<목차>
1. 네트워크 C.I.A
1) 기밀성(Confidentiality)
2) 무결성 (Integrity)
3) 가용성 (Availability)
① 네트워크 가용성에서 디스크에 대한 장애 저항 능력
② FRDS
③ 서버 장애 방지 시스템
④ 백업
4) Single Point of Failure
2. 침입차단 시스템(Firewall) 개요
1) 침입차단시스템(Firewall) 정의
2) 침입차단시스템의 등장배경
3) 침입차단시스템의 역할
4) 침입차단시스템의 기능
5) 침입차단시스템 구성요소
3. 침입차단시스템의 한계
4. 침입탐지 시스템(IDS)의 개요
5. 침입탐지 시스템의 절차
6. 침입 탐지시스템의 분류
7. Information Source 기준 분류
8. IDS Analysis 기준 분류
9. Timing 기준 분류
10. Response Option 기준 분류
11. 호스트 기반/하이브리드 IDS 설치
12. 관리자의 역할
1) IDS의 효과적인 관리를 위한 노력과 시간 요구
2) 높은 수준의 기술적 역량 요구
13. 침입탐지 시스템의 한계점
14. 침입방지 시스템 (IPS)의 개요
15. 침입방지 시스템의 등장 배경
16.침입탐지(ID : Intrusion Detection)
17. 네트워크 악용 클래스
18. 무선
1) 무선통신에서 보다 직접적인 관심
2) 무선 시스템의 위험
19. 무선 보안
20.여러 보안 프로토콜
1) PGP
2) SSL/TLS
1. 네트워크 C.I.A
통신(TC : Telecommunication) 보안은 C.I,A 원칙에 위협을 가할 수 있는 네트워크 상의 오용이나 악용을 방지하고 탐지하는 관점에서 다루어 진다.
1) 기밀성(Confidentiality)
네트워크 시스템상의 고의적이거나 의도하지 않은 불법적인 정보 노출로 부터의 보호를 의미한다. 네트워크 기밀성을 보장하기 위한 요소로는 네트워크 보안 프로토콜, 네트워크 인증 서비스, 네트워크 암호화 서비스가 있다. 기밀성을 위해 세션을 보호하기 위한 장비를 설치 그리고 Vpn 서비스, 터널링 서비스를 한다.
ActiveX는 사용자가 웹 서비스를 이용하는데 필요한 응용 프로그램을 PC에서 자동으로 설치해주는 기술이다. ActiveX는 개발이 빠르고 쉽다는 장점이 있어 우리나라 공인인증서 관련 업무는 ActiveX 기반의 기술을 사용하고 있다. ActiveX 가 잘못된 프로그램인 경우 공인인증서를 사용하는 것이 보안상 심각한 문제가 될 수 있다. 공인인증서를 사용하는 것이 문제가 되는 것은 공인인증서 자체의 문제가 아니라 이런 문제 때문이다.
2) 무결성 (Integrity)
전송되는 메시지가 정확하게 전달되었다는 것으로 고의적이나 의도하지 않은 변경이 없었음을 보장하는 것이다. 또한 이와 더불어 부인 방지의 개념도 포함된다. 부인 방지의 방법은 공식적으로 공개키 밖에 없다. 인증서 말고는 부인방지용으로100% 법률적인 보장하지 않는다. 네트워크 무결성을 보장하기 위한 요소는 크로스 사이트 스크립트를 막아주는 방화벽 서비스, 통신 보안 관리, 침입탐지 서비스가 있다.
3) 가용성 (Availability)
인가된 사용자들이 허가된 프로세스를 위해서 네트워크로 접속하기 위한 접속성(connectivity)을 보장하는것이다.
네트워크 가용성을 보장하는 요소는 백업이나 여분의 디스크 시스템과 같은 장애방지 능력, 사용인원과 프로세스의 수행 능력, 신뢰할 만한 프로세스와 네트워크 보안 메커니즘이 있다. 백업이나 여분의 디스크 시스템과 같은 장애방지 능력은 여분의 네트워크 시스템을 더 구비하는 것이다. 사용인원과 프로세스의 수행 능력은 여분의 인원수를 구비하여 백업 인원을 보유하는 것이다. 일반 회사에서는 잘 사용하지 않으며 공공기관에서 사용한다.
