통신망 보안, 과금을 위한 망관리 기술

Download Report

Transcript 통신망 보안, 과금을 위한 망관리 기술 

Inti
통신망 보안, 과금을 위한
망관리 기술
- 이 종일 -
Inti Co., Ltd.
㈜인티
Inti
네트워크 관리 목적
제한된 비용으로 모든 관리자원을 동원하여
최적의 네트워크 서비스 제공
 최상의 서비스 품질 제공





Inti Co., Ltd.
가용성: 네트워크 고장시간을 최소화하여 네트워크
운영자에게 높은 수준의 가용성 제공
응답시간: 정보 액세스시 가능한 짧은 응답시간을
제공하여 서비스 만족도를 높임
처리율: 투자된 자원의 처리 능력을 최대로
활용하여 자원의 투자가치를 높임
네트워크의 문제와 사용자 요구등 예상
지속적 요구분석
㈜인티
Inti
네트워크 관리 목적
 관리비용의 감소




Inti Co., Ltd.
보안문제의 개선
사용자 계정관리의 개선
집중화된 관리와 보고
네트워크 관리자의 운영시간 감소
㈜인티
Inti
네트워크 관리 대상
 시스템

Host, W/S, Server, Printer 등
 전송장비

Router, Bridge, Mux, Hub, Switch, G/W, T/S, CSU/DSU,
Modem 등
 S/W 및 서비스


네트워크관련 어플리케이션 서비스
운영체제, 프로토콜
 사용자

일반사용자, 시스템관리자, 네트워크관리자 등
 정보

Inti Co., Ltd.
데이타베이스, 화일시스템
㈜인티
Inti
네트워크 관리 영역
 장애관리

네트워크 문제식별 및 해결
 구성관리

네트워크 구성 현황 및 정보를 표현하는 맵 생성,
관리
 성능관리


네트워크 및 장비의 성능 식별, 트래픽 분석
전체 성능정보, 사용량 정보, 에러량, 응답시간
 계정관리

자원 이용에 대한 통계 데이터 수집
 보안관리

Inti Co., Ltd.
네트워크 자원, 정보의 안전 보장
㈜인티
Inti
망관리 프로토콜
 SNMP의 구조
Manager
Polling Requests
Operation
Get-Request
Agent
UDP port 161
GetNext-Request
Parameter setting
Set-Request
Get-Response
UDP port 162
Inti Co., Ltd.
trap
Polling requset와
parameter setting에
대한 응답
Async Notification
Change
set
Retrieve
get
MIB
㈜인티
Inti
망관리 프로토콜
 SNMP v1의 문제점


네트워크 트래픽 모니터링 기능 취약
보안 기능 취약







Inti Co., Ltd.
Community-string-based 인증 서비스
일종의 cleartext password 기법
블럭단위의 전송 불가
매니저간 통신 불능
IPX, OSI, Appletalk 지원 불능
폴링(polling)위주의 프로토콜
Trap 제약
㈜인티
Inti
망관리 프로토콜
 SNMP v2




계층적 관리 가능 (Manager간 통신 지원)
인증및 암호화를 통한 보안 기능
Get-bulk-PDU, Inform-PDU 추가
다중(TCP/IP, IPX, AppleTalk, OSI) 네트워크 지원
 RMON

MAC 레벌에서의 트래픽 수집 및 분석 기능
 RMON2


Inti Co., Ltd.
OSI 7 layer 전반에 대한 디코딩 제공
어플리케이션 수준까지 관리
㈜인티
Inti
망관리 프로토콜
 SNMP v2의 보안기능




Digest Authentication Protocol(MD5) 사용
송신자의 Authentication Clock과 메시지 lifetime 사용
암호화 알고리즘: DES
Access control table을 통한 MIB 액세스 통제



Inti Co., Ltd.
Source party, Destination party
허용가능 Operation(get, get-next, set, respone, trap, getbulk, inform중)
접근 가능 MIB의 Object ID
㈜인티
Inti
전반적인 구조
Internet, X.25,
F/R, ATM
PSTN
Router
Terminal
Server
NMS
정보제공
서버
Manager
Firewall
SNMP agent
Inti Co., Ltd.
RMON probe
Billing
Security agent
server or agent
㈜인티
Inti
계정관리
 기능



네트워크 자원 이용에 대한 통계 데이터 수집
Metrics을 이용한 usage quota 설정
사용자에 대한 과금(billing)
 과금의 목적

자원사용에 대한 지불 요청



자원사용에 대한 평가



Inti Co., Ltd.
시스템/네트워크 자원
정보
서비스 개선
망구조 개선
서비스품질(QoS) 개선
㈜인티
Inti
과금방식
 과금방식


정액제 vs. 종량제
음성망에서의 과금




데이타망에서의 과금





Inti Co., Ltd.
교환기 접속시간에 따른 과금
거리에 따른 과금
교환기내에서 과금데이타 수집
transaction수에 따른 과금
패킷수에 따른 과금
바이트수에 따른 과금
정보가치에 따른 과금
서비스제공 서버 또는 동일 네트워크내에서 과금
데이터 수집
㈜인티
Inti
데이타망의 과금방식
 총 트랜잭션 수에 따른 과금

