책등에 대한 감사를 요구한다.(감사가 필요하다.)
  -> TP를 주로 함

 -- Brewer-Nash(만리장성) 모델 등

 주체의 동작에 따라 접근 통제를 제공하는 모델
 사용자의 이해 충돌을 보호하기 위한 모델.


> 결혼 후 부부가 법률회사에서 조언을 받는 데 이혼은 한 법원에서 못하는 데 위 정보 보안 모델을 적용하면 서로 정보 교류(상대에 대한 정보 교환)가 없이 진행하기에 가능
 => 이해가 상충한 모델에 사용함

 -- 정보 흐름 모델

 정보 흐름 모델은 객체(데이터)가 여러 주체(사용자, 프로세스)들에 의해 공유되지
만 각각의 처리 과정 중에 기밀성과 무결성이 회손 되지 않음을 보장하기 위한 모델
 • 보안 정책에 기반한 데이터 흐름을 보장
 • 다른 레벨의 기밀성이나 무결성으로 이전되는 것을 방지 하기 위한 Bell-LaPadula 모델이나 Biba 모델이 있다.

 비 간섭 모델
 • 보안 정책은 각각의 보안 레벨에 따라 프로세스나 사용자가 객체에 대한 활동이 서로 노출되거나 간섭하지 않음을 보증하는 모델
  - 다중 사용자 환경에서 중요한 보안 모델이다.
  - 은닉채널이나 추론 공격에 대한 대비가 필요하다.
 • 일반적인 다단계 보안 시스템에서 채택된다.


D6 Physical Security_물리적 보안

ㅇ ㅂㅇ

1. 물리적 보안에 대한 위협

 설비, 장치, 직원, 정보 처리에 수반되는 데이터를 보호 통제하기 위한 프로세스
 모든 위협은 발생 가능성의 여부를 떠나서 목록화 되어야 하며 여기에는 반드시 물리적인 위협에 대한 완전한 리스트가 제공되어야 한다.
 • 물리적인 위협이나 취약성은 많은 경우 정보 보안과 별도로 운영 관리되는데 이것은 명백이 잘못된 것이고 조직 내부에 이를 통합해서 평가하고 목록화하는 단일 프로세스가 존재해야 한다.

 물리적인 환경에서 C.I.A에 대한 위협
 • 가용성 : 장치의 파괴나 손실, 절도 … -> 정전 등(대게 IDC는 발생하지 않음)
 • 기밀성 : 허가되지 않은 내부 정보 접근, 폭로, 절도 …
 • 무결성 : 업무 프로세스에 대한 통제 상실, 절도 … -> 직원의 업무 능력 불능
 • 보안 위협에 대한 대처는 반드시 자산에 대한 취약성과 위협에 대한 판단을 근거로 이루어져야 한다.
  - PCCIP(President’s Commission on Critical Infrastructure Protection : 미)
   . 국가 기반 시설 보호 위원회로 국가 기반 시설들에 대한 취약성 및 위협을 평가하는 곳
    -> 판단 기준이 명시 되어 있음.

 물리적인 보안이 대처해야 되는 위협
 • 비상 상황
  - 화재, 건물 붕괴, 전원 손상, 에어컨(냉각기 손상) 등의 설비 손상, 수해(누수), 바이러스나 유독물질 확산
 • 자연 재해
  - 지진, 산사태, 기상 재해
 • 사람
  - 테러, 전쟁, 사보타지, 폭력행위, 절도

 7가지 물리적인 손실의 원인 : Donn B. Parker
• 온도
• 가스 (휘발유가 가스에 포함)
• 액체
• 유기체 (소변, 대변, 땀, 침)
• 투사물
• 움직임
• 에너지 이상

 물리적 통제
관리, 환경, 기술 세가지 통제로 구성됨

 적절한 비상대응 프로시저와 직원 통제(인사관리 포함), 계획, 정책 구현등을 통해서 얻어지는 물리적 보안이나 보호영역이다.
 관리 통제의 요소
• 설비 요구사항이나 계획
• 설비 보안 관리
• 관리적 직원 통제

 -- 설비 요구 사항이나 계획

 데이터 센터나 IS 센터 구축 초기에 필요한 물리적인 보안 통제로 안전한 장소의 선
정이나 설계를 포함한다.
 안전한 장소 선정
 • 낮은 가시성 : 처리 영역이라는 것에 대한 식별성 (군 부대)
 • 주변 환경 : 지역 범죄율, 범죄 정도, 인구 구성(성별, 학력, 산업 구성 …)
 • 자연 재해
 • 교통
 • 공동 소유나 사용 : 복잡한 환경 통제(HVAC : heating, ventilating, and air conditioning )나 시스템에 대한 물리적인 접근 통제
 • 외부 환경 서비스 : 경찰, 소방서, 병원등의 시설에 대한 접근성

 안전한 설계
 • 벽 : 불연, 파괴에 대한 내성
 • 천장 : 불연 및 허용 하중, 침입 탐지
 • 바닥 : 물리적인 하중(IS 설비는 대체적으로 무겁다), 방화 등급, 이중 바닥(배선 문제로 요구됨)
 • 창문 : 일반적인 IS설비에서는 허용하지 않으나 특별히 필요한 경우 반투명 방탄이 필요

 안전한 설계 (계속)
 • 스프링 쿨러 시스템 : 화재 진압 (종류나 방식이 반드시 공지 되어야 한다.)
 • 수도나 가스라인 : 보안 설비의 하나로 반드시 파악되어 있어야 하며 밖으로 드러나 있어야한다. 오염 물질이 침투하거나 내부로 흘러들지 못하도록 설비되어야 한다.
 • 에어컨
 • 전기 : 백업 전원이 필요하며 데이터 센터 등의 경우 독점적인 송전 시설이나 독립적인 임시 발전 설비를 요구한다.
 • 출입문 : 불법 침입 저지를 위한 인증과 식별, 강화가 필요,
  - 전동 관리 출입문의 경우도 재해 시 안전한 탈출을 위해 수동 조작이 가능해야 함
  - Fail open : 장애시 특별한 신호가 없어도 open 되는것
    : 불났다. - 언능 나가야되. - 인증해야 나간다. - 죽는다.
  - Nomal close : 정상 상태 신호가 있어야 open :

 설계를 이용한 범죄 예방 (CPTED : Crime Prevention Through Enviromental
Design)
 • 구조화된 건물의 설계와 배치, 환경 구성으로 범죄를 예방하는 기법
 • 1960년대 개발
 • 개방된 구조의 시설에서 범죄(납치, 살인, 강간..)를 예방하는 방법
 • 일반 범죄에 촛점을 맟춘것으로 대규모의 아파트 단지, 산업 단지 등에 적용하기 위한 기법
 • 중요 시설의 분산과 보호
 • 방자형의 도로나 인도, 숨을 곳을 제공하지 않는 휴식 공간, 침입경로가 공개된 구조 …

 목표물 강화 기법(Target Hardening)
 • 보안 시설물의 보호를 강화하는 방법
 • 잠금장치, 경보 시스템, 높은 울타리, 노출 억제 ….

------------------------------------------ 위 두 방법은 1960~70년대에 유행하여 현재는 보편화된 방법임

 CPTED는 공개되거나 숨기기 힘든 환경에서 일상적인 범죄 예방이 목적이라면 목표
물 강화 기법은 보안 시설물의 보호에 주안점을 둔다.
 • 강력한 접근 통제 기능을 갖춘 주차장과 어디서나 볼 수 있도록 밝고 투명하게 설계된 주차장의 차이

 설비 보완을 위한 자연적 접근 통제
 • 화단,볼라드(말뚝)와 같은 구조물을 이용 자동차의 통행을 금지하고 도보 통행만을 허용
  - 자동차 돌진에 의한 테러 방지
 • 표지판 가드레인들을 이용 이동 방법이나 허용 범위를 제한하는 방법
 • 영역의 구분
  - 통제 영역, 제한 영역, 공용 영역, 중요 영역등으로 나누어 접근 방법을 강제한다.
  - 영역의 구분은 시설의 형태나 종류에 따라 구분 된다.
  - 긍국적으로 모든 영역이 안전하도록 구현하는것이 중요하고 각 영역의 구현을 위한 표준화된 정책이 반드시 준비되야 한다.

 감사 추적과 비상 대응 프로시저로 분류되며 비록 초기 계획은 아니지만 지속적인 구
현과 관리 통제를 필요로 한다.

 설비에 대한 감사 추적과 로그
 • 시스템의 감사 추적은 예방보다는 적발(탐지)통제에 속한다.
  - 강력한 절발 통제는 비록 어느정도 예방 통제의 기능을 수행하지만 그 자체가 예방 통제로 보기는 어려운 경우가 바로 감사 추적과 로그 정보이다.
 • 사건의 유형, 보안 위반, 성능, 프로그램의 오류에 초점을 맞춘다.
 • 감사 추적이나 로그에 기록될 사항
  - 접근 시도 일시
  - 접근 성공여부
  - 접근 권한 부여 (출입문 …)
  - 누구인가
  - 최상위 관리자의 권한 변경

 비상 대응 프로시저
 • 교육과 훈련 등 관리적 차원의 물리 통제에서 중요한 부분을 차지한다.
 • 명확히 문서화 되고 주기적인 갱신이 필요하며 접근성이 원활해야 한다.(복사본의 유지)
 • 관리 요소
  - 비상 셧다운 프로시저, 대피 프로시저, 직원 훈련과 의식 프로그램, 주기적인 테스트(장비, 시스템)

 -- 관리적 직원 통제

 직원의 채용에서 해고까지 수행되는 관리적인 프로세스
 • 채용 전 심사
  - 배경, 신용, 환경, 학력, 경력
 • 지속적인 체크
  - 직원의 보안 등급 부여, 설비, 문서, 시스템에 대한 접근 권한
 • 해고 후 프로시저
  - 접근 권한 제거 및 패스워드 변경 (최우선)
  - 인터뷰
  - 출구 동행
  - 비품 재고 조사및 반납

3. 환경통제

 인명과 환경에 대한 통제는 다음의 항목으로 분류된다.
 • 전력
 • 화재
 • HVAC : 난방, 통풍, 공기 정화

 -- 전력

 전력에 대한 가장 중요한 문제는 정전, 전압강하,습도, 정전기, 노이즈 등이다.

 정전에 대한 대비
 • 과전압 보호기 – 단기적인 전압변경이나 수백분의 1초 이내 정전
 • UPS – 몇초에서 몇분까지의 정전
 • 발전기 – 수시간에서 수일간의 정전

 > UPS는 보조 전기 배터리 같은 것으로 PC나 서버가 정상적으로 종료되기 전까지 전기가 제공되면 임무를 완수하게 됨

 전압 강하
 • Sag(순간 낮은 전압), Brownout(지속적인 전압 강하 현상)
 • Fault(순간 전력 손실), Black out(지속적인 정전)
 • Spike(순간 높은 전압), Surge(지속적인 높은 전압)

 노이즈
• 전자기 간섭(EMI : Electromagnetic Interference)와 주파수 간섭(RFI : Radio
Frequency Interference)가 있다.
- EMI
. Common mode noise, Traverse mode noise
• 시스템 차폐, 적절한 접지, 전선 조절, 케이블 차폐, 전기 시설등의 노출 제한 …
 습도와 정전기
• 습도는 전기적 부식과 정전기를 발생한다.(40%이하 : 정전기, 60% 이상 : 전기 도금부식)
• 정전기 방지 스프레이,정전기 방지 바닥(카펫), 접지, HVAC를 이용한 습도 조절
• 1500(디스크:데이터 손상), 2000(시스템 셧다운), 17000(칩셋 영구 손상)

 -- 화재

 화재 클래스와 진압
 • A : 일반 인화물 : 물(온도), 소다산(연료차단)
 • B : 기름 : CO2, 소다산, 할론 : 물뿌리면…: 뜨거운 프라이팬에 물뿌리면 : 엄마한테 죽는다.!!!
 • C : 전기 : CO2(산소차단), 할론(산소차단)
 • D : 가연성 금속 (Na, Mg, K : 1,2족 금속) : CO2, 분말 : 물 뿌리면 폭발을 경험
 • K : 상업용 식당을 위한 분류 : 포타슘(칼륨)아세테이트 이용 소화

 화재 진압 시스템
 • 물
  - Dry pipe ; 시스템의 전원을 내릴 수 있는 시간적인 여유로 선호된다.
  - Charge pipe :효과적이나 누수로 인한 시스템 손상의 위험
  - Preaction : 열 탐지 후 물 공급, 노즐의 링크가 녹았을 때 물 방출, 전산실에…
  - 소화시 장비에 심각한 손상 우려
 • 할론
  - 물처럼 장비에 피해를 입히지 않는다.
  - 환경오염문제
  - 생존문제
 • FM-200 -> 전기가 안통하는 물
  - 친환경, 안전성(사람)
  - 누수처럼 시스템을 손상시키는 문제가 없다.
 • CO2
  - 생존문제

4. 기술적(물리적) 통제

 물리보안에서 기술적인(물리적) 통제는 다음요소들로 분류된다.
• 설비 접근 통제 요구
• 침입 탐지와 알람
• 컴퓨터 인벤토리 통제
• 저장 매체 요구 사항
 민간 시설 중에 강력한 물리적인 보안 통제를 강제 하는 경우
• CA(PKI)
• 금융기관
• 공항, 항만
• 전기, 수도, 통신 등 기간 서비스 시설..