① 네트워크 가용성에서 디스크에 대한 장애 저항 능력은 매우 중요한 요소이다.
이에 관해 다음과 같은 시스템들이 논의 중이며 이중에 현존하는 표준은 FRDS이다.
- 장애 저항 디스크 시스템 (FRDS : Failure Resistant Disk System) :대체 디스크에서 장애 디스크의 내용을 복구
- 장애 방지 디스크 시스템 (Failure Tolerant Disk System)
- 재해 방지 디스크 시스템 (Disaster Tolerant Disk System)
- FRDS+ : FRDS에 hot swap 기능을 포함 시킨 것
② FRDS (RAID : Redundant Arrays of Inexpensive Disks) : 데이터를 분할해서 복수의 자기 디스크 장치에 대해 병렬로 데이터를 읽는 장치 또는 읽는 방식
| 레벨 | 구성 | 특징 |
| RAID 0 | Striping |
하드드라이브를 분할하여 저장하기 때문에 속도가 매우 빠르지만 안정성이 없다. |
| RAID 1 | Mirroring |
하드드라이브가 반드시 짝수로 들어가야 한다. |
| RAID 5 | block-interleaved distributed parity |
1GB 하드드라이브가 4개 있는 경우에 3GB 하드드라이브로 인식된다. 1개의 하드드라이브는 나머지 3개의 백업용으로 사용하고, 3개의 하드드라이브는 스트라이핑 하기 때문이다. 그리고 3개의 저장되는 파일의 패리티정보를 나머지 1개에 저장한다. |
| RAID 10 | 0+1 | RAID 1과 RAID 0을 합친것이다. |
| RAID 3 | byte-interleaved parity | 쓰이지 않는다. |
| RAID 4 | block-interleaved parity | 쓰이지 않는다. |
③ 서버 장애 방지 시스템
| 중복 서버 |
- Fail over link된 secondary 서버를 운영하는 방법이다. secondary 서버는 평상시에 접속이 되지 않는다. 마스터 서버가 물리적으로 접속 불능시 메인 서버의 IP를 사용하는 서버이며, 사전에 secondary 서버를 지정해놔야 한다. |
| 서버 클러스터링 | - Server farm을 구성 모든 서버가 온라인 상태로 투명하게 서비스를 제공하는것이다. 사용자는 임의 접속이 가능하다. - 오라클 사의 RAC나 MS사의 크러스터 서버등과 같은 시스템이 제공된다. 회사마다 프로덕트가 다르다. |
④ 백업
| 전체백업(Full backup) | 이전 백업 유무와 상관없는 전체 백업 |
| 차이분 백업(Differential Backup) | - 특정 백업 시점 이후의 내용만을 백업 - 보통 전체 시점을 기준으로 한다. - 누적 백업으로 일부가 중복된 백업이 수행된다.(Cumulative backup) |
| 증가분 백업(Incremental Backup) | - 이전 백업 이후 수정된 부분만 백업 - 전혀 중복 없는 백업 방법이다. |
4) Single Point of Failure
한 네트워크 불능시 네트워크 전부가 줄능이 되는 상태로, 장애 시에 전체 네트워크에 영향을 미치는 네트워크 상에 특정 포인트를 의미한다.
버스 토플로지(Topology)의 동축 케이블(Coaxial cable), Star 토플로지의 back-bone Switch, 단일 전용 회선이 있다.
FDDI (Fiber Distributed Data Interface)와 전용회선의 백업용 ISDN, TT를 이용해 통제한다.
2. 침입차단 시스템(Firewall) 개요
1) 침입차단시스템(Firewall) 정의
내부 네트워크 망과 외부 네트워크 망을 분리해 주는 시스템을 의미한다. 정보보안에서 망 분리는 보안정책을 이용한다. 내부망과 외부망 사이의 정보 흐름을 안전하게 통제하는 시스템을 이용해 신뢰하는 비공개 인트라넷과 외부에 공개하는 인터넷 사이를 분리시킬 목적으로 사용하는 S/W와 H/W의 총체적 표현이다.
