11) 스마트 카드
- Smart Card는 Global Standard가 부족
: 카드에 어떠한 데이터가 어떻게 저장되어져야 하는지에 대한 표준이 미흡
- 이중인증을 제공(PIN Card)
- OTP를 사용 à 전자적 모니터링 문제 해결
- 프로세스 능력을 가짐
- 기록된 정보는 정확한 PIN이 입력될 때까지 읽을 수 없음
: 리버스 엔지니어링과 같은 부정 조작 방법들에 대하여 보안을 강화 시켜줌
- 접촉 카드(Contact Card), 비접촉 카드(Contactless Card)
(1) 적용 사례
- 무선 통신 분야에서는 유럽을 중심으로 GSM에 SIM 카드를 적용하여 인증키 기능을 수행
* GSM – Global System for Mobile, SIM – Subscriber IdentityModule
(2) 공격 기법
- Microprobing : Chip 표면에 직접 접근하기 위해 사용되는 기술(Invasive)
- Software Attack, Eavesdropping Techniques, Fault Generation Techniques
(3) ISO 7916
- 물리적 특성 : 가로, 세로, 두께, 모서리 꺾임 등의 정의
- 접속 위치와 규격 : Chip의 접촉 위치와 규격
12) 생체인증
: latent image reactivation(Replay 공격) 가능
(1) 특징 분류
- 생체적 특징 : 지문(Fingerprint), 장문(Palm print), 얼굴(Face), 손 모양(Hand Geometry),
홍채(Iris), 망막(Retina), 정맥(Vein)
- 행동적 특징 : 서명(Dynamic Signature), 음성(Voice), 키보드 입력(Keystroke Dynamics)
* The most Secure & The most Expensive
(2) 생체인식 기술이 가져야 할 조건 / 평가 항목
- 보편성(University) : 모든 대상자들이 보편적으로 지니고 있어야 함.
- 유일성(Uniqueness) : 개개인 별로 특징이 확연히 구별되어야 함.
- 지속성(Permanence) : 발생된 특징 점은 그 특성을 영속해야 함.
- 성능(Performance) : 개인 확인 및 인식의 우수성
- 수용성(Acceptance) : 거부감이 없어야 함
(3) 생체인식 시스템 설계 시 고려사항
① 정확성(Accuracy)
- FRR(False Rejection Rate / TypeⅠerror) : 보안
- FAR(False Acceptance Rate / TypeⅡ error)
- CER(Crossover Error Rate) : 정확성 척도
② 속도 및 처리량(Speed & Throughput Rate)
③ 수용성(Acceptability)
④ 등록시간
* Biometric이 대중화 되는데 장애가 되는 요인 ; 정확성, 속도/처리량, 수용성, 등록시간
(4) 생체인증 시스템의 정확성(Accuracy) 이슈
- 시스템의 정책과 중요도에 따라 생체인증 시스템에 요구되는 FAR과 FRR의 값은 달라진다
- 엄격한 보안이 요구되는 경우의 생체인증 시스템의 척도는 FRR이 얼마나 낮은가?
- 사용자의 편이를 중요시 할 경우는 FRR이 얼마나 낮은가?
(5) 적용 예
- 네트워크에 대한 접근 통제, 직원 출퇴근 시간 체크 및 추적
- 금융 거래에 대한 승인, 현금인출기와 신용카드, 스마트 카드와 연계
- 개인 재산의 보호, 투표, 여권, 비자, 이민 관련 시 사용
(6) 생체인식 기술의 장점 : 부인방지(디지털 서명 등)
13) Single Sign On
- 편리성과 가용성 중점
- Login시 한번만 ID와 Password를 입력하여 다른 시스템에 편리하게 접속이 가능
- Password(1개)
- 장점 : 보안성 향상(PW 규칙)
- 단점 : 누출시 보안 위협
(1) 정의
- 사용자가 한 번 Sign-On 한 후 모든 서비스를 이용 할 수 있도록 구성
예) KERBEROS(미국), 세사미(유럽), 디렉토리 서비스 등
(2) 사용하는 이유
- 생산성 증대à줄어든 Sign-On, 중앙집중식 인증/권한 관리를 통한 관리 생산성 증대
- 퇴직자 처리에 용이 : ID/Password Disable, Escort, SSO
(3) 장점
- 보안성 증가 à 강한 패스워드 사용
- 사용자 편의성 증가 및 사용자 업무관리 단일화(가용성)
à 접근하기 위해 인증 받는 시간의 단축
(4) 단점
- 하나의 SSO 서버를 사용하게 되면 네트워크 장애의 유일점이 된다. à 이중화로 해결
- Once user has logged on,
they can freely roam the network resources without restriction.