 -- 설비 접근 통제 요구

 설비 접근 통제 요구 사항
 • 보안 요원 -> 가장 위험
  - 위급상황에서 최고의 수단이 될 수 있다. 즉각적이고 식별력 있는 판단력이 요구 되는 상황
  - 단점 : 가용성(사람이 접근 불가능한 설비), 신뢰성(전과자),훈련(사회공학적인 공격 대상),비용
 • 보안견
 • 울타리
  - 3~4 피트 (비의도적 침입방지), 6~7 피트(넘기 어려움), 8피트 이상, 철조망(침입저지용)
 • 조명 – 중요한 건물의 경우 8피트 이상 조명한다. (2foot)
 • 잠금장치 (프리락, 프로그래블락)
  - 엄호 잠금 장치는 카드 잠금 장치에 비해 독립적이고 소수 구현시 저렴하며 전원이 내장되어있으나 중앙 집중적인 통제는 약하다.
 • CCTV
 • 맨트랩(Mantrap) : 기도가 감시하는 이중문.. 깜방..

 설비 접근 통제 장치
 • 보안 접근카드
  - 포토이미지 카드
  - 디지털 코드 카드(스마트 엔트리 카드, 스마트 카드)
    . 스마트 카드는 사용자에게 동작을 요구하지 않는 비접촉식 장치 (접촉식 : 트랜스폰더)
  - 무선인접 판독기
 • 생체공학 장치
 • Tailgating : 직원(안내자)이 따라다니는것

 -- 탐지와 알람

 탐지 장치
 • 주변침입탐지기
  - 광 전자 센서(Photoelectric sensors)
  - 컨택 스위치(Contact switches)
 • 동작탐지기(Motion Detectors) – 음파, 파장, 전도율
  - 파장 패턴(Wave Pattern) : 낮은 초음파를 이용 동작 탐지
  - 전하량(Capacitance) : 보호 객체 명 인치내 정확히 지정된 부분만을 감지하는 경우
  - 오디오 탐지(Audio Detectors) : 오류 가능성이 높다

 알람(Alarm System)
 • 로컬 알람 시스템 : 구내 알람 시스템
 • 중앙 스테이션 시스템 : 보안 업체의 관제 시스템
 • 독점 시스템 : 중앙 스테이션으로 운영되는 로컬 알람 시스템
 • 보조 스테이션 시스템 : 지역 소방서나 경찰서로의 보조 알람을 의미

물리적인 절도로부터 PC와 노트북에 대한 보호 통제

> 물리적인 절도(통제/파괴 등)를 방법을 막을 방법이 부족함

 PC
 • 케이블락, 포트 통제, 스위치 통제, 주변장치 잠금, 전자 보안 보드(BIOS 암호)

 노트북, 랩탑, PDA등에 대한 물리적인 보안 통제는 사실상 불가능하다.
 • 의도된 절도, 파괴행위를 막을 방법이 없다.

 -- 저장 매체 요구 사항

전자적인 데이터 보호와 삭제문서화된 프로세스 확립이 중요

 일반적인 문제들
 • OS 통한 삭제는 물리적인 삭제가 아니다.
 • 손상된 섹터는 포맷 유틸리티에 의해 접근되지 않는다.
 • 기존 파일에 덮어쓰는 행위로 기존 데이터를 완전히 지울 수는 없다.
 • 삭제용 자성 소자나 운영자 미숙으로 부적절한 삭제가 초래될 수 있다.
 • 민감한 정보가 포함된 미디어 최소 7번 이상 포맷한다. – 물리적인 파괴가 가장 안전

 -- 물리적인 보안 참고 리스트

1. 민감하거나 비록 그렇지 못한 정보라도 꼭 필요한 경우가 아니라면 책상 위에 펼쳐두지 않는다.
2. 시스템은 자리를 떠날 때 반드시 전원을 오프한다.
3. 사무실은 반드시 잠근다.
4. 계단의 비상구는 버팀목으로 열어두지 않는다.(소방법에도 위반된다.)
5. 파일 캐비닛과 책상의 서랍은 반드시 잠근다.
6. 디스켓과 테잎은 격리해서 저장하고 백업본은 물리적으로 다른 지역에 둔다.





2015년 3월 26일 목요일

D5 Access Control System & Methodology

ㅇ ㅂㅇ

접근 통제와 방법

1. 접근 통제 목적

 접근 통제의 목적
기밀성, 가용성, 무결성 보존 (C.I.A)
• 추가적인 목적은 신뢰성과 효용성

 기밀성(Confidentiality)
오직 인가된 사람에 에게만 정보가 공개 되는 것으로 통신, 저장매체 등에 해킹이나 비인가
자의 접근이 있어도 정보의 내용을 보호하는 방법이다. 가장 오래된 기밀성 유지 수단으로는 암호화가 있다.

 가용성(Availability)
필요한 시점에 시스템이나 정보를 사용할 수 있도록 하는 것, 정보 시스템을 다중화 한거나
분산 처리하는 등의 방법을 이용해서 가용성을 높일 수 있으며 기밀성과는 trade off 관계
에 있다.

 무결성(Integrity)
정보가 사상하는 대상과 일치성을 유지하는 것이다. 이를 위해서 세 가지 하부 목표가 달성
되어야 한다. 암호, 해쉬등의 방법이 무결성을 보장하는 기술로 이용된다.
  - 비인가자로 부터의 정보 변경 방지
  - 허가된 인원으로 부터 승인되지 않았거나 실수에 의한 변경 방지
 - 일관성
  . 내부 일관성 : 데이터들간에 일관성
  . 외부 일관성 : 데이터와 실체간에 일관성

 이외의 보안과 관련된 여러 목표들은 조직의 보안 정책에 의해서 결정된다.

 접근통제 메커니즘은 반드시 위험, 위협, 취약성에 대한 고려가 필요하다.
 위험
 • 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성을 말한다.
 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정된다.
 • 위험의 요소
  - 프로세스 및 자산에 대한 위협과 취약성
  - 이로 인한 영향
  - 발생 확률
 • 위험 분석의 사전 작업 : 정보 자산 및 업무 프로세스에 대한 식별
 • 대안 평가 (비용 효익 분석)
  - 경영진이 감수할 수 있는 위험의 수준
  - 위험 감소 방법 (제거, 발생 억제, 영향 최소화, 보험등의 전가)

 위협
 • 시스템이나 정보가 피해를 입을 수 있는 잠재적 가능성
 취약성
 • 보안 정책이나 기능의 미비나 부재로 인해 위협이 나타날 가능성

2. 통제

 일반적인 정보 자산 보호 프로세스
 : 자산 및 프로세스 식별 – 위험 식별 – 통제 – 평가
 통제의 분류
 • 예방 통제 –발생 전에 위험 가능성을 탐지 하고 최소화 하는 통제
  : 고용, 직무 분리, 접근 통제, 트랜잭션 승인 절차 ……
 • 적발 통제 – 악의적인 행위를 탐지하고 보고하는 절차
  : 해시합계, 모든 check 알고리즘, 성과 보고 …… (도구 : 파일의 변화를 탐지하는 tripwire)

> tripwire 
 - 바이러스 check 기능을 함
 - 파일 전체의 hash를 가지고 있으며, hash의 변동사항이 있을 시 바이러스가 있는 것으로 확인함

 • 교정 통제
  : 위협의 영향을 최소화 하기 위해 문제의 원인을 파악하고 발생된 문제에 대해서 교정하고 재발을 방지하는 절차
  : 백업 계획 및 절차, 재실행 절차 ……
 통제 구현 ( 개발 + 구현 )
 • 관리 통제 : 통제 정책, 보안의식 훈련, 신원 확인, … 프로세스 운영 측면에서 통제
 • 논리적 통제 : 암호, 접근통제 목록 등의 기술을 이용한 시스템에 대한 접근제한이나 정보 보호 - 로그 남기기, 접근 권한(퍼미션) 설정
 • 물리적 통제 : 잠금 장치(열쇠 등), 정기 백업, 보안 가드 등을 이용한 물리적인 보안 구성
  - 논리적 통제나 물리적 통제는 운영 보안 도메인에서 에서 컴퓨터 운영 통제로 구분되었다. >> 논리적 통제와 물리적 통제는 통합하여 운영하여야 함



 통제는 반드시 책임 추적성을 제공하며 이것은 감사기능, 신원확인, 인가 등의 통제
프로세스에 의해 구현된다.

 -- 접근 통제 모델

강제적 접근 통제 (MAC : Mandatory Access Control) - 등급에 따른 권한이 필요
 • 관리자가 정책에 근거해 접근 내용을 결정
 • 보안 대상의 민감도와 응용 및 사용자의 보안 취급 권한을 비교함으로써 접근제어를 구성
 • 규칙기반의 접근 통제 (Role-base access control)
 • 임의적 접근 통제를 포함해서 최소권한의 규칙을 구현한다.

임의적 접근 통제 (DAC : Discretionary Access Control) - 우리가 일반적으로 쓰는 방식
 • 데이터의 소유자가 접근 권한을 결정
 • 강제적 접근 통제에 우선 할 수 없다.
 • 강제적 접근 통제의 추가적인 검정 도구로 사용한다.
 • 신원, 사용자 중심 접근 통제

 비임의적 접근 통제 (Non-Discretionary Access Control)
 • 역할(Role)이나 역할(Task) 중심의 접근 통제 (직무단위)
 • 신원기반 접근통제
 • 빠른 직무 순환이나 변화되는 조직에 적합
 • 격자기반 접근통제(Lattice base access control)
  - 하한값과 상한 값을 갖는 주체와 객체로 이루어진 쌍에서 주체는 가장 낮은 범위를 객체는 가장 높은 범위의 접근 권한을 갖는 방식

 * 제한된 사용자 인터페이스(Constrained User Interface)
  • 특정 부분을 사용할 수 없도록 disable하는 방법
  • Public area에서 특권 있는 접근을 통제하는데 유용하다.

강제적 접근 제어 ⊃ 임의적 접근 제어 가 무조건 

 -- 예방과 탐지

 세 쌍의 통제 메커니즘
관리적 예방과 탐지 - 직무, 신원 등을 파악
논리적 예방과 탐지(기술적 예방과 탐지) - 컴퓨터, 네트워크, OS 등을 파악
물리적 예방과 탐지 - 경비를 세우거나 하는 물리적 보안

 관리적 예방과 탐지
• 예방 : 조직적인 정책과 절차, 채용 관행, 직원의 배경 조사, 퇴직 절차, 보안 의식 훈련…
• 탐지 : 직무 순환, 직무 분리, 민감 개체에 대한 레이블, 휴가 스케쥴링…

> 직무 순환 : 해당 직무의 부정을 확인 하기 위한 방법 중 하나, 직무 순환 외에도 강제 휴가를 통해 직무자의 자리를 비워, 자리를 비운 동안 직무의 부정을 확인

 논리적 예방과 탐지
• 예방 : 접근 통제 프로그램, 콜백 시스템, 제한된 사용자 인터페이스 …
• 탐지 : IDS …

> 콜벡 시스템 : 내가 인증을 하고 요청을 하면 요청을 수락한 상대방이 네트워크 연결함
  -> 감사 로그를 남기기 좋은 방법, 미국에서 주로 사용

 물리적 예방과 탐지
• 예방 : 담장, 인식표, 다중 출입문, 경비원, 출입 통제 설비, 백업 사이트 …
• 탐지 : 동작, 온도 감지 센서, CCTV…

 * 클리핑 레벨 (Clipping Level): 문제 보고 및 감사 검토 허용 범위, 감사 및 분석 정보의 량을 줄여준다.
 (ex. 3회의 접속 실패는 침입으로 간주, 두 번 실패는 일상적인 행동으로 인식)