2) 침입차단시스템의 등장배경
• 위협요소의 증가 및 현실화
- 내부 전산망 · 전산자원에 대한 해킹 위험성 및 외부노출 가능성 존재.
- 내부 사용자의 자료유출 위험성 존재
- 외부사용자, 내부사용자 선별 불가능
- 외부사용자로부터 내부 전산망 분리가 불가능
- 내부 전산망 · 전산자원에 대한 침해여부의 파악 불가능
• 네트워크에서 효율적인 보안정책의 실현 필요
• 보안 노력을 한 곳에 집중
3) 침입차단시스템의 역할
• 내부 망의 정보 유출 방지, dual DNS기능 지원하여 프라이버시를 보호한다.
• 안전하지 못한 서비스 필터링을 이용해 서비스 취약점을 보호한다.
• 보안기능의 집중화
- 다양한 보안 S/W가 다수의 호스트에 분산되어 탑재되는 것보다 집중되어 탑재되어 있는 것이 관리에 효율적
- 보안정책의 구현 용이
- 보안 관련 경비 절감
- 외부 침입에 의한 내부 네트워크의 침해 도메인 최소화
4) 침입차단시스템의 기능
• 방화벽 기능인 패킷 필터링(packet filtering), NAT(Network Address Translation)을 이용한다.
• 프록시(proxy) 또는 proxy의 상위트리인 Application gateway, 로깅(logging)를 이용한다.
• VPN(Virtual Private Network)는 특정 네트워크로만 접속이 가능하게 해준다.
5) 침입차단시스템 구성요소
• 베스천 호스트(Bastion host)는 침입차단소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의 게이트웨이 역할을 하는 호스트이다. 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격목표가 된다. 보안에 헛점이 생기지 않도록 불필요 프로그램 삭제, 불명확한 서비스 제한, 최신 버전 패치를 통해 신
중히 관리한다.
• 스크린 라우터는 내부와 외부 네트워크의 물리적인 연결점이다. 네트워크 레벨의 방어를 수행한다. 패킷필터링, 접근제어(IP,PORT), NAT가 있다.
• 침입차단시스템 소프트웨어는 스크린 라우터와 일부 기능이 중복된다. 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트한다.
3. 침입차단시스템의 한계
침입차단시스템의 문제점은 사용자들이 자주 사용하는 서비스(telnet, FTP)차단 시 장애가 발생하거나 정상 포트(ex : 80번 웹포트)를 통한 해킹 및 바이러스 공격이 가능하기 때문에 제한된 서비스를 수행한다.
또는 인가된 내부사용자에 대한 통제 불가로 인해 내부사용자에 의한 보안 침해가 발생할 수 있다.
기타의 문제점으로는 우회경로를 통한 공격이 가능하다. 또한 바이러스 검색 불가능한 경우 백신 프로그램이나 다른 보안 대책 강구 필요하다. 보안기능이 집중되는 곳에서는 병목현상 발생 가능하고, 침입차단 시스템 붕괴 시 내부 네트워크에 심각한 보안 침해 초래가 가능하다.
4. 침입탐지 시스템(IDS)의 개요
- 침입탐지 시스템 (IDS)의 정의
네트워크에서 발생하는 여러 문제를 탐지하고 대응을 할지 말지는 관여하지 않는다. 대응은 침입탐지 시스템에 기능을 추가하는 것이다. 공식적인 정의는 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고, 침입 발생 여부를 탐지(Detection)하고, 대응(Response)하는 자동화된 시스템을 말한다.
- 침입탐지 시스템의 등장 배경
인가된 내부사용자의 불법적인 행위 증가하고, 정상포트(웹, 전자우편 등)를 통한 악성코드 유입 증가했기 때문에 침입탐지 시스템을 사용하기 시작했다.
