침입탐지시스템과 정보보안 안 병규( [email protected])

침입탐지시스템과 정보보안

안 병규 ([email protected])

목 차목 차ⅠⅠ. . 정보보호 동향 정보보호 동향 ⅡⅡ. . 보안정책과 네트웍 보안보안정책과 네트웍 보안ⅢⅢ. . 침입차단시스템침입차단시스템 (( 수호신수호신 ) ) 기술기술ⅣⅣ. . 해킹기술과 정보전쟁해킹기술과 정보전쟁ⅤⅤ. . 수호신 특장점수호신 특장점Ⅵ Ⅵ 단계별 보안솔루션 도입 예단계별 보안솔루션 도입 예ⅦⅦ.. 보안정책의 수립 및 시행보안정책의 수립 및 시행ⅧⅧ.. 암호화 알고리즘암호화 알고리즘 (( 개요개요 ))

ⅨⅨ..Q&AQ&A

ⅠⅠ.. 정보보호 동향정보보호 동향 (1)(1)

KISA(KISA( 한국정보보호센타한국정보보호센타 ) ) 설립 설립 : : 1996.41996.4

– 침해사고대응팀협의회침해사고대응팀협의회 ((CONCERT)CONCERT)– 국제침해사고대응 국제침해사고대응 / / CERT-KRCERT-KR , , FIRSTFIRST– 보안시스템 평가보안시스템 평가– 교육교육 ,, 기술기술 ,, 정책지원정책지원

침입차단시스템침입차단시스템 ((Firewall) Firewall) 평가 기준평가 기준– 평가등급 평가등급 : : K1(E) ~K7(E)K1(E) ~K7(E)– TCSEC , ITSEC , CTCPECTCSEC , ITSEC , CTCPEC

정보보호 동향정보보호 동향 (2)(2)

전자상거래 정보보호제도전자상거래 정보보호제도– 인증기관에 의한 전자서명 인증제도 도입인증기관에 의한 전자서명 인증제도 도입

정보화사업 추진시 정보보호 대책 수립 정보화사업 추진시 정보보호 대책 수립 및 감리 강화및 감리 강화

국내 개발 정보보호기술 및 제품의 적용 국내 개발 정보보호기술 및 제품의 적용 확대확대

Security round!

Security RoundSecurity Round

기존의 무역 전자상거래

최대의 시장지배 국가 E.C (Internet) 정보종속국가

거래시스템 간 신뢰의 문제 제기

자국의 보안솔루션 수용 요구

ⅡⅡ. . 보안정책과 네트웍보안보안정책과 네트웍보안 (1)(1) 보안정책의 보안정책의 ScopeScope

– 물리적 물리적 ,, 관리적관리적 ,, 기술적기술적 ,, 인적보안인적보안 기술적보안기술적보안

– Network Network – ServerServer– ClientClient– DatabaseDatabase– ApplicationApplication– Main FrameMain Frame

보안정책과 네트웍보안보안정책과 네트웍보안 (2)(2)

-Threat , Vulnerability

Risk Analysis

Countermeasure-Minimized Risk-Cost Effective-Efficient

Security Policy- 지침 , 절차

Select

ImplementationAudit

!!!!!!!!???###

보안정책과 네트웍보안보안정책과 네트웍보안 (3)(3)

Security is people’s problem.

-Awareness,Training,Education-The Food & drink for security

ⅢⅢ.. 침입차단시스템침입차단시스템 ((Firewall) Firewall)

외부망과 내부망사이의 유일한 통로에 외부망과 내부망사이의 유일한 통로에 위치하여 외부 네트웍의 허락되지 않은 위치하여 외부 네트웍의 허락되지 않은 접근으로 부터 내부 네트웍을 보호하는 접근으로 부터 내부 네트웍을 보호하는 장치장치

도입 필요성도입 필요성– 가장 경제적이고 필수적인 보안 솔루션가장 경제적이고 필수적인 보안 솔루션– 내부 자원의 안전한 외부 제공내부 자원의 안전한 외부 제공– 비공인 비공인 IPIP 사용 네트웍의 인터넷 사용 시 필수사용 네트웍의 인터넷 사용 시 필수

Why…..Why….. 침입차단시스템 침입차단시스템

Server : 10,000 대

PC : 30,000 대

DB Server : 1,000 대

Main Frame

응용프로그램 ( 기간업무 ) : 20,000 본

인터넷

외부위협으로 내부망을 보호하기 위한 비용 : ? ! ? ! ? ! ?…………..