3. 통제 응용 기술

 -- 식별과 인증(Identification & Authenticatication) <- b="">

 식별 : 본인을 구별하는 행위(ID)
 • 이름, 카드, 지문 …
 > 식별은 증거의 제공 없이 신원의 주장에 기초함으로 인증보다는 약하다.
 인증 : 제기한 신원이 맞는지 확인하는 행위(Password)
 • 응답토큰, 암호 …
 > 인증 : 승인된 사용자임을 검증하는 과정
접근 통제책임 소재를 수립하는 기반
 일반적인 I&A의 취약성
 • 취약한 인증 방식
 • 인증 우회
 • 인증 정보의 기밀성과 무결성 부족
 • 네트워크상에서 취약한 암호
 • 인증 요소 소유에 대한 사용자의 인식부족 (공유. 분실…)
 I&A의 분류
 • Type 1 : 지식기반 : 패스워드, PIN번호
 • Type 2 : 소유기반 : 스마트 카드, USB 토큰, ATM 카드
 • Type 3 : 존재기반 : 지문, 망막
 이중인증 기법 (two-factor authentication), 존재기반 인증 기법 등 둘 이상의 인증방법을 혼합한 안전한 인증에 사용.
 • 지식과 소유 (PIN번호, 지문)
 행동 중심 I&A : 서명, 음성
 – 선진국에서는 범죄 증거로 인정함. – 행동역학을 선행 및 숙달되야 할 것

 -- Password

 종류
 • 고정 패스워드(static password)
 • 변경 패스워드(dynamic password)
 • Passphrase
   하나의 단어 대신 외우기 쉽거나 연상하기 쉬운 문장으로 구성된 암호. 암호는 글자와 기호들이 조합된 한 단어인 반면에 문장암호는 중간에 띄어쓰기가 있는 단어들의 조합으로 일반 문장과 다를 바가 없다. 다만, 길이가 길수록 크랙하기 어렵기 때문에 기억하기 쉬우면서도 길이가 긴 문장을 택하는 것이 좋다. (한국정보통신기술협회 : 정보통신표준용어사전)

 토큰을 이용한 일회용 패스워드(OTP : One Time Passwd)
 • 동기 변경 패스워드 토큰
  - 일정 시간 간격으로 유일한 패스워드 생성
  - 유효한 시간 범위 이내에만 사용가능

 . 초기 password의 경우 시스템이 자동으로 생성하거나 관리자에 의해서 할당된다.
 . 시스템이 생성한 password는 난수 형태로 전수공격이나 사전공격에 강하다.

 • 비동기 변경 패스워드 토큰
  - 시간 범위가 없는 점을 제외하면 동기 변경 패스워드와 동일
 • 질의 응답 토큰
  - 시스템의 질의 따라 다른 패스워드가 필요
  - Ex. 금융거래에 이용되는 보안카드

. Jone the Ripper – 유닉스용 password 해독기 – 어떤 기법을 이용할까요??
인터넷에서 무료로 다운 가능

 -- 생체 인식
 생체인식
 • Type-1오류 (FRR, False Rejection Rate) : 잘못된 거부율 - 시스템이 민감할 수록 높음
 • Type-2 오류 (FAR, False Acceptance Rate) : 잘못된 승인률 : Type 1보다 중요!! - 시스템이 둔감할 수록 높음
 • 식별 시스템의 민감도는 FRR에 비례하고 FAR에 반비례한다.
 • 동일 오류율 (EER, Equal Error Rate) : FRR=FAR (반비례관계)
 • 동일 오류율 = 교차에러비율(CER, Cross Error Rate)
 • 빠른 응답시간과 낮은 EER
   손바닥 > 손모양(손등 정맥혈) > 홍채 > 망막 > 지문 > 얼굴


 -- SSO(Single Sign On)

 일차 도메인(SSO 서버)에서 자격증명을 처리하고 이 정보를 이차 도메인(정보 자원,
응용 플랫폼)에 제공

 장점
 • 더욱 강력한 암호 사용 가능
 • 관리 능력 향상
 • 암호 재생성에 대한 관리경비 절감
 • 여러 플랫폼으로의 로긴 시간 절약

 단점
 • 모든 시스템을 통합하는 것이 어려움
 • 개발 유지보수와 관련된 경비 증가
 • SSO의 안정성의 문제(셧다운, 유출, 파괴…)

 커버로스, 세사미, 크립토나이트 등의 기술을 이용 구현된다.
• 암호에서 자세히 설명..(이들은 모두 키교환 알고리즘이다.)
• IBM의 NetSP는 크립토나이트를 기반으로한 제품.

 * 커버로스 인증은 service granted item을 ‘ticket’ 이라 부른다.

 4. 통제 방법

 접근 권한은 유형에 따라 ‘알 필요, 할 필요’ 에 근거하여 문서화 되어야 한다.
 접근 권한 통제 목록 (Access control list, ACL), 접근 통제 테이블
 • 특정시스템의 자원을 사용하도록 권한을 부여 받은 사용자정보와 허용된 접근 시스템이나소스의 종류를 포함한다.
 • 정책 입안자나 개별 사용자에 의해 결정되지만 반드시 보안관리자에 의해 구현되어야 한다.

 ACL 를 작성하기 위한 작업
1. IS 자원 목록 작성
-------------------------------
2. IS 자원 분류
3. IS 자원 labeling 작업 -> 이름을 부여 하는 작업
------------------------------- > 분류를 통해 관리도 쉽고 Access 하는 비용도 줄이기 위해
4. ACL 작성

 -- 분산형 접근 통제

 I&A 및 권한 프로세스의 분산 환경의 장점
 • 각 사이트에서 관리가 이루어진다.
 • 보안 현안이 적시에 해결 될 수 있다.
 • 보안통제가 더 빈번히 모니터링 된다.

 I&A 및 권한 프로세스의 분산 환경의 위험
 • 조직이 요구하는 표준이 준수 되지 않을 수 있다.
 • 관리수준이 중앙집중식보다 낮을 가능성이 있다.
 • 표준준수 보장과 관련된 관리적인 감사나 검사가 어렵다.

 > I&A의 분산이란 ?
  - 과거에는 서버가 중앙에 하나(메인 프레인시스템)로 운영 됬던 것을 각 지사 별로 분산하여 각각 개인의 서버를 두는 것 -> 다운 사이징 이라 함

 -- 원거리 접속자를 위한 중앙 집중식 접근 통제

 원격 접속 회선
 • 모뎀(point-to-point), ISDN : 콜백 시스템 (감사증적을 제공)
 • 전용회선 (프레임릴레이, DSL)
 • 케이블모뎀

 원격 접속의 위협
 • 서비스 거부
 • S/W나 프로토콜의 취약점을 이용한 제3자의 데이터 접근
 • 잘못 구성된 네트워크 장비
 • 호스트에 대한 침입
 • 허가된 원격 시스템(주로 Client)에 대한 물리적 보안

 AAA(Authentication, Authorization, Accounting) Server
 자원의 접근을 지능적으로 제어하고, 정책을 수행하며, Auditing 기능을 제공하고 서비스 사용에 대한 billing을 하기 위한 기본 구조이며, RADIUS, TACACS, DIAMETER와 같은 AAA Server가 있다. AAA Server의 초기 목적은 기업 내부 네트워크 및 Audit의 수행에 있다.
 RADIUS(Remote Access Dial-In User Server)
 • Dial-In Server, VPAN server, Wireless AP 등의 접속 환경에서 외부 사용자의 인증에 이용한다. – RADIUS client
 • PAP, CHAP, EAP 등 어떤 프로토콜도 사용 가능하다.
 • RADIUS 서버의 기밀 정보(사용자)는 DB, txt 파일에 저장 가능하다.
 • Password만 암호화 (계정, 인가 서비스 내역등은 평문으로 전송)
 • 계정/암호 기능을 이용 간단히 허용 여부만을 결정하는 곳에 적합(ISP)
 • RFC 2138, 2139

 TACACS(Terminal Access controller Access Control Service)
 • TACACS+, XTACACS 등으로 개선됨
 • 고정 암호 사용, TCP를 이용 (RADIUS는 UDP를 사용 : 무겁다(?))
 • 인증과 허가 과정을 통합

 XTACACS
 • 감사 기능을 별도 기능으로 추가함

 TACACS+
 • 동적 password (OTP) 기능 추가
 • 데이터의 모든 부분을 암호화
 • 기존에 구축된 kerberos 인증 시스템등과 계정 기능의 분리 운영이 가능
 • 사용자 프로파일을 별도로 정의할 수 있다.
 • 기업 네트워크와 같이 복잡한 인가 과정과 엄격한 통제가 필요한 곳에 적합

 DIAMETER
 • VoIP, 스마트 폰, 무선 인프라와 같은 새로운 환경에서 상호 운영이 가능하도록 프로토콜의 기본만을 제공한다.
 • RADIUS와 호환(UDP) 가능하고 에러 탐지, 교정 기능, 장애 복구 등의 개선된 기능을 제공한다.
 • 새로운 규격(Ipsec, TLS)등을 이용 End-To-End 보안 기능을 제공한다.
 • RFC3588

 PAP(Password Authentication Protocol)
 • 접속요청의 유효성을 확인하기 위해 PPP 서버에 의해 사용된다.
 • 원격사용자들에 대한 식별과 인증을 자동으로 제공
 • credentials(신임장)을 평문으로 보냄(보안성 취약)
 • 낮은 수준의 보안 제공
 • network와 network access server에 의해 지원
 • static(정적) 패스워드에 의한 인증

 CHAP(Challenge Handshake AP)
 • PAP보다 높은 수준의 보안 제공
 • challenge/response(질의/응답) 방식을 사용하여 인증
 • 인증을 제공하기 위해서 연결 전에 원격사용자, Router, NAS에 의해 사용

 EAP(Extensible Authentication Protocol)
 • EAP-TLS, MD5-Challenge, EAP-RADIUS
 • EAP-TLS : 인증서 기반의 보안 환경에 이용
 • MD5-Challenge : 이름와 암호 기반의 원격 클라이언트의 인증에 이용

5. 시스템에 대한 평가 기준

 평가 기준
• TCSEC
• ITSEC
• CC
 신뢰 시스템과 보증
• Trust level : 시스템 보호 정책의 정도
• Trusted system : 보호 정책에 대한 준거성과 적합성이 확인된 시스템
• Assurance(보장) : 보안 통제가 기대한 대로 기능한다는 확신


 -- TCSEC

 미국의 신뢰성 있는 컴퓨터 시스템 평가기준 (TCSEC : Trusted computer System Evaluation Criteria)
 • 1983년 국방성(DoD) 내 NCSC 주도하에 오렌지 북이라 불리는 신뢰성 있는 컴퓨터 시스템 평가 기준인 TCSEC 초안 제정
 • Bell-LaPadula Model 기반의 기밀성을 다룬다. (가용성과 무결성은 다루지 않는다.)
 • 통제 목적은 보안 정책, 보증, 책임 추적성이다.
 • 기능성(Functionality)와 보증(Assurance)를 분리하지 않음
 • 1985년 미 국방성 표준(DoD STD 5200.28)으로 채택
 • 보안 클래스
  - D : 최소보호
  - C : 재량적(임의적) 보호 : 알아야할 필요성(임의적 접근제어)
  - B : 강제적 보호 : 보안 레이블(강제적 접근제어)
  - A : 검증된 정형화된 보호

 기본적 보안 요구사항
 • 보안정책 : 명백하고 잘 정의된 보안정책 존재
 • 보안등급 : 접근통제 위한 보안 레이블 주체, 객체에 결합
 • 신분확인 : 각 주체 신분 확인
 • 감사•기록 : 감사기록 정보 안전하게 유지, 보호
 • 보증 : 독립적인 하드웨어, 소프트웨어 메커니즘 존재
 • 지속적인 보호 : 외부 공격 및 불법 변경으로부터 지속적 보호

 - A1 등급은 실제 과정도 검토함
- B, C 등급을 구분할 때 보게 되는 것은 강제적 접근 정책의 유무 임


 TCSEC의 문제점
 • 운영 시스템에만 중점을 둠
 • 무결성과 가용성을 다루지 않음
 • 단순한 분류로 다양한 보안 측면을 평가하기 힘듦

> 오렌지북(Orange book)으로 보유

 TNI(Trusted Network Interpretation)
 • 미국 국방부에서 제공
 • 기밀성과 무결성을 다룬다.
 • 레드북이라 불린다.
 • 등급
  - Non, C1(최소), C2(fair), B2(good)

