Skip to content

Latest commit

 

History

History
136 lines (125 loc) · 11.5 KB

보안에 대하여.md

File metadata and controls

136 lines (125 loc) · 11.5 KB

네트워크와 보안에 대하여

접근 통제

  1. 정의 : 허가되지 않은 사용자에 의한 자원 접근, 정당한 사용자가 허가되지 않은 방법으로 자원에 접근하는 것을 제한, 정당한 사용자가 허가된 방식으로만 자원에 접근하도록 하는것.
  2. 절차 : 식별 -> 인증 -> 인가 + 책임추적성
  3. 기본원칙 : 직무 분리, 최소 권한 3.1 직무분리 : 업무의 발생부터 수정, 확인, 완료가 한사람에 의해 처리될수 없음. 3.2 최소 권한 : 허가 받은 일을 위해 최소 권한만 부여.

사용자 인증

  1. 정의 : 전송받은 내용이 변조 또는 삭젲되엇는지 여부와 송-수신자가 정당한지 확인.
  2. 유형 : 지식(비밀번호), 소유(PIN), 존재(지문), 행위(움직임, 목소리), 멀티(두가지 이상 섞어서)

접근통제 보안 모델

  1. 강제적 접근 통제 : 보안 레이블과 보안 허가증을 비교하여 통제
  2. 임의적 접근 통제 : 접근 규칙 (승인)에 기반을 두는 접근 제어, 한 개체가 다른 개체를 승인 해주는 접근 권한을 가질 수 있다.
  3. 역할 기반 접근 통제 : 주체를 역할에 할당하고 그 역할에 접근 권한을 부여하는 방식 (역할은 사용자 집합과 권한 집합의 매개체)
접근통제 기술
  1. 규칙 기반 접근 통제 : 특정 규칙을 이용하여 주체와 객체의 접근을 지정.
  2. 제한된 사용자 인터페이스 : 특정 기능 자체에 대한 접근을 허용하지 않음으로써 제한.
  3. DAC(임의 접근 통제 기법) 3.1 접근 통제 행렬 (ACM) 3.2 접근 통제 리스트 (ACL) 3.3 권한 리스트 (CL, CT)

네트워크

OSI 모델

ISO 표준 개방 시스템 상호연결 모델. 구조와 관계없이 시스템간의 통신 제공 프로토콜 집합.

  1. 물리 계층 : 물리 매체로 데이터 전송. 물리 링크의 설정, 유지 , 해제 담당. (신호, 부호화, 전송방식)
  2. 데이터 링크 계층 : 물리 계층의 그대로의 전송 설비를 신뢰할 수 있는 링크로 변환. 프레이밍(패킷으로 변환), 흐름제어(전송 속도 및 버퍼를 고려), 오류제어(패리티 검사,,,, 물리에서 잡음등을 제거). 논리적 연결제어를 담당하는 LLC 와 장비의 물리적 접속을 담당하는 MAC의 두 서브 계층으로 이루어져 있다.
  3. 네트워크 계층 : 송신측에서 수신측까지 데이터를 전달하기위한 논리적 링크(논리주소 지정, 주소 변환, 다중화)를 설정하고 상위 계층 데이터를 작은 패킷으로 변환. 물리주소는 패킷이 이동할떄마다 변화되지만 네트워크 주소는 목적지까지 동일하다.
  4. 전송 계층 : 전송계층을 중심으로 하위 3계층 네트워크 서비스 계층, 상위 3계층 사용자 서비스 계층으로 나뉨. 종단간 전송을 담당하는데 컴퓨터 대 컴퓨터가 아닌 프로그램대 프로그램의 전송을 의미한다.
  5. 세션 계층 : 네트워크 대화 제어기. 통신 시스템간 대화를 설정, 유지, 동기화. 여기서도 마찬가지로 작은 데이터 단위로 쪼개서 하위 전송 계층으로 내려 보낸다.
  6. 표현 계층 : 송-수신자가 공통으로 이해할 수 있도록 정보의 데이터 표현 방식을 바꾸는 기능을 담당한다. 또 보안과 효율적 전송을 위해 암호화압축을 하여 하위 계층으로 내려보낸다.
  7. 응용계층 : 사용자가 네트워크에 접속하는 것을 가능하게 한다.

상위 3계층의 데이터 종류 : 메시지 전송 계층의 데이터 종류 : 세그먼트 네트워크 계층의 데이터 종류 : 패킷 테이터 링크 계층의 데이터 종류 : 프레임 물리계층의 데이터 종류 : 비트 스트림


TCP/IP 프로토콜

모듈로 이루어진 계층적(상위 계층 프로토콜이 하위계층 프로토콜 서비스의 지원을 받음) 프로토콜 스위치는 데이터-링크 계층까지, 라우터는 네트워크 계층까지만 관여한다.

