Transcript SecurityFramework2x

1-5. VPN(Virtual Private Network)
Preview
항목
개요
기출여부
관련KeyWord
상세내역
터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게
하는 기술
71, 77, 80
터널링, 사설망
추천사이트
기술발전
RoadMap
기타
VPNUTM/MPLS
각종 인프라의 기본 스펙으로 정착화
-0-
㈜ 인포레버컨설팅 교육사업본부
VPN
(Virtual Private Network)
 개요
– 터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술
– 사설망 구축비용 절감, 회선이용료 절감, 데이터 신뢰성 증대
 VPN의 구성 개념도
Socks(5)
Site A
SSL/TLS(4)
VPN GW
Site B
VPN GW
IPSEC(3)
PPTP, L2TP, MPLS(2)
원격PC
•상기 구성 중 PPTP, L2TP는 GW방식 지원 안 함
•MPLS는 SW방식 지원 안 함
(SW)
 요소기술
– 터널링: 양방향 가상터널의 설정내부망 효과 구현, 인터넷을 의식하지 않고 사용 가능
– 암호화, 무결성, 인증, 키관리
 VPN간 비교
PPTP
L2TP
IPSEC
Socks5
구현 계층
2
2
3
5
형식
P2P
좌동
다양
다양
암호화
X (PPP이용)
좌동
지원(ESP)
지원(별도구현)
지원규약
IP, NetBEUI
좌동
IP
IP
용례
원격접속
좌동
Extranet
App. VPN
-1-
•최근 일반 VPN은 IPSEC/SSL
VPN, 대규모 네트워크나 ISP는
MPLS로 통일된 상태임
㈜ 인포레버컨설팅 교육사업본부
VPN
(Virtual Private Network)
 VPN 구현방식
– 연결방식: Remote Access, G-G, P2P
– 서비스 방식: 자체구축, 임대(CPE, ISP Network)
– 구현방식: FW+VPN, VPN전용장비, UTM 등 다양
 mVPN (2G/3G feature phone 전용,Smart phone은 PC환경과 동일)
Handset
AP
무선구간 - WTLS
WAP GW
Server
VPN GW
유선구간 - SSL
평문
– WAP GW의 Proxy기능 수행 때문에 모든 암호화된 문장이 풀려야 하는 단점이 있음
– 최근 스마트폰 환경에서는 거의 사용되지 않고 있음.
 SSL VPN
브라우저,
SSL VPN
App
Proxy
Server
SSL/HTTPS
HTTP, FTP, TELNET…
Source주소: 브라우저
Source주소: Proxy
– 별도의 SW설치 필요 없음, 간편하고 쉬운 조작
– G-G지원 안 함, 일반사원의 Remote Access에 특화
-2-
㈜ 인포레버컨설팅 교육사업본부
VPN
(Virtual Private Network)
 IPSEC VPN
네트워크 계층에서 인증/암호화를 하기 위한 VPN기술
TCP/IP 프로토콜상의 문제점 보강, Application을 구분하지 않는 편리함
구현방식: GW, P2P, G-P
주요 프로토콜
• AH (Authentication Header): 무결성, 인증지원, 재전송방지(옵션)
• ESP (Encrypted Security Payload): AH + “암호화”
– 키 교환방식
• Manual: Pre-Shared key를 양측에서 입력
• PKI: 공인/사설인증서 사용, 상대의 공개키로 암호화
• IKE: 자동 Key Negotiation
– ESP Tunnel Mode Header
–
–
–
–
– AH Tunnel Mode Header
-3-
㈜ 인포레버컨설팅 교육사업본부
1-6. Wireless LAN Security
Preview
항목
개요
기출여부
관련KeyWord
상세내역
암호화와 인증을 기본으로한 전반적인 무선랜 보안체계
80
WEP, WPA, EAP, 802.11i
추천사이트
기술발전
RoadMap
기타
WEPWPA802.11i
각종 인프라의 기본 스펙으로 정착화
-4-
㈜ 인포레버컨설팅 교육사업본부
Wireless LAN Security

개요
–
–

WEP (Wired Equivalent Privacy)취약성
–
–
–

무선구간 보안 프로토콜인 WEP방식 취약성의 대두
이를 해결하고자 새로운 보안규격인 WPA(Wireless Protected Access) 제정
고정키 사용, 평문 전송, DoS취약
RC4 Stream Cipher
Key Stream 단순(Cipher <XOR> Plain = Key)
무선랜 보안 요소기술
PEAP (Protected Extensible Authentication Protocol)
• MS/CISCO/RSA지원, TLS(서버인증서), ID/PWD
PEAP
EAP
EAP-TTLS
EAP-MD5
Shared Key
Static WEP

