- 1 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 터널링 및 암호화 기술을 이용 , 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술

기출여부 71, 77, 80

관련 KeyWord 터널링 , 사설망

추천사이트

기술발전RoadMap

VPNUTM/MPLS

기타 각종 인프라의 기본 스펙으로 정착화

Preview

1-5. VPN(Virtual Private Network)

- 2 - ㈜ 인포레버컨설팅 교육사업본부

Socks(5)

SSL/TLS(4)

IPSEC(3)

PPTP, L2TP, MPLS(2)

VPN (Virtual Private Network)

개요– 터널링 및 암호화 기술을 이용 , 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술– 사설망 구축비용 절감 , 회선이용료 절감 , 데이터 신뢰성 증대

VPN 의 구성 개념도

Site A Site BVPN GW

원격 PC(SW)

VPN GW

• 상기 구성 중 PPTP, L2TP 는 GW 방식 지원 안 함• MPLS 는 SW 방식 지원 안 함 요소기술

– 터널링 : 양방향 가상터널의 설정내부망 효과 구현 , 인터넷을 의식하지 않고 사용 가능– 암호화 , 무결성 , 인증 , 키관리

VPN 간 비교

PPTP L2TP IPSEC Socks5

구현 계층 2 2 3 5

형식 P2P 좌동 다양 다양암호화 X (PPP 이용 ) 좌동 지원 (ESP) 지원 ( 별도구현 )

지원규약 IP, NetBEUI 좌동 IP IP

용례 원격접속 좌동 Extranet App. VPN

• 최근 일반 VPN 은 IPSEC/SSL VPN, 대규모 네트워크나 ISP 는 MPLS 로 통일된 상태임

- 3 - ㈜ 인포레버컨설팅 교육사업본부

VPN (Virtual Private Network)

VPN 구현방식– 연결방식 : Remote Access, G-G, P2P– 서비스 방식 : 자체구축 , 임대 (CPE, ISP Network)– 구현방식 : FW+VPN, VPN 전용장비 , UTM 등 다양

mVPN (2G/3G feature phone 전용 ,Smart phone 은 PC 환경과 동일 )

Hand-set

Server

AP WAP GW VPN GW

무선구간 - WTLS 유선구간 - SSL

SSL VPN브라우

저 ,

App

Server

SSL VPN

Proxy

SSL/HTTPS

Source 주소 : 브라우저

HTTP, FTP, TELNET…

Source 주소 : Proxy

– 별도의 SW 설치 필요 없음 , 간편하고 쉬운 조작– G-G 지원 안 함 , 일반사원의 Remote Access 에 특화

– WAP GW 의 Proxy 기능 수행 때문에 모든 암호화된 문장이 풀려야 하는 단점이 있음– 최근 스마트폰 환경에서는 거의 사용되지 않고 있음 .

평문

- 4 - ㈜ 인포레버컨설팅 교육사업본부

VPN (Virtual Private Network)

IPSEC VPN– 네트워크 계층에서 인증 / 암호화를 하기 위한 VPN 기술– TCP/IP 프로토콜상의 문제점 보강 , Application 을 구분하지 않는 편리함– 구현방식 : GW, P2P, G-P– 주요 프로토콜

• AH (Authentication Header): 무결성 , 인증지원 , 재전송방지 ( 옵션 )• ESP (Encrypted Security Payload): AH + “ 암호화”

– 키 교환방식• Manual: Pre-Shared key 를 양측에서 입력• PKI: 공인 / 사설인증서 사용 , 상대의 공개키로 암호화• IKE: 자동 Key Negotiation

– ESP Tunnel Mode Header

– AH Tunnel Mode Header

- 5 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 암호화와 인증을 기본으로한 전반적인 무선랜 보안체계

기출여부 80

관련 KeyWord WEP, WPA, EAP, 802.11i

추천사이트

기술발전RoadMap

WEPWPA802.11i

기타 각종 인프라의 기본 스펙으로 정착화

Preview

1-6. Wireless LAN Security

- 6 - ㈜ 인포레버컨설팅 교육사업본부

Wireless LAN Security 개요

– 무선구간 보안 프로토콜인 WEP 방식 취약성의 대두– 이를 해결하고자 새로운 보안규격인 WPA(Wireless Protected Access) 제정

WEP (Wired Equivalent Privacy) 취약성– 고정키 사용 , 평문 전송 , DoS 취약– RC4 Stream Cipher– Key Stream 단순 (Cipher <XOR> Plain = Key)