 TDI(Trusted Database Management Interpretation)
 • 안전한 DB관리 시스템에 대한 평가 기준

미국 - 기밀성 모델링 기반 TCSEC
유럽 - 기밀성, 가용성, 무결성 모두를 확인 ITSEC

 유럽의 ITSEC (Information Technology Security Evaluation Criteria) -> CC를 개발
 • 1980년대 후반 영국, 프랑스, 독일, 네델란드 주축으로 고유의 보안성 평가 기준서 개발
 • 1991년 ITSEC 버전 1.2 개발, 2년 간의 시험 적용 후 유럽 표준 지정
 • 기밀성, 무결성, 가용성을 다룬다.
 • 보안을 강제하는 메커니즘과 보안 정책을 포함한다.
 • 평가되는 제품이나 시스템을 평가 대상(Target of Evaluation:TOE)로 정의한다.
 • 기능성과 보증을 분리해서 평가
  - Functionality : F1 → F10 : 기능 클래스
  - Assurance : E0 → E6 : 보증 수준
 • 단일 기준으로 모든 정보보호 제품 평가(보증 부분)
 • 보안기능 요구사항
  - F-C1, F-C2, F-B1, F-B2, F-B3, F-IN(무결성), F-AV(가용성), F-DI(전송 데이터 무결성), FDC(비밀성), F-DX(전송 데이터 비밀성) 등 10가지 보안기능 제공
 • 보증 요구사항 : 효용성, 정확성 보증 기준
 • 등급
  - E1(최저), E2, E3, E4, E5, E6(최고)의 6등급으로 구분
  - E0 : 부적합  효용성 보증 하나라도 만족 못하는 경우

 -- CC

 1998년 버전 2.0 개발
 버전 2.1 국제표준(ISO/IEC 15408)으로 제정
 ISO에서 제공
• TCSEC나 ITSEC의 단점을 보안
• PP (Protection Profile) : 보안 요구 사항이나 평가할 제품의 보호 항목을 명시.
• ST(Security Target :보호목표명세) : 벤더나 개발자가 작성한 제품의 명세
• EAL(Evaluation Assurance Level) : EAL0 ~ EAL7 <- i="">

 CC(Common Criteria : 국제 공통 평기 기준)의 구성
• 1부 : 소개 및 일반 모델
- IT보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 공통평가기준의 소
개부분
- IT 보안목적을 표현하고 IT 보안요구사항을 선택 • 정의하며, 제품 및 시스템의 상위수준 명세를 작성
하기 위한 구조를 소개
- 공통평가기준 각 부의 유용성을 각 활용주체 측면에서 서술
• 2부 : 보안기능요구사항
- TOE의 기능요구사항을 표준화된 방법으로 표현
- 기능 컴포넌트들의 집합으로 구성
- 기능클래스. 기능패밀리, 기능컴포넌트의 집합으로 분류
• 3부 : 보증요구사항
- TOE의 보증요구사항을 표준화된 방법으로 표현
- 보증컴포넌트들의 집합으로 구성
- 보증클래스, 보증패밀리, 보증컴포넌트의 집합으로 분류
- 보호프로파일 및 보안목표 명세서에 대한 평가기준을 정의
- TOE의 보증수준을 정의하기 위한 공통평가기준에서 미리 정의된 척도를 소개(평가보증등급)
• 4부 : PP 구조(기술 내용)
• 5부 : PP 등록 방법


 보호프로파일(Protection Profile : PP)
 • CC(Common Criteria, ISO 15408)의 기능과 보증 요구사항을 이용하여 특정 제품(Target of Evaluation : TOE)의 구현과 상관없이 보안요구사항을 정의한 문서
 • 보안 요구사항에 대한 이론적 근거, 보안 목적 등이 기술된다.
 • 사용자, 정보보호 시스템 개발자, 이외 여러 단체나 집단에 의해서 개발 가능
 • 보안 필요성을 설명하는 수단을 제공, 보안 필요성에 대한 평가를 쉽게 한다.

 보안목표명세서(Security Target : ST) -> TOE를 만든 회사에서 그 기능에 대해 서술한 것
 • PP를 기초로 보안 기능을 서술한 문서
 • 시스템 사용 환경, 보안 환경, 보안 기능 명세 서 등을 포함한다.

>> 두 문서를 비교하여 보안 등급을 매김

보호 프로 파일 (PP) ⊃ 보안목표명세서(ST)
보호 프로 파일은 요구조건이라면 보안목표명세서는 그 요구 조건에서 실행된 실행서를 의미


 -- CC(PP)

1. 보호프로파일 소개(PP Introduction)
  ① 보호프로파일 식별(PP Identification)
  ② 보호프로파일 개요(PP Overview)
2. TOE 설명(TOE Description)
3. TOE 보안환경(TOE Security Environment)
  ① 위협(Threats)
  ② 가정사항(Assumptions)
  ③ 조직의 보안정책(Organisational Security Policy)
4. 보안목적(Security Objectives)
  ① TOE 보안목적(Security Objectives for the TOE)
  ② 환경에 대한 보안목적(Security Objectives for the Environment)
5. IT 보안요구사항(IT Security Requirements)
  ① TOE 보안기능요구사항(TOE Security Functional Requirements)
  ② TOE 보증요구사항(TOE Security Assurance Requirements)
  ③ IT 환경에 대한 보안요구사항(Security Requirements for the IT Environments)
6. 보호프로파일 응용 시 주의사항(PP Application Notes)
7. 이론적 근거(Rationale)
  ① 보안목적의 이론적 근거(Security Objectives Rationale)
  ② 보안요구사항의 이론적 근거(Security Requirements Rationale)

 -- CC(ST)

1. 보안목표명세서 소개(ST Introduction)
  ① 보안목표명세서 식별(ST Identification)
  ② 보안목표명세서 개요(ST Overview)
  ③ 공통평가기준 적합성(CC Conformance)
2. TOE 설명(TOE Description)
3. TOE 보안환경(TOE Security Environment)
  ① 가정사항(Assumptions)
  ② 위협(Threats)
  ③ 조직의 보안정책 (Organisational Security Policy)
4. 보안목적(Security Objectives)
  ① TOE 보안목적 (Security Objectives for the TOE)
  ② 환경에 대한 보안목적 (Security Objectives for the Environment)
5. IT 보안요구사항(IT Security Requirements)
  ① TOE 보안기능요구사항 (TOE Security Functional Requirements)
  ② TOE 보증요구사항(TOE Security Assurance Requirements)
  ③ IT 환경에 대한 보안요구사항 (Security Requirements for the IT Environments)
6. TOE 요약명세(TOE Summary Specification)
  ① TOE 보안기능(TOE Security Functions)
  ② 보증수단(Assurance Measures)
7. 보호프로파일 수용(PP Claims)
  ① 7.1 보호프로파일 참조(PP Reference)
  ② 7.2 보호프로파일 재정립(PP Tailoring)
  ③ 7.3 보호프로파일 추가사항(PP Additions)
8. 이론적 근거(Rationale)
  ① 보안목적의 이론적 근거 (Security Objectives Rationale)
  ② 보안요구사항의 이론적 근거 (Security Requirements Rationale)
  ③ TOE 요약명세의 이론적 근거 (TOE Summary Specification Rationale)
  ④ 보호프로파일 수용의 이론적 근거 (PP Claims Rationale)

 -- 평가 절차



 -- CC(국제 동향)

 상호인정 합의(Mutual Recognition)
 • 1998년 10월 5일 미국, 영국, 캐나다, 프랑스, 독일 등 5개국의 6개 기관
 • 국제공통평가기준(Common Criteria) 평가인증서에 대한 상호인증
 • 정보보호시스템에 대한 평가결과를 상호인정
 • 국제공통평가기준(CC) 버전 2.0 과 국제공통평가방법을 사용하여 정보보호시스템을 평가
 • EAL 4등급(TCSEC : B1 등급) 이하만을 상호인정
 연 혁
 • 캐나다, 프랑스, 독일, 영국, 미국, 네덜란드 6개국에 의한 CC 프로젝트 결성
  - 각국의 보안평가기준을 CC로 통일
  - 1997년 12월 CC Version 2.0 공개
  - 1998년 5월 CC Version 2.1 공개(1999년 6월 ISO 표준화 : ISO/IEC 15408)
 • 6개국의 CC 국내 제도화 시작
 • 6개국에 의한 MRA의 기반구축
  - 1998년 3월 : Draft 작성
  - 1998년 10월 : MRA 공개(캐나다, 프랑스, 독일, 영국, 미국 5개국 참가)
  - 1999년 10월 : 호주, 뉴질랜드 참가(합계 7개국)
 * MRA(Mutual Recognition Agreement)
  - 국가간에 적합성 평가의 절차나 결과를 상호 인정하는 협정

 -- CCRA

 Common Criteria Mutual Recognition Arrangement(CCRA)
 • 2002년에 13개국 협정 체결
 • 가입국간 CC 인증결과 상호인정
 • 인증서발행국과 인증서수용국으로 이원화
 • 인증서 발행국 (8개국 : 2005년 기준)
  - 미국, 캐나다, 영국, 프랑스, 독일, 호주, 뉴질랜드, 일본, 한국(2006,5,9)
 • 인증서 수용국(13개국 : 2005년 기준)
  - 네델란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인, 이스라엘, 스웨덴, 오스트리아, 헝가리, 터키, 체코, 싱가폴
 • 신규심사 대상국
  - 네델란드, 스웨덴, 스페인, 한국, 이탈리아

K4(E) 레벨 이상은 국외로 가면 범법행위로 간주됨


 -- 인증과 인가

 인증과 인가
 • 인증(certification)
  - 보안 특성의 포괄적인 평가를 통해 보안 요구사항의 집합에 부합되는 범위를 확립
  - 보안 요구사항 집합과 대조하여 보안 요소나 환경에 대한 기술적인 평가
 • 인가(Accreditation)
  - 경영진의 보안 적절성에 대한 공식적인 승인 선언이나 과정

 인증과 인가 표준(미국)
 • DITSCAP(Defense Information Technology Security Certification and Accreditation Process : 국방 정보 기술 보안 은증과 인가 프로세스)
  - IT시스템을 인증하고 인가하는 표준 프로세스와 설명 관리구조의 집합
  - 1단계(정의) – 2단계(입증) – 3단계(유효성검증) – 4단계 (인가 후속조치)
 • NIACAP(National Information Assurance Certification and Accreditation Process : 미 국립 정보 보증 인증과 인가 프로세스)
  - 단계는 DITSCAP와 동일
  - 인가의 세가지 유형
    . 사이트 인가(Site Accreditation) : 독립적인 위치의 APP와 시스템 평가
    . 유형(Type) 인가 : 분산된 APP와 시스템 평가
    . 시스템(System) 인가 : 주요 app나 일반적인 지원 시스템 평가
 • NIACAP를 근간으로 CIAP(Commercial Information Analysis Process)가 개발
  - 상용 시스템 평가를 위한 정보보안 분석 프로세스

 6. 침입과 공격

 침입과 공격은 모두 형법상의 용어로 분리 이해되어야 한다.
 종류
 • 직접 공격, 분산 공격
 • 자동 공격
 • 사고에 의한 공격
 • 의도적인 내부 공격
 • 인가 되지 않은 외부 침입

 유형
 • 포트스캔
 • 스푸핑
 • 패스워드크래킹
 • 익스플로잇
 • 트로이
 • 웜
 • 바이러스
 • DOS
 • …

 포트스캔
 • TCP나 UDP가 사용하는 프로세스를 구별하기 위한 주소 중에 대기중인 주소를 검사하는 것
 • 여러 집을 돌아다니며 벨을 눌러 거주자가 있는지 확인하는 행위와 비슷
 • 사전 공격행위로 인식

 스푸핑(spoofing)
 • 주소를 조작하여 인가된 시스템으로부터 접속했다고 기만하는 행위
 • IP, ARP, DNS 스푸핑이 있다.

 스니핑(sniffing)
 • 도청행위
 • 자신을 목적지로 하지 않은 네트워크 상의 패킷을 읽어서 공격하는 행위
 • Shoulder surfing (어깨넘어보기) – 시스템에 의존하지 않고 접근 권한을 획득 가능.

 TCP 일련 번호(Sequence number) 공격
 • Sequence number를 가로채서 세션에 끼어 드는 공격
 • Sequence number : Segment의 첫번째 byte의 stream에서의 byte 순서 번호

 버퍼 오버플로우 공격 (Buffer overflow At.)
 • 죽음의 핑(Ping of Death), 초과 길이 파일명이나 사용자 이름을 이용한 메일 동격(65,537 byte 이상)
 • 적절한 parameter 설정으로 일부 방지가 가능하다.

 SYN flooding공격
 • TCP의 초기 핸드쉐이크 중의 버퍼 공간을 이용한 공격

 조각 공격(Trardrop At.)
 • IP의 오프셋 필드와 중복된 패킷 프래그멘테이션(fragmentation) 필드를 이용한 공격
 • 시스템을 리부팅하거나 크래쉬되도록 유발한다.