송신지 - 캡슐화 -> 라우더 - 역캡슐화 - 캡슐화 -> 수신지 - 역캡슐화

TCP/IP에서는 3개의 서로 다른 계층 주소가 사용된다.

  1. 물리(Physical) 주소
  2. 논리(IP) 주소
  3. 포트(Port) 주소

또 TCP/IP에서는 각 계층에서 여러개의 프로토콜을 사용하기 때문에 발신지에서 다중화, 수신지에서 역다중화가 일어난다.

발신지 : FTP ~ HTTP => TCP, DNS ~ SNMP => UDP, TCP ~ UDP => IP 수신지 : IP => TCP => FTP ~ HTTP, IP => UDP => DNS ~ SNMP

  1. 물리 계층 : 실제 물리적 통신 담당. 호스트 - 라우터, 라우터 - 라우터, 라우터 = 호스트
  2. 데이터-링크 계층 : 노드 - 노드(하나의 로컬 네트워크) 통신. 2.1 프레이밍 :네트워크 계층에서 받은 패킷을 더작은 단위인 프레임으로 변환. 2.2 흐름 제어 : 전송 속도 제어 2.3 오류 제어 : 오류 검출 및 재전송 요청 2.4 혼잡 제어 : 혼잡 할때 패킷을 적게 보냄
  3. 네트워크 계층 : 라우팅과 포워딩. 패킷이 근원지에서 목적지까지 갈 수 있도록 라우팅을 한다. 3.1 라우팅 : 출발지에서 목적지까지 경로를 결정. 3.2 포워딩 : 라우터의 입력 포트에서 출력 포트로 패킷을 이동. 포워딩 테이블이나 라우팅 테이블을 이용하여 의사결정. 3.3 IPv4 : IPv4 주소는 접두사(네트워크 판별) 부분과 접미사(노드 장치 인터넷)로 이루어져 있다. 3.3.1 클래스 기반 주소 A, B, C, D, E의 다섯가지 클래스로 나누어져 있으며 일반적으로 A, B, C의 3개 클래스가 사용된다. A클래스는 접두사 길이 8bit 까지, B클래스는 접두사 길이 16bit 까지, C클래스는 접두사 길이 24bit 까지를 말한다. IPv4전체 길이는 32bit. 3.3.2 서브넷팅 : 주소고갈을 완화하기위해 클래스 A, B를 나누어 작은 네트워크로 만들어 사용한다. 서브넷 마스크와 OR 연산을 해서 0이 아닌 부분이 네트워크 영역이라고 할 수 있다. 3.3.3 클래스 없는 주소 지정 : CIDR 접두사의 길이가 '/'이후에 따로 표시된다. 그것으로 네트워크와 호스트를 구분한다. 3.3.4 논리주소와 물리주소의 변환 (ARP) : 호스트의 요청에는 자신의 IP주소, 자신의 물리주소 수신측 IP주소만이 있다. 수신측의 물리 주소를 모르기 때문에 물리계층 브로드캐스트를 통해 모든 호스트에게 ARP패킷을 전송한다. 요청을 받은 호스트는 자신의 IP가 맞고 자신의 물리주소를 요구하는 경우에 ARP응답 메시지를 전송한다.
  4. 전송계층 : 프로세스 - 프로세스 통신을 제공. 프로세스를 정의하기 위해 두번째 식별자 포트번호 필요. (호스트는 네트워크계층에서 IP를 이용하여 식별) 4.1 UDP : 비연결, 신뢰성 없는 프로토콜. 포트 번호를 이용한 프로세스간 통신. 4.2 TCP : 포트를 이용한 프로세스 간 통신. 스트림 전송. 송신 및 수신 버퍼. 신뢰성. 전 이중 통신. 연결 지향(3-way-handshaking).
  5. 응용 계층 : 클라이언트-서버, 피어2피어. 소캣 통신(TCP/IP 프로토콜에서 사용하는 식별자 IP, PORT로 소켓 주소를 만들어야 함).

데이터그램 : 독립적으로 취급되는 각각의 패킷


라우팅

라우팅 : 패킷을 전송하기 위해 송신측에서 목적지까지의 경로를 정하고 정해진 경로를 따라 패킷을 전달하는 일련의 과정. 직접 라우팅 테이블을 설정하는 정적 라우팅 알고리즘, 네트워크 환경에 따라 능동적으로 대처 가능한 동적 라우팅 알고리즘.