WPA규격
–
–
–
–

EAP-TLS
Authentication
EAP-TLS
EAP-TTLS (Tunneled TLS)
• TLS tunneling  ID/PWD 보호
MAC-Authentication
Dynamic WEP
TKIP
Encryption
• 서버인증서 + CHAP/OTP
TKIP (Temporal Key Integrity Protocol)
• 패킷당 WEP Key 할당, 무결성(MIC)
Most Secure
사용자인증: 802.1x EAP
기밀성: TKIP (패킷당 할당, 동적키 할당, 키 값 재설정)
무결성: Michael
Mixed Mode: WEP과 TKIP동시제공으로 선택권 제공
발전방향
–
–
• 서버/클라이언트인증서 모두 요구(양측 인증)
WPA/802.11i (MAC의 안전성 확보에 주력), 무선 IDS, IPS 필요
RSN(Robust Security Network)-CCMP, 802.1aa
-5-
• CCMP: Counter Mode CBC-MAC Protocol
• 802.1aa: RSN + IAPP (Inter AP Protocol)
㈜ 인포레버컨설팅 교육사업본부
Wireless LAN Security

[참조] EAP 인증 비교표
-6-
㈜ 인포레버컨설팅 교육사업본부
1-7. WiBro Security
Preview
항목
개요
상세내역
WiBro에 특화된 보안체계
기출여부
관련KeyWord
Security Sub layer, 802.11e
추천사이트
기술발전
RoadMap
기타
802.11eLTE
타 통신, 타 IT솔루션과의 컨버전스, 망 전체를 바라보는 보안관점
-7-
㈜ 인포레버컨설팅 교육사업본부
WiBro (Wireless MAN) Security
 WiBro보안 표준 체계
CS SAP
제어국
단말
/AAA
Service Specific
Convergence
Sublayer
MAC SAP
MAC
인증
EAP/RSA 기반인증
키교환
인증키, 데이터 암호화키 교환
PHY SAP
기밀성
암호화된 데이터 송수신
Physical Layer
무결성
메시지 무결성 검사
MAC Command
Part
Sublayer
Security Sublayer
PHY
• 자료출처: KISA, 와이브로 보안기술 해설서
• SAP: Service Access Point
-8-
㈜ 인포레버컨설팅 교육사업본부
WiBro (Wireless MAN) Security
 802.16e의 보안표준 적용 내역
구분
제시 표준
PKM v1
인증,
키 교환/관리
Reply Attack
(재전송공격)
Management
Message 의
평문 전송
EAP-AKA,
+Pseudonym
• RSA기반, 단말/사용자 인증
PKM v2
• EAP기반: EAP-MD5, EAP-TLS, EAP-AKA…
• 단말/사용자 인증
TEK
데이터
암호화
무결성
적용
• RSA기반, 단말인증
TEK
암호화
기밀성
내용
PKM v1
• 3DES
PKM v2
• 3DES-EDE RSA
• AES-EBC/KEY-WRAP
PKM v1
• DES
PKM v2
• DES-CBC, 3DES, RSA
• AES-CCM/CBC/CTR
TEK
(PKM v2)
HMAC
• PKM v1에서 사용
HMAC/CMAC
• PKM v2에서 사용
키 유효시간
• 키의 유효시간 지정
패킷 카운트
• 전송 패킷수를 카운팅하여 송신자 측에서 관리하고
수신자 측은 마지막 패킷 수보다 큰 수의 패킷 수만
유효한 패킷으로 인식
• 패킷 카운터가 만료에 이르면 재인증을 통한 메시지
Digest 키 갱신
MAC
• MAC을 이용한 변조 방지
패킷 카운트
• 패킷을 카운팅 하여 Replay Attack 방지
-9-
HMAC/CMAC
(PKM v2)
키 유효시간,
패킷 카운트
MAC,
패킷 카운트
㈜ 인포레버컨설팅 교육사업본부
WiBro (Wireless MAN) Security
 WiBro 보안대응 아키텍처
WiBro Network Plane
구분
가입자
액세
스망
중계기
전달망
제어국
망
구성항목
예상
위협
서버팜
Core
•
•
•
•
•
단말의 복제
바이러스/웜 감염
ID 노출 (IMSI)
기업정보 유출
단말 DoS
• 불법
주파수
•비 인가
된 중계
기 접근
가능
• 비 인가된 제어국
접근 가능
• DoS
• 802.16e의 Security Sub Layer, EAP-AKA, 시설별 ACL
주요
대책
코어망
• UICC도입
•간섭신고
•ACL, Rate Limit
•유해코드 유입에
따른 이상 트래픽
증가
•운영서버에 대한 비
인가된 접근 가능
•운영권한의 오용 또
는 악용
•중요정보의 유출
•기간망 보호체
계 Overriding
•ISO27000기반 보