 스머프 공격(Smurf)
 • IP 스푸핑을 이용 목표 시스템을 여러 시스템이 다구리 치도록 함 (라우터가 대상이면 인터넷 불능)
 • ICMP를 이용

 패스워드 크래킹
 • 전수공격(brute force) – 키의 길이를 늘린다.
 • 저장된 암호 파일이용 – shadow file이용
 • 패스워드 가로채기 – 암호 인증 프로토콜(PAP)을 이용
 • 사전공격 : 패스워드에 친숙한 단어를 입력해보는 공격
 • 무차별 공격 : 아무 패스워드나 무작위로 입력해 보는 것 (전수 공격의 형태)

 * 접근통제 시스템에 대한 공격 (인증과 관련된 공격) : 사전공격, 버퍼오버플로우공격, 무차별공격 (DOS 공격 : 가용성 관련 공격)

 익스플로잇(exploit)
 • DOS, DDOS 공격
 • SYN/ Land 공격(잘못된 IP를 가진 SNY를 서버에 보내 서비스를 방해)
 • Ping of Death (사이즈가 큰 IP패킷을 전송)
 • Ping flood(많은 량의 ping 패킷을 전송)
 • Fraggle (공격 대상 IP를 출발지로 네트워크에 ping 패킷을 전송, UDP기반)
 • UDP 폭탄 (시스템 사이에 지속적인 UDP 패킷을 전송:TCP를 이용하지 않는이유??)
 • 웹스푸핑(하이퍼링크 스푸핑)

 트로이 목마
 • 인가된 것처럼 속이는 악성 부정 코드

 웜
 • 데이터를 파괴하거나 자원을 소모하는 파괴적인 프로그램 (복제하지 않는다.)

 논리 폭탄
 • 특정시간이나 조건에 구동되는 파괴적인 프로그램

 바이러스
 • 자신을 복제하는 불법적인 공격 프로그램

 트랩도어
 • 시스템의 보안규정을 우회하도록 구성된 시스템의 출구
 워드라이빙
 소수점 절사, 살라미
 • 소액의 돈을 절사하는 방법

 > 살라미 : 특정 자릿수 ( 100원 자리 수 미만)의 돈, 신경쓰지 않거나 감안되어 계산되 나오는 소액의 돈 들을 다수를 상대로 인출하여 자신이 이득을 챙기는 것 ( 감사에 걸리지도 않음 )

 스마트 카트, 마이크로 칩에 대한 공격
 • Microprobing : 물리적인 포장을 열어서 내용을 보거나 변경하는 행위(USB등에 이용)
 • Fault generation :
 • Eavesdropping : 도청

 참조모니터의 조건
 • 격리성, 완전성,검증가능
 > 보안 커널을 만들 때, 보안 커널에 대해 정의된 문서를 말함

 제로데이공격 – Decoy IDS(유인 IDS)
 Tripwire – 보안솔루션, John the Ripper – 암호해독기
 내부 공격
 • 자원에 대한 권한을 부여 받은 사용자가 승인되지 않은 방법으로 자원에 접근하는것














DB 연동 웹페이지 작성 후 오라클 유저에 여러 권한 부여

ㅇ ㅂㅇ

유저를 생성한 뒤 유저에게는 기본적인 권한(접속, 테이블 생성)을 부여해야 함

  SQL>GRANT connect, resource TO 유저명

웹 페이지는 보통 아이디의 무결성을 위해 비밀번호를 해쉬코드 알고리즘으로 저장함

오라클에서 해쉬코드로 저장하기 위해서는 그에 따른 권한을 부여 해주어야 함

명령어는
 SQL>GRANT EXECUTE ON DBMS_CRYPTO TO [유저명];

이 권한을 주어야 해쉬 코드 함수를 사용 가능하게 하며 해쉬 코드 암호화 알고리즘으로는



위와 같이 있으며 dual 대신 테이블 명을 입력하면 된다.

오라클에서 순번을 사용 할 때 쓰는 시퀀스를 사용 할 때 이 또한 권한을 부여해주어야 함
시퀀스 권한에는 시퀀스의 값을 변하게(증감) 할 수 있는 권한, 시퀀스 변경 권한, 두가지 권한을 모두 갖는 권한이 있음.

GRANT [SELECT, SEQUENCE, ALTER] ON 소유계정.시퀀스명 TO 계정명;

 - SELECT : CURRVAL과 NEXTVAL을 사용 할 수 있는 권한
 - ALTER : SEQUENCE 변경 권한
 - SEQUENCE : ALTER와 SELECT 두가지 권한

select sequence_owner from dba_sequences where sequence_name = '시퀀스명';


2015년 3월 25일 수요일

D4 Telecommunications, Network & Internet Security

ㅇ ㅂㅇ

1. 네트워크 구조

Network are complex
 많은 구성 요소로 이루어 져있다.
 • 호스트
 • 라우터
 • 여러가지 매체
 • 응용 프로그램
 • 프로토콜
 • H/W, S/W
Question
 네트워크 구조를 어떻게 조직하는가? 또는 네트워크 구조에 대한 논의는 가능 한가?

 Application : 네트워크 응용 프로그램
 • FTP, SMTP, HTTP
 Transport : 호스트-호스트간에 데이터 전송을 담당
 • TCP, UDP
 Network : 출발지에서 목적지 까지 datagram을 routing을 담당
 • IP, routing protocol
 Link : 네트워크 노드들 간에 data를 전송하는 기능을 담당
 • PPP, Ethernet
 Physical : bit “on the wire”
가장 중요한 원칙 – 투명성



 네트워크의 근본적인 문제 :
어떻게 네트워크를 통해서 데이터를 전송하는가
 • Circuit switching(회선 교환) -> 방송 사업자들이 사용하는 방식
  - 통신 세션 동안 전용 회선(예약된 자원)을 이용하는 방법
 • Packet switching (패킷 교환) -> 통신 사업자들이 사용하는 방식
  - 데이터를 일정 크기의 단위로 나누어 불연속적으로 네트워크에 전송하는 방법


 -- 회선 교환

종단간 통신을 위해 자원을 예약하는 통신 방식
 • 송수신자간의 경로에 있는 스위치들이 연결상태를 유지하는 연결
  이 연결을 회선(circuit)이라 한다.
 • 회선은 네트워크에 일정한 전송 대역폭(bandwidth)을 예약한다.
 • 예약된 자원은 전용되며 공유되지 않는다.
 • 연결된 회선은 일정한 성능을 보장한다.
 • 통신을 위해서는 사전 회선예약이 필요하다.

◈ 링크내에 회선은 FDM(frequency division)이나 TDM(time division)으로 구현된다.

 FDM 방식 : 방송 사업자들이 사용하는 방식
 TDM 방식 : 통신 사업자들이 사용하는 방식

종단간에 전송되는 메시지를 packet이라는 작은 단위로 분할해서 전송한다.
• 사용자들의 패킷은 네트워크자원을 공유한다.
• 전송되는 패킷은 대역폭을 모두 사용한다.
• 자원은 필요에 따라 사용된다.
전송을 위해 대역폭을 나누거나 자원을 예약하지 않는다.

 -- 패킷 교환(통계적 다중화)


A와 B 패킷의 순서가 일정하지 않다. 즉 보내지는 순서에 일정한 패턴이 없다. ⇒
statistical multiplexing (통계적 다중화)
반복되는 TDM프레임 안의 일정 slot를 각 호스트가 할당 받는 TDM과 비교된다.

 Datagram network (데이터그램 네트워크)
 • 다음 hop까지의 경로 결정에 목적지의 주소를 이용한다.
 • 세션 동안 경로가 변경될 수 있다.
 • 길을 물어서 목적지까지 운전하는 방법과 유사하다.

 Virtual circuit network (가상 회선 네트워크)
 • 어떤 패킷은 자신의 헤더에 VC id를 갖는데 이것은 다음 hop으로의 경로를 결정하는데 이용된다.
 • VC id는 출발지에서 도착지까지의 경로가 확립될 때 할당 된다.
 • 각 스위치(라우터)는 VC네트워크 교환에 이용되는 정보를 유지한다.

 -- 네트워크 분류


 -- Application Layer

Network application의 개념과 구현
• 클라이언트_서버
모델의 예
• Peer-Peer 모델

 많이 사용되는 application 관련 protocol
 • HTTP
 • FTP (Out of band )
 • SMTP (push)
 • POP3/IMAP
 • DNS

 Network application 프로그래밍 방법
 • Socket API

 프로그램의 실행
• 서로 다른 종단시스템 간에 실행
• 네트워크 위에서 실행
• 예. Web: Web 서버와 browser 간에 통신
 Network core는 Network 프로그램에 대해서 투명하다.
 • Network core의 장치와 application 개발과는 무관하다.
 • 종단시스템으로 소프트웨어를 제한한다는 기본설계는 인터넷 application의 빠른 개발과전개를 쉽게 해준다.


 T/L 뿐아니라 A/L, L/L에서도 매우 중요한 문제이다.
 매우 중요한 topics

 -- Transport Layer


 하위계층이 비신뢰적(unreliable)인 채널인 경우 상위채널에서 신뢰적인(reliable) 통신을 제공 해야 한다.

TCP service
연결지향형 서비스 : message를 전송 하기 전에 client와 server process 간에 전송 제어정보가 전달 된다.
 신뢰적인 전송 서비스 : 모든 데이터가 오류 없이 올바른 순서로 전달 된다.
혼잡제어 : 네트워크가 혼잡상태에 이르면 송신자가 전송 속도를 낮춘다.
                 (process의 직접적인 이득보다는 인터넷 전체 성능 향상)
 제공되지 않는 서비스
 • 최소전송률을 보장하지 않는다.
 • 지연보장을 하지 않는다.
Application에서 담당한다.

UDP service
 비 신뢰적인 data전송 서비스를 제공한다. (도착여부나 순서를 보장하지 않는다.)
 통신 전에 제어 정보를 전송하는 connection setup과정이 없다.
신뢰성, 혼잡제어, 흐름제어, 지연,최소 전송률 등을 보장하지 않는다.

Q : UDP를 이용하는 이유는 무엇인가?
A: 송신자가 전송속도를 네트워크 혼잡에 따라 제어하는 혼잡제어를 제공하지 않음으로, 비록 모든 data가 전달되지 못하더라도 송신 process는 원하는 속도로 data를 전송 해야 하는 실시간 application에 사용한다. 이런 application들은 최소 전송률이 필요하지만 data의 일부 손실은 감수 할 수 있기 때문이다.

> 혼잡제어를 제공하지 않으므로 속도가 빠르며 소켓을 하나만 소비하기에 리소스가 덜 사용

 -- Network Layer

 IP는 신뢰기반 통신을 제공하지 않는다. (인터넷에서는 TCP가 이를 제공한다.)
 • 최선형 서비스(Best effort service)

 포워딩과 라우팅을 통해 경로를 배정한다.
 • 라우팅 프로토콜 RIP, OSPF, IGRP, BGP

> 라우팅(=루터)은 경로를 지정하기 위한 일련의 과정을 말함

 IP의 관리 구분
 • Class 별로 관리 된다.
  - A : 1 ~ 126
  - B : 127.1 ~ 191.254
  - C : 192.0.1 ~ 223.255.254
 • 대부분의 네트워크는 VLSM에 의해 서브넷이 구성된다.

> Class 별로 관리를 하는 이유는 많은 IP 대역들을 나눈 뒤에 그 대역들만을 관리하기 위해서 임 -> 관리를 쉽게 하기 위해서 Class 별로 관리함

 IP, ICMP등의 프로토콜을 포함한다.

 -- Link Layer

 Ethernet(Bus), ATM(star), FDDI(ring), PPP 등등
 Ethernet
 • MAC(Media access control) 주소 기반의 비 신뢰적인 통신 서비스를 제공
 • CSMA/CD(Carrier Sense Multiple Access with Collision Detect)
 • HUB(repeater)
 • Bridge(switch)


 -- Physical Layer

 Bit : 전송시에 일련의 송수신기 쌍을 거쳐서 전달된다.
 물리적 매체 : 송수신기 사이에 연결 경로
 • 유도 매체(guided meida)
 • 비유도 매체(unguided media)
 유도 매체
 • 광케이블, 동축케이블, UTP와 같이 견고한 매체를 따라서 파형을 유도하는것
 비유도 매체
 • 무선 LAN, 디지털 위성채널등과 같이 대기와 야외공간으로 파형을 전파하는것
 매체 종류
 • 꼬임쌍 동선(Twisted pair : TP)
 • 동축케이블 (Coaxial cable)
  - Baseband (단일 채널, 10base2..)
  - Broadband (여러 채널, HFC)
 • 광케이블 (Fiber optic cable)
 • Radio link types
  - 지상파, LAN (WiFi…), Wide-area (cellular…). 위성

2. 네트워크 C.I.A

 통신(TC : Telecommunication) 보안은 C.I,A 원칙에 위협을 가할 수 있는 네트워크 상의 오용이나 악용을 방지하고 탐지하는 관점에서 다루어 진다.
 • 기밀성(Confidentiality)
 • 무결성(Integrity)
 • 가용성(Availability)

 -- 기밀성(Confidentiality) -> 네트워크에서는 가장 중요

 네트워크 시스템상의 고의적이거나 의도하지 않은 불법적인 정보 노출로 부터의 보호를 의미한다.