위협TCP/IP

인터넷

위협

방화벽 하나로 … 일단 O.K

수호신인터넷

Why…..Why….. 침입차단시스템침입차단시스템

Access control

침입차단시스템 기술침입차단시스템 기술 (1)(1)

Rule DataBase

ReferenceMonitor

ReferenceMonitor

Subject-user-process

Object-system-file-database

(S,{NATO,NUCLEAR,DOD})

Access control : Access control : BLP model BLP model 의 보안정책의 보안정책

1.1.No-read upNo-read up(( 주체의 보안등급이 객체보다 같거나 높을 경우 주체의 보안등급이 객체보다 같거나 높을 경우 Read Read 가능가능 ))


(C,{NATO,NUCLEAR,})

(TS,{NATO,NUCLEAR,})

Read O.K

Read O.K

Read 불가

Object

Object

Object

Subject


2.2.No-Write downNo-Write down(( 주체의 보안등급이 객체보다 낮거나 같을 경우 주체의 보안등급이 객체보다 낮거나 같을 경우 WriteWrite 가능가능 ))

(S,{NATO,NUCLEAR,})

(C,{NATO,NUCLEAR,})

(TS,{NATO,NUCLEAR,DOD})

Write O.K

Write 불가

Write 불가Object

Subject

Access control : Access control : BLP model BLP model 의 보안정책의 보안정책

Object

Object


Authentication(Identification)Authentication(Identification)Something what you know / password , Key (otp)Something what you know / password , Key (otp)

Something what you have / smartcard ,tokenSomething what you have / smartcard ,token

Something what you are / Biometric,Retina,Something what you are / Biometric,Retina, 지문지문


Audit trail(logging)Audit trail(logging)

Network address translationNetwork address translation

AlarmAlarm

Packet statisticsPacket statistics

Hacking defense modeHacking defense mode

Real time monitoringReal time monitoring

One time passwordOne time password


VPN(Virtual private network) : VPN(Virtual private network) : 인터넷상비화통신인터넷상비화통신

Internet / 전용회선

??!$%&?#??#?& ??!$%&?#??#?&

방화벽 ( 수호신 ) 방화벽 ( 수호신 )

HASP,RSA,RC4,IDEA,DES,3-DES…...


Mechanism-Packet filtering(1) Mechanism-Packet filtering(1)

Source IP Source port Destination IP Destination port Protocol Action;* * * 23 tcp Deny168.140.1.X * 203.238.20.1 20/21 tcp Allow* * * 80 tcp Deny* * 203.238.20.2 25 tcp Allow* * * * udp Deny~ ~ ~ ~ ~ ~167.120.1.13 * 203.238.20.3 23 tcp Allow


Mechanism-Packet filtering(2) / IP layerMechanism-Packet filtering(2) / IP layer

Physical

Datalink

TCP/UDP

Appls

IP

Firewall

외부망 내부망

침입차단시스템 기술침입차단시스템 기술 (7)(7)– Packet Filtering Type Packet Filtering Type

IP(Network/Transport) layerIP(Network/Transport) layer Port Port #(#(Service) Service) 및 및 source / destination IPsource / destination IP 에 근거하여 에 근거하여 Packet Packet 제어제어 Router Router 기본 기능기본 기능 특별히 제한하지 않은 서비스는 모두 허용한다특별히 제한하지 않은 서비스는 모두 허용한다 .. 단점단점

– logging logging 정보 부족정보 부족– 추적감시의 기능 부재추적감시의 기능 부재– 하드웨어적인 버그에 취약하드웨어적인 버그에 취약– 보안정책의 구현이 어려움보안정책의 구현이 어려움– 사용자 인증 불가 사용자 인증 불가 – SessionSession 의 상황 감시 불가의 상황 감시 불가

장점장점– 성능 비교적 우수성능 비교적 우수– TransparencyTransparency


Mechanism-Application gateway(1) / Mechanism-Application gateway(1) / Appls layerAppls layer

Physical

Datalink

TCP/UDP

Appls

IP

Firewall

외부망 내부망

침입차단시스템 기술침입차단시스템 기술 (9)(9)– Application gateway TypeApplication gateway Type

Application layerApplication layer 특별히 허락하지 않은 모든 서비스는 제거된다특별히 허락하지 않은 모든 서비스는 제거된다 .. 독립적인 독립적인 ProcessProcess 생성 생성 / / Application proxyApplication proxy Only TCP servicesOnly TCP services 지속적인 지속적인 Session Session 감시감시 Direct connectionDirect connection 이 아닌 중개 방식으로 이 아닌 중개 방식으로 ApplicationApplication 에 잠재할 수 있는 에 잠재할 수 있는

TrapTrap 에 대한 위험 제거에 대한 위험 제거 보안정책의 다양한 구현 및 검증이 용이보안정책의 다양한 구현 및 검증이 용이 새로운 어플리케이션 등장 시 마다 프락시 개발 부담새로운 어플리케이션 등장 시 마다 프락시 개발 부담 강력한 사용자 인증강력한 사용자 인증 ((OTP)OTP)

– Hybrid gatewayHybrid gateway 두 가지 방식의 선택적 적용 가능두 가지 방식의 선택적 적용 가능

– 기타변종기타변종 Mac layer access control typeMac layer access control type


Mechanism-Application gateway(2) / ProxiesMechanism-Application gateway(2) / Proxies