시스템에 로그인 한 시간이나 보낸 메일에 따른
과금
 총 패킷수에 따른 과금



실제 네트워크 사용량을 반영
송수신 내용 모두 동일한 과금의 문제점
소규모 패킷이나 트래픽 양이 많은 패킷이나
동일한 과금의 문제점
 총 바이트수에 따른 과금

네트워크 전송량이 많을 수록 많이 과금
 정보가치에 따른 과금
Inti Co., Ltd.
㈜인티
Inti
바이트수에 따른 과금
 송신 바이트에 따른 과금

C/S 모델의 경우 수신패킷이 작은 반면 송신패킷이
많으므로 정보제공자에게 불리
 수신 바이트에 따른 과금




Inti Co., Ltd.
대부분 프로토콜은 Ack.를 목적지에서 송원지로 전송
Ack. 패킷은 크기는 작지만 정보이용자에게 불리한
과금
SPAM 메일등 이용자가 수신을 원하지 않는 정보에
대해 과금시 공제 필요
관리를 위한 NMS polling, 성능저하 등에 대한 추가
공제 필요
㈜인티
Inti
MIB에서의 과금관련 정보
 System Application 및 Host Resource MIB


프로세스 시작시간, 화일명, 소유자, 상태
CPU, Memory 사용량
 RMON MIB




접속 클라이언트 주소 및 프로토콜
응용서비스이름, 서버와의 대역폭
평균 RTT(Round Trip Time), 응답시간
입출력 프레임/패킷/바이트 수
 Application Service MIB (예를들어 WWW MIB)



Inti Co., Ltd.
접속 클라이언트 주소 및 문서
접속시 에러를 발생시킨 문서 정보
접속 문서에 대한 프레임/패킷/바이트 수
㈜인티
Inti
MIB 변수 예제
 MIB-II(RFC 1213)






iso.org.dod.internet.mgnt.mib-II(1.3.6.1.2.)
interface: ifSpeed, ifOperStatus,…
at: atPhysAddress, atNetAddress,…
ip: ipOutRequests,..
tcp: tcpConnState, tcpConnRemAddress, tcpConnRemPort,…
snmp: snmpInPkts, snmpOutPkts,...
 RMON MIB(RFC 1757; *.16.)

Inti Co., Ltd.
etherStatesBroadcastPkts, hostControlDataSource,
captureBufferPacketData,...
㈜인티
Inti
MIB 변수 예제
 System Application MIB(RFC 2287; *.54.)

SysApplElmtRunCPU, sysApplElmtRunUser,
sysApplRunState, sysApplElmtRunTimeStarted,...
 Network Services Monitoring MIB(RFC 2248; *.27.)

applUptime, applOperStatus, applAvgBandWidth,
applInPacketCount, applOutByteCount,applAvgDelayTime,
assocRemoteApplication,...
 WWW MIB(draft; *.8080.)

Inti Co., Ltd.
wwwSummaryRequestErrors, wwwSummaryOutBytes,
wwwDocAccessTopNname, wwwDocAccessTopNBytes,...
㈜인티
Inti
과금정보의 수집위치
교환기내
1
Switch
Internet, X.25,
F/R, ATM
2 Router
정보제공
서버내
4
정보제공 서버
라우터/
방화벽
네트워크
3
Inti Co., Ltd.
정보 DB
방화벽
동일세그먼트내
(별도의 과금서버)
㈜인티
Inti
보안관리
 기능





호스트나 네트워크 장비에 대한 사용자 접근 제어
(방화벽)
불법적인 접근시도 탐지 및 통보(침입탐지시스템)
데이터의 변조 및 파괴 방지
추적을 위한 감사(Auditing)
공중망을 위한 보안(VPN)
 방식





Inti Co., Ltd.
인증(사용자/호스트/키) 및 패스워드 관리
패킷필터링
암호화
침입차단시스템(방화벽)
침입탐지시스템
㈜인티
Inti
보안 위협요소
 비인가된 사용자의 시스템 접근
 비인가된 사용자의 정보열람,파괴 및 변조
 시스템/네트워크의 구조적 문제(OS, Protocol…)로
인한 버그
 정상적인 시스템 서비스 방해
 바이러스 및 트로이목마
Inti Co., Ltd.
㈜인티
Inti
보안관리 대상
 관리대상






서버를 액세스한 사용자의 주소(IP,MAC)와
어플리케이션 port 번호, 사용자ID
외부로부터의 액세스중 일상적이지 않은 액세스
기록 관리
비정상적인 액세스(여러번 암호 불일치등) 관리
과다한 트래픽을 유발하는 액세스 관리
방화벽은 외부에서의 접근통제를 위한 방식
트랙픽 패턴유형을 이용한 감지 및 추적
(침입탐지시스템)
Inti Co., Ltd.
㈜인티
Inti
보안 고려사항






Inti Co., Ltd.
인증(Authentication)
접근통제(Access Control)
기밀성(Confidentiality)
부인봉쇄(Non-Repudiation)
감사(Auditing)
침입탐지(Intrusion Detection)
㈜인티
Inti
보안체계
 시스템 보안



