- 1 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 터널링 및 암호화 기술을 이용 , 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술
기출여부 71, 77, 80
관련 KeyWord 터널링 , 사설망
추천사이트
기술발전RoadMap
VPNUTM/MPLS
기타 각종 인프라의 기본 스펙으로 정착화
Preview
1-5. VPN(Virtual Private Network)
- 2 - ㈜ 인포레버컨설팅 교육사업본부
Socks(5)
SSL/TLS(4)
IPSEC(3)
PPTP, L2TP, MPLS(2)
VPN (Virtual Private Network)
개요– 터널링 및 암호화 기술을 이용 , 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술– 사설망 구축비용 절감 , 회선이용료 절감 , 데이터 신뢰성 증대
VPN 의 구성 개념도
Site A Site BVPN GW
원격 PC(SW)
VPN GW
• 상기 구성 중 PPTP, L2TP 는 GW 방식 지원 안 함• MPLS 는 SW 방식 지원 안 함 요소기술
– 터널링 : 양방향 가상터널의 설정내부망 효과 구현 , 인터넷을 의식하지 않고 사용 가능– 암호화 , 무결성 , 인증 , 키관리
VPN 간 비교
PPTP L2TP IPSEC Socks5
구현 계층 2 2 3 5
형식 P2P 좌동 다양 다양암호화 X (PPP 이용 ) 좌동 지원 (ESP) 지원 ( 별도구현 )
지원규약 IP, NetBEUI 좌동 IP IP
용례 원격접속 좌동 Extranet App. VPN
• 최근 일반 VPN 은 IPSEC/SSL VPN, 대규모 네트워크나 ISP 는 MPLS 로 통일된 상태임
- 3 - ㈜ 인포레버컨설팅 교육사업본부
VPN (Virtual Private Network)
VPN 구현방식– 연결방식 : Remote Access, G-G, P2P– 서비스 방식 : 자체구축 , 임대 (CPE, ISP Network)– 구현방식 : FW+VPN, VPN 전용장비 , UTM 등 다양
mVPN (2G/3G feature phone 전용 ,Smart phone 은 PC 환경과 동일 )
Hand-set
Server
AP WAP GW VPN GW
무선구간 - WTLS 유선구간 - SSL
SSL VPN브라우
저 ,
App
Server
SSL VPN
Proxy
SSL/HTTPS
Source 주소 : 브라우저
HTTP, FTP, TELNET…
Source 주소 : Proxy
– 별도의 SW 설치 필요 없음 , 간편하고 쉬운 조작– G-G 지원 안 함 , 일반사원의 Remote Access 에 특화
– WAP GW 의 Proxy 기능 수행 때문에 모든 암호화된 문장이 풀려야 하는 단점이 있음– 최근 스마트폰 환경에서는 거의 사용되지 않고 있음 .
평문
- 4 - ㈜ 인포레버컨설팅 교육사업본부
VPN (Virtual Private Network)
IPSEC VPN– 네트워크 계층에서 인증 / 암호화를 하기 위한 VPN 기술– TCP/IP 프로토콜상의 문제점 보강 , Application 을 구분하지 않는 편리함– 구현방식 : GW, P2P, G-P– 주요 프로토콜
• AH (Authentication Header): 무결성 , 인증지원 , 재전송방지 ( 옵션 )• ESP (Encrypted Security Payload): AH + “ 암호화”
– 키 교환방식• Manual: Pre-Shared key 를 양측에서 입력• PKI: 공인 / 사설인증서 사용 , 상대의 공개키로 암호화• IKE: 자동 Key Negotiation
– ESP Tunnel Mode Header
– AH Tunnel Mode Header
- 5 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 암호화와 인증을 기본으로한 전반적인 무선랜 보안체계
기출여부 80
관련 KeyWord WEP, WPA, EAP, 802.11i
추천사이트
기술발전RoadMap
WEPWPA802.11i
기타 각종 인프라의 기본 스펙으로 정착화
Preview
1-6. Wireless LAN Security
- 6 - ㈜ 인포레버컨설팅 교육사업본부
Wireless LAN Security 개요
– 무선구간 보안 프로토콜인 WEP 방식 취약성의 대두– 이를 해결하고자 새로운 보안규격인 WPA(Wireless Protected Access) 제정