Telnet proxies

Server Client

Screened host type

Internal

Router

InternetHub

Suhocin Web


Dual homed bastion host

Internal

Router

InternetHub

Web Appls. / Email

Suhocin


ⅣⅣ. . 해킹기술 및 정보전쟁해킹기술 및 정보전쟁 (1)(1)

SnifferingSniffering– EthernetEthernet 을 통과하는 모든 통신 트래픽을 가로채서 을 통과하는 모든 통신 트래픽을 가로채서

원하는 정보원하는 정보 ((User name,password,mail)User name,password,mail) 을 얻어내는 을 얻어내는 공격공격

– Packet BroadcastingPacket Broadcasting 이용이용– Ethernet deviceEthernet device 를 를 Promiscuous modePromiscuous mode 로 변경로 변경

방어기술방어기술– Virtual private network(Virtual private network( 패킷 암호화패킷 암호화 ))– One time passwordOne time password– 방화벽 설치시 구성상 방어방화벽 설치시 구성상 방어

IP Spoofing(1)IP Spoofing(1)

Tcp protocolTcp protocol 의 의 33way handshakeway handshake– 1.SYN : Client to server, 1.SYN : Client to server, 동기화동기화 ,,Initial sequence #(ISN)Initial sequence #(ISN)

– 2.SYN/ACK : Server to client , 2.SYN/ACK : Server to client , 응답응답 , , ISN+1,ISN+1, 동기화 요청 응답동기화 요청 응답– 3.3.ACK : ACK : 동기화 요청 응답에 대한 확인 메시지 동기화 요청 응답에 대한 확인 메시지 -->--> 통신개시통신개시

해킹기술 및 정보전쟁해킹기술 및 정보전쟁 (2)(2)

Client Server

Seq#=XSYN

SYN/ACK

ACK

ACK=X+1Seq#=y

ACK=Y+1

시간

해킹기술 및 정보전쟁해킹기술 및 정보전쟁 (3)(3)

IP spoofing(2)IP spoofing(2)Target hostTarget host 와 와 Victim hostVictim host 는 상호신뢰는 상호신뢰Hacker hostHacker host 는 는 Target hostTarget host 에 에 Victim hostVictim host 의 의 IPIP 를 도용하여 를 도용하여 SYN packetSYN packet 발송발송동시에 동시에 Hacker hostHacker host 는 는 Victim hostVictim host 에 에 SYN flooding attack SYN flooding attack

Target hostTarget host 의 의 SYN/ACK packetSYN/ACK packet 을 가로챔을 가로챔 (( 패턴분석패턴분석 ))

Hacker hostHacker host 는 는 SYN/ACKSYN/ACK 에 적절한 에 적절한 ACKACK 를 를 Target hostTarget host 에 발행에 발행Target hostTarget host 와 와 Hacker hostHacker host 간 세션성립간 세션성립

X.target.com X.victim.com

X.Hacker.com

SYN

Source IP=X.victim.com

X.target.com X.victim.com

X.Hacker.com

SYN Flooding(DOS attack)

X

step1

step2step3

ACK

해킹기술과 정보전쟁해킹기술과 정보전쟁 (4)(4)– IP spoofing IP spoofing 방어기술방어기술

외부에서 내부의 외부에서 내부의 IPIP 를 가지고 내부로 를 가지고 내부로 AccessAccess 하는 모든 패킷에 대해 접근 하는 모든 패킷에 대해 접근 거부거부

VPN, OTPVPN, OTP 사용사용– DNS spoofingDNS spoofing

Target hostTarget host 의 의 Name serverName server 내 내 DNS tableDNS table 변조변조 10.1.1.2 IN PTR x.hacker.com --> 10.1.1.2 IN PTR x.victim.com10.1.1.2 IN PTR x.hacker.com --> 10.1.1.2 IN PTR x.victim.com Target hostTarget host 는 잘못된 는 잘못된 Name serverName server 의 정보 사용 의 정보 사용

Denial of serviceDenial of service– 시스템 자원에 대한 가용성시스템 자원에 대한 가용성 (Availability) (Availability) 파괴파괴– 네트웍 서비스거부 공격네트웍 서비스거부 공격

TCP SYN Flooding(service overloading)TCP SYN Flooding(service overloading) Mail bomb,Mail storm,Mail flooding(message flooding)Mail bomb,Mail storm,Mail flooding(message flooding) Signal grounding (Signal grounding ( 전원차단등 물리적 방법전원차단등 물리적 방법 )) ICMP attack /Echo reply,Destination Unreachable,ICMP redirectICMP attack /Echo reply,Destination Unreachable,ICMP redirect

해킹기술과 정보전쟁해킹기술과 정보전쟁 (5)(5)