- 기능
• 네트워크의 실시간 감시
• 네트워크의 전용선과 생산성 향상 및 남용방지
• 정책에 의한 특정 서비스의 차단 및 로그
• 로그정보를 참조하여 침입 시도 재연 기능
• 침입 분석 및 네트워크 사용 분석레포트 제공
• 실시간 로그인 및 경고
- 침입탐지 시스템의 일반적 구조
|
Event generator (E-Box) |
센서 기능을 수행한다. 네트워크의 모든 이벤트에 대한 데이터 수집이다. |
|
Event analyzer (A-Box) |
수집된 데이터 분석해 침입탐지 수행 |
|
Event databases (D-Box) |
수집된 데이터를 분석하여 침입탐지 수행하고, 침입탐지에 대한 판단을 한 데이터들을 저장한다. |
|
Response units (R-Box) |
탐지된침입에대한대응행동수행한다. |
5. 침입탐지 시스템의 절차
|
정보수집 |
호스트 로그 정보 수집 |
· 호스트에 발생하는 특정 로그정보 판단을 기반으로 한다. |
|
멀티호스트간 로그 정보 수집 |
· 호스트간 통신이 필요하다. |
|
|
네트워크 패킷 수집 |
· 패킷 수집 및 프로토콜 해석을 기술 한다. · 허브에 SNNP기능이 지원되는 intelligent 허브이다. · 네트워크 전부를 감시하기 위해서는 그 비용이 많이든다. · 침입탐지 시스템이 내부 네트워크 전반에 대해서 보아야 한다.. |
|
|
정보가공 및 축약 (Data Reduction) |
Raw 데이터로부터 의미있는 정보로 가공 |
· 필터링해서 의미있는 정보만 저장을 해야 한다. · 가공 및 축약이 되어야 재연이 가능하다. · 실시간 침입판정을 위한 최소한의 정보 · 자체의 Audit Record로서의 의미를 가진다. |
|
침입분석 및 탐지 (Intrusion Detection) |
Anomaly Detection (비정상행위 탐지) |
· 정상적인 행위를 지정해 놓고 그 이외의 것은 모두 비정상 행위로 간주 · 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 · 정해진 모델을 벗어나는 경우를 침입으로 간주 · 구현 비용이 큼(구현하기 힘들다.) |
|
Misuse Detection (오용탐지) |
· 실제로 백신 프로그램과 거의 같다. · 공격행위를 지정해 놓고 그 지정된 공격을 막음. · 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지 · 정해진 모델과 일치하는 경우를 침입으로 간주 · Auditing 정보에 대한 의존도가 높음 |
|
|
보고 및 조치 |
· 침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행 · 침입 진행 상황 보고 · 침입 재연 기능 · 대응은 사람이 한다. |
|
6. 침입 탐지시스템의 분류
7. Information Source 기준 분류
| 호스트 기반 IDS | 네트워크 기반 IDS | |
| 데이터 소스 | - OS 감사자료(audit trail) - 시스템(이벤트) 로그 (시스템에 직접 설치하여 탐지) |
- 실시간 네트워크 패킷 - 대부분의 상업용 IDS에서 적용 |
| 장점 | - 네트워크 기반 IDS 에서는 탐지 불가능한 침입 탐지 가능 (예 : 트로이 목마, Race condition 등) - 우회 가능성이 거의 없음 - 고부하(High traffic)/스위치(Switch) 네트웨크에도 사용 가능 |
- 호스트 기반 IDS 에서는 탐지 불가능한 침입 탐지 가능(예 : 포트 스캐닝) - 전체 네트워크에 대한 침입 탐지 가능 - 기존 네트워크 환경의 변경 필요 없음 |
| 단점 | - 모든 개별 호스트에 대한 설치 및 관리가 어려움(비용 증가) - IDS가 설치된 플랫폼의 성능 저하 - 네트웍 스캔 등과 같은 네트워크 전체에 대한 탐색행위를 탐지하기에 부적합 - 오직 호스트 컴퓨터상의 부적절한 행위만을 감지하고 세그먼트 전체를 모니터링하지 않는다 |
