1. 1-5. VPN(Virtual Private Network)
Preview
항목 상세내역
터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게 하
개요
는 기술
기출여부 71, 77, 80
관련KeyWord 터널링, 사설망
추천사이트
기술발전
VPNUTM/MPLS
RoadMap
기타 각종 인프라의 기본 스펙으로 정착화
-0- ㈜ 인포레버컨설팅 교육사업본부
2. VPN (Virtual Private Network)
개요
– 터널링 및 암호화 기술을 이용, 공중망을 전용 사설망처럼 사용할 수 있게 하는 기술
– 사설망 구축비용 절감, 회선이용료 절감, 데이터 신뢰성 증대
VPN의 구성 개념도
Socks(5)
SSL/TLS(4)
Site A VPN GW VPN GW Site B
IPSEC(3)
PPTP, L2TP, MPLS(2)
원격PC •상기 구성 중 PPTP, L2TP는 GW방식 지원 안 함
(SW) •MPLS는 SW방식 지원 안 함
요소기술
– 터널링: 양방향 가상터널의 설정내부망 효과 구현, 인터넷을 의식하지 않고 사용 가능
– 암호화, 무결성, 인증, 키관리
VPN간 비교
PPTP L2TP IPSEC Socks5 •최근 일반 VPN은 IPSEC/SSL
구현 계층 2 2 3 5 VPN, 대규모 네트워크나 ISP는
MPLS로 통일된 상태임
형식 P2P 좌동 다양 다양
암호화 X (PPP이용) 좌동 지원(ESP) 지원(별도구현)
지원규약 IP, NetBEUI 좌동 IP IP
용례 원격접속 좌동 Extranet App. VPN
-1- ㈜ 인포레버컨설팅 교육사업본부
3. VPN (Virtual Private Network)
VPN 구현방식
– 연결방식: Remote Access, G-G, P2P
– 서비스 방식: 자체구축, 임대(CPE, ISP Network)
– 구현방식: FW+VPN, VPN전용장비, UTM 등 다양
mVPN (2G/3G feature phone 전용,Smart phone은 PC환경과 동일)
Handset AP WAP GW VPN GW Server
무선구간 - WTLS 유선구간 - SSL 평문
– WAP GW의 Proxy기능 수행 때문에 모든 암호화된 문장이 풀려야 하는 단점이 있음
– 최근 스마트폰 환경에서는 거의 사용되지 않고 있음.
SSL VPN
브라우저, SSL VPN
Server
App Proxy
SSL/HTTPS HTTP, FTP, TELNET…
Source주소: 브라우저 Source주소: Proxy
– 별도의 SW설치 필요 없음, 간편하고 쉬운 조작
– G-G지원 안 함, 일반사원의 Remote Access에 특화
-2- ㈜ 인포레버컨설팅 교육사업본부
4. VPN (Virtual Private Network)
IPSEC VPN
– 네트워크 계층에서 인증/암호화를 하기 위한 VPN기술
– TCP/IP 프로토콜상의 문제점 보강, Application을 구분하지 않는 편리함
– 구현방식: GW, P2P, G-P
– 주요 프로토콜
• AH (Authentication Header): 무결성, 인증지원, 재전송방지(옵션)
• ESP (Encrypted Security Payload): AH + “암호화”
– 키 교환방식
• Manual: Pre-Shared key를 양측에서 입력
• PKI: 공인/사설인증서 사용, 상대의 공개키로 암호화
• IKE: 자동 Key Negotiation
– ESP Tunnel Mode Header
– AH Tunnel Mode Header
-3- ㈜ 인포레버컨설팅 교육사업본부
5. 1-6. Wireless LAN Security
Preview
항목 상세내역
개요 암호화와 인증을 기본으로한 전반적인 무선랜 보안체계
기출여부 80
관련KeyWord WEP, WPA, EAP, 802.11i
추천사이트
기술발전
WEPWPA802.11i
RoadMap
기타 각종 인프라의 기본 스펙으로 정착화
-4- ㈜ 인포레버컨설팅 교육사업본부
8. 1-7. WiBro Security
Preview
항목 상세내역
개요 WiBro에 특화된 보안체계
기출여부
관련KeyWord Security Sub layer, 802.11e
추천사이트
기술발전
802.11eLTE
RoadMap
기타 타 통신, 타 IT솔루션과의 컨버전스, 망 전체를 바라보는 보안관점