Port : X

SYN Flood Attack

공격자

공격대상 호스트

SYN_1

SYN_2

SYN_3

SYN_4

SYN_5

SYN_6

SYN_7

SYN_8

HACKERHACKER

SYN Flood

서비스 거부

TCP SYN FloodingTCP SYN Flooding

해킹기술과 정보전쟁해킹기술과 정보전쟁 (6)(6) Land attack (‘97.12Land attack (‘97.12 발표발표 ))

TCP SYN Flooding Attack TCP SYN Flooding Attack 변형변형 IPIP 기반의 라우터 및 서버의 성능 장애나 기반의 라우터 및 서버의 성능 장애나 DownDown유발 유발 ((CISCO router)CISCO router)

StepStep– SYN packetSYN packet 의 의 Source Source 주소를 주소를 DestinationDestination 주소로 주소로 위장하여 전송위장하여 전송

– SYN packetSYN packet 을 받은 시스템은 자신의 주소로 응답을 받은 시스템은 자신의 주소로 응답 , , SYN/ACK SYN/ACK 전송전송

– loop back loop back 장애 발생장애 발생

– 서비스 중단서비스 중단

해킹기술과 정보전쟁해킹기술과 정보전쟁 (7)(7)

OSOS 의 신뢰성과 의 신뢰성과 FirewallFirewall– Windows NT Windows NT 기반의 기반의 Firewall systemFirewall system

미국 미국 MicrosoftMicrosoft 사의 사의 BlackboxBlackbox 로 운영체계내의 로 운영체계내의 Trap doorTrap door등의 문제가 미정부와 등의 문제가 미정부와 MSMS 의 철저한 통제하에 있음의 철저한 통제하에 있음 ..

미국 내에서도 신뢰성 있는 미국 내에서도 신뢰성 있는 UNIXUNIX 에 주로 설치에 주로 설치 UnixUnix 용 용 FirewallFirewall 에 에 WUIWUI 사용 시 더욱 안전성 있는 사용 시 더욱 안전성 있는

WindowsWindows 환경 제공환경 제공 동일한 성능의 동일한 성능의 Unix machineUnix machine 과 과 NT NT 비교시 실질적 가격차 비교시 실질적 가격차

없음없음

해킹기술 및 정보전쟁해킹기술 및 정보전쟁 (8)(8)Information WarfareInformation Warfare (( 전자정부전자정부 ,, 전자軍전자軍 ))

보안의 확대 개념 보안의 확대 개념 = = 안보안보 美國美國 : : Key escrow policy (Big brother)Key escrow policy (Big brother)

MISSI:Multilevel Information system security InitiativeMISSI:Multilevel Information system security Initiative -- 각 계층별 다중 정보보호체계각 계층별 다중 정보보호체계 -- 유럽은 주요시스템 격리 운용유럽은 주요시스템 격리 운용

IWIW 사용기술 사용기술 Electronic magnetic pulse gunElectronic magnetic pulse gun TEMPESTTEMPEST HackingHacking Bugs……….. Bugs………..

ⅤⅤ. . 수호신인터넷 특장점수호신인터넷 특장점 우수한 성능우수한 성능 정부기관 정부기관 ,, 군 군 , , 기업 각각 전용으로 개발됨기업 각각 전용으로 개발됨 .. 순수국산기술순수국산기술 편리한 사용자 인터페이스 및 한글도움말편리한 사용자 인터페이스 및 한글도움말 다양한 커스터마이징 다양한 커스터마이징 (( 그룹웨어 프락시그룹웨어 프락시 )) 국내 유일 국내 유일 SQL*NET(Oracle) proxy SQL*NET(Oracle) proxy 보유보유 벤더 자체 핵심기술력 풍부벤더 자체 핵심기술력 풍부 ((Man power Man power 국내 최대국내 최대 )) 다양한 레퍼런스다양한 레퍼런스 신소프트웨어 대상 수상신소프트웨어 대상 수상 국내 보안시스템 최초 국내 보안시스템 최초 NT(New Technology) NT(New Technology) 획득획득

ⅥⅥ. . 단계별 보안솔루션 도입 단계별 보안솔루션 도입 예예정보보안솔루션 정보보안솔루션 0-0- 단계 단계 ModelModel

전산자원 취약성 & 위협요소( 외부망 )

■ ■ 보안 보안 0-0-STEP : STEP : 무방비 상태무방비 상태 • • 인터넷에 내부망이 연결되어 있으나 인터넷으로 부터의 해킹위협에 무방비 상태로인터넷에 내부망이 연결되어 있으나 인터넷으로 부터의 해킹위협에 무방비 상태로 노출되어 있음노출되어 있음 . .