à 2Factor 인증으로 보완
- 자리를 비울 때 데스크 탑을 잠그지 않고 자리를 비우는 것 à Screen Saver로 예방
(5) KERBEROS(미국)
- 중앙 집중형 사용자 인증 프로토콜 / RFC1510
- 대칭적 암호기법에 바탕을 둔 티켓 기반 인증 프로토콜 è DES, UDP 통신
- 네트워크를 통해 서비스에 접근하고자 한다면 네트워크 입구를 지키기 위한 3가지요소
à Authentication, Accounting, Auditing
* Time Stamp è Replay 공격 방지
: 다른 사람이 티켓을 복사하여, 나중에 사용자를 위장(impersonate)하여 티켓을
사용하는 것을 막는다.
* 설계 목표
- Network 인증
- One Log On
- Password 보호(Network상)
1. 사용자는 인증 서비스에 인증한다
2. 인증서비스는 사용자에게 시작 티켓을 전송한다
3. 사용자는 ERP서버에 대한 접근을 요청한다
4. 티켓 부여 서비스는 세션키가 포함된 새로운 티켓을 만든다
5. 사용자는 하나의 세션키를 추출하고 티켓을 파일서버로 전송한다
6. 티켓을 받은 서버는 사용자에 대한 서비스 제공 여부를 결정한다
* KDC(Key Distribution Center)
- 모든 사용자와 서비스들의 암호화 키(비밀키)를 보유
- TGS(티켓부여 서비스) : 서버 Key 관리
* AS(인증서비스) ; 사용자 Key 관리
- 사용자 접근 권한 인증
- 사용자가 사용하려는 서비스가 DB에 있는지 확인
- TGT 생성
(6) 특징
- 재생(Replay)공격을 예방
- KDC와 Principal만이 특정 대칭키(DES Key)를 공유 à 도청으로부터의 보호
(7) 약점(Weaknesses)
- Password 추측공경에 약함 à KDC는 사전공격이 일어나도 알지 못함
- Requires synchronized time clocks
14) 중앙집중 접근통제
- AAA 서버, KERBEROS, RADIUS, TACACS, DIAMETER
(1) AAA 서버
- Authentication(인증), Authorization(권한), Accounting(회귀, 누가 자원에 접근하는지 추적)
(2) RADIUS(Remote Authentication Dial-In User Service)
- Dial-In 사용자에 대한 인증 프로토콜이며, 사실상의 표준임
- 요금징수의 목적 / 감사 추적 등에 사용
(3) TACACS / TACACS+(Terminal Access Controller Access Control System)
① TACACS
- 암호화되지 않은 UDP프로토콜을 사용
- User ID & Static Password
- UDP기반의 Authentication과 Authorization과정을 합친 인증 프로토콜
② TACACS+
- A two factor, dynamic password
- Separates authentication, authorization and accounting processes
- TCP기반의 프로토콜 사용
③ UDP와 TCP
- UDP : Radius, Kerberos, Tacacs
- TCP(신뢰성) : Tacacs+, Dinameter
15) 원격 접근 인증 프로토콜
(1) SLIP(Serial Line Internet Protocol)
- 직렬회선을 통해 캡슐화한 데이터를 전송하는데 사용된 구식 프로토콜
- 단점 : 에러탐지, 수정, 다양한 인증 못함
(2) PPP(Point to Point)
- 에러 탐지, 수정, 다양한 인증방법 지원
① PAP(Password Authentication Protocol) è Clear Text
- 사용자 정보(사용자명, Password)가 평문으로 전송
- 재생공격에 취약
② CHAP(Challenge-Handshake Authentication Protocol)
- 시도/응답 매커니즘을 이용
- 중재자 공격(Man in the middle attack)이나 재생공격에 취약하지 않음
