정보보안 개론

정보보안개론 - Telecommunications, Network & Internet Security

slcry 2022. 11. 29. 19:03

네트워크 C.I.A

 

통신(TC : Telecommunication) 보안은 C.I,A 원칙에 위협을 가할 수 있는 네트워크 

상의 오용이나 악용을 방지하고 탐지하는 관점에서 다루어 진다.
 - 기밀성(Confidentiality) - 나라에서 만든 모델은 기밀성을 최우선적으로 고려한다.
 - 무결성(Integrity)
 - 가용성(Availability)

 

기밀성(Confidentiality)
 - 네트워크 시스템상의 고의적이거나 의도하지 않은 불법적인 정보 노출로 부터의 보호를 의미한다.

 - 네트워크 기밀성을 보장하기 위한 요소
   - 네트워크 보안 프로토콜
   - 네트워크 인증 서비스
   - 네트워크 암호화 서비스

 

무결성 (Integrity) - 권한있는 사람만 access할수 있다.
 - 전송되는 메시지가 정확하게 전달되었다는 것으로 고의적이나 의도하지 않은 변경이
   없었음을 보장하는 것이다. 또한 이와 더불어 부인 방지의 개념도 포함된다.
 - 네트워크 무결성을 보장하기 위한 요소
   - 방화벽 서비스
   - 통신 보안 관리
   - 침입탐지 서비스

 

가용성 (Availability)
 - 인가된 사용자들이 허가된 프로세스를 위해서 네트워크로 접속하기 위한 접속성
   (connectivity)을 보장하는것이다.

 

네트워크 가용성을 보장하는 요소
 - 백업이나 여분의 디스크 시스템과 같은 장애방지 능력
 - 사용인원과 프로세스의 수행 능력
 - 신뢰할 만한 프로세스와 네트워크 보안 메커니즘

 

서버 장애 방지 시스템
중복 서버
 - Fail over link된 secondary(메인서버가 죽었을때 같은 ip를 가진 세컨서버가

   활성화되는것, 세컨서버는 평소에 운영을 잘안해서 메인서버보다 사양이 딸리는

   서버를 사용한다.) 서버를 운영하는 방법
 - 주 서버의 처리가 미러링 된 secondary 서버로 이전되는 것을 치환(rollover)라고 한다.

 

DRP - 재해복구계획

 

서버 클러스터링
 - Server farm을 구성 모든 서버가 온라인 상태로 투명하게 서비스를 제공하는것
 - 오라클 사의 RAC나 MS사의 크러스터 서버등과 같은 시스템이 제공된다.

 

백업
전체백업(Full backup)
 - 이전 백업 유무와 상관없는 전체 백업
차이분 백업(Differential Backup)
 - 특정 백업 시점 이후의 내용만을 백업
 - 보통 전체 시점을 기준으로 한다.
 - 누적 백업으로 일부가 중복된 백업이 수행된다.(Cumulative backup)

증가분 백업(Incremental Backup)
 - 이전 백업 이후 수정된 부분만 백업
 - 전혀 중복 없는 백업 방법이다. 

 

Single Point of Failure - [ex)주춧돌]

 - 장애 시에 전체 네트워크에 영향을 미치는 네트워크 상에 특정 포인트를 의미한다.


 - 버스 토플로지(Topology)의 동축 케이블(Coaxial cable)
 - Star 토플로지의 back-bone Switch

 - 단일 전용 회선

 

통제
 - FDDI (Fiber Distributed Data Interface) - 라인이 이중화, 1년에 몇개 안만들어서 가격이 비쌈
 - 전용회선의 백업용 ISDN, TT
 - UPS(임시전원 공급장치(길면 2시간 짧으면 1시간내외 동안 전원 공급)),

 

침입차단 시스템(Firewall) 개요

침입차단시스템(Firewall) 정의
 - 내부 네트워크 망과 외부 네트워크 망을 분리해 주는 시스템
 - 내부망과 외부망 사이의 정보 흐름을 안전하게 통제하는 시스템
 - 신뢰하는 비공개 인트라넷과 외부에 공개하는 인터넷 사이를 분리시킬 목적으로 

   사용하는 S/W와 H/W의 총체적 표현

 

*

내부망 : (관리 주체를 따지는게 아니라)*보안정책*에 따라 관리 되는 시스템

외부망 : 그 외

*

 

NAT

 - 사설 IP : 공인 IP -> 1 : 1

(NAPT)

 - 여러개의 사설IP -> 하나의 공인 IP

 

침입차단시스템의 등장배경
 - 위협요소의 증가 및 현실화
 - 내부 전산망 · 전산자원에 대한 해킹 위험성 및 외부노출 가능성 존재.
 - 내부 사용자의 자료유출 위험성 존재
 - 외부사용자, 내부사용자 선별 불가능
 - 외부사용자로부터 내부 전산망 분리가 불가능
 - 내부 전산망 · 전산자원에 대한 침해여부의 파악 불가능
 - 네트워크에서 효율적인 보안정책의 실현 필요
 - 보안 노력을 한 곳에 집중