ⅥⅥ. . 단계별 보안솔루션 도입 단계별 보안솔루션 도입 예예

전산자원 취약성 & 위협요소 ( 외부망 )

수호신 R.A( 위험분석 Tool)

기업전산망 보안 위협 분석기업전산망 보안 위협 분석 //기업전산망 정보보안 대상 선정기업전산망 정보보안 대상 선정

기업전산망 정보보안 정책 수립기업전산망 정보보안 정책 수립 / / 기업전산망 정보보안 메커니즘 설계기업전산망 정보보안 메커니즘 설계

■ ■ 보안 보안 1-1-STEP ⇒STEP ⇒ 수호신 수호신 R.A(Risk Analysis)R.A(Risk Analysis) ☞ ☞ 기업전산망에 존재하는 취약성 및 위협을 분석한 후 투자대비 효율성을 분석기업전산망에 존재하는 취약성 및 위협을 분석한 후 투자대비 효율성을 분석 ,, 기업전산망에 가장 적합한 보안솔루션 선정 및 보안정책기업전산망에 가장 적합한 보안솔루션 선정 및 보안정책 , , 보안관리 체계 수립보안관리 체계 수립

정보보안솔루션 정보보안솔루션 1-1- 단계 단계 ModelModel


전산자원 취약성 & 위협요소 ( 외부망 )

■ ■ 보안 보안 2-2-STEP ⇒STEP ⇒ 수호신수호신 InternetInternet • • 외부네트웍의 허락되지 않은 접근으로부터 내부 네트웍 보호 및 외부망과의 외부네트웍의 허락되지 않은 접근으로부터 내부 네트웍 보호 및 외부망과의 안전한 정보전송을 목적으로 한다안전한 정보전송을 목적으로 한다 ..

수호신 Internet

보안시스템 운영조직보안감사

수호신 R.A


수호

신L

AN

수호

신In

tern

et

서버취약성 & 위협요소

( 외부망 )

전산자원

전산자원

취약성 & 위협요소


수호신 R.A

보안시스템 운영조직

■ ■ 보안 보안 3-3-STEP ⇒STEP ⇒ 수호신수호신 LANLAN • • 내부망의 각 부서 및 지사간의 정보흐름을 제어하기 위해 내부망의 각 부서 및 지사간의 정보흐름을 제어하기 위해 주요 정보를 한 곳으로주요 정보를 한 곳으로 모아 원격 중앙 통제하여 내부 부서간의 정보흐름 제어한다모아 원격 중앙 통제하여 내부 부서간의 정보흐름 제어한다 ..

클라

이언

트

보안감사


Ser

ver

보안

To

ol

수호

신In

tern

et


( 외부망 )

전산자원

전산자원



수호신 R.A


■ ■ 보안 보안 4-4-STEP ⇒STEP ⇒ 서버보안 서버보안 TOOLTOOL • • Client/ServerClient/Server 의 분산처리 환경에 따른 위험증가로 내부의 각 중요의 분산처리 환경에 따른 위험증가로 내부의 각 중요 ServerServer 를 대상으로 를 대상으로 중앙중앙 에서 전체 서버의 보안정책을 정의하고 제어하며 적절한 로그와 감사기능을 제공하여 내부에서 전체 서버의 보안정책을 정의하고 제어하며 적절한 로그와 감사기능을 제공하여 내부 중요 중요 ServerServer 를 보호한다를 보호한다 ..

클라

이언

트

보안감사

수호

신L

AN


■ ■ 보안 보안 5-5-STEP ⇒STEP ⇒ 수호신수호신 DESKDESK •• 디스켓 및 자료의 불법적인 유출을 원천적으로 봉쇄하기 위하여 디스켓 및 자료의 불법적인 유출을 원천적으로 봉쇄하기 위하여 H/W boardH/W board 를 이용한 를 이용한 Booting Booting 제어제어 , , 사용자 정보관리사용자 정보관리 , , 디스켓 복사방지디스켓 복사방지 , , 파일 암파일 암 // 복호화 기능 및 무결성을 복호화 기능 및 무결성을 검사하는 검사하는 P.CP.C 보안시스템보안시스템

수호

신L

AN

수호

신In

tern

et


( 외부망 )

전산자원

전산자원



수호신 R.A


클라

이언

트

수호

신DESK

보안감사

Se

rve

r 보

안 T

oo

l



■ ■ 보안 보안 6-6-STEP ⇒STEP ⇒ 수호신수호신 VPN & VPN & 수호신수호신 RemoteRemote • • 원격지간의 암호화 통신프로그램원격지간의 암호화 통신프로그램 ((Server-to-Client Server-to-Client 및 및 Server-to-Server)Server-to-Server) 으로으로 다양한 암호화 알고리즘 지원다양한 암호화 알고리즘 지원 ((IDEA,RC4,DES,3DES,HASP,RSA…)IDEA,RC4,DES,3DES,HASP,RSA…)

수호

신L

AN

수호

신In

tern

et


( 외부망 )

전산자원

전산자원



수호신 R.A


클라

이언

트

수호신 IDS

수호

신R

emo

te

클라

이언

트

수호

신V

PN

보안감사

Se

rve

r 보

안 T

oo

l

수호

신D

ES

K



■ ■ 보안 보안 7-7-STEP ⇒STEP ⇒ 수호신수호신 CACA • • 특정서비스를 하는 특정서비스를 하는 Server Server 에 탑재하여 정확한 사용자 신분확인을 위한하기 위한에 탑재하여 정확한 사용자 신분확인을 위한하기 위한 전자적인 신분증전자적인 신분증 (( 인증서인증서 )) 를 발급하는 시스템 를 발급하는 시스템