③ Secure Shell(SSH v2)
- FTP, Telnet, Rlogin을 대체
16) 접근통제 기술
(1) 기술 유형
- Discretionary : Identity based, User directed, Hybrid
- Mandatory : Rule based, Administratively directed
- Non discretionary : Role based, Task based, Lattice based
(2) MAC(강제적 접근통제)
- Security Labels = levels * categories
- Categories(compartment) 역할
∙ 최상위 보안 등급을 가졌다 하더라도 모든 자료를 볼 수 없도록 차단
∙ 알 필요성의 원칙에 의거하여 필요한 사용자에게만 자료를 볼 수 있도록 하기 위함
① 개요
- The system decided how the data will be shared
- Only administrators만이 자원의 카테고리를 변경
- The authorization of a subject’s access to an-object depends upon labels
- 접근규칙은 운영시스템에 의하여 정의되기 때문에 Rule based 접근 통제라고 함
- Orange Book B-level의 요구사항(DAC보다 안전)
- 민감한 정보에 사용 à 보안이 중요한 시스템에서 사용(군, 정부)
- Subject와 Object의 특성에 관계된 특정 규칙에 따른 접근 통제
- A good example could be a firewall
② 장점 : Very strict enforcement of security, centrally administered
③ 단점
- 성능저하 우려
- 개발, 구현이 어려움
- 상업적인 환경에 적용하기 어려움
(3) DAC(Discretionary Access Control – 임의적 접근통제)
- 데이터 소유자가 사용자나 사용자그룹의 신분에 따라서 임의로 접근을 제어하는 방식
- 융통성 때문에 상업적 환경에서 널리 사용
* MAC : rule based(F/W), DAC : identity(ACL-R.W.X)
① 개요
- DAC are controlled by human
- You decided how you want to protect and share your data
- Orange book C-level
- Not a replacement of MAC
② 종류
- 주체와 객체의 ID(Identity)에 따른 접근통제
(4) NON DAC : RBAC
① 개요
- 사용자가 수행하는 JOB(역할)에 Focus
- Orange book C-level
- 접근결정(Access decision)이 주체의 role에 기반함
② 종류
- Role based Access Control(RBAC)
∙ 장점 : 관리하기 쉽다
|
|
MAC |
DAC |
NON DACèRBAC |
|
접근권한 부여자 |
시스템 |
Owner |
Central Authority |
|
접근여부 결정기준 |
보안레이블 |
신분(Identity) |
역할 |
|
정책 |
경직 |
유연 |
유연 |
|
Orange Book |
B |
C |
C |
|
장점 |
안전 |
유연한 대응 |
관리 용이 |
|
트로이목마에
비교적 안전 |
구현이 용이 |
|
단점 |
구현이 어려움 |
|
|
|
운영이 어려움 |
|
|
|
높은 비용 |
|
|
|
Performance에
영향을 미침 |
|
|
* 미국 : TCSEC, 유럽 : ITSEC, 캐나다 : CTCPEC, 국제 공통 평가기준 : CC
17) 점근통제 보안 모델
- 비공식적 모델 ----- 수학적 검증 -----à 공식적 보안 모델
명백, 실행가능, 쉽게 이해, 정책 반영
(1) 벨 라파듈라 모델(BLP)
- 군사용 보안구조의 요구 사항을 충족하기 위해 설계된 모델
- 가용성이나 무결성 보다 비밀유출(Disclosure, 기밀성) 방지에 중점