- 탐지된 침입의 실제 공격 성공 여부를 알지 못함 - 고부하(High traffic)/스위치(Switch) 네트워크에는 적용 어려움 - 암호화된 패킷은 탐지 불가 - 상대적으로 오판률이 높다. (False(+) : 공격이 아닌데 공격으로 오인) |
8. IDS Analysis 기준 분류
| Misuse Detection (오용탐지) | Anomaly Detection (비정상행위 탐지) | |
| 동작원리 | - 정해진 공격 모델과 일치하는 경우를 침입으로 간주(Buffer overflow) - 가장 많이 사용하는 형태 |
- 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 - 정해진 모델을 벗어나는 경우를 침입으로 간주 |
| 기법 종류 |
- Expert system, State transition analysis, Key Stroke Monitoring, Model Based Approach |
- Statistical approach, Predictive pattern modeling - AI, Neural network, Genetic algorithm, Immune system… |
| 장점 | - 상대적으로 낮은 오판율(false alarm) - 침입에 사용된 특정한 도구/기술에 대한 분석 가능 - 신속하고 정확한 침해사고 대응에 도움 - 발생되는 경고는 표준화 되어있고 이해하기 쉽다. |
- 새로운 침입 유형에 대한 탐지 가능 - 특정한 침입이 아닌 “정상에서 벗어남”으로 탐지 |
| 단점 | - 다양한 우회 가능성 존재 - 새로운 침입유형에 대한 탐지 불가능 (False(-) : 공격이 맞는데 공격이 아니라고 판단) - 새로운 공격에 대한 시그너쳐를 지속적으로 업데이트 필수, Anti-Virus 제품과 유사 |
- 정상 행위를 모델링(예측)하기 어려움. - 오판률이 높다. (False(+) : 공격이 아닌데 공격으로 오인) - 방대한 사용자/네트워크 활동 (training data) 필요 - 많은 시간 요구. 심지어 불가능 - 네트워크를 포함한 IS가 이를 운영 할만한 충분한 통제가 마련되어지지 않을 수도 있다. |
9. Timing 기준 분류
| Real-Time | Interval-Based | |
| 장점 | - 감지 시간에 따라 관리자가 침입을 차단할 수 있다. - 빠른 시스템 복구가 가능하다. |
- 금융기관과 같이 침입 가능성은 적으나 한번의 침입이 미치는 영향이 큰 곳에 적합 (문제의 원인 분석이 중요한 환경) - 실시간에 비해 시스템 자원이 덜 필요함 - 시스템 자원과 인적 자원이 부족 환경에 적합 - 법적 대응을 위한 자료 수집에 적합 |
| 단점 | - 비실시간 시스템보다 많은 CPU 시간과 메모리가 필요함. - 실시간 탐지를 위한 시스템 설정이 매우 중요하나 이는 매우 어려운 작업이다. |
- 배치 모드로 동작하므로 더 많은 디스크 공간이 필요 |
10. Response Option 기준 분류
| 수동적 대응행동(passive response) | 능동적 대응행동(active response) | |
| 특징 | - 관리자에게는 침입 정보만 제공 - 실제 대응행동은 제공된 정보를 기초로 관리자가 수행 - 대부분의 상용제품에서 사용 |
- 실제 대응행동을 IDS가 자동적으로(automated) 수행 - 진행 중인 침입의 추가적인 진행 차단 - 침입자에 의한 추가적인 공격 차단 - 침입자 세션 종료 : TCP Reset 이용 - 라우터(router) 또는 Firewall 재설정 |
| 종류 | 알림 및 경보, SNMP Trap 등 | 환경 변경, 침입자에 대한 역공격 등 |
11. 호스트 기반/하이브리드 IDS 설치
모든 호스트에 설치하는 것은 현실적으로 불가하여 비용, 관리 상의 문제가 발생한다.
주요 서버에 우선적으로 설치한다.
- 외부 공개 서비스 서버 : 웹 서버, Ftp 서버 등
- 해킹 당할 경우 파급 악영향이 큰 서버 : 메일 서버, DNS 서버 등
- 중요 정보가 저장된 서버 : Research/Accounting/CEO 서버 등
모든 개별 서버에 대한 관리는 비효율적이기 때문에 중앙 관리 기능을 지원하는 제품을 선택한다.