무선랜 보안 요소기술

PEAP

EAP-TTLS

EAP-TLSEAP-MD5

MAC-AuthenticationShared

Key

TKIPDynamic

WEPStatic WEP

Most Secure

Authentication

Encryption

EAP

WPA 규격– 사용자인증 : 802.1x EAP– 기밀성 : TKIP ( 패킷당 할당 , 동적키 할당 , 키 값 재설정 )– 무결성 : Michael– Mixed Mode: WEP 과 TKIP 동시제공으로 선택권 제공

발전방향– WPA/802.11i (MAC 의 안전성 확보에 주력 ), 무선 IDS, IPS 필요– RSN(Robust Security Network)-CCMP, 802.1aa

• CCMP: Counter Mode CBC-MAC Protocol

• 802.1aa: RSN + IAPP (Inter AP Protocol)

PEAP (Protected Extensible Authentication Protocol)• MS/CISCO/RSA 지원 , TLS( 서버인증서 ), ID/PWD

EAP-TLS• 서버 / 클라이언트인증서 모두 요구 ( 양측 인증 )

EAP-TTLS (Tunneled TLS)• TLS tunneling ID/PWD 보호• 서버인증서 + CHAP/OTP

TKIP (Temporal Key Integrity Protocol)

• 패킷당 WEP Key 할당 , 무결성 (MIC)

- 7 - ㈜ 인포레버컨설팅 교육사업본부

Wireless LAN Security

[ 참조 ] EAP 인증 비교표

- 8 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 WiBro 에 특화된 보안체계

기출여부

관련 KeyWord Security Sub layer, 802.11e

추천사이트

기술발전RoadMap

802.11eLTE

기타 타 통신 , 타 IT 솔루션과의 컨버전스 , 망 전체를 바라보는 보안관점

Preview

1-7. WiBro Security

- 9 - ㈜ 인포레버컨설팅 교육사업본부

WiBro (Wireless MAN) Security

Service Specific

Convergence Sub-layer

MAC Command Part

Sublayer

Security Sublayer

Physical Layer

CS SAP

MAC SAP

PHY SAP

MAC

PHY

인증

기밀성

키교환

무결성

EAP/RSA 기반인증

인증키 , 데이터 암호화키 교환

단말제어국

/AAA

암호화된 데이터 송수신

메시지 무결성 검사

• 자료출처 : KISA, 와이브로 보안기술 해설서• SAP: Service Access Point

WiBro 보안 표준 체계

- 10 - ㈜ 인포레버컨설팅 교육사업본부

구 분 제시 표준 내용 적용

인증 ,키 교환 / 관리

PKM v1 • RSA 기반 , 단말인증EAP-AKA,+Pseudony

mPKM v2

• RSA 기반 , 단말 / 사용자 인증

• EAP 기반 : EAP-MD5, EAP-TLS, EAP-AKA…• 단말 / 사용자 인증

기밀성 TEK

TEK암호화

PKM v1 • 3DES

TEK(PKM v2)

PKM v2• 3DES-EDE RSA• AES-EBC/KEY-WRAP

데이터암호화

PKM v1 • DES

PKM v2• DES-CBC, 3DES, RSA• AES-CCM/CBC/CTR

무결성HMAC • PKM v1 에서 사용 HMAC/CMAC

(PKM v2)HMAC/CMAC • PKM v2 에서 사용

Reply Attack( 재전송공격 )

키 유효시간 • 키의 유효시간 지정

키 유효시간 ,패킷 카운트패킷 카운트

• 전송 패킷수를 카운팅하여 송신자 측에서 관리하고 수신자 측은 마지막 패킷 수보다 큰 수의 패킷 수만 유효한 패킷으로 인식

• 패킷 카운터가 만료에 이르면 재인증을 통한 메시지 Digest 키 갱신

Management Message 의

평문 전송

MAC • MAC 을 이용한 변조 방지MAC,패킷 카운트패킷 카운트 • 패킷을 카운팅 하여 Replay Attack 방지

WiBro (Wireless MAN) Security 802.16e 의 보안표준 적용 내역

- 11 - ㈜ 인포레버컨설팅 교육사업본부

구 분 WiBro Network Plane

망 구성항목

가입자액세스망 중계기 전달망 제어국 코어망 서버팜

예상위협

• 단말의 복제• 바이러스 / 웜 감염• ID 노출 (IMSI)• 기업정보 유출• 단말 DoS

•불법 주파수

•비 인가된 중계기 접근 가능

•비 인가된 제어국 접근 가능

•DoS

•유해코드 유입에 따른 이상 트래픽 증가

•운영서버에 대한 비 인가된 접근 가능

•운영권한의 오용 또는 악용

•중요정보의 유출

주요대책

• 802.16e 의 Security Sub Layer, EAP-AKA, 시설별 ACL •기간망 보호체계 Overriding

•ISO27000 기반 보안대책 수립 /시행

• UICC 도입 •간섭신고 •ACL, Rate Limit

• 기업의 정보유출방지를 위한 대응 서비스

Core

WiBro (Wireless MAN) Security

WiBro 보안대응 아키텍처

- 12 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 해커의 행동 , 대응양식을 기록하고 분석하는 네트워크 구조