안대책 수립/시행
• 기업의 정보유출방지를 위한 대응 서비스
- 10 -
㈜ 인포레버컨설팅 교육사업본부
1-8. Honey Pot/Net/Active Honey Pot
Preview
항목
개요
기출여부
관련KeyWord
상세내역
해커의 행동, 대응양식을 기록하고 분석하는 네트워크 구조
84
행동분석, 기능
추천사이트
기술발전
RoadMap
기타
Honey PotHoney Net
단독문제보다는 해킹에 대한 이슈연계 필요
- 11 -
㈜ 인포레버컨설팅 교육사업본부
Honey Pot/Net/Active Honey Pot
 개념
– 해커의 행동, 대응양식을 기록하고 분석하는 서버 혹은 네트워크 구조
– 목적: 위협연구를 통한 대응기술연구/대응방안 도출
 Honeynet 구조
X
Hacker
FW
일반시스템
외부유출방지
Honeypot
 구성요소
– Honey Pot: 유인/기록
– 보안시스템: 해커 행동범위 설정
– 일반시스템: 해커에 대한 신뢰도 유지
 Honeynet 기능
– Data Control: 외부전파 금지
– Data Capture: 정보 수집
– Data Collection: 여러 Pot, net수집 정보의 체계적 관리
INBOUND
 활용방안
– 기업용: 해커 고립화, 대응시간 확보, 체계적 보안 대응
– Research용: 보안위협 분석, 대응책 연구
 고려사항
– 엄격한 통제, Data Mining
- 12 -
㈜ 인포레버컨설팅 교육사업본부
Honey Pot/Net/Active Honey Pot
 Active Honey Pot의 부각배경
– 최근 해킹타입은 취약서버를 찾아 다니기 보다 사
용자 접근을 전제로 함. (Downloader)
– 따라서 기존 Honey Pot을 통해서는 최신해킹 트랜
드 수집이 어려움.
 Active Honey Pot: 능동적 악성코드 샘플 수집
– 취약성을 가진 서버가 여러 URL을 능동적으로 방
문, 악성코드를 다운로드/수집
OUTBOUND
Active Honey pot 개념도 (출처: 안랩)
- 13 -
㈜ 인포레버컨설팅 교육사업본부
Server/DB Security
- 14 -
㈜ 인포레버컨설팅 교육사업본부
2-1. Secure OS
Preview
항목
상세내역
개요
운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel을 이
식한 운영체제
기출여부
관련KeyWord
81
MAC, DAC, MLS, RBAC
추천사이트
기술발전
RoadMap
OS Secure OS / Trusted Computing
기타
- 15 -
㈜ 인포레버컨설팅 교육사업본부
Secure OS
 개요
– 운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel을 이식한 운영체제
– 취약점 대응의 한계성에서 출발, 보안대응의 마지노선
 제공기능
Prevention
–
–
–
–
Trusted
OS
Detection
Response
사용자식별
인증, 무결성
접근제어
감사
App.
ACL Module
Security Kernel
OS kernel
 핵심기능 접근제어
–
–
–
–
MAC (Mandatory Access Control: 강제적 접근통제) : 주체/객체의 보안레이블 비교에 따른 통제
DAC (Discretionary Access Control : 임의적 접근통제): 객체 소유주가 통제권한 부여
MLS (Multi-level Security): 모든 시스템 구성요소에 보안수준/업무영역별 보안등급 및 보호범주 부여
RBAC (Role Based Access Control)
 구현방안
– 정보영역 분리(주체/객체), 최소권한, 역할영역 분리(권한/인가, 분리/조합), 커널레벨 강제(성능오버헤드)
App.운영현황
파악
Access type
분석
ACL적용
정책결정
Read Mode
모니터링
보완/운영모드
 전망
– 정보의 동적 변동성 추적/적용, 서버 성능문제에 따른 Secure OS외면
– 변동성이 적고 중요한 데이터 위주로 운영(예: 금융부문)
- 16 -
㈜ 인포레버컨설팅 교육사업본부
Secure OS
 [참조] Secure OS의 ACL 구성 예 - Oracle
- 17 -
㈜ 인포레버컨설팅 교육사업본부
Secure OS
 [참조] Secure OS의 해킹 대응
- 18 -
㈜ 인포레버컨설팅 교육사업본부
2-2. DB 보안
Preview
항목
개요
기출여부
관련KeyWord
상세내역
웹에 DB가 연결되면서 대두되는 데이터 유출문제에 대한 대책
92
접근제어, 암호화, Compliance
추천사이트
기술발전
RoadMap
기타
Crypto Card기반 암호화접근제어솔루션/암호화 솔루션