12. 관리자의 역할
1) IDS의 효과적인 관리를 위한 노력과 시간 요구
다양한 IDS 공격 도구 존재하고, IDS 자체가 침입의 대상이 될 수 있기 때문에 IDS의 정상적인 동작 여부를 점검한다.
조직의 호스트/네트워크 환경 변화에 따른 지속적인 유지 보수를 수행한다. 새로운 침입유형에 대한 지속적인 업데이트를 한다. 침입탐지 결과 분석 및 대응을 수행한다. 사전에 체계적인 침해사고 대응 계획 및 절차수립이 필요하다.
2) 높은 수준의 기술적 역량 요구
침입탐지 기능, 한계점과 대처방법 등 IDS에 대한 전반적인 이해가 팰요하다. IDS 설치, 운용, 관리 능력을 가져야 하며, 동시에 다양한 침입유형에 대한 이해와 분석 능력 또한 가져야한다. 새로운 침입유형 추가 능력은 고도의 분석 능력을 필요로 한다.
13. 침입탐지 시스템의 한계점
완벽한 솔루션이 아니다. 제품 설치 후에도 침입 발생 가능성 여전히 존재한다.
보안전략, 보안정책의 부재 등 조직 내의 근본적인 문제점 해결 불가능하다.
침입탐지 결과 대응 및 분석 등 관리자의 개입 없이는 효과적인 운용 불가능하다.
높은 오판율로 인해 관리자에게 불필요한 시간과 자원 소비 유발한다.
Fragrouter, Whisker, SideStep, IDSWakup, ISIC, AMDMutate등의 다양한 우회 가능성 존재한다.
14. 침입방지 시스템 (IPS)의 개요
IPS (Intrusion Prevention System)는 인터넷 웜, 악성코드 및 해킹에 기인한 유해 트래픽을 차단하기 위한 능동형 보안 솔루션을 의미한다.
아래의 기능을 가진다.
- 네트워크에 상주하면서 트래픽을 모니터링
- 악성으로 예상되는 패킷에 대하여 차단
- 의심스러운 세션을 종료
- 공격에대처하기 위한 기타 조치를 취함
- 침입차단 시스템, 침입탐지 시스템, 안티 바이러스 시스템들이 제공하는 기능을 조합하는 통합성을 제공
- 실시간으로 악성공격을 차단
15. 침입방지 시스템의 등장 배경
- 공격을 위해 요구되는 지식은 점차 줄어들고, 공격의 정밀도는 높아지는 경향
- 기존 보안제품의 한계
16. 침입탐지(ID : Intrusion Detection)
- 컴퓨터 사건 대응 팀
CERT(Computer Emergency Response Team)
CIRT(Computer Incident Response Team) : 사건대응 관리 임무를 맡은 조직으로 기업내 컴퓨터 환경에 위협에 대한 기업의 대응을 관리한다.
- CIRT의 구성
취약성 조사와 특정 침입에 대한 해결책을 마련할 수 있는 인력으로 구성한다. 내부 인력으로 구성해야 하지만, 불가능하기 때문에 외주를 맡긴다.
- CIRT의 활동
• 데이터 수집, 보존, 검토, 및 분석 을 포함한 네트워크 로그 관리
• 미리 정해진 단계적 확대 경로에 따라 알아야 할 필요성이있는 담당자에게 사건과 관련된 정보를 전달
• 사건에 대한 해결 및 취약성에 대한 적절한 조치
• 적절한 당사자에게 사후 보고
- CIRT의 효과
• 사건 대응에 필요한 비용을 최소화하고 기업에 대한 위험을 완화시키는 장점이 있다.
17. 네트워크 악용 클래스
일반적인 악용 클래스는 단지 일반적인 구분으로 완벽한 목록은 아니지만 참조용 자료로 의미가 있다.