 

침입차단시스템의 역할
 - 프라이버시 보호 : 내부 망의 정보 유출 방지, dual DNS기능 지원
 - 서비스 취약점 보호 : 안전하지 못한 서비스 필터링
 - 보안기능의 집중화
 - 다양한 보안 S/W가 다수의 호스트에 분산되어 탑재되는 것보다 집중되어 탑재되어

   있는 것이 관리에 효율적
 - 보안정책의 구현 용이
 - 보안 관련 경비 절감
 - 외부 침입에 의한 내부 네트워크의 침해 도메인 최소화

 

침입차단시스템의 기능
 - 패킷 필터링(packet filtering), NAT(Network Address Translation)(IP 변환)
 - 프록시(proxy)(네트워크를 제한, 통제 / 설정에따라 방화벽과 동일한 기능을 할수있다.)

   또는 Application gateway, 로깅(logging)
 - VPN(Virtual Private Network) 

 

침입차단시스템 구성요소
 - 베스천 호스트 (Bastion host)
    - 침입차단소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의 

      게이트웨이 역할을 하는 호스트
 - 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격목표가 됨
 - 보안에 헛점이 생기지 않도록 불필요 프로그램 삭제, 불명확한 서비스 제한, 

   최신 버전 패치를 통해 신중히 관리

 - 스크린 라우터
   - 내부와 외부 네트워크의 물리적인 연결점
   - 네트워크 레벨의 방어를 수행
   - 패킷필터링, 접근제어(IP,PORT), NAT

 - 침입차단시스템 소프트웨어 (EX. Windows Defender)
   - 스크린 라우터와 일부 기능 중복
   - 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트함

 

침입차단시스템의 문제점
 - 제한된 서비스
    - 사용자들이 자주 사용하는 서비스(telnet, FTP)차단 시 장애
    - 정상 포트(ex : 80번 웹포트)를 통한 해킹 및 바이러스 공격가능

 - 내부사용자에 의한 보안 침해
    - 인가된 내부사용자에 대한 통제 불가

 - 기타의 문제점
    - 우회경로를 통한 공격 가능
    - 바이러스 검색 불가능 : 백신 프로그램이나 다른 보안 대책 강구 필요
    - 보안기능이 집중되는 곳 : 병목현상 발생 가능, 침입차단 시스템 붕괴 시 

                                             내부 네트워크에 심각한 보안 침해 초래 가능

 

침입탐지 시스템 (IDS)의 정의

 - 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고,

   침입 발생 여부를 탐지(Detection)하고, 대응(Response)하는 자동화된 시스템

 

침입탐지 시스템의 등장 배경
 - 인가된 내부사용자의 불법적인 행위 증가
 - 정상포트(웹, 전자우편 등)를 통한 악성코드 유입 증가

 

기능
 - 네트워크의 실시간 감시
 - 네트워크의 전용선과 생산성 향상 및 남용방지
 - 정책에 의한 특정 서비스의 차단 및 로그
 - 침입 시도 재연 기능
 - 침입 분석 및 네트워크 사용 분석레포트 제공
 - 실시간 로그인 및 경고

 

일반적 구조
 - Event generator (E-Box)
   - 모든 이벤트에 대한 데이터 수집
 - Event analyzer (A-Box)
   - 수집된 데이터를 분석하여 침입탐지 수행
 - Event databases (D-Box)
   - 필요한 정보를 저장
 - Response units (R-Box)
   - 탐지된 침입에 대한 대응행동 수행

정보수집 (Data Collection)
 - 호스트 로그 정보 수집
    - 프로그램/프로세스의 변수
    - 멀티호스트간 로그 정보 수집
 - 호스트간 통신 필요
    - 네트워크 패킷 수집
    - 패킷 수집 및 프로토콜 해석 기술

 

정보가공 및 축약 (Data Reduction)
 - Raw 데이터로부터 의미있는 정보로 가공
   - 실시간 침입판정을 위한 최소한의 정보
   - 자체의 Audit Record로서의 의미

 

침입분석 및 탐지(Intrusion Detection)
 - Anomaly Detection (비정상행위 탐지)
   - 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 (정상적인 행위를 진단하는게 상당히 어렵다.)
   - 정해진 모델을 벗어나는 경우를 침입으로 간주
   - 구현 비용이 큼

 

 - Misuse Detection (오용탐지)
   - 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지
   - 정해진 모델과 일치하는 경우를 침입으로 간주
   - Auditing 정보에 대한 의존도가 높음

 

보고 및 조치
 - 침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행
 - 침입 진행 상황 보고
 - 침입 재연 기능