기출여부 84

관련 KeyWord 행동분석 , 기능

추천사이트

기술발전RoadMap

Honey PotHoney Net

기타 단독문제보다는 해킹에 대한 이슈연계 필요

Preview

1-8. Honey Pot/Net/Active Honey Pot

- 13 - ㈜ 인포레버컨설팅 교육사업본부

Honey Pot/Net/Active Honey Pot 개념

– 해커의 행동 , 대응양식을 기록하고 분석하는 서버 혹은 네트워크 구조– 목적 : 위협연구를 통한 대응기술연구 / 대응방안 도출

Honeynet 구조

Hacker FWHoney-

pot일반시스템

X외부유출방지

구성요소– Honey Pot: 유인 / 기록– 보안시스템 : 해커 행동범위 설정– 일반시스템 : 해커에 대한 신뢰도 유지

Honeynet 기능– Data Control: 외부전파 금지– Data Capture: 정보 수집– Data Collection: 여러 Pot, net 수집 정보의 체계적 관리

활용방안– 기업용 : 해커 고립화 , 대응시간 확보 , 체계적 보안 대응– Research 용 : 보안위협 분석 , 대응책 연구

고려사항– 엄격한 통제 , Data Mining

INBOUND

- 14 - ㈜ 인포레버컨설팅 교육사업본부

Honey Pot/Net/Active Honey Pot

Active Honey Pot 의 부각배경– 최근 해킹타입은 취약서버를 찾아 다니기 보다

사용자 접근을 전제로 함 . (Downloader)– 따라서 기존 Honey Pot 을 통해서는 최신해킹

트랜드 수집이 어려움 . Active Honey Pot: 능동적 악성코드 샘플

수집– 취약성을 가진 서버가 여러 URL 을 능동적으로

방문 , 악성코드를 다운로드 / 수집

Active Honey pot 개념도 ( 출처 : 안랩 )

OUT-BOUND

- 15 - ㈜ 인포레버컨설팅 교육사업본부

Server/DB Security

- 16 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel 을 이식한 운영체제

기출여부 81

관련 KeyWord MAC, DAC, MLS, RBAC

추천사이트

기술발전RoadMap

OS Secure OS / Trusted Computing

기타

Preview

2-1. Secure OS

- 17 - ㈜ 인포레버컨설팅 교육사업본부

Secure OS 개요

– 운영체제의 보안결함 개선을 위해 보안기능을 향상시킨 보안 Kernel 을 이식한 운영체제– 취약점 대응의 한계성에서 출발 , 보안대응의 마지노선

Preven-tion

Detection Response

Trusted

OS

제공기능– 사용자식별– 인증 , 무결성– 접근제어– 감사

핵심기능 접근제어– MAC (Mandatory Access Control: 강제적 접근통제 ) : 주체 /객체의 보안레이블 비교에 따른 통제– DAC (Discretionary Access Control : 임의적 접근통제 ): 객체 소유주가 통제권한 부여– MLS (Multi-level Security): 모든 시스템 구성요소에 보안수준 / 업무영역별 보안등급 및 보호범주 부여– RBAC (Role Based Access Control)

구현방안– 정보영역 분리 ( 주체 /객체 ), 최소권한 , 역할영역 분리 ( 권한 / 인가 , 분리 / 조합 ), 커널레벨 강제 (

성능오버헤드 )App.

운영현황파악Access

type 분석ACL 적용 Read Mode

모니터링 보완 / 운영모드정책결정

전망– 정보의 동적 변동성 추적 / 적용 , 서버 성능문제에 따른 Secure OS외면– 변동성이 적고 중요한 데이터 위주로 운영 ( 예 : 금융부문 )

OS kernel

ACL ModuleSecurity Kernel

App.

- 18 - ㈜ 인포레버컨설팅 교육사업본부

Secure OS

[ 참조 ] Secure OS 의 ACL 구성 예 - Oracle

- 19 - ㈜ 인포레버컨설팅 교육사업본부

Secure OS

[ 참조 ] Secure OS 의 해킹 대응

- 20 - ㈜ 인포레버컨설팅 교육사업본부

항목 상세내역

개요 웹에 DB 가 연결되면서 대두되는 데이터 유출문제에 대한 대책

기출여부 92

관련 KeyWord 접근제어 , 암호화 , Compliance

추천사이트

기술발전RoadMap

Crypto Card 기반 암호화접근제어솔루션 / 암호화 솔루션

기타 성능성 문제 심각

Preview

2-2. DB 보안

- 21 - ㈜ 인포레버컨설팅 교육사업본부

DB 보안 개요

– 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술– 최근 기업데이터 , 개인정보의 중요성 및 Compliance 증가로 이슈화– DB 보안 요구사항 : 인증 / 접근통제 / 감사