WEP (Wired Equivalent Privacy) 취약성– 고정키 사용 , 평문 전송 , DoS 취약– RC4 Stream Cipher– Key Stream 단순 (Cipher <XOR> Plain = Key)
무선랜 보안 요소기술
PEAP
EAP-TTLS
EAP-TLSEAP-MD5
MAC-AuthenticationShared
Key
TKIPDynamic
WEPStatic WEP
Most Secure
Authentication
Encryption
EAP
WPA 규격– 사용자인증 : 802.1x EAP– 기밀성 : TKIP ( 패킷당 할당 , 동적키 할당 , 키 값 재설정 )– 무결성 : Michael– Mixed Mode: WEP 과 TKIP 동시제공으로 선택권 제공
발전방향– WPA/802.11i (MAC 의 안전성 확보에 주력 ), 무선 IDS, IPS 필요– RSN(Robust Security Network)-CCMP, 802.1aa
• CCMP: Counter Mode CBC-MAC Protocol
• 802.1aa: RSN + IAPP (Inter AP Protocol)
PEAP (Protected Extensible Authentication Protocol)• MS/CISCO/RSA 지원 , TLS( 서버인증서 ), ID/PWD
EAP-TLS• 서버 / 클라이언트인증서 모두 요구 ( 양측 인증 )
EAP-TTLS (Tunneled TLS)• TLS tunneling ID/PWD 보호• 서버인증서 + CHAP/OTP
TKIP (Temporal Key Integrity Protocol)
• 패킷당 WEP Key 할당 , 무결성 (MIC)
- 7 - ㈜ 인포레버컨설팅 교육사업본부
Wireless LAN Security
[ 참조 ] EAP 인증 비교표
- 8 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 WiBro 에 특화된 보안체계
기출여부
관련 KeyWord Security Sub layer, 802.11e
추천사이트
기술발전RoadMap
802.11eLTE
기타 타 통신 , 타 IT 솔루션과의 컨버전스 , 망 전체를 바라보는 보안관점
Preview
1-7. WiBro Security
- 9 - ㈜ 인포레버컨설팅 교육사업본부
WiBro (Wireless MAN) Security
Service Specific
Convergence Sub-layer
MAC Command Part
Sublayer
Security Sublayer
Physical Layer
CS SAP
MAC SAP
PHY SAP
MAC
PHY
인증
기밀성
키교환
무결성
EAP/RSA 기반인증
인증키 , 데이터 암호화키 교환
단말제어국
/AAA
암호화된 데이터 송수신
메시지 무결성 검사
• 자료출처 : KISA, 와이브로 보안기술 해설서• SAP: Service Access Point
WiBro 보안 표준 체계
- 10 - ㈜ 인포레버컨설팅 교육사업본부
구 분 제시 표준 내용 적용
인증 ,키 교환 / 관리
PKM v1 • RSA 기반 , 단말인증EAP-AKA,+Pseudony
mPKM v2
• RSA 기반 , 단말 / 사용자 인증
• EAP 기반 : EAP-MD5, EAP-TLS, EAP-AKA…• 단말 / 사용자 인증
기밀성 TEK
TEK암호화
PKM v1 • 3DES
TEK(PKM v2)
PKM v2• 3DES-EDE RSA• AES-EBC/KEY-WRAP
데이터암호화
PKM v1 • DES
PKM v2• DES-CBC, 3DES, RSA• AES-CCM/CBC/CTR
무결성HMAC • PKM v1 에서 사용 HMAC/CMAC
(PKM v2)HMAC/CMAC • PKM v2 에서 사용
Reply Attack( 재전송공격 )
키 유효시간 • 키의 유효시간 지정
키 유효시간 ,패킷 카운트패킷 카운트
• 전송 패킷수를 카운팅하여 송신자 측에서 관리하고 수신자 측은 마지막 패킷 수보다 큰 수의 패킷 수만 유효한 패킷으로 인식
• 패킷 카운터가 만료에 이르면 재인증을 통한 메시지 Digest 키 갱신
Management Message 의
평문 전송
MAC • MAC 을 이용한 변조 방지MAC,패킷 카운트패킷 카운트 • 패킷을 카운팅 하여 Replay Attack 방지
WiBro (Wireless MAN) Security 802.16e 의 보안표준 적용 내역
- 11 - ㈜ 인포레버컨설팅 교육사업본부
구 분 WiBro Network Plane
망 구성항목
가입자액세스망 중계기 전달망 제어국 코어망 서버팜
예상위협
• 단말의 복제• 바이러스 / 웜 감염• ID 노출 (IMSI)• 기업정보 유출• 단말 DoS
•불법 주파수
