01 인증 시스템
02 방화벽
03 침입 탐지 시스템
04 침입 방지 시스템
05 통제 및 감시 장비
06 기타 보안 솔루션
01. 인증 시스템
: 인증을 하려는 주체(subject)를 식별(identification)하고 이에 대한 인증 서비스를 제공하는 시스템.
1. 인증수단
-알고 있는 것(something you know): 사용자가 알고 있는 정보를 이용하여 인증하는 것. ex) 사용자의 아이디, 패스워드
-자신의 모습(something you are): 사용자의 교유한 생체 조직을 이용하여 인증하는 것. ex) 망막, 손, 홍채, 목소리..
지문(fingerprints) - 가장 흔히 사용되는 생체 인식 수단.
손 모양(hand geometry) - 손가락의 길이나 굵기 등 손 모양을 이용하여 인증하는 방식.
망막 - 눈 뒷부분에 있는 모세혈관을 이용하는 것. 10~15초 정도 걸림(망막에 있는 모세혈관의 굵기와 흐름을 확인
혈액의 흐름이 멈춘 망막으로는 인증할 수 없다)
홍채 - 홍채 인증은 망막보다 정확도가 높으며 눈의 색깔로 구분.
키보드 - 키보드를 누를 때 특정한 리듬을 타는데 이를 이용한 신분확인(keyboard dynamics)
성문(voice print) - 사람마다 각기 다른 성문으로 이용하는 인증 방법
-가지고 있는 것(something you have)
: 사용자가 소유한 것을 인증 수단으로 하는 방식. ex) 마패
스마트키, 스마트카드 - 출입통제
신분증 - 주민등록증, 운전면허증..
OTP(One Time Password) - 인터넷 뱅킹 등 전자 금융 거래를 할 때 사용
공인인증서
추가로 -위치하는 곳(somewhere you are)
사용자 IP/콜백(call back) - 발신자가 전화로 서비스를 요청했을 때 전화를 끊고 걸려온 번호로 전화를 다시 걸어 발신자의 전화번호가 유효한지 확인하는 방법.
2. SSO(Single Sign On)
: '모든 인증을 하나의 시스템'에서 라는 목적으로 개발된 것으로 시스템이 몇 대라도 한 시스템의 인증에 성공하면 다른 시스템의 접근 권한을 모두 얻는 것.
1) 클라이언트가 서버에 연결을 요청하면 서버는 클라이언트에게 SSO 서버로부터 인증을 받은 후 접속하고 요청
2) 클라이언트가 SSO 서버로부터 인증을 받으면 SSO서버와 연결된 서버 1,2,3에도 별도의 인증 과정 없이 접속할 수 있다.
이런 접속 형태의 인증 방법으로는 커베로스(클라이언트, 서버, SSO)를 이용한 윈도 액티브 디렉터리가 있다.
단일 장애점(single point of failure): 한번 통과하면 다른 것도 뚫리는 문제
02. 방화벽
: 보안을 높이기 위한 일차적인 방법으로 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어.
- 방화벽 기능
-접근제어: 통과시키고 통과시키지 말아야 할 것에 대한 명령을 받고 그에 따라 통과 여부를 결정
기본적으로 룰셋을(rule set) 통해 수행되는데 룰셋은 방화벽을 기준으로 보호하려는 네트워크의 외부와 내부에 존재하는 시스템의 IP주소와 포트로 구성됨
패킷 필터링 방식 와 프록시 방식이 있다.