성능성 문제 심각
- 19 -
㈜ 인포레버컨설팅 교육사업본부
DB보안
 개요
– 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술
– 최근 기업데이터, 개인정보의 중요성 및 Compliance증가로 이슈화
– DB보안 요구사항: 인증/접근통제/감사
 DB보안의 문제점
–
–
–
–
보안관리자는 DB를 모르고… DB관리자는 보안을 모른다.
DB Vender마다 보안수준이 제 각각임
연관인, 내부자에 의한 범죄발생 비율이 높음
보안강화에 따른 Performance저하/비용소요가 많음
 DB보안 관련공격
Domain
관련내용
네트워크 관련 공격
(BOF, 우회)
•DDOS: String투입을 통한 NW Daemon down
•NW Daemon우회 및 직접공격: 암호설정의 취약성, 내부패키지 변
형을 통한 해킹코드 삽입
인증 프로세스 공격
•사용자 정보 변형: 확인절차 차단을 통한 직접 엑세스
•백도어: 메모리상주 패키지를 악용한 백도어 설치
SQL, Procedure Injection
•SQL Injection: SQL변형, 코드투입, 함수투입, BOF
•Procedure Injection: Embeded SQL, Cursors, DBMS특화된 패키지
- 20 -
㈜ 인포레버컨설팅 교육사업본부
DB보안
 DB보안의 기술 Domain
Domain
관련내용
Authentication
•패스워드 관리
•가용한 인증수단 동원: 생체인식, 인증서, ID/password 등
•NW Daemon설정관리, 기본포트 변경
Authorization
•Public계정의 제한, 사용 어플리케이션 변경 검토
•시스템 권한 Revoke, Any계열 권한 Revoke
Access Control
•DB Schema Design: Authorization고려하여 설계
•접근제어모델:MAC, DAC, RBAC
Confidentiality
•데이터 암호화(DBMS 옵션사용 혹은 전용 솔루션)
•전송데이터 암호화(SSL/TLS)
Backup/Recovery
•Incremental/Full, 백업정책
Audit
•Trigger 등 임시조치
•DBMS제공 Audit Tool 이용(성능저하 감소 고려)
 전망/고려사항
–
–
–
–
웹 일색의 App.웹을 통한 침해가능성 상존(웹 보안과 DB보안의 동시진행 필요)
IT Compliance 주의(개인정보보호법 등)
각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주
감사기능은 DBMS Vender에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요
- 21 -
㈜ 인포레버컨설팅 교육사업본부
DB보안 솔루션의 종류
구분
접근제어 제품
Sniffing 방식
Server Agent 방식
Gateway 방식
암호화 제품
보안통제가 완벽하지
않음
강력한 보안 기능 제공
강력한 보안 기능 제공
강력한 보안 기능 제공
장단점
Agent 가 설치되지 않는
방식
DB서버에 영향 없이
안정적 운영 가능
Agent 설치로 인한 DB
서버 성능에 영향을 줄 수
있음
Agent 장애로 인한
대책 미비
DB서버에 영향 없이
안정적 운영 가능
Gateway 구성에 따른
장애 대응 방안 필요
(이중화 or Bypass)
암화화 대체 기능제공
DB 서버 성능에
영향 영향을 줌
(5-10% 부하 생성)
암호화 및 인증 키
관리 필요
확장성
확장 시 각각의 세그먼트
마다 H/W 연결 필요
서버마다 Agent 설치 필요
별도의 H/W 추가 없이
확장 가능
별도의 H/W 추가 없이
확장 가능
제품특징
정형데이터 모니터링 시
구성 방식
우회 접속에 대한 제어 시
구성하는 방식
비정형데이터 제어 시
구성하는 방식이며,
보안성 및 확장성이
뛰어남
암복호화 및 DB 성능
튜닝 등 고려 사항 많음
보안기능
출처: DB Safer
- 22 -
㈜ 인포레버컨설팅 교육사업본부
DB접근제어 솔루션의 일반기능
접속 및
권한 제어
모니터링 및
이력관리
•인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능
•오브젝트에 대한 권한 설정 및 차단 기능
•사용자별 사용 가능 명령어를 제한
•SQL 문 감시
•실행된 SQL문/실행시간/사용자/시간대 별 검색 및 추적
•접속 세션 및 실행 명령어 별 이력 관리
보안정책 관리
용이한 정책설정 및 반영
결재관리
중요 SQL 명령에 대한 사전/사후 승인(결재) 기능
•데이터베이스 내부 통제
기타
•여러 유형의 DBMS 통합 모니터링
•특정 Data, Field에 대한 Masking 기능
- 23 -
㈜ 인포레버컨설팅 교육사업본부