•비 인가된 중계기 접근 가능
•비 인가된 제어국 접근 가능
•DoS
•유해코드 유입에 따른 이상 트래픽 증가
•운영서버에 대한 비 인가된 접근 가능
•운영권한의 오용 또는 악용
•중요정보의 유출
주요대책
• 802.16e 의 Security Sub Layer, EAP-AKA, 시설별 ACL •기간망 보호체계 Overriding
•ISO27000 기반 보안대책 수립 /시행
• UICC 도입 •간섭신고 •ACL, Rate Limit
• 기업의 정보유출방지를 위한 대응 서비스
Core
WiBro (Wireless MAN) Security
WiBro 보안대응 아키텍처
- 12 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 해커의 행동 , 대응양식을 기록하고 분석하는 네트워크 구조
기출여부 84
관련 KeyWord 행동분석 , 기능
추천사이트
기술발전RoadMap
Honey PotHoney Net
기타 단독문제보다는 해킹에 대한 이슈연계 필요
Preview
1-8. Honey Pot/Net/Active Honey Pot
- 13 - ㈜ 인포레버컨설팅 교육사업본부
Honey Pot/Net/Active Honey Pot 개념
– 해커의 행동 , 대응양식을 기록하고 분석하는 서버 혹은 네트워크 구조– 목적 : 위협연구를 통한 대응기술연구 / 대응방안 도출
Honeynet 구조
Hacker FWHoney-
pot일반시스템
X외부유출방지
구성요소– Honey Pot: 유인 / 기록– 보안시스템 : 해커 행동범위 설정– 일반시스템 : 해커에 대한 신뢰도 유지
Honeynet 기능– Data Control: 외부전파 금지– Data Capture: 정보 수집– Data Collection: 여러 Pot, net 수집 정보의 체계적 관리
활용방안– 기업용 : 해커 고립화 , 대응시간 확보 , 체계적 보안 대응– Research 용 : 보안위협 분석 , 대응책 연구
고려사항– 엄격한 통제 , Data Mining
INBOUND
- 14 - ㈜ 인포레버컨설팅 교육사업본부
Honey Pot/Net/Active Honey Pot
Active Honey Pot 의 부각배경– 최근 해킹타입은 취약서버를 찾아 다니기 보다
사용자 접근을 전제로 함 . (Downloader)– 따라서 기존 Honey Pot 을 통해서는 최신해킹
트랜드 수집이 어려움 . Active Honey Pot: 능동적 악성코드 샘플
수집– 취약성을 가진 서버가 여러 URL 을 능동적으로
방문 , 악성코드를 다운로드 / 수집
Active Honey pot 개념도 ( 출처 : 안랩 )
OUT-BOUND
- 15 - ㈜ 인포레버컨설팅 교육사업본부
Server/DB Security
- 16 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel 을 이식한 운영체제
기출여부 81
관련 KeyWord MAC, DAC, MLS, RBAC
추천사이트
기술발전RoadMap
OS Secure OS / Trusted Computing
기타
Preview
2-1. Secure OS
- 17 - ㈜ 인포레버컨설팅 교육사업본부
Secure OS 개요
– 운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel 을 이식한 운영체제– 취약점 대응의 한계성에서 출발 , 보안대응의 마지노선
Preven-tion
Detection Response
Trusted
OS
제공기능– 사용자식별– 인증 , 무결성– 접근제어– 감사
핵심기능 접근제어– MAC (Mandatory Access Control: 강제적 접근통제 ) : 주체 /객체의 보안레이블 비교에 따른 통제– DAC (Discretionary Access Control : 임의적 접근통제 ): 객체 소유주가 통제권한 부여– MLS (Multi-level Security): 모든 시스템 구성요소에 보안수준 / 업무영역별 보안등급 및 보호범주 부여– RBAC (Role Based Access Control)
구현방안– 정보영역 분리 ( 주체 /객체 ), 최소권한 , 역할영역 분리 ( 권한 / 인가 , 분리 / 조합 ), 커널레벨 강제 (
성능오버헤드 )App.
운영현황파악Access
type 분석ACL 적용 Read Mode
모니터링 보완 / 운영모드정책결정
전망– 정보의 동적 변동성 추적 / 적용 , 서버 성능문제에 따른 Secure OS외면– 변동성이 적고 중요한 데이터 위주로 운영 ( 예 : 금융부문 )
OS kernel
ACL ModuleSecurity Kernel
App.