 네트워크 기밀성을 보장하기 위한 요소
• 네트워크 보안 프로토콜
• 네트워크 인증 서비스
• 네트워크 암호화 서비스

 -- 무결성 (Integrity)

 전송되는 메시지가 정확하게 전달되었다는 것으로 고의적이나 의도하지 않은 변경이 없었음을 보장하는 것이다. 또한 이와 더불어 부인 방지의 개념도 포함된다.

 네트워크 무결성을 보장하기 위한 요소
• 방화벽 서비스
• 통신 보안 관리
• 침입탐지 서비스

 -- 가용성 (Availability)

 인가된 사용자들이 허가된 프로세스를 위해서 네트워크로 접속하기 위한 접속성(connectivity)을 보장하는것이다.

 네트워크 가용성을 보장하는 요소
• 백업이나 여분의 디스크 시스템과 같은 장애방지 능력
• 사용인원과 프로세스의 수행 능력
• 신뢰할 만한 프로세스와 네트워크 보안 메커니즘

 네트워크 가용성에서 디스크에 대한 장애 저항 능력은 매우 중요한 요소이다. 이에 관해 다음과 같은 시스템들이 논의 중이며 이중에 현존하는 표준은 FRDS이다.
 • 장애 저항 디스크 시스템 ( FRDS : Failure Resistant Disk System)
  - 대체 디스크에서 장애 디스크의 내용을 복구
 • 장애 방지 디스크 시스템 (Failure Tolerant Disk System)
 • 재해 방지 디스크 시스템 (Disaster Tolerant Disk System)
 • FRDS+ : FRDS에 hot swap 기능을 포함 시킨 것

 FRDS (RAID : Redundant Arrays of Inexpensive Disks) -> 장애 저항 시스템
 • RAID 0 : Striping
 • RAID 1 : Mirroring
 • RAID 5 : block-interleaved distributed parity
 • RAID 10 : 0+1
 • RAID 3 : byte-interleaved parity
 • RAID 4 : block-interleaved parity

 서버 장애 방지 시스템
 • 중복 서버
  - Fail over link된 secondary 서버를 운영하는 방법
  - 주 서버의 처리가 미러링 된 secondary 서버로 이전되는 것을 치환(rollover)라고 한다.
 > 메인서버가 불능시 메인 서버 대신 하는 서버

 • 서버 클러스터링
  - Server farm을 구성 모든 서버가 온라인 상태로 투명하게 서비스를 제공하는것
  - 오라클 사의 RAC나 MS사의 크러스터 서버등과 같은 시스템이 제공된다.



 백업
 • 전체백업(Full backup)
  - 이전 백업 유무와 상관없는 전체 백업
 • 차이분 백업(Differential Backup)
  - 특정 백업 시점 이후의 내용만을 백업
  - 보통 전체 시점을 기준으로 한다.
  - 누적 백업으로 일부가 중복된 백업이 수행된다.(Cumulative backup)


 • 증가분 백업(Incremental Backup)
  - 이전 백업 이후 수정된 부분만 백업
  - 전혀 중복 없는 백업 방법이다.



 -- Single Point of Failure

 장애 시에 전체 네트워크에 영향을 미치는 네트워크 상에 특정 포인트를 의미한다.
 예
 • 버스 토플로지(Topology)의 동축 케이블(Coaxial cable)
 • Star 토플로지의 back-bone Switch
 • 단일 전용 회선

 통제
 • FDDI (Fiber Distributed Data Interface)
 • 전용회선의 백업용 ISDN, TT
 • UPS

 -- 침입차단 시스템(Firewall) 개요

 침입차단시스템(Firewall) 정의
 • 내부 네트워크 망과 외부 네트워크 망을 분리해 주는 시스템
 • 내부망과 외부망 사이의 정보 흐름을 안전하게 통제하는 시스템
  - 신뢰하는 비공개 인트라넷과 외부에 공개하는 인터넷 사이를 분리시킬 목적으로 사용하는 S/W와 H/W의 총체적 표현

> 내부 / 외부를 나누는 기준은 보안정책이 적용되는 망 (내부), 비 적용 망(외부)

 침입차단시스템의 등장배경
 • 위협요소의 증가 및 현실화
  - 내부 전산망 · 전산자원에 대한 해킹 위험성 및 외부노출 가능성 존재.
  - 내부 사용자의 자료유출 위험성 존재
  - 외부사용자, 내부사용자 선별 불가능
  - 외부사용자로부터 내부 전산망 분리가 불가능
  - 내부 전산망 · 전산자원에 대한 침해여부의 파악 불가능
 • 네트워크에서 효율적인 보안정책의 실현 필요
 • 보안 노력을 한 곳에 집중

 침입차단시스템의 역할
 • 프라이버시 보호 : 내부 망의 정보 유출 방지, dual DNS기능 지원
 • 서비스 취약점 보호 : 안전하지 못한 서비스 필터링
 • 보안기능의 집중화
  - 다양한 보안 S/W가 다수의 호스트에 분산되어 탑재되는 것보다 집중되어 탑재되어 있는 것이 관리에 효율적
  - 보안정책의 구현 용이
  - 보안 관련 경비 절감
  - 외부 침입에 의한 내부 네트워크의 침해 도메인 최소화

 침입차단시스템의 기능
 • 패킷 필터링(packet filtering), NAT(Network Address Translation)
 > 패킷 필터링은 기본적인 것, NAT는 IP를 바꾸어 주는 서비스(다수의 사용자가 한 IP를 사용하는 방법, 누가 해당 IP를 사용하는 지 판단이 불가)
 • 프록시(proxy) 또는 Application gateway, 로깅(logging)
 > 프록시는 대행자 역할을 함
 • VPN(Virtual Private Network)  <- i="">
 > 장치식 / Software식 2가지 방법이 있음
 > VPN은 터널링을 기반으로 작용함

 침입차단시스템 구성요소
 • 베스천 호스트 (Bastion host)
  - 침입차단소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의 게이트웨이 역할을 하는 호스트
  - 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격목표가 됨
  - 보안에 헛점이 생기지 않도록 불필요 프로그램 삭제, 불명확한 서비스 제한, 최신 버전 패치를 통해 신중히 관리
 • 스크린 라우터
  - 내부와 외부 네트워크의 물리적인 연결점
  - 네트워크 레벨의 방어를 수행
  - 패킷필터링, 접근제어(IP,PORT), NAT
 • 침입차단시스템 소프트웨어
  - 스크린 라우터와 일부 기능 중복
  - 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트함

 -- 침입 차단 시스템 구축 형태

 Screening Router
 • 개요
  - Packet Filtering Router
  - OSI참조모델의 3,4 Layer사이에서 동작
  - 통신 프로토콜의 형태, source/destination address, port번호를 분석해서 패킷 트래픽을 Permit/Deny하는 역할을 수행
 • 장점
  - Filtering속도가 빠르다
  - 구축비용이 적게 든다
  - 사용자에 대한 투명성을 유지
 • 단점
  - 네트워크 계층과 트랜스포트 계층 관점에서만 방어가 가능
  - Packet내의 데이터에 대한 공격은 차단 불가
  - Log 정보의 생성 및 관리가 곤란


 Bastion Router (Bastion Host)
 • 개요
  - 외부 네트워크와 내부 네트워크 사이에서 방화벽 시스템 역할을 함
  - 내부 네트워크로의 접근을 원할 경우 우선 Bastion Host를 통과해야만 내부 네트워크로 접근이 가능
  - 내부 네트워크 전면에서 전체의 보안을 책임지는 호스트이기 때문에 공격자의 공격 목표가 되기 쉬움
 • 장점
  - Screening Router보다 안전
  - 정보 지향적인 공격에 대해 방어가 가능
  - Log 정보의 생성 및 관리가능
 • 단점
  - Bastion Host가 손상되면 내부 네트워크의 보호가 불가능
  - Login정보가 유출되면 내부 네트워크의 보호가 불가능


 Dual Homed Gateway <가장 일반적인 형태의 방화벽>
 • 개요
  - 2개의 NIC (네트워크 인터페이스)를 가진 Bastion Host임
  - 한 개는 외부 네트워크에 연결, 다른 하나는 내부 네트워크에 연결
 • 장점
  - Screening Router나 Bastion Host보다 안전
  - 정보 지향적인 공격에 대해 방어가 가능
  - Log 정보의 생성 및 관리가 용이
 • 단점
  - Gateway가 손상되면 내부 네트워크 보호가 불가능
  - Login정보가 유출되면 내부 네트워크의 보호가 불가능


 Screened Host Gateway
 • 개요
  - Screening Router + Bastion Host(또는Dual Homed Gateway) - 동시에 패킷 필터링을 함
 • 장점
  - 네트워크 계층과 응용 계층에서 방어함
  - 가장 많이 사용되는 방화벽 시스템
 • 단점
  - Screening Router의 Routing Table이 변경되면 방어가 불가능함
  - 구축비용이 많음


 Screened Subnet Gateway (방화벽 업체들이 주자하는 권장 제품)
 • 개요
  - 외부 네트워크와 내부 네트워크를 Screened Gateway를 통해서 연결함
  - 외부 네트워크와 Screened Subnet사이 및 Screened Subnet과 내부 네트워크 사이에 각각 Screened Router를 사용

> Screened Gateway가 있는 곳을 DMZ 영역이라고 함


실질적인 네트워크 구성



 • 장점
  - 매우 안전함
  - Screened Host Gateway의 장점을 그대로 적용
  - 융통성이 뛰어남
 • 단점
  - 구현이 어렵고, 관리하기가 어려움
  - 구축비용이 많이 듦
  - 서비스 속도가 느림


 Application Proxy (가장 중요함, 가장 상위 개념)
 > proxy의 강점 : 접속할 서버를 일일이 지정해 주어야 하며, 접속시 로그를 남기기에 로그 기록을 통해서 사용자에 대한 정보 조회 가능

 • 개요
  - OSI 7계층에서 Application Level의 Firewall 기능을 수행
  - Proxy gateway 또는 Application gateway라고도 함
  - 각 서비스(FTP, Telnet, HTTP)마다 관련된 Proxy가 존재함
 • 장점
  - 내부 네트워크와 외부 네트워크간 직접연결을 불허
  - 기존에 사용하고 있는 Application수정이 필요 없음
  - 강력한 Login기능과 Audit기능을 제공함
 • 단점
  - 새로운 서비스 추가 시 Proxy 도 추가되어야 함
  - 새로운 서비스에 대한 유연성이 떨어짐


 > web, mail 서버는 로그 기록이 100% 남게됨

 -- 침입차단시스템의 한계

 침입차단시스템의 문제점
 • 제한된 서비스
  - 사용자들이 자주 사용하는 서비스(telnet, FTP)차단 시 장애
  - 정상 포트(ex : 80번 웹포트)를 통한 해킹 및 바이러스 공격가능
 • 내부사용자에 의한 보안 침해
  - 인가된 내부사용자에 대한 통제 불가
 • 기타의 문제점
  - 우회경로를 통한 공격 가능
  - 바이러스 검색 불가능 : 백신 프로그램이나 다른 보안 대책 강구 필요
  - 보안기능이 집중되는 곳 : 병목현상 발생 가능, 침입차단 시스템 붕괴 시 내부 네트워크에 심각한 보안 침해 초래 가능

 -- 침입탐지 시스템(IDS)의 개요

 침입탐지 시스템 (IDS)의 정의
 • 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고, 침입 발생 여부를
탐지(Detection)하고, 대응(Response)하는 자동화된 시스템

> 네트워크의 이상 현상만을 확인했던 시스템의 발전형태

 침입탐지 시스템의 등장 배경
 • 인가된 내부사용자의 불법적인 행위 증가
 • 정상포트(웹, 전자우편 등)를 통한 악성코드 유입 증가

 기능
 • 네트워크의 실시간 감시
 • 네트워크의 전용선과 생산성 향상 및 남용방지
 • 정책에 의한 특정 서비스의 차단 및 로그
 • 침입 시도 재연 기능
 • 침입 분석 및 네트워크 사용 분석레포트 제공
 • 실시간 로그인 및 경고

 일반적 구조
 • Event generator (E-Box)
  - 모든 이벤트에 대한 데이터 수집 ( 스니퍼와 비슷)
 • Event analyzer (A-Box)
  - 수집된 데이터를 분석하여 침입탐지 수행
 > 주로 설정하는 것으로 클리핑 레벨을 설정함
 • Event databases (D-Box)
  - 필요한 정보를 저장
 > 주로 로그 정보를 저장
 • Response units (R-Box)
  - 탐지된 침입에 대한 대응행동 수행
 > 네트워크를 물리적으로 차단 (장비 자체를 비활성화)