수호

신L

AN

수호

신In

tern

et


( 외부망 )

전산자원

전산자원



수호신 R.A


클라

이언

트

클라

이언

트

보안감사

Se

rve

r 보

안 T

oo

l

수호

신D

ES

K

수호신 CA

수호

신R

em

ote

수호

신V

PN



■ ■ 보안 보안 8-8-STEP ⇒STEP ⇒ 수호신수호신 IDSIDS • • 불법 침입의 시도 또는 시스템에 접속한 사용자들의 불법적인 침해 행위를 실시간불법 침입의 시도 또는 시스템에 접속한 사용자들의 불법적인 침해 행위를 실시간 으로 감지으로 감지 , , 추적하는 기능을 수행추적하는 기능을 수행

수호

신L

AN

수호

신In

tern

et


( 외부망 )

전산자원

전산자원



수호신 R.A


클라

이언

트

클라

이언

트

보안감사

Se

rve

r 보

안 T

oo

l

수호

신D

ES

K

수호

신R

em

ote

수호

신V

PN

수호신 CA

수호신 IDS

ⅥⅥ. . 단계별 보안솔루션 도입 단계별 보안솔루션 도입 예예보안관리 보안관리 Check ListCheck List

NNoo 보보안안관관리리 CChheecckk LLiisstt 관관리리유유무무

11 전전산산망망에에 존존재재하하는는 위위험험분분석석 및및 평평가가를를 하하는는가가??

22 전전산산망망 보보안안 정정책책은은 있있는는가가??

33 비비용용대대비비 효효과과는는 분분석석하하는는가가??

44 외외부부로로부부터터 내내부부망망의의 접접근근통통제제가가 이이루루어어지지는는가가??

55 내내부부망망 각각 부부서서간간의의 정정보보흐흐름름을을 제제어어하하는는가가??

66 자자료료의의 위위변변조조 여여부부를를 파파악악할할 수수 있있는는가가??

77 통통신신중중인인 DDaattaa 기기밀밀성성은은 유유지지되되는는가가??

88 전전산산망망에에 접접근근하하는는 사사용용자자를를 인인식식하하여여 합합당당한한 권권한한을을 부부여여하하는는가가??

99 관관리리자자를를 정정확확히히 인인식식하하여여 관관리리자자에에게게만만 권권한한을을 부부여여하하는는가가??

1100 내내부부망망에에 대대한한 관관리리자자 원원격격지지원원이이 가가능능한한가가??

1111 개개인인 PP..CC 는는 보보호호되되고고 있있는는가가??

1122 중중요요 SSeerrvveerr 의의 자자원원은은 보보호호되되고고 있있는는가가??

1133 불불법법적적인인 침침해해 행행위위를를 탐탐지지하하는는가가??

1144 공공개개키키 기기술술에에 의의거거한한 인인증증서서 발발급급은은 하하는는가가??

1155 지지속속적적인인 보보안안평평가가 및및 감감사사를를 행행하하는는가가??

VII.VII. 보안정책의 수립 및 시행보안정책의 수립 및 시행 ((1)1)

보안정책의 필요성보안정책의 필요성– 보안 통제의 수준 설정보안 통제의 수준 설정– 자원에 대한 등급 부여 기준 설정자원에 대한 등급 부여 기준 설정– 관리 권한 및 책임 부여관리 권한 및 책임 부여– 적절한 보안대책적절한 보안대책 (Solution) (Solution) 선택선택

T1

t2

t3

A1

A2

A3

S1

S2

자산

Attack

Attack

Attack

보호

보호실패

보호대책전무

손실발생

손실발생

보안정책의 수립 및 시행보안정책의 수립 및 시행 (2)(2)1. 보안정책의 목표

2. 보안 요구조건

3. 보안 기본방침

4. 적용대상 및 범위

5. 자원별 보안등급 분류기준

6. 구성 요소별 보안 관리지침 및 실행계획

6.1 관리적 보안대책

6.2 기술적 보안대책

6.2.1 네트웍

6.2.2 서버

6.2.3 데이타베이스

6.2.4 HOST

6.2.5 클라이언트

6.2.6 어플리케이션

6.2.7 인터넷

6.2.8 USER ID 관리방안

7. 대외 보안정책

계열사 및 관련사 보안관리

8. 보안 관리조직

가. 조직구성 및 역할

나. 권한과 책임

9. 보안사고처리

10. 직원 ( 일반사용자 )의 의무 및 책임

보안정책의 수립 및 시행보안정책의 수립 및 시행 (3)(3)

인터넷 관련지역 보안정책인터넷 관련지역 보안정책 ((예예 )) 외부에서 내부로의 모든 접속은 외부에서 내부로의 모든 접속은 LoggingLogging한다한다 외부로부터의 외부로부터의 E-mailE-mail은 외부메일서버에서 받는 은 외부메일서버에서 받는 역할만 하고 내부메일서버로 역할만 하고 내부메일서버로 ForwardingForwarding되어 되어 저장된다저장된다 . . 외부 메일서버의 보안취약성을 고려한 외부 메일서버의 보안취약성을 고려한 메일보안관리메일보안관리 ..