*올바른 룰셋 적용 과정
1) 허용할 서비스를 확인
2) 제공하려는 서비스가 보안상 문제가 없는지 허용하는 것이 타당한지 검토
(명백히 허용하지 않은 서비스에 대한 거부를 적용하기 위한 것으로 명시적으로 허용하지 않으면 모두 차단)
3) 서비스가 이루어지는 형태를 확인하고 어떤 룰을 적용할지 구체적으로 결정
4) 방화벽에 실제로 룰을 적용하고 적용된 룰을 검사
-로깅과 감사 추적: 룰셋 설정과 변경, 관리자 접근, 네트워크 트래픽의 허용 또는 차단과 관련한 사항을 로그로 남긴다
로그 같은 것으로 추적을 위해서
-인증: 신분증처럼 방화벽은 메시지 인증, 사용자 인증, 클라이언트 인증과 같은 방법을 사용
메시지 인증 - vpn과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지의 신뢰성을 보장
사용자 인증 - 패스워드를 이용한 단순한 인증부터 OTP, 토큰 기반 인증 등 높은 수준의 인증까지 가능.
클라이언트 인증 - 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트 자체가 정당한 접속 호스트인지 확인하는 방법
-데이터 암호화: 한 방화벽에서 다른 방화벽으로 데이터를 암호화해서 보내는 것
*한계 - 바이러스는 파일 등을 통해 감염되기 때문에 근본적으로 방화벽의 영향을 미치기 어렵고 일부 웜은 막아도 정상적인 서비스 포트에 대해 웜이 공격을 시도할 때는 막을 수 없다.
03. 침입 탐지 시스템
(IDS: Intrusion Detection System): 네트워크를 통한 공격을 탐지하기 위한 장비로, 내부의 해킹이나 악성 코드 활동 탐지와 같이 방화벽이 못하는 일을 한다.
-설치 위치와 목적에 따라 호스트 기반의 침입 탐지 시스템(HIDS:Host-Based Intrusion Detection System)과 네트워크 기반의 침입 탐지 시스템(NIDS: Network-based Intrusion Detection System)으로 구분.
1. 주요 기능
+데이터 수집
-HIDS는 윈도나 유닉스의 운영체제에 부가적으로 설치 운용되거나 일반 클라이언트에 설치된다. 그리고 운영체제에 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적한다.
단점: 네트 환경과 연계성이 낮아 전체에 대한 침입 탐지가 불가능하고 자신이 공격 대상이 될 때만 침입을 탐지 + 고가
-NIDS는 네트워크에서 하나의 독립된 시스템으로 운용되며 TCP Dump를 기반으로 하는 Snort라는 IDS가 있는데 이를 침입 탐지 시스템의 기본으로 본다.
NIDS는 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않고 HIDS로는 할 수 없는 네트워크 전반에 대한 감시를 할 수 있으며 감시 영역이 상대적으로 크고 IP주소를 소유하지 않기 때문에 해커의 직접적인 공격을 거의 완벽하게 방어할 수 있고 존재 사실도 숨길수 있다.
단점: 공격에 대한 결과가 암호화되어 내용을 검사할 수 없다. 따라서 스위치 환경에서 NIDS를 설치하려면 다른 부가 장비가 필요하며 10 Gps 이상 네트워크는 하드웨어적 한계로 모든 패킷 검사가 어렵다.
+데이터 필터링과 축약
: HIDS와 NIDS에 의해 수집된 데이터를 모아 관리하면 상호 연관시켜 분석함으로써 공격에 빠르게 대응할 수 있다.
데이터를 한 곳에 모으면 방대하고 효과적인 대응을 방해하기 때문에 필터링이 필수다.
+침입 탐지
기본적으로 이미 발견되고 정립된 공격 패턴을 미리 입력해두었다가 여기에 해당하는 패턴이 탐지되면 알려주는 것으로 오탐률이 낮고 효율적이지만 알려지지 않은 공격이면 탐지할 수 없고 대량 데이터를 분석하는데 부적합하여 어떤 순서로 공격했는지 정보를 얻기 어렵다.