- 18 - ㈜ 인포레버컨설팅 교육사업본부
Secure OS
[ 참조 ] Secure OS 의 ACL 구성 예 - Oracle
- 19 - ㈜ 인포레버컨설팅 교육사업본부
Secure OS
[ 참조 ] Secure OS 의 해킹 대응
- 20 - ㈜ 인포레버컨설팅 교육사업본부
항목 상세내역
개요 웹에 DB 가 연결되면서 대두되는 데이터 유출문제에 대한 대책
기출여부 92
관련 KeyWord 접근제어 , 암호화 , Compliance
추천사이트
기술발전RoadMap
Crypto Card 기반 암호화접근제어솔루션 / 암호화 솔루션
기타 성능성 문제 심각
Preview
2-2. DB 보안
- 21 - ㈜ 인포레버컨설팅 교육사업본부
DB 보안 개요
– 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술– 최근 기업데이터 , 개인정보의 중요성 및 Compliance 증가로 이슈화– DB 보안 요구사항 : 인증 / 접근통제 / 감사
DB 보안의 문제점– 보안관리자는 DB 를 모르고… DB 관리자는 보안을 모른다 .– DB Vender 마다 보안수준이 제 각각임– 연관인 , 내부자에 의한 범죄발생 비율이 높음– 보안강화에 따른 Performance 저하 / 비용소요가 많음
DB 보안 관련공격
Domain 관련내용
네트워크 관련 공격(BOF, 우회 )
•DDOS: String투입을 통한 NW Daemon down•NW Daemon 우회 및 직접공격 : 암호설정의 취약성 , 내부패키지 변형을 통한 해킹코드 삽입
인증 프로세스 공격 •사용자 정보 변형 : 확인절차 차단을 통한 직접 엑세스•백도어 : 메모리상주 패키지를 악용한 백도어 설치
SQL, Procedure Injec-tion
•SQL Injection: SQL 변형 , 코드투입 , 함수투입 , BOF•Procedure Injection: Embeded SQL, Cursors, DBMS 특화된 패키지
- 22 - ㈜ 인포레버컨설팅 교육사업본부
DB 보안
전망 / 고려사항– 웹 일색의 App.웹을 통한 침해가능성 상존 (웹 보안과 DB 보안의 동시진행 필요 )– IT Compliance 주의 ( 개인정보보호법 등 )– 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주– 감사기능은 DBMS Vender 에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요
Domain 관련내용
Authentication •패스워드 관리•가용한 인증수단 동원 : 생체인식 , 인증서 , ID/password 등•NW Daemon 설정관리 , 기본포트 변경
Authorization •Public 계정의 제한 , 사용 어플리케이션 변경 검토•시스템 권한 Revoke, Any 계열 권한 Revoke
Access Control •DB Schema Design: Authorization 고려하여 설계•접근제어모델 :MAC, DAC, RBAC
Confidentiality •데이터 암호화 (DBMS 옵션사용 혹은 전용 솔루션 )•전송데이터 암호화 (SSL/TLS)
Backup/Recovery •Incremental/Full, 백업정책
Audit •Trigger 등 임시조치•DBMS 제공 Audit Tool 이용 ( 성능저하 감소 고려 )
DB 보안의 기술 Domain
- 23 - ㈜ 인포레버컨설팅 교육사업본부
DB 보안 솔루션의 종류
구 분접근제어 제품
암호화 제품Sniffing 방식 Server Agent 방식 Gateway 방식
보안기능보안통제가 완벽하지 않음
강력한 보안 기능 제공 강력한 보안 기능 제공 강력한 보안 기능 제공
장단점
Agent 가 설치되지 않는 방식DB 서버에 영향 없이 안정적 운영 가능
Agent 설치로 인한 DB 서버 성능에 영향을 줄 수 있음Agent 장애로 인한대책 미비
DB 서버에 영향 없이안정적 운영 가능Gateway 구성에 따른장애 대응 방안 필요( 이중화 or Bypass)암화화 대체 기능제공
DB 서버 성능에 영향 영향을 줌 (5-10% 부하 생성 )암호화 및 인증 키관리 필요
확 장 성확장 시 각각의 세그먼트 마다 H/W 연결 필요
서버마다 Agent 설치 필요
별도의 H/W 추가 없이 확장 가능
별도의 H/W 추가 없이 확장 가능
제품특징정형데이터 모니터링 시 구성 방식
우회 접속에 대한 제어 시 구성하는 방식
비정형데이터 제어 시 구성하는 방식이며 , 보안성 및 확장성이 뛰어남
암복호화 및 DB 성능 튜닝 등 고려 사항 많음
출처 : DB Safer
- 24 - ㈜ 인포레버컨설팅 교육사업본부
DB 접근제어 솔루션의 일반기능
모니터링 및이력관리
•SQL 문 감시•실행된 SQL 문 / 실행시간 / 사용자 / 시간대 별 검색 및 추적•접속 세션 및 실행 명령어 별 이력 관리
보안정책 관리 용이한 정책설정 및 반영
결재관리 중요 SQL 명령에 대한 사전 / 사후 승인 ( 결재 ) 기능
기타•데이터베이스 내부 통제•여러 유형의 DBMS 통합 모니터링•특정 Data, Field 에 대한 Masking 기능
접속 및 권한 제어
•인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능•오브젝트에 대한 권한 설정 및 차단 기능 •사용자별 사용 가능 명령어를 제한