네트워크 장비

  1. 랜카드 : PC에서 전송 요구가 발생하면 랜카드로 정보를 일정한 형태로 보내고 일단 버퍼에 저장한 후 네트워크에 맞는 형태로 변환하여 정송한다.
  2. 허브 : 오직 물리계층에서만 동작하는 장치. 2.1 리피터 : 신호가 훼손되기 전에 재생, 또는 증폭하여 전송.
  3. 브릿지 : 리피터와 달리 패킷을 인지하며 데이터링크의 서브계층인 MAC에서 동작한다. 둘 또는 그 이상의 네트워크를 연결하는데 사용된다. 네트워크 확장 및 통신 격리.
  4. 라우터 : 3계층 장치. 데이터-링크, 네트워크 계층에서 동작. 4.1 물리계층 장치로써 신호 재생성. 4.2 데이터-링크 계층 장치로써 물리주소(발신지, 목적지) 확인. 네트워크 계층 장비로써 네트워크 계층 주소 확인.
  5. 스위치 5.1 2계층 스위치 (데이터-링크 계층): 모든 포트에 연결된 호스트의 MAC 주소를 알고 스위칭 테이블을 형성. 이것을 기반으로 프레임 전달. 5.2 3계층 스위치 (네트워크 계층): 라우팅 스위치라고도 불림. 하드웨어적으로 IP를 분석해서 포워딩함. 5.3 4계층 스위치 (전송계층): 포트번호를 기중르 패킷을 전송. 네트워크의 암호화나 앱의 프로토콜에 대한 패킷 필터링에 사용됨. 포트 번호를 통해 응용계층 서비스를 구분하고 세그먼트를 적절히 배분. 5.4 L7 스위치 : 일반적인 L4스위치가 1024번 포트까지 인식하는데 나머지 다른 포트 인식.
  6. 게이트 웨이 : 서로 다른 통신 규약을 사용하는 네트워크를 연결하기 위하서 프로토콜을 전환해주는 역할을 하는 장비. 여러 계층의 프로토콜을 변환하여 병목.

침입 탐지 시스템(IDS)

이벤트 모니터링, 침일 발생 탐지, 대응. 보안 관리자에게 경보. 방화벽등과 연계한 차단.

  1. 데이터 수집 : 탐지 대상으로 부터 감사 데이터 수집.
  2. 데이터 가공 및 축약 : 수집된 감사 데이터를 의미 있는 정보로 전환.
  3. 침입 분석 및 탐지
  4. 보고 및 대응 : 보안 관리자에게 보고.
탐지 방법
  1. 행위 기반 : 통계 등 비 정상 행위 파악으로 탐지
  2. 지식 기반 : 규칙과 패턴을 기반으로 탐지
대응 방법
  1. 수동적 : 관리자에게 통보.
  2. 능동적 : 공격 저지 또는 방해.
데이터 수집원
  1. 호스트 로그파일 : 네트워크 환경과 무관하게 내부 시스템의 동작이나 상태 감시.
  2. 네트워크 패킷 : 네트워크 트래픽을 모니터링 하여 감시.
탐지 시점
  1. 사후 분석 : 수집된 감시 데이터를 분석하여 침입 여부 판단.
  2. 실시간 분석

침입 방지 시스템(IPS)

침입 탐지 및 대처. 예방적이고 사전에 조치를 취하는 기술.

공격 패턴 인지 방식 분류
  1. 시그니처 기반 : 룰베이스 탐지.
  2. 휴리스틱 기반 : 이상 행동 탐지. 예방.
구성 형태에 따른 분류
  1. Host IPS : 호스트에 탑재되는 SW기반 IPS.
  2. Network IPS : HW기반, 호스트 독립적. 네트워크 라인에 설치.

VPN

가상 사설망, 터널링(호스트간 가상 경로를 설정), 암호화 및 인증, 접근제어(IP 필터링 암호화되면 사용 불가)

IPSec

네트워크 레벨에서 패킷 보안.

  1. 전송모드 : 헤더는 보호하지 않고 페이로드만 보호한다. 페이로드 암호화.
  2. 터널모드 : 헤더와 페이로드를 모두 암호화하고 새로운 헤더를 추가.

ESM & NAC

ESM(Enterprise Security Management) : 통합 로그관리. NAC(Network Access Control) : 네트워크 접근 제어. 네트워크에 접근하는 모든 엔드 포인트의 보안성 검증 및 보안성 강제화, 접속 통제.