- MAC 기법
- 최초의 수학적 모델
① 속성
- No Read Up(NRU or ss-property)
: 보안 수준이 낮은 주체는 보안수준이 높은 객체를 읽어서는 안됨
② 제한사항
- 접근권한 수정에 관한 정책이 없다
- 은닉채널을 포함
- 기밀성만 다루고 있고 무결성은 다루지 않는다
(2) 비바모델(BIBA)
- 무결성을 강조한 최초의 수학적 모델
- BLP모델의 단점인 무결성을 보장할 수 있도록 보완한 모델
* DAC는 MAC의 단점을 보완한 기술이 아니다
① 속성
- No Read Down(NRD or Simple Integrity Axiom)
: 보안수준이 높은 주체는 보안수준이 낮은 객체를 읽을 수 없다
- No Write Up(NWU or *Integrity Axiom)
: 보안수준이 낮은 주체는 보안수준이 높은 객체에 기록해서는 안됨
(3) 클락/윌슨 모델(Clark & Wilson model)
① 정의
- well-formed transactions, separation of duties(직무분리)
② Addresses all 3 integrity goals
- 비 인가자가 수정하면 안됨
- 직무분리 : 내부일관성, 외부 일관성
- 권한 있는 사람이 부적절한 수정을 하면 안됨
③ Consists of Triples(Triple Access) : Subject/Program(신뢰성, 일관성)/Object) and Rules
④ 예측 가능하고 완전한 방식으로 일어나야 함(Well-Formed Transaction)
(4) 만리장성 모델(Chinese Wall Model) : Brewer-Nash Model
① 개념
- to avoid conflicts of interest à 충돌을 야기시키는 어떠한 정보의 흐름도 없어야 한다
- 동일한 영역에 있는 다른 회사의 자료에 접근해서는 안됨(직무분리)
② 적용 영역
- 투자, 금융, 광고 분야의 Consulting
* 컨설턴트 자신이 컨설팅하는 업체의 정보만 접근
18) 공격의 분류
(1) Taxonomy(분류학) of Security Attack
① Passive Attacks : 정보수집 목적
- 취약점을 이용하지 않음
- 탐지 불가능
- 예방가능
- Traffic Analysis
② Active Attacks : 파괴 목적
- 취약점 이용
- 탐지 가능
- 예방 불가능
- 변조
19) 공격 기법
(1) 무차별 공격
- 패스워드 크래킹
- to achieve a predefined goal à 미리 정의한 목표 달성
- all possible combinations
- 예방법 ; clipping level, 틀린 시도 후 delay time 느림
(2) 버퍼오버플로우(Buffer Overflow Attacks)
- 버퍼가 수용할 수 있는 것보다 큰 값을 입력
- 유효하지 않은 값을 변수 유형에 입력
- 매개변수를 벗어난 입력
- 예방법 : Parameter 체크, 패치
(3) 중간자 공격(Man In the Middle Attacks, MIM)
: 세션이 시작할 때부터 참여
- 유형
∙ Web Spoofing(MITM)
∙ TCP Session Hijacking(세션이 이미 확립된 이후에 발생)
∙ Information Theft : 두 호스트 사이의 정보를 훔쳐냄(ID/Password)
∙ DoS 공격
(4) 세션 하이제킹(Session Hijacking)
- 이미 인증을 받아 세션을 생성하여 유지하고 있는 연결을 여러 가지 방법으로 빼앗는 공격
à 인증을 위한 모든 검증을 우회
- 세션 하이제킹 공격의 대응책
∙ 데이터 전송의 암호화(최우선의 대책)
∙ 지속적인 인증 : Continuity Authentication
∙ TCP/IP 취약성을 수정할 수 있는 패치
(5) IP 스푸핑
- One host pretends to be another
(6) DoS 공격
- 정의 : 시스템이나 네트워크의 구조적인 취약점을 공격하여 며칠 동안 정상적인 서비스를
지연 시키거나 마비시키는 것.