-오용 탐지(misuse detection)
: 또 다른 형태인 상태 전이(state transition) 방법은 공격 상황에 대한 시나리오를 작성해두고 각각의 상태에 따른 공격을 분석하는 것으로 결과가 직좍적이지만 세밀한 시나리오를 만들기 어렵고 추론 엔진이 포함되어 시스템에 부하 가중
-이상 탐지(anomaly detection)
: 정상적이고 평균적인 상태를 기준으로 했을 때 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 알려주는 것으로 정량적 분석, 통계적 분석 등이 사용됨
*인공지능 IDS는 공격에 대해 스스로 판단하고 이에 결정을 내려 알려주지만 판단 근거가 확실치 않고 오탐률도 높다. 또한 면역 시스템은 새로운 공격을 당하면 그 공격에 대해 스스로 학습해 재발했을 때 대응하지만 , 재설치하면 처음 상태로 되돌아간다는 큰 단점
+책임 추적 및 대응
2. 설치 위치
1번 위치 : 패킷이 라우터로 들어오기 전: 이곳에 IDS를 설치하면 네트워크에 실행되는 모든 공격을 탐지할 수 있다. 공격 의도를 가진 패킷을 미리 파악할 수 있지만 실제 공격이 아닌 패킷을 너무 많이 수집하고 내부 네트워크로 침입한 공격과 그렇지 않은 공격을 구분하기 어렵기 때문에 공격에 효율적으로 대응하기 어렵다.
2번 위치 : 라우터 뒤 : 라우터의 패킷 필터링을 거친 패킷을 검사한다. 패킷 필터링을 거치는 과정에서 단순한 공격 패킷이 걸러지기 때문에 더 강력한 의지를 가진 공격자를 탐지할 수 있다.
3번 위치 : 방화벽 뒤 : 방화벽 뒤에서 탐지되는 공격은 네트워크에 직접 영향을 주므로 이러한 공격에 대한 정책 및 방화벽과의 연동성이 가장 중요하다. 내부에서 외부로 향하는 공격도 탐지할 수 있는 곳이므로 내부의 공격자도 어느 정도 탐지할 수 있다. 네트워크의 특성과 목적에 따라 조금 차이는 있지만, IDS를 한대만 설치할 수 있다면 이곳에 설치해야 한다.
4번 위치 : 내부 네트워크 : 방화벽은 외부의 침입을 일차적으로 차단하지만 내부에 대해서는 거의 무방비 상태라고 할 수 있다. 내부의 클라이언트를 신뢰할 수 없어 이들에 의한 내부 네트워크 해킹을 감시하려 할 때 이곳에 IDS를 설치한다.
DMZ: 서버를 위한 네트워크
5번 위치 : DMZ : 일반적으로 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크이다. 외부와 내부로부터 보호되어야 하기 때문에 높은 보안 수준을 요구하는 경우가 많다. DMZ에 IDS를 설치하는 이유는 능력이 매우 뛰어난 외부 및 내부 공격자에 의한 중요 데이터의 손실이나 서비스 중단을 막기 위해서이다. 중요 데이터와 자원을 보호하기 위해 IDS를 별도로 운영하기도 한다.
우선순위 : 3-5-4-2-1
04. 침입 방지 시스템
(Intrusion Prevention System: IPS) - 공격에 대한 능동적인 분석과 차단을 수행
1. 개발 과정
방화벽 문제 - IP주소 또는 포트에 의한 네트워크 공격을 차단할 수 있지만 응용 프로그램 수준의 공격과 새로운 패턴의 공격에 대한 적응력이 낮고 실시간 대응을 못한다.
IDS 문제 - 실시간 탐지는 가능하지만 대응책을 제시하지 못함. 예전에는 문제가 없었는데 지금은 속도 때문에 공격을 막을 수 없음 [제로데이 공격 - 아침에 취약점이 발표되면 저녁에 공격하는 웜]
->둘을 해결하기 위해 침입 방지 시스템 탄생!
2. 동작원리
-침입 탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 분석하고 비정상이면 방화벽 기능의 모듈로 패킷을 차단
하지만 악성코드 공격 기술이 다양해지면서 막기 어려워짐.
그래서 가상 머신을 이용한 악성코드 탐지 개념이 도입됨.