주기적인 OS patch 및 관련 툴 설치
Logging 및 accounting 정보 관리
패스워드 관리
 네트워크 보안


외부에서 내부: 방화벽(packet filer/proxy)을 통한
비인가된 주소 및 사용자 차단
내부에서 외부



Dial-up 라인

Inti Co., Ltd.
Circuit Gateway(SOCKs) 방식의 방화벽 이용
네트워크의 트랙픽 분석(침입탐지시스템)
 불순사용자추적
RAS 인증 방식 사용(TACACS, TACACS+, RADIUS)
㈜인티
Inti
인증
 전통적인 인증방식(Cleartext passsword)
 일회용패스워드


Bellcore’s S/Key
Smartcard 이용
 암호화 기법 이용


대칭형 암호화 시스템 (Kerberos)
비대칭형(공개키) 암호화 시스템 (X.509)
 Dial-up 라인을 통한 사용자 인증



Inti Co., Ltd.
TACACS(Terminal Access Controller Access Control System)
RADIUS(Remote Authentication Dial-In User Service)
Call-back 기능을 통한 발신자 확인
㈜인티
Inti
접근통제
 네트워크에 대한 접근통제



사용자별
주소(IP, MAC address)별
서비스 어플리케이션별(Port No.)
 방화벽




Inti Co., Ltd.
Packet Filtering 방식 (1차적으로 라우터에서 필터링)
Application Gateway(Proxy) 방식
Circuit Gateway(Socks)
Hybrid 방식
㈜인티
Inti
암호화
 기밀성,무결성,부인봉쇄에 대한 방안


암호화
전자서명(Digital Signature)
 암호화

대칭형(비밀키) 암호화 방식


비대칭형(공개키) 암호화 방식

Inti Co., Ltd.
DES, IDEA
RSA, Diffie-Hellman
㈜인티
Inti
침입탐지 및 추적
 침입탐지 방법

통계적 변화 탐지(Statistical Anomaly Detection)



규칙기반 변화 탐지(Rule-based Anomaly Detection)



규칙기반 변화 탐지 방법과 유사
침입자의 침입유형을 규칙으로 사용
상태변이 분석(State Transition Analysis)

Inti Co., Ltd.
감사 데이터로부터 얻은 사용자의 사용패턴을 규칙으로
만들어, 규칙에 대한 syntax 검사
규칙기반 침입 확인(Rule-based Penetration Identification)


Threshold -based: 해당 사건의 빈도수가 평소보다 높을
경우 침입이라고 추정
Profile-based: 사용자들의 평소 사용 패턴에 따른 속성화일
비교
공격시나리오를 지식베이스로 저장/사용자의 상태변이 비교
㈜인티
Inti
공중망에서의 보안
 VPN을 위한 터널링 프로토콜

IPSec

Authentication Header (RFC 1826)
– IP 데이타그램의 무결성 및 인증기능
– 전자서명을 통한 부인봉쇄 기능

Encapsulating Security Payload (RFC 1847)
– IP 데이타그램의 무결성과 기밀성 제공



Inti Co., Ltd.
PPTP(Point-to-Point Protocol)
L2F(Layer 2 Forwarding)
L2TP(Layer 2 Tunneling Protocol)
㈜인티
Inti
MIB에서 보안관련 정보
 MIB-II


장비에 대한 구성정보 및 자원 사용현황(CPU, Memory)
인터페이스 속성

up/down, 회선대역폭, 회선이용률, 에러율 등
 RMON MIB




특정
호스트(근원지/목적지주소),응용서비스별,프로토콜별
관련 입출력 정보
호스트 입출력 프레임/패킷/바이트량
LAN 대역폭 및 이용률(에러율, 충돌률등)
어드레싱별 정보(broadcast/multicast/unicast)
 Application Service MIB(예를들어 WWW MIB)

Inti Co., Ltd.

접속 시도 요청수/반응수/바이트수 및 서버의 상태
접속 사용자 정보(주소, ID, 요청문서, 결과)
㈜인티
Inti
MIB 변수 예제
 MIB-II

ifSpeed, ifOperStatus, atNetAddress, ipInRequest,
tcpConnState, tcpConnRemAddress, tcpConnRemPort,..
 RMON MIB

etherStatsBroadcastPkts, etherStatsCollisions,
filterPktData, captureBufferPacketData,
 Network Service Monitoring MIB

applOperStatus, applAvgDelayTime,
assocRemoteApplication, assocLastAccess,
applAccumulatedInboudedPacket,...
 WWW MIB

Inti Co., Ltd.
wwwSummaryRequestErrors, wwwDocAccessTopNName,
wwwServiceStartTime, wwwServiceOperStatus,...
㈜인티
Inti
향후 망관리 방향





Inti Co., Ltd.
어플리케이션 서비스 관리
SMS와의 통합(성능관리면)
트래픽 제어
망진단 전문가 시스템 (트래픽 패턴 유형 감지)
망설계 시뮬레이터
㈜인티