- 종류 : TCP Syn Attack, Ping of Death, Teardrop, Mail bombs,
SMURF Attack(è ICMP Echo 브로드 케스트 공격)
① TCP Syn Attack
- 대상 시스템의 메모리가 바닥나게 하는 것
- 예방법
∙ 보안 패치로서 대기 시간을 줄임
∙ 연결 요청의 Queue를 Size 늘림
∙ Patch
* 탐지방법
: netstat 명령어 이용(netstat –a-f inet)
: state가 Syn received가 많으면 공격 의심
② Ping of Death
- IP Header Fields(Length Field) : Maximum is 65,536Bytes(정상 패킷의 최대 크기)
③ Teardrop Attack
- 비정상 패킷 전송
④ SMUF Attack
- 3Player가 필요
- 스머프 공격의 3가지 구성요소 : 공격자, 중간자(증폭된 네트워크), 희생자
- broadcast, ICMP
⑤ 분산도스 공격
- Agent가 공격함
- 예방법
∙ earless filtering – IP주소가 위조되거나 패킷이 인터넷으로 나가는 것을
ISP 단계에서 막을 수 있음
20) 침입탐지 시스템
(1) IDS에 의해 탐지되는 공격
- 스캐닝 : target network topology, os s/w 등의 정보 취득
- DoS 공격 : Ping of death, Syn Flooding, SMURF
- Buffer Overflow Attack
(2) 요소와 분류
- 설치 위치와 목적에 따라 HIDS, NIDS로 나뉨.
① 자료 수집 위치에 따른 분류
- HIDS(Host based Intrusion Detection System)
∙ 호스트 자원 사용 실태를 분석하여 침입 탐지
∙ 트로이목마, 백도어, 내부자에 의한 공격 탐지
∙ 중요 File을 암호화 함(숫자값)
- NIDS(Network based Intrusion Detection System)
∙ 네트워크에서 발생하는 여러 유형의 침입을 탐지 : DoS공격, Port Scanning
∙ 단점 : False(+)가 높다.
(3) 침입 탐지 방식에 따른 분류
① 오용탐지(Misuse Detection) : Signature Base = Knowledge Base
- 탐지 오판율이 낮음.
- False(+)가 낮다.
- 전문가 시스템을 이용한 IDS 역시 이에 기반한다.
② 이상탐지(Anomaly Detection) : Behavior = Statistical Detection
- False(+)가 높다
- 정상적이고 평균적인 상태를 기준
- 인공지능과 면역 시스템 사용
- 사전에 특정 지식 없이 공격 탐지 가능 ß 장점
- 오판율이 높다 ß 단점
21) 침투 테스트
(1) 성공 요소 : 경영진의 승인, 잘 계획된 침투 시나리오
(2) 목적 : 취약점/결점 발견, Security Gap 발견
(3) 분야 : 물리적(Physical), 운영(Operational), 논리(Logical=Technical)
(4) Open box testing : 내부코드에 접근해서 Test
à general purpose operating system : Linux, Unix, NT
(5) 침투 테스트의 4단계
① Planning : Rule 확인, 경영진의 승인, 테스트 목적 수립
② Discovery : 포트 스캐닝(타겟 설정 및 확인), 취약점 분석(서비스, 응용, OS 확인)
③ Attack
④ Reporting
22) Covert Channel(은닉채널)
- 위험은 대역폭에 의존, B2, B3, A1
(1) 정의
- 공유된 자원을 통해 높은 등급의 인가를 가진 주체가 낮은 등급의 인가를 가진 주체에게
메시지를 보내는 방법
- 정보가 High에서 Low로 통신 되도록 하는 것을 남용하는 매커니즘
- 일반적으로 사용되지 않는 경로를 통하여 정보를 전달하는 방식
- 다른 사람이나 프로그램에게 시스템의 보안정책을 어기면서 정보를 전달하는 방법
(2) 종류
- Storage channels(B2)
: 공통의 스토리지 영역에 데이터를 기록
- Timing channels(B3, A1)
: 시스템의 자원 용도를 조정
(3) 방어법
- 로그 분석, HIDS의 사용, 통신 대역폭의 엄격한 제한, 시스템 자원 분석