-> 분석하지 않고 내장된 가상 머신에 보내 그대로 실행시키는 것으로 실행된 코드나 패킷이 키보드 해킹이나 트래픽 오버 등 악성코드와 유사한 동작을 보이면 해당 패킷을 차단.
3. 설치
일반적으로 방화벽 다음에 설치하고 ASIC(Application Specific Integrated Circuit)로 높은 성능을 내기 위해 사용.
어플라이언스: ASIC로 만들어진 장비
05. 통제 및 감시 장비
-감시 카메라 / 엑스레이 검사기 / 금속 탐지기 / 보안 스티커
06. 기타 보안 솔루션
1) VPN(Virtual Private Network)
: 방화벽, IDS와 같이 사용되는 일반적 보안 솔루션으로 임대회선 같은 것
임대회선(E1 또는 T1) : 인터넷과 같은 그물망이 아니라 두 지점을 연결하는 별도의 선.
-해외여행 중 국내 온라인 게임에 접속하는 경우
VPN 장비에 접속해 국내 IP주소를 할당받아 게임 서버에 접근
-집에서도 회사 내의 서버에 보안 상태로 접근하는 경우
IP는 대부분 유동 IP주소를 사용하기 때문에 외부에서 접속할 경우 해킹 위험이 있다.
VPN 장비를 마련하고 외부에서 VPN 장비의 인증을 거친 후 내부 시스템에 접속하면 트래픽이 암호화되어 안전하게 사용 가능
-원격의 두 지점을 내부 네트워크처럼 이용하는 경우
VPN은 인증을 제공하기도 하지만 인증 없이 터널링을 제공하기도 한다
2) VLAN
-네트워크 관리자는 네트워크를 작은 네트워크로 임의로 나눈 뒤, 나뉜 것이 ARP request, NetBIOS Name query와 같은 브로드캐스트 패킷을 제한하는 기능을 갖게 한다. 이렇게 나뉜 VLAN은 ACL을 통해 접근 통제가 가능하고, 악성코드가 발생해도 제한할 수 있다.
*절차
(1) 패킷 전송 : 클라이언트가 스위치에 프레임을 전달하면 스위치는 클라이언트가 속한 VLAN을 표시하기 위해 전송받은 프레임에 VLAN 정보를 붙인다.
(2) 패킷 수신: 프레임을 스위치 밖으로 보내기 전에 프레임의 VLAN 정보와 스위치 포트의 VLAN 정보를 비교. 두 정보가 같으면 프레임에 붙어 있는 VLAN 정보를 떼어내고 프레임만 전송
(3) 스위치 간의 VLAN 통신: 2개 이상의 스위치에서 VLAN 간 통신을 하려면 다음과 같이 여러 개의 VLAN 프레임을 전송할 수 있는 트렁크 포트(트렁크 포트는 VLAN의 종류에 관계없이 프레임을 전송할 때 프레임의 VLAN정보를 떼어내지 않고 전송된 프레임을 다시 각각의 VLAN으로 전송할 때 정보를 뗀다)를 이용.
3) NAC(Network Access Control)
: IP 관리 시스템과 유사.
*기능
+접근제어 및 인증 - 내부 직원 역할 기반의 접근 제어 / 네트워크의 모든 IP 기반 장치 접근 제어
MAC 주소를 기반으로 수행
+PC 및 네트워크 장치 통제(무결성 확인) - 백신 관리 / 패치 관리 / 자산 관리
*NAC를 통한 사용자 인증
(1) 네트워크 접근 요청 - 접속하려는 PC 사용자는 네트워크에 대한 접근을 처음으로 시도
(2) 사용자 및 PC 인증 - NAC에 등록되어 있는 MAC 주소로 사용자 PC를 인증하거나, SSO와 연계하여 네트워크에 접근하려는 사용자의 아이디와 패스워드를 추가로 요청하여 인증
(3) 네트워크 접근 허용 - 인증이 완료된 경우 네트워크 접근을 허용
(4) 네트워크 접근 거부 - 보안 정책을 제대로 준수하지 않았거나 바이러스에 감염되었을 때 네트워크 접근이 거부되고 격리. 격리된 PC는 정책 적용이나 치료 후 다시 점검.