DNSDNS서버는 외부 네임서버의 정보만 일방향으로 서버는 외부 네임서버의 정보만 일방향으로 조회할수 있도록 한다조회할수 있도록 한다 ..

webweb서버는 해킹시 피해를 최소화 할 수 있는 낮은 서버는 해킹시 피해를 최소화 할 수 있는 낮은 보안등급의 자료만 제공한다보안등급의 자료만 제공한다 ..

E-mailE-mail의 의 PasswordPassword변경은 정한 절차에 따라 관리자 변경은 정한 절차에 따라 관리자 만이 변경 할 수 있도록 함으로서 메일서버 자체가 갖는 만이 변경 할 수 있도록 함으로서 메일서버 자체가 갖는 보안 취약성을 보완한다보안 취약성을 보완한다 ..


인터넷 관련지역 보안정책인터넷 관련지역 보안정책 FirewallFirewall 과 과 DMZDMZ 는 는 Broadcasting packetBroadcasting packet 이 없는 별도의 이 없는 별도의 네트웍으로 분리하여 네트웍으로 분리하여 SnifferingSniffering 을 방지한다을 방지한다 ..

DMZDMZ 의 의 hosthost 는 정기적인 검사를 통해 는 정기적인 검사를 통해 promicuous mode promicuous mode 를 제거한다를 제거한다 ..

IP spoofing IP spoofing 및 및 SYN floodingSYN flooding 공격을 막기위해 공격을 막기위해 FirewallFirewall 은 은 내부주소에서 내부로의 접속을 불허하도록 구성한다내부주소에서 내부로의 접속을 불허하도록 구성한다 ..

Dial-upDial-up 접속자나 접속자나 BBSBBS 를 통한 사용자를 위한 통신서버는 를 통한 사용자를 위한 통신서버는 DMZDMZ 에 둔다에 둔다 ..

Source ipSource ip 가 가 DMZDMZ 인 패킷은 내부로의 접근을 제한한다인 패킷은 내부로의 접근을 제한한다 .. FirewallFirewall 은 침해사고발생시 양단네트웍을 통한 통신을 은 침해사고발생시 양단네트웍을 통한 통신을 단절시킨다단절시킨다 ..


인터넷 관련지역 보안정책인터넷 관련지역 보안정책

WebWeb 서버를 통한 내부호스트정보의 실시간 서비스가 서버를 통한 내부호스트정보의 실시간 서비스가 있을시 특정포트나 응용에 대해 있을시 특정포트나 응용에 대해 FirewallFirewall 에서 에서 기동되는 기동되는 Application gatewayApplication gateway 를 개발한다를 개발한다 ..

외부 외부 ISPISP 와 연동하는 라우터는 패킷필터링을 원활히 와 연동하는 라우터는 패킷필터링을 원활히 하기위해 최신의 하기위해 최신의 OSOS 버전을 유지한다버전을 유지한다 ..

ISPISP 와 연동하는 외부라우터의 라우팅 프로토콜은 와 연동하는 외부라우터의 라우팅 프로토콜은 연동하는 연동하는 ISPISP 라우터의 라우팅 프로토콜과 달리한다라우터의 라우팅 프로토콜과 달리한다 ..


침입차단시스템침입차단시스템 ((Firewall) Firewall) 관리 운영 정책관리 운영 정책

Firewall systemFirewall system 은 타서버은 타서버 ((WEB,MAIL..etc.)WEB,MAIL..etc.) 와 함께 운영하지 와 함께 운영하지 않는다않는다 ..

Firewall systemFirewall system 은 관리자 은 관리자 11 인외 모든 시스템계정을 인외 모든 시스템계정을 폐쇄한다폐쇄한다 ..

Firewall systemFirewall system 은 불필요한 네트웍서비스를 모두 없앤다은 불필요한 네트웍서비스를 모두 없앤다 .. Firewall systemFirewall system 과 같은 네트웍엔 호스트를 두지 않는다과 같은 네트웍엔 호스트를 두지 않는다 .. 일일 ,, 주주 ,,월 단위 월 단위 logginglogging 정보는 분석을 통해 보안정책에 정보는 분석을 통해 보안정책에 반영한다반영한다


침입차단시스템침입차단시스템 ((Firewall) Firewall) 관리 운영 정책관리 운영 정책

OTPOTP 사용자관리는 행정적인 신청 및 말소업무에 관한 사용자관리는 행정적인 신청 및 말소업무에 관한 책임자의 승인을 득하는 책임자의 승인을 득하는 ProcessProcess 를 갖는다를 갖는다 ..