| 클래스 | 특징 |
| 클래스 A | 접근 통제를 우회한 불법 접근 사회공학적인 방법을 통해 얻는 정보를 이용 masqueraging(가장)하는 경우가 많다. |
| 클래스 B | 비업무적 용도에 네트워크 사용 |
| 클래스 C | 네트워크 가로 채기(전송매체에 대한 물리적인) 등의 기술을 이용한 도청 전송 데이터를 은밀히 모니터링하거나 리스닝하는 수동적인 도청과 은닉 신호 채널을 만들거나 적극적으로 네트워크에 전송을 간섭하는 능동적 도청이 있다. 도청과 클래스 F(탐색)은 클래스 E(침입)을 위한 사전 작업 단계이다. |
| 클래스 D | 서비스 거부및 서비스 방해 공격 |
| 클래스 E | 스푸핑, 피기백, 백도어등을 통한 네트워크 침입 - 스푸핑 : IP, DNS등의 정보를 속여 인가된 네크워크로부터 접속이라고 기만하는 행위 - 피기백 : 인가된 세션을 불법적으로 이용하는것, (로그온 된 빈자리 …) - 백도어 : 모뎀 등 통제가 적용되지 않은 경로를 이용하는것 |
| 클래스 F | 데이터를 탐색 한다. 스니퍼를 이용한 트래픽 분석, 포트스캔을 통한 접속 포트확인 … |
18. 무선
1) 무선통신에서 보다 직접적인 관심
- 장치 도난 : 장치의 휴대성으로 인해 발생
- 사용자의 사기나 절도
- 악의적인 해킹
- 서비스의 도난
- 상대적으로 용이한 도청
- 악의적인 코드
2) 무선 시스템의 위험
- 일반적인 유선 네트워크에 존재하는 모든 취약점을 포함
- 무선 프로토콜 : 오래된 암호 기법, 불완전한 규격 (WEP, WAP)
- 방화벽을 우회하는 내부 접속
- 용이한 무선 장치간의 도청
- 무선 연결장치를 대상으로 한 DoS 공격
- 도난당하기 쉬운 휴대장치들
- 제3자가 이용가능 한 비보안 무선 네트워크 (공격자를 숨기는데 이용)
- 임의로 설치된 부적절한 장치 : 데이터 추출
- War driving, walking
- Chalking (AP의 사용 범위를 보도블럭이나 벽에 표시하는것)
- 중간자 공격
19. 무선 보안
| WAP(Wireless Application Protocol) | 서로 상이한 무선 장치간에 상호 통신을 위한 무선 규약 |
| WEP(Wired Equivalent Privacy) | 무선 LAN 표준을 정의하는 IEEE 802.11 규약의 일부분으로 무선 LAN 운용간의 보안을 위해 사용되는 기술. 2003년에 Wi-Fi 얼라이언스에서는 뒤에 나올 802.11i 수정안의 일부였던 WPA가 WEP를 대체한다고 발표함 RC4 이용 |
| WPA(Wi-Fi protected access) |
IEEE801.11i의 부분 규약으로 WEP에 비해서 강화된 보안 기능을 제공 |
20.여러 보안 프로토콜
1) PGP
- 확실히 믿을 수 있는 유일한 보안 시스템(메일)
- 본문 암호화 : IDEA
- 전자서명과 키교환 : RSA
- 공식적이고 공인된 CA를 사용하지 않음
- 사용자간의 상호인증을 이용 (Web of Trust)
2) SSL/TLS
- Secure socket Layer / Transaction Layer sequrity
- APP와 TCP/IP사이에 위치
- 공개키와 인증서를 이용
- RSA, IDEA, DES, 3DES, MD5를 이용
- TLS는 SSL의 계승함
- X.509 표준에 근거한 공개키 확인 인증서를 이용
- 국내에서 사용하는 SSL은 암호키가 40비트로 안전한 웹 통신을 보장하지 못한다. (미국 정
부가 제한함)
- 서버인증(의무), 클라이언트 인증(옵션)
- Https에서 이용
'교육 > Security Governance' 카테고리의 다른 글
| Day 66 (Physical Security_물리 보안 ) (0) | 2020.02.27 |
|---|---|
| Day 66 (Access Control Systems & Methodology _접근 통제) (0) | 2020.02.26 |
| Day 67 (Applications & Systems Development_소프트웨어 개발 보안) (0) | 2020.02.26 |
| Day 64 (Security Management Practices_정보 분류) (0) | 2020.02.26 |
| Day 64 (Security Management Practices_정보 보호) (0) | 2020.02.26 |