레이어링
 - 하나의 플렛폼을 여러개로 나누는 것


 -- 침입탐지 시스템의 절차

 정보수집 (Data Collection)
 • 호스트 로그 정보 수집
  - 프로그램/프로세스의 변수
 • 멀티호스트간 로그 정보 수집
  - 호스트간 통신 필요
------------------------------------------ 소프트웨어 주체 형식
 • 네트워크 패킷 수집
  - 패킷 수집 및 프로토콜 해석 기술
------------------------------------------- 하드 웨어(네트워크) 주체 형식

침입의 2가지
 - Host 주체의 침입 
 - Network 주체의 침입

 정보가공 및 축약 (Data Reduction)
 • Raw 데이터로부터 의미있는 정보로 가공
  - 실시간 침입판정을 위한 최소한의 정보
  - 자체의 Audit Record로서의 의미

 침입분석 및 탐지(Intrusion Detection)
 • Anomaly Detection (비정상행위 탐지)
  - 비정상적인 행위나 컴퓨터 자원의 사용을 탐지
  - 정해진 모델을 벗어나는 경우를 침입으로 간주
  - 구현 비용이 큼
> 정상행위(이는 지정을 해줌) 이외에는 모두 탐지

 • Misuse Detection (오용탐지)
  - 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지
  - 정해진 모델과 일치하는 경우를 침입으로 간주
  - Auditing 정보에 대한 의존도가 높음
 > 침입인 것을 판단하여 탐지

>> 침입분석 및 탐지의 오판율 Anomaly Detection (비정상행위 탐지) > Misuse Detection (오용탐지)

 보고 및 조치
 • 침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행
 • 침입 진행 상황 보고
 • 침입 재연 기능


 -- Information Source 기준 분류

 호스트 기반 IDS - 시스템에 직접 설치
 • 데이터 소스
  - OS 감사자료(audit trail)
  - 시스템(이벤트) 로그 (시스템에 직접 설치하여 탐지)
 • 장점 - 실질적인 시스템에 침입을 판단함
  - 네트워크 기반 IDS 에서는 탐지 불가능한 침입 탐지 가능
   (예 : 트로이 목마, Race condition 등)
 > 위의 장점은 호스트 기반과 네트워크 기반의 용도가 달라 생기는 장점으로 장점이라 하기는 조금 불편하다
  - 우회 가능성이 거의 없음
  - 고부하(High traffic)/스위치(Switch) 네트웨크에도 사용 가능
 • 단점
  - 모든 개별 호스트에 대한 설치 및 관리가 어려움(비용 증가)
  - IDS가 설치된 플랫폼의 성능 저하
  - 네트웍 스캔 등과 같은 네트워크 전체에 대한 탐색행위를 탐지하기에 부적합
  - 오직 호스트 컴퓨터상의 부적절한 행위만을 감지하고 세그먼트 전체를 모니터링하지 않는다

> IDS 또한 소프트웨어이고 실시간으로 감지하기에 설치된 플랫폼의 성능을 저하시키며, 네트워크를 탐지 하는 것이 아니기에 각각의 PC에 설치를 모두 해야 함

 네트워크 기반 IDS -> 상업용, IDS의 대부분이 네트워크 기반
• 데이터 소스
- 실시간 네트워크 패킷
- 대부분의 상업용 IDS에서 적용
• 장점
- 호스트 기반 IDS 에서는 탐지 불가능한
침입 탐지 가능(예 : 포트 스캐닝)
- 전체 네트워크에 대한 침입 탐지 가능
- 기존 네트워크 환경의 변경 필요 없음
• 단점
- 탐지된 침입의 실제 공격 성공 여부를 알지 못함
- 고부하(High traffic)/스위치(Switch) 네트워크에는 적용 어려움
- 암호화된 패킷은 탐지 불가
- 상대적으로 오판률이 높다.
   (False(+) : 공격이 아닌데 공격으로 오인 / False(-) : 공격인데 공격이 아닌걸로 오인)

 하이브리드 (Hybrid) -> 감시를 하는 실제 서버가 필요함
 • 장점
  - 네트웍과 호스트 IDS의 장점을 모두 갖고 있음
  - 네트웍과 호스트의 개별 감시 및 통합 감시가 가능
  - 시차를 두고 여러 네트웍에 이루지는 것과 같은 복잡한 형태의 공격도 판단할 수 있다.
 • 단점
  - 단일 호스트 기반, 네트웍 기반등이 상호 연동할 수 있는 업계 표준이 없다.
  - 설치 및 관리가 훨씬 어렵다.

 Application-Based IDSs - 특정 서버에서만 작용 (App - Server 1:1 로 작용)
 • 장점
  - 사용자와 애플리케이션간의 Interaction의 모니터링이 가능
  - 암호화된 패킷이 호스트에서 복호화되기 떄문에 암호화 패킷에 대한 모니터링이 가능
    -> 특정 패킷만을 모니터링함
 • 단점
  - 호스트기반 IDS보다 공격에 취약
  - 트로이목마에 대한 탐지 불가
  - 호스트기반, 네트워크기반 IDS와 혼합하여 사용하는 것이 바람직

 -- IDS Analysis 기준 분류

 Misuse Detection (오용탐지) -> 오판율이 낮음
 • 동작원리
  - 정해진 공격 모델과 일치하는 경우를 침입으로 간주(Buffer overflow)
  - 가장 많이 사용하는 형태
 • 기법 종류
  - Expert system, State transition analysis, Key Stroke Monitoring, Model Based Approach
 • 장점
  - 상대적으로 낮은 오판율(false alarm)
  - 침입에 사용된 특정한 도구/기술에 대한 분석 가능
  - 신속하고 정확한 침해사고 대응에 도움
  - 발생되는 경고는 표준화 되어있고 이해하기 쉽다.
 • 단점
  - 다양한 우회 가능성 존재
  - 새로운 침입유형에 대한 탐지 불가능 (False(-) : 공격이 맞는데 공격이 아니라고 판단)
  - 새로운 공격에 대한 시그너쳐를 지속적으로 업데이트 필수 -> Anti-Virus 제품과 유사

  > 새로운 침입에 취약, 지속적으로 업데이트를 해주어야 함, 지속적 서비스를 해주어야 함

 Anomaly Detection (비정상행위 탐지)
 • 동작원리
  - 비정상적인 행위나 컴퓨터 자원의 사용을 탐지
  - 정해진 모델을 벗어나는 경우를 침입으로 간주
 • 기법 종류
  - Statistical approach, Predictive pattern modeling
  - AI, Neural network, Genetic algorithm, Immune system…
 • 장점
  - 새로운 침입 유형에 대한 탐지 가능
  - 특정한 침입이 아닌 “정상에서 벗어남”으로 탐지
 • 단점
  - 정상 행위를 모델링(예측)하기 어려움.
  - 오판률이 높다. (False(+) : 공격이 아닌데 공격으로 오인)
  - 방대한 사용자/네트워크 활동 (training data) 필요
  - 많은 시간 요구. 심지어 불가능
  - 네트워크를 포함한 IS가 이를 운영 할만한 충분한 통제가 마련되어지지 않을 수도 있다.


 -- Timing 기준 분류

 Real-Time - 네트워크 기반 침입 탐지 시스템
 • 장점
  - 감지 시간에 따라 관리자가 침입을 차단할 수 있다.
  - 빠른 시스템 복구가 가능하다.
 • 단점
  - 비실시간 시스템보다 많은 CPU 시간과 메모리가 필요함.
  - 실시간 탐지를 위한 시스템 설정이 매우 중요하나 이는 매우 어려운 작업이다.

 Interval-Based - 호스트 기반 침입 탐지 시스템
 • 장점
  - 금융기관과 같이 침입 가능성은 적으나 한번의 침입이 미치는 영향이 큰 곳에 적합 (문제의 원인 분석이 중요한 환경)
  - 실시간에 비해 시스템 자원이 덜 필요함
  - 시스템 자원과 인적 자원이 부족 환경에 적합
  - 법적 대응을 위한 자료 수집에 적합
 • 단점
  - 배치 모드로 동작하므로 더 많은 디스크 공간이 필요

 -- Response Option 기준 분류

 수동적 대응행동(passive response)
 • 관리자에게는 침입 정보만 제공
 • 실제 대응행동은 제공된 정보를 기초로 관리자가 수행
 • 대부분의 상용제품에서 사용
 • 종류
  - 알림 및 경보, SNMP Trap 등

 능동적 대응행동(active response)
 • 실제 대응행동을 IDS가 자동적으로(automated) 수행
  - 진행 중인 침입의 추가적인 진행 차단
  - 침입자에 의한 추가적인 공격 차단
  - 침입자 세션 종료 : TCP Reset 이용
  - 라우터(router) 또는 Firewall 재설정
 • 종류
  - 환경 변경, 침입자에 대한 역공격 등

 > 능동적 대응은 정상적인 네트워크 및 서비스를 차단 할 수 있음(오판율로 인해) -> 위험이 발생 가능

 -- 호스트 기반/하이브리드 IDS 설치

 모든 호스트에 설치하는 것은 현실적으로 불가
 • 비용, 관리 상의 문제
 주요 서버에 우선적으로 설치
 • 외부 공개 서비스 서버
  - 웹 서버, Ftp 서버 등
 • 해킹 당할 경우 파급 악영향이 큰 서버
  - 메일 서버, DNS 서버 등
 • 중요 정보가 저장된 서버
  - Research/Accounting/CEO 서버 등
 중앙 관리 기능을 지원하는 제품 선택
 • 모든 개별 서버에 대한 관리는 비효율적임

> IDS는 침입을 탐지하는 기법
> IDS 구성
 - 호스트 : E box(에이전트)
 -  서버 : A, R, D Box
 >> 인텔리전트 허브
  - 에이전트(감시 및 데이터 수집을 함)가 삽입되어 있는 허브

 -- 관리자의 역할

 IDS의 효과적인 관리를 위한 노력과 시간 요구
 • IDS의 정상적인 동작 여부 점검
  - IDS 자체가 침입의 대상이 될 수 있음
  - 다양한 IDS 공격 도구 존재
 • 조직의 호스트/네트워크 환경 변화에 따른 지속적인 유지 보수
 • 새로운 침입유형에 대한 지속적인 업데이트
 • 침입탐지 결과 분석 및 대응
 • 사전에 체계적인 침해사고 대응 계획 및 절차수립 필요

 높은 수준의 기술적 역량 요구
 • IDS에 대한 전반적인 이해
  - 침입탐지 기능, 한계점과 대처방법 등
 • IDS 설치, 운용, 관리 능력
 • 다양한 침입유형에 대한 이해와 분석 능력
  - 새로운 침입유형 추가 능력은 고도의 분석 능력 필요

 -- 침입탐지 시스템의 한계점

 완벽한 솔루션이 아님
 • 제품 설치 후에도 침입 발생 가능성 여전히 존재
 조직 내의 근본적인 문제점 해결 불가능
 • 보안전략, 보안정책의 부재 등
 관리자의 개입 없이는 효과적인 운용 불가능
 • 침입탐지 결과 대응 및 분석 등
 높은 오판율
 • 관리자에게 불필요한 시간과 자원 소비 유발
 다양한 우회 가능성 존재
 • Fragrouter, Whisker, SideStep, IDSWakup, ISIC, AMDMutate등

 -- 침입방지 시스템 (IPS)의 개요

 IPS (Intrusion Prevention System)의 정의
 • 인터넷 웜, 악성코드 및 해킹에 기인한 유해 트래픽을 차단하기 위한 능동형 보안 솔루션
 > 침입이 있을 때 대응 하는 것 (IDS의 능동적 대처와 비슷함)
 기능
 • 네트워크에 상주하면서 트래픽을 모니터링
 • 악성으로 예상되는 패킷에 대하여 차단
 • 의심스러운 세션을 종료
 • 공격에대처하기 위한 기타 조치를 취함
 • 침입차단 시스템, 침입탐지 시스템, 안티 바이러스 시스템들이 제공하는 기능을 조합하는 통합성을 제공
 • 실시간으로 악성공격을 차단

 -- 침입방지 시스템의 등장 배경

 공격유형의 변화
 • 공격을 위해 요구되는 지식은 점차 줄어들고, 공격의 정밀도는 높아지는 경향

 기존 보안제품의 한계



 -- 가상사설망 (VPN) 개요

 VPN정의
 • 공중망을 이용하여 사설 망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜들의 집합
 등장배경
 • 작업환경의 변화
  - 정보의 공유를 위한 네트워크의 확장
  - 원격지의 사무실, 이동 사용자, 재택 근무자 수의 증가
  - 보안의 중요성 대두
 • 기존의 네트워크 확장에 드는 비용의 증가
  - 회선비용
    . 원격지 사이트들이 여러 개의 전용회선으로 연결된 경우
  - 원거리 요금
    . 이동 근무자와 사무실간의 다이얼업으로 통신하는 경우
  - 높은 네트워크 관리 비용
    . 사설망 장비를 관리하고 운영하는 경우