FirewallFirewall 시스템의 구성이나 적용정책의 변경 시 반드시 시스템의 구성이나 적용정책의 변경 시 반드시 이를 기록으로 남기고 검증의 자료로 활용한다이를 기록으로 남기고 검증의 자료로 활용한다 ..

FirewallFirewall 은 버전관리은 버전관리 ,, 구성관리구성관리 ,, 변경관리변경관리 ,, 보안관리를 보안관리를 문서화 시켜 사내 비밀보관소에 안전히 보관한다문서화 시켜 사내 비밀보관소에 안전히 보관한다 ..

FirewallFirewall 은 주변 은 주변 Screening routerScreening router 와 밀접한 관계를 와 밀접한 관계를 유지하므로 주변 라우터의 부주의한 구성 변경 시 유지하므로 주변 라우터의 부주의한 구성 변경 시 효율이나 보안성이 떨어질 수 있다효율이나 보안성이 떨어질 수 있다 ..

VIII. VIII. 암호화알고리즘암호화알고리즘 (( 개요개요 ))

1. 대칭암호체계(symmetric Cryptosystem)

-One key system : 암호화 및 복호화 암호키가 동일

-Symmetric : 암/복호화 과정이 동일(관용키암호시스템 )

-Secret key : 암호키를 비밀로 보유

-DES(Data encryption standard)

미연방표준

H/W 기반

Block 암호알고리즘

평 문암 호 화

알 고 리 즘암 호 문

복 호 화

알 고 리 즘평 문User A User B

key

암호화알고리즘암호화알고리즘 (( 개요개요 ))2. 비대칭 암호체계(Asymmetric Cryptosystem)

-Two key system : 암/복호화 암호키가 상이

공개키로부터 비밀키 유추가 수학적으로 불가능

-Asymmetric ; 암/복호화 과정이 상이

-Public key : 암호화 암호키

-Secret key : 복호화 암호키로 비밀로 유지

-One way Function : 암호화는 계산 가능하나 복호화 불가능

-Trapdoor One way Function : 비밀정보인 복호화 암호키를 알고 있을 경우 복호화가능

-RSA(Rivest,Shamir,Adleman)

큰 합성수를 인수분해하는 문제의 어려움에 안전성이 근거

만료기한 : 2000년 9월

-Digital Signature system

평 문암 호 화

알 고 리 즘암 호 문

복 호 화

알 고 리 즘평 문User A User B

B의 Public key B의 Private key

암호화알고리즘암호화알고리즘 (( 개요개요 ))

◎ Digital Signature System Algorithm

평 문 암 호 화

알 고 리 즘암 호 문 평 문User A User B

B의 Public key B의 Private key

암 호 화

알 고 리 즘

A의 Private key

A의 서 명

복 호 화

알 고 리 즘

복 호 화

알 고 리 즘

A의 Public key

☞ 인 증 과 비 밀 성 을 제 공 한 다 .

암호화 알고리즘암호화 알고리즘 (( 개요개요 ))

※ KMC(Key management Center)

※ 공 개 키 확 인 서 : 공 개 키 가 누 구 의 것 인 지 를 확 인 하 기 위 함 (DB에 서 검 증 자 로 갈 때 의 변 조 방 지 )

KMC는 서 명 자 의 공 개 키 와 ID를 KMC의 비 밀 정 보 로 서 명 한 확 인 서 (공 개 키 에 대 한 인 증 )를

사 용 자 에 보 내 고 서 명 자 로 부 터 서 명 과 확 인 서 를 받 은 검 증 자 는 그 확 인 서 에 서 얻 어 지 는

공 개 키 를 서 명 검 증 에 사 용 .

※ 해 쉬 함 수 : 임 의 의 Data(bit string)를 입 력 으 로 일 정 한 길 이 로 압 축 된 string으 로 출 력

One way Function [ H=h(M) ]

Collision Free Function [ h(M) ≠ h(M ') ] : 충돌 회 피 성

☞ 출 력 길 이 를 128bit이 상 으 로 하 면 안 전 .

문

서

Hash

Function

160bit

압 축 문 서서 명 생 성 문 서 + 서 명

160bit

압 축 문 서서 명 검 증

Hash

Function

문 서

서 명 자 의 공 개 키 + 공 개 키 확 인 서

검 증 과 정

서 명 과 정 서 명 자 의 비 밀 키

◎ 공 개 키 암 호 시 스 템 / 메 시 지 부 가 형 (KCDSA) / 확 인 서 를 이 용 한 디 지 탈 서 명

國寶

㈜사이버게이트 인터내셔널의 ㈜사이버게이트 인터내셔널의 VISIONVISION

- 회사 , 인재 & 수호신

Q & AQ & A

침입탐지시스템과 정보보안 안 병규( [email protected])

Documents