+해킹, 유해 트래픽 탐지 및 차단 - 해킹 행위 차단 / 증거 수집
*구현
-인라인 방식
: NAC를 이용하여 방화벽과 같은 방식으로 접근을 차단하고 게이트웨이의 형태로 일부 물리적 네트워크에 NAC를 추가하는 것. 기존 네트워크의 변경을 최소화 적용
-802.1X방식
:802.1X 프로토콜과 RADIUS 서버를 이용하는 것으로 실질적인 접근 허용이나 차단은 스위치에서 수행하고 신규 클라이언트에 대한 인증 요청은 실제로 인증을 수행하는 RADIUS 서버로 전달.
RADIUS 서버에서 스위치로 반환되는 결과에 따라 스위치는 네트워크에 대한 클라이언트의 접근을 허용하거나 거부함.
-VLAN 방식
: 인가받지 않은 사용자면 VLAN으로 미리 분리된 망 중에서 통신이 되지 않는 VLAN 망에 신규 클라이언트를 할당하고 인가받은 사용자면 통신이 가능한 VLAN 망에 할당하는 방식.
-ARP방식
: 신규 클라이언트가 적법한 사용자면 NAC가 게이트웨이의 정상적인 MAC 주소를 알려주고 아니면 비정상적 MAC 주소를 전송해 접근을 막는 방식.
-소프트웨어 에이전트 설치 방식
: 네트워크에 접속하려는 모든 클라이언트에 에이전트를 설치하는 것으로 서버에서 차단 정책을 설정해 설치된 에이전트로 네트워크를 차단하는 방식.
4) 보안 운영체제
: 운영체제에 내재된 결함 때문에 발생할 수 있는 각종 해킹으로부터 시스템을 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제.
5) 백신
: PC 또는 서버에 설치되어 시스템의 바이러스를 탐지
6) PC 방화벽
: 네트워크 상의 웜이나 공격자로부터 PC를 보호하는 PC용 방화벽
7) 스팸 필터 솔루션
: SMTP 프로토콜을 이용한 DDos 공격이나 폭탄 메일, 스팸메일을 메일 헤더 필터링, 제목 필터링, 본문 필터링, 첨부 파일 필터링으로 차단함
-메일 헤더 필터링
:메일 헤더의 기본 구성은 보내는 사람(from), 받는 사람(to), 참조자(Cc), 숨은 사람(Bcc)다.
내용 중 ID/보내는 사람 이름 도메인에 특정 내용이 포함되어 있는지를 검사하고 보낸 서버에서 IP/도메인/반송 주소(Reply-to)의 유효성과 이상 유무를 검사
-제목 필터링
: 메일 제목에 '광고', '섹스'와 같은 문자열이 포함되어 있는지를 검사
메일을 이용한 웜 공격은 제목에 특정 문자열이 있거나 일정 수 이상의 공백 문자열이 있는 것이 특징
-본문 필터링
메일 본문에 특정 단어나 문자가 포함되어 있는지를 검사하고 메일 본문과 메일 전체의 크기를 비교
-첨부 파일 필터링
첨부된 파일의 이름, 크기, 개수 및 첨부파일 이름의 길이를 기준으로 필터링을 수행하며 특정 확장자를 가진 첨부 파일만(exe, bat, com, dll) 전송되도록 설정할 수 있다
8) DRM
(Digital Right Management): 운영체제 커널에 DRM 모듈을 삽입하여 문서의 열람, 편집, 인쇄에 접근 권한을 설정하여 통제한다.
-MS워드나 HWP, TXT, PDF 파일 등 사무에 사용하는 대부분의 파일을 통제
커널에 삽입된 DRM 모듈은 응용 프로그램이 문서를 작성하여 하드디스크에 저장할 때 이를 암호화하여 기록한다.