DB 보안의 문제점– 보안관리자는 DB 를 모르고… DB 관리자는 보안을 모른다 .– DB Vender 마다 보안수준이 제 각각임– 연관인 , 내부자에 의한 범죄발생 비율이 높음– 보안강화에 따른 Performance 저하 / 비용소요가 많음

DB 보안 관련공격

Domain 관련내용

네트워크 관련 공격(BOF, 우회 )

•DDOS: String투입을 통한 NW Daemon down•NW Daemon 우회 및 직접공격 : 암호설정의 취약성 , 내부패키지 변형을 통한 해킹코드 삽입

인증 프로세스 공격 •사용자 정보 변형 : 확인절차 차단을 통한 직접 엑세스•백도어 : 메모리상주 패키지를 악용한 백도어 설치

SQL, Procedure Injec-tion

•SQL Injection: SQL 변형 , 코드투입 , 함수투입 , BOF•Procedure Injection: Embeded SQL, Cursors, DBMS 특화된 패키지

- 22 - ㈜ 인포레버컨설팅 교육사업본부

DB 보안

전망 / 고려사항– 웹 일색의 App.웹을 통한 침해가능성 상존 (웹 보안과 DB 보안의 동시진행 필요 )– IT Compliance 주의 ( 개인정보보호법 등 )– 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주– 감사기능은 DBMS Vender 에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요

Domain 관련내용

Authentication •패스워드 관리•가용한 인증수단 동원 : 생체인식 , 인증서 , ID/password 등•NW Daemon 설정관리 , 기본포트 변경

Authorization •Public 계정의 제한 , 사용 어플리케이션 변경 검토•시스템 권한 Revoke, Any 계열 권한 Revoke

Access Control •DB Schema Design: Authorization 고려하여 설계•접근제어모델 :MAC, DAC, RBAC

Confidentiality •데이터 암호화 (DBMS 옵션사용 혹은 전용 솔루션 )•전송데이터 암호화 (SSL/TLS)

Backup/Recovery •Incremental/Full, 백업정책

Audit •Trigger 등 임시조치•DBMS 제공 Audit Tool 이용 ( 성능저하 감소 고려 )

DB 보안의 기술 Domain

- 23 - ㈜ 인포레버컨설팅 교육사업본부

DB 보안 솔루션의 종류

구 분접근제어 제품

암호화 제품Sniffing 방식 Server Agent 방식 Gateway 방식

보안기능보안통제가 완벽하지 않음

강력한 보안 기능 제공 강력한 보안 기능 제공 강력한 보안 기능 제공

장단점

Agent 가 설치되지 않는 방식DB 서버에 영향 없이 안정적 운영 가능

Agent 설치로 인한 DB 서버 성능에 영향을 줄 수 있음Agent 장애로 인한대책 미비

DB 서버에 영향 없이안정적 운영 가능Gateway 구성에 따른장애 대응 방안 필요( 이중화 or Bypass)암화화 대체 기능제공

DB 서버 성능에 영향 영향을 줌 (5-10% 부하 생성 )암호화 및 인증 키관리 필요

확 장 성확장 시 각각의 세그먼트 마다 H/W 연결 필요

서버마다 Agent 설치 필요

별도의 H/W 추가 없이 확장 가능

별도의 H/W 추가 없이 확장 가능

제품특징정형데이터 모니터링 시 구성 방식

우회 접속에 대한 제어 시 구성하는 방식

비정형데이터 제어 시 구성하는 방식이며 , 보안성 및 확장성이 뛰어남

암복호화 및 DB 성능 튜닝 등 고려 사항 많음

출처 : DB Safer

- 24 - ㈜ 인포레버컨설팅 교육사업본부

DB 접근제어 솔루션의 일반기능

모니터링 및이력관리

•SQL 문 감시•실행된 SQL 문 / 실행시간 / 사용자 / 시간대 별 검색 및 추적•접속 세션 및 실행 명령어 별 이력 관리

보안정책 관리 용이한 정책설정 및 반영

결재관리 중요 SQL 명령에 대한 사전 / 사후 승인 ( 결재 ) 기능

기타•데이터베이스 내부 통제•여러 유형의 DBMS 통합 모니터링•특정 Data, Field 에 대한 Masking 기능

접속 및 권한 제어

•인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능•오브젝트에 대한 권한 설정 및 차단 기능 •사용자별 사용 가능 명령어를 제한