 -- VPN 분류 (서비스 제공 방식)

 Remote Access(Dial-up) VPN
 • 본사와 원격지 허가 받은 사용자간의 네트워킹
 • Client-to-LAN 방식 사용
 • 사용이나 관리상의 용이성이 중요한 부분

 Intranet VPN
 • 본사와 지사간의 네트워킹
 • LAN-to-LAN 방식 사용

 Extranet VPN
 • 본사와 사업 파트너 또는 고객 등과의 네트워킹
 • 보안 정책이 다른 subnet들을 상호 연결
 • 높은 보안 위험성 -> 복잡한 구현 형성


 -- VPN 기술

 Key 관리 기술
 • VPN 서비스 위해 필요한 보안 사항들을 추가
 • 키 관리 프레임 워크
 • ISAKMP/OAKLEY, IKE를 이용
 터널링 기술
 • End-to-End 전용 회선 연결과 같은 효과
 • 두 종단 사이의 가상적인 터널 형성 기술
 • 암호화, 인증 기능 제공
 • 각 네트워크 계층별로 터널링 프로토콜 존재
 VPN 관리 기술
 • 효과적이고 안정적으로 VPN 서비스 지원하는 기술
 • QoS 보장 지원

> 상용 서버는 확인 기능 모두 보유

 VPN의 보안 기술
 • 터널링(Tunneling)기술」과 「암호화기술」
 • 터널링
  - 시작지점에서 목표지점까지 터널을 형성한다는 의미,「인터넷 네트워크상에서 외부의 영향을 받지 않는 가상적인 터널을 형성해 정보를 주고받는다」는 뜻
  - 네트워크상의 터널과 관련해 상호 약속된 프로토콜로 세션을 구성하고 이 터널은 다른 사용자로부터 보호를 받음

 현재 터널링을 구현하는 기술
 • PPTP(Point to Point Tunneling Protocol)
 • L2TP(Layer 2 Tunneling Protocol)
 • IPSec(IP Security Protocol)

 -- VPN 프로토콜 비교



 -- PPTP, L2TP

 PPTP(Point to Point Tunneling Protocol): MS가 제안
 • 2 Layer 에서 암호와 캡슐화를 이용한 VPN 제공
        (encryption and encapsulation)
 • 서버 연결을 원하는 개별 클라이언트를 위해 고안됨
 • PPP(Dial medem)패킷을 캡슐화 한다.
 • PPP 인증과 암호 서비스를 이용한다.
  - RC4를 이용
  - 완전한 암호화 시스템을 이용하는 것이 아님
 • MS사의 RAS에 이용됨

 L2TP(Layer 2 Tunneling Protocol)
• L2TP는 인터넷을 통해 가상사설망을 구축하기 위한 IETF 의 프로토콜이다.
• 마이크로소프트의 PPTP와, 시스코의 2계층 포워딩 (L2F) 기술이 결합된 것이다.
• AppleTalk나 IPX와 같은 비 IP 프로토콜들을 지원한다.

 -- IPSec

 개요
 • 단대단 IP 계층 보안 프로토콜을 제공하기 위한 개방 구조의 프레임 워크
 • IETF Ipsec working group에 의해 제안 – IPv4,IPv6 모두 지원

 Mode
 • Tunnel
  - 게이트웨이 간에 보안 구간 구성
  - 데이터 패킷 전체가 암호화 되어 IPSec 패킷에 담겨진다.
 • Transport
  - 호스트 간에 보안 구간을 구성

 보안 프로토콜(Security Protocol)
 • AH(Authentication Header) 프로토콜
  - 인증, 무결성, 부인방지를 제공 > 해쉬 코드를 사용한 공개키 암호 방식 사용
  - HMAC-MD5, HMAC-SHA-1 이 사용
 • ESP(Encapsulating Security Payload) 프로토콜
  - 기밀성을 위해 동작 > 대칭키 암호 방식 사용
 • IKE
  - 키교환
  - ISAKMP, SKEME, Oakley 로 구성

 -- IPSec : AH

 개념
 • IP 데이터그램에 대해 강력한 인증과 무결성 보장을 제공하는 메커니즘

 기능
 • 비 접속형 무결성(Connectionless integrity)
 • 데이터 근원지 인증(Data Source Authentication)
 • Sequence number를 이용한 Replay 공격 방지

 특징
 • 각각의 데이터그램에 근거한 인증
 • MD5나 SHA와 같은 메시지 인증 코드를 사용
 • 공유 비밀키와 키 교환 기법을 사용
 • 시퀀스 번호를 이용하여 리플레이 공격 방지를 제공

 -- IPSec : ESP

 개념
 • IP 데이터그램에 대해 강력한 기밀성과 무결성 보장을 제공하는 메카니즘

 기능
 • 암호화를 통한 데이터 기밀성(Data Confidentiality)유지
 • 비 접속형 무결성(Connectionless integrity) 보장
 • 데이터 근원지 인증(Data Source Authentication)의 기능
 • Sequence number를 이용한 Replay 공격 방지 기능

 특징
 • 공개키 기반의 키교환 메커니즘을 이용한 암호화
 • 암호화로 인한 성능 저하의 가능성 (e.g.triple DES)
 • IPv6에서는 필수적으로 구현되어야 함

 -- AH + ESP

 AH의 문제점
 • 암호화 기능 없음

 ESP의 문제점
 • IP헤더에 대한 무결성을 제공하지 못함

 해결방안
 • ESP된 것에 AH를 추가
 • DES, 3DES, SHA-1, MD5가 사용


 -- VPN 국내의 기술 동향

 VPN 시장
 • Remote access VPN → intranet/extranet VPN으로의 빠른 시장 확산

 VPN 기술
 • VPN gateway에 다양한 보안기능이 통합되는 추세
  - : VPN + FIREWALL + IDS + ANTIVIRUS 등
 • 중앙 집중형의 편리한 보안정책 구현 및 관리 기능

 VPN 전망
 • VPN 기술의 정립/시장 확산에 따라 상호운용성이 중요한 이슈로 부각
 • VPN의 품질보장(QoS) 문제가 경쟁력에 주요 영향을 미칠것임

 -- Firewall, IDS, VPN 비교


 -- 침입탐지 (ID : Intrusion Detection)

 컴퓨터 사건 대응 팀
 • CERT(Computer Emergency Response Team) : 카네기멜론 대학에서 첨..(저작권)
 • CIRT(Computer Incident Response Team) : 사건대응 관리 임무를 맡은 조직으로 기업내 컴퓨터 환경에 위협에 대한 기업의 대응을 관리한다.

 CIRT의 구성
 • 취약성 조사와 특정 침입에 대한 해결책을 마련할 수 있는 인력으로 구성

 CIRT의 활동
 • 데이터 수집, 보존, 검토, 및 분석 을 포함한 네트워크 로그 관리
 • 미리 정해진 단계적 확대 경로에 따라 알아야 할 필요성이있는 담당자에게 사건과 관련된 정보를 전달
 • 사건에 대한 해결 및 취약성에 대한 적절한 조치
 • 적절한 당사자에게 사후 보고

 CIRT의 효과
• 사건 대응에 필요한 비용을 최소화하고 기업에 대한 위험을 완화시키는 장점이 있다.

 -- 네트워크 악용 클래스

 일반적인 악용 클래스는 단지 일반적인 구분으로 완벽한 목록은 아니지만 참조용 자료로 의미가 있다.

 클래스 A - 예로 사칭(가장)이 있음
• 접근 통제를 우회한 불법 접근
• 사회공학적인 방법을 통해 얻는 정보를 이용 masquerading(가장)하는 경우가 많다.

 클래스 B
• 비업무적 용도에 네트워크 사용

> A, B 클래스가 대표적

 클래스 C
• 네트워크 가로 채기(전송매체에 대한 물리적인) 등의 기술을 이용한 도청
• 전송 데이터를 은밀히 모니터링하거나 리스닝하는 수동적인 도청과 은닉 신호 채널을 만들거나 적극적으로 네트워크에 전송을 간섭하는 능동적 도청이 있다.
• 도청과 클래스 F(탐색)은 클래스 E(침입)을 위한 사전 작업 단계이다.

 클래스 D
서비스 거부및 서비스 방해 공격
 > 서비스 거부에 대한 해결책이 없음

 클래스 E
 • 네트워크 침입
 • 방법
 - 스푸핑 : IP, DNS등의 정보를 속여 인가된 네크워크로부터 접속이라고 기만하는 행위
 - 피기백 : 인가된 세션을 불법적으로 이용하는것, (로그온 된 빈자리 …)
 - 백도어 : 모뎀 등 통제가 적용되지 않은 경로를 이용하는것

 클래스 F
 • 탐색
 • 스니퍼를 이용한 트래픽 분석, 포트스캔을 통한 접속 포트확인 …

 -- 무선

 무선통신에서 보다 직접적인 관심
 • 장치 도난 : 장치의 휴대성으로 인해 발생
 • 사용자의 사기나 절도
 • 악의적인 해킹
 • 서비스의 도난
 • 상대적으로 용이한 도청
 • 악의적인 코드

 무선 시스템의 위험
 • 일반적인 유선 네트워크에 존재하는 모든 취약점을 포함
 • 무선 프로토콜 : 오래된 암호 기법, 불완전한 규격 (WEP, WAP)
 • 방화벽을 우회하는 내부 접속
 • 용이한 무선 장치간의 도청
 • 무선 연결장치를 대상으로 한 DoS 공격
 • 도난당하기 쉬운 휴대장치들
 • 제3자가 이용가능 한 비보안 무선 네트워크 (공격자를 숨기는데 이용)
 • 임의로 설치된 부적절한 장치 : 데이터 추출
 • War driving, walking
 • Chalking (AP의 사용 범위를 보도블럭이나 벽에 표시하는것)
 • 중간자 공격

WAP(Wireless Application Protocol )
• 서로 상이한 무선 장치간에 상호 통신을 위한 무선 규약

WEP
• Wired Equivalent Privacy (WEP)는 무선 LAN 표준을 정의하는 IEEE 802.11 규약의 일부분으로 무선 LAN 운용간의 보안을 위해 사용되는 기술.
• 2003년에 Wi-Fi 얼라이언스에서는 뒤에 나올 802.11i 수정안의 일부였던 WPA가 WEP를 대체한다고 발표함
• RC4 이용

WPA(Wi-Fi protected access)
• IEEE801.11i의 부분 규약으로 WEP에 비해서 강화된 보안 기능을 제공
• TKIP(Temporal Key Integrity Protocol) 이용 일정 시간마다 암호를 변경
- 짧은 시간안에 크랙하는 방법이 발표됨.
• 인증
- 인증 서버를 사용하는 엔터프라이즈(Enterprise)
- 인증 서버를 사용하지 않는 PSK(Pre-Shared Key)

 -- 여러 보안 프로토콜

 PGP
 • 확실히 믿을 수 있는 유일한 보안 시스템(메일)
 • 본문 암호화 : IDEA
 • 전자서명과 키교환 : RSA
 • 공식적이고 공인된 CA를 사용하지 않음
 • 사용자간의 상호인증을 이용 (Web of Trust)

 SSL/TLS
 • Secure socket Layer / Transaction Layer sequrity
 • APP와 TCP/IP사이에 위치
 • 공개키와 인증서를 이용
 • RSA, IDEA, DES, 3DES, MD5를 이용
 • TLS는 SSL의 계승함
 • X.509 표준에 근거한 공개키 확인 인증서를 이용
 • 국내에서 사용하는 SSL은 암호키가 40비트로 안전한 웹 통신을 보장하지 못한다. (미국 정부가 제한함)
 • 서버인증(의무), 클라이언트 인증(옵션)
 • Https에서 이용

 >> Session Layer에서 암호화 함, 서버 인증시에 사용함

 SET
이용자의 신용카드 관련정보가 판매자에게 공개되지 않는 신용카드 결제 기술
• 지불정보 암호화 : DES
• 키교환 및 전자 서명 : RSA
 SHTTP
• 웹서버와 클라이언트간에 안전한 통신을 제공
• 비밀성, 무결성, 인증, 부인방지를 제공
• SSL과는 달리 문서를 보호한다. (SSL은 세션을 보안한다.)
• 다양한 암호 알고리즘을 제공한다.
• 클라이언트에 공개키를 요구하지 않는다.
• 다양한 암호 알고리즘과 융통성을 제공한다.
 SSH (Secure Shell)
• 클라이언트와 서버 사이에 암호화된 터널을 제공
• 공개키를 이용 전송암호에 사용되는 키를 교환한다.
• RSA와 IDEA, DES를 이용한다.