응용 프로그램에서 하드디스크에 암호화되어 저장된 파일을 읽을 때도 문서를 읽으려는 자가 암호화된 문서를 읽을 자격이 있는지 확인 후 이를 복호화하여 프로그램에 전달함
https://ko.wikipedia.org/wiki/%EB%94%94%EC%A7%80%ED%84%B8_%EA%B6%8C%EB%A6%AC_%EA%B4%80%EB%A6% AC
9) DLP
(Data Leak Prevention): 사용자 수준에서 정보가 유출되는 것을 막는 솔루션을 통칭하며 사용자의 다양한 데이터 전송 인터페이스를 제어
-매체 제어: 정보 유출에 가장 흔히 이용되는 인터페이스는 USB이며 CD 라이터도 정보 유출에 이용될 수 있다. SATA 인터페이스를 PC의 하드디스크에 연결한다면 유출이 가능하고 제어가 불가능
-통신 인터페이스 제어: 통신 인터페이스가 포함된 단말 장치의 반입을 금하거나 업무용 단말 장치는 통신 인터페이스를 제거하고 사용하는 것이 일반적
-인터넷 통신 제어
연습문제
1. 눈의 색깔을 결정하는 부분으로 약 50cm 거리에서도 인증이 가능한 생체 인식 수단은 무엇인가? 2 홍채
2. 인증을 수행하는 데 가장 오랜 시간이 걸리는 생체 인식 수단은 무엇인가? 4 망막
손 3초 미만, 지문 3초, 망막 10~15초
3. 다음 중 커베로스의 세 가지 요소에 속하지 않는 것은? 1 사용자
4. SSO의 가장 큰 약점인 단일 장애점에 대해 간단히 설명하시오/
'모든 인증을 하나의 시스템'에서 라는 목적으로 개발된 것으로 시스템이 몇 대라도 한 시스템의 인증에 성공하면 다른 시스템의 접근 권한을 모두 얻는 것이기 때문에 한번 뚫리면 모든 시스템이 다 뚫린다
5. 방화벽이 접근 제어에 사용하는 두 가지 요소는 무엇인가? 2,3 / ip주소, 접근하려는 포트
6. 다음 중 방화벽을 사용함으로써 얻을 수 있는 이점이 아닌 것은? 4 바이러스의 확산을 막을 수 있다
7. 다음 중 네트워크 전반의 침입에 대한 탐지가 가능한 것은? 1 NIDS
보기가 잘못됐나?
8. 다음 중 IDS의 기능이 아닌 것은? 3 침입자 회피 x -> 침입 탐지 o
9. 방화벽과 침입 탐지 시스템의 기능을 조합한 솔루션은 무엇인가? 2 침입 방지 시스템
10. 다음 중 VPN을 사용할 필요가 없는 경우는 무엇인가? 3 인터넷 뱅킹
11. 게이트웨이 형태로 일부 물리적 네트워크에 NAC를 추가하는 것으로, 기존 네트워크의 변경을 최소화하여 적용할 수 있는 NAC방식은 무엇인가? 1 인라인 방식
12. 다음 중 스팸 필터 솔루션이 스팸을 차단하기 위해 사용하는 방법이 아닌 것은? 1 메일 헤더 필터링
13. 문서의 읽기, 쓰기 권한을 중앙에서 관리하기 위해 도입하는 솔루션은 무엇인가? 3 DRM
'전공 공부 > 정보보안개론' 카테고리의 다른 글
| ch. 12 사회공학 / 연습문제 12장 (0) | 2021.07.28 |
|---|---|
| ch. 11 침해 대응과 포렌식 / 연습문제 11장 (0) | 2021.07.26 |
| ch. 9 전자상거래 보안 / 연습문제 9장 (0) | 2021.07.25 |
| ch. 8 암호의 이해 / 연습문제 (0) | 2021.07.22 |
| ch7. 모바일과 IoT 보안 / 연습문제 7장 (0) | 2021.07.21 |
