정보보안개론 - Telecommunications, Network & Internet Security
네트워크 C.I.A
통신(TC : Telecommunication) 보안은 C.I,A 원칙에 위협을 가할 수 있는 네트워크
상의 오용이나 악용을 방지하고 탐지하는 관점에서 다루어 진다.
- 기밀성(Confidentiality) - 나라에서 만든 모델은 기밀성을 최우선적으로 고려한다.
- 무결성(Integrity)
- 가용성(Availability)
기밀성(Confidentiality)
- 네트워크 시스템상의 고의적이거나 의도하지 않은 불법적인 정보 노출로 부터의 보호를 의미한다.
- 네트워크 기밀성을 보장하기 위한 요소
- 네트워크 보안 프로토콜
- 네트워크 인증 서비스
- 네트워크 암호화 서비스
무결성 (Integrity) - 권한있는 사람만 access할수 있다.
- 전송되는 메시지가 정확하게 전달되었다는 것으로 고의적이나 의도하지 않은 변경이
없었음을 보장하는 것이다. 또한 이와 더불어 부인 방지의 개념도 포함된다.
- 네트워크 무결성을 보장하기 위한 요소
- 방화벽 서비스
- 통신 보안 관리
- 침입탐지 서비스
가용성 (Availability)
- 인가된 사용자들이 허가된 프로세스를 위해서 네트워크로 접속하기 위한 접속성
(connectivity)을 보장하는것이다.
네트워크 가용성을 보장하는 요소
- 백업이나 여분의 디스크 시스템과 같은 장애방지 능력
- 사용인원과 프로세스의 수행 능력
- 신뢰할 만한 프로세스와 네트워크 보안 메커니즘
서버 장애 방지 시스템
중복 서버
- Fail over link된 secondary(메인서버가 죽었을때 같은 ip를 가진 세컨서버가
활성화되는것, 세컨서버는 평소에 운영을 잘안해서 메인서버보다 사양이 딸리는
서버를 사용한다.) 서버를 운영하는 방법
- 주 서버의 처리가 미러링 된 secondary 서버로 이전되는 것을 치환(rollover)라고 한다.
DRP - 재해복구계획
서버 클러스터링
- Server farm을 구성 모든 서버가 온라인 상태로 투명하게 서비스를 제공하는것
- 오라클 사의 RAC나 MS사의 크러스터 서버등과 같은 시스템이 제공된다.
백업
전체백업(Full backup)
- 이전 백업 유무와 상관없는 전체 백업
차이분 백업(Differential Backup)
- 특정 백업 시점 이후의 내용만을 백업
- 보통 전체 시점을 기준으로 한다.
- 누적 백업으로 일부가 중복된 백업이 수행된다.(Cumulative backup)
증가분 백업(Incremental Backup)
- 이전 백업 이후 수정된 부분만 백업
- 전혀 중복 없는 백업 방법이다.
Single Point of Failure - [ex)주춧돌]
- 장애 시에 전체 네트워크에 영향을 미치는 네트워크 상에 특정 포인트를 의미한다.
예
- 버스 토플로지(Topology)의 동축 케이블(Coaxial cable)
- Star 토플로지의 back-bone Switch
- 단일 전용 회선
통제
- FDDI (Fiber Distributed Data Interface) - 라인이 이중화, 1년에 몇개 안만들어서 가격이 비쌈
- 전용회선의 백업용 ISDN, TT
- UPS(임시전원 공급장치(길면 2시간 짧으면 1시간내외 동안 전원 공급)),
침입차단 시스템(Firewall) 개요
침입차단시스템(Firewall) 정의
- 내부 네트워크 망과 외부 네트워크 망을 분리해 주는 시스템
- 내부망과 외부망 사이의 정보 흐름을 안전하게 통제하는 시스템
- 신뢰하는 비공개 인트라넷과 외부에 공개하는 인터넷 사이를 분리시킬 목적으로
사용하는 S/W와 H/W의 총체적 표현
*
내부망 : (관리 주체를 따지는게 아니라)*보안정책*에 따라 관리 되는 시스템
외부망 : 그 외
*
NAT
- 사설 IP : 공인 IP -> 1 : 1
(NAPT)
- 여러개의 사설IP -> 하나의 공인 IP
침입차단시스템의 등장배경
- 위협요소의 증가 및 현실화
- 내부 전산망 · 전산자원에 대한 해킹 위험성 및 외부노출 가능성 존재.
- 내부 사용자의 자료유출 위험성 존재
- 외부사용자, 내부사용자 선별 불가능
- 외부사용자로부터 내부 전산망 분리가 불가능
- 내부 전산망 · 전산자원에 대한 침해여부의 파악 불가능
- 네트워크에서 효율적인 보안정책의 실현 필요
- 보안 노력을 한 곳에 집중
침입차단시스템의 역할
- 프라이버시 보호 : 내부 망의 정보 유출 방지, dual DNS기능 지원
- 서비스 취약점 보호 : 안전하지 못한 서비스 필터링
- 보안기능의 집중화
- 다양한 보안 S/W가 다수의 호스트에 분산되어 탑재되는 것보다 집중되어 탑재되어
있는 것이 관리에 효율적
- 보안정책의 구현 용이
- 보안 관련 경비 절감
- 외부 침입에 의한 내부 네트워크의 침해 도메인 최소화
침입차단시스템의 기능
- 패킷 필터링(packet filtering), NAT(Network Address Translation)(IP 변환)
- 프록시(proxy)(네트워크를 제한, 통제 / 설정에따라 방화벽과 동일한 기능을 할수있다.)
또는 Application gateway, 로깅(logging)
- VPN(Virtual Private Network)
침입차단시스템 구성요소
- 베스천 호스트 (Bastion host)
- 침입차단소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의
게이트웨이 역할을 하는 호스트
- 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격목표가 됨
- 보안에 헛점이 생기지 않도록 불필요 프로그램 삭제, 불명확한 서비스 제한,
최신 버전 패치를 통해 신중히 관리
- 스크린 라우터
- 내부와 외부 네트워크의 물리적인 연결점
- 네트워크 레벨의 방어를 수행
- 패킷필터링, 접근제어(IP,PORT), NAT
- 침입차단시스템 소프트웨어 (EX. Windows Defender)
- 스크린 라우터와 일부 기능 중복
- 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트함
침입차단시스템의 문제점
- 제한된 서비스
- 사용자들이 자주 사용하는 서비스(telnet, FTP)차단 시 장애
- 정상 포트(ex : 80번 웹포트)를 통한 해킹 및 바이러스 공격가능
- 내부사용자에 의한 보안 침해
- 인가된 내부사용자에 대한 통제 불가
- 기타의 문제점
- 우회경로를 통한 공격 가능
- 바이러스 검색 불가능 : 백신 프로그램이나 다른 보안 대책 강구 필요
- 보안기능이 집중되는 곳 : 병목현상 발생 가능, 침입차단 시스템 붕괴 시
내부 네트워크에 심각한 보안 침해 초래 가능
침입탐지 시스템 (IDS)의 정의
- 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고,
침입 발생 여부를 탐지(Detection)하고, 대응(Response)하는 자동화된 시스템
침입탐지 시스템의 등장 배경
- 인가된 내부사용자의 불법적인 행위 증가
- 정상포트(웹, 전자우편 등)를 통한 악성코드 유입 증가
기능
- 네트워크의 실시간 감시
- 네트워크의 전용선과 생산성 향상 및 남용방지
- 정책에 의한 특정 서비스의 차단 및 로그
- 침입 시도 재연 기능
- 침입 분석 및 네트워크 사용 분석레포트 제공
- 실시간 로그인 및 경고
일반적 구조
- Event generator (E-Box)
- 모든 이벤트에 대한 데이터 수집
- Event analyzer (A-Box)
- 수집된 데이터를 분석하여 침입탐지 수행
- Event databases (D-Box)
- 필요한 정보를 저장
- Response units (R-Box)
- 탐지된 침입에 대한 대응행동 수행
정보수집 (Data Collection)
- 호스트 로그 정보 수집
- 프로그램/프로세스의 변수
- 멀티호스트간 로그 정보 수집
- 호스트간 통신 필요
- 네트워크 패킷 수집
- 패킷 수집 및 프로토콜 해석 기술
정보가공 및 축약 (Data Reduction)
- Raw 데이터로부터 의미있는 정보로 가공
- 실시간 침입판정을 위한 최소한의 정보
- 자체의 Audit Record로서의 의미
침입분석 및 탐지(Intrusion Detection)
- Anomaly Detection (비정상행위 탐지)
- 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 (정상적인 행위를 진단하는게 상당히 어렵다.)
- 정해진 모델을 벗어나는 경우를 침입으로 간주
- 구현 비용이 큼
- Misuse Detection (오용탐지)
- 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지
- 정해진 모델과 일치하는 경우를 침입으로 간주
- Auditing 정보에 대한 의존도가 높음
보고 및 조치
- 침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행
- 침입 진행 상황 보고
- 침입 재연 기능