-7- ㈜ 인포레버컨설팅 교육사업본부
9. WiBro (Wireless MAN) Security
WiBro보안 표준 체계
CS SAP 제어국
단말
Service Specific /AAA
Convergence
Sublayer
MAC SAP 인증 EAP/RSA 기반인증
MAC MAC Command
Part
Sublayer 키교환 인증키, 데이터 암호화키 교환
Security Sublayer
PHY SAP 기밀성 암호화된 데이터 송수신
PHY
Physical Layer 무결성 메시지 무결성 검사
• 자료출처: KISA, 와이브로 보안기술 해설서
• SAP: Service Access Point
-8- ㈜ 인포레버컨설팅 교육사업본부
10. WiBro (Wireless MAN) Security
802.16e의 보안표준 적용 내역
구분 제시 표준 내용 적용
PKM v1 • RSA기반, 단말인증
인증, • RSA기반, 단말/사용자 인증 EAP-AKA,
키 교환/관리 PKM v2 +Pseudonym
• EAP기반: EAP-MD5, EAP-TLS, EAP-AKA…
• 단말/사용자 인증
PKM v1 • 3DES
TEK
암호화 • 3DES-EDE RSA
PKM v2
• AES-EBC/KEY-WRAP TEK
기밀성 TEK
PKM v1 • DES (PKM v2)
데이터
암호화 • DES-CBC, 3DES, RSA
PKM v2
• AES-CCM/CBC/CTR
HMAC • PKM v1에서 사용 HMAC/CMAC
무결성
HMAC/CMAC • PKM v2에서 사용 (PKM v2)
키 유효시간 • 키의 유효시간 지정
• 전송 패킷수를 카운팅하여 송신자 측에서 관리하고
Reply Attack 수신자 측은 마지막 패킷 수보다 큰 수의 패킷 수만 키 유효시간,
(재전송공격) 패킷 카운트 유효한 패킷으로 인식 패킷 카운트
• 패킷 카운터가 만료에 이르면 재인증을 통한 메시지
Digest 키 갱신
Management MAC • MAC을 이용한 변조 방지
MAC,
Message 의
패킷 카운트 • 패킷을 카운팅 하여 Replay Attack 방지 패킷 카운트
평문 전송
-9- ㈜ 인포레버컨설팅 교육사업본부
11. WiBro (Wireless MAN) Security
WiBro 보안대응 아키텍처
구분 WiBro Network Plane
액세
가입자 중계기 전달망 제어국 코어망 서버팜
스망
망
구성항목
Core
• 단말의 복제 • 불법 •비 인가 • 비 인가된 제어국 •유해코드 유입에 •운영서버에 대한 비
• 바이러스/웜 감염 주파수 된 중계 접근 가능 따른 이상 트래픽 인가된 접근 가능
기 접근 • DoS 증가 •운영권한의 오용 또
예상 • ID 노출 (IMSI)
가능 는 악용
위협 • 기업정보 유출
• 단말 DoS •중요정보의 유출
• 802.16e의 Security Sub Layer, EAP-AKA, 시설별 ACL •기간망 보호체 •ISO27000기반 보
주요 계 Overriding 안대책 수립/시행
• UICC도입 •간섭신고 •ACL, Rate Limit
대책
• 기업의 정보유출방지를 위한 대응 서비스
- 10 - ㈜ 인포레버컨설팅 교육사업본부
12. 1-8. Honey Pot/Net/Active Honey Pot
Preview
항목 상세내역
개요 해커의 행동, 대응양식을 기록하고 분석하는 네트워크 구조
기출여부 84
관련KeyWord 행동분석, 기능
추천사이트
기술발전
Honey PotHoney Net
RoadMap
기타 단독문제보다는 해킹에 대한 이슈연계 필요
- 11 - ㈜ 인포레버컨설팅 교육사업본부
13. Honey Pot/Net/Active Honey Pot
개념
– 해커의 행동, 대응양식을 기록하고 분석하는 서버 혹은 네트워크 구조
– 목적: 위협연구를 통한 대응기술연구/대응방안 도출
Honeynet 구조 외부유출방지
X
Hacker FW 일반시스템 Honeypot
구성요소
– Honey Pot: 유인/기록
– 보안시스템: 해커 행동범위 설정
– 일반시스템: 해커에 대한 신뢰도 유지
Honeynet 기능
– Data Control: 외부전파 금지
– Data Capture: 정보 수집 INBOUND
– Data Collection: 여러 Pot, net수집 정보의 체계적 관리
활용방안
– 기업용: 해커 고립화, 대응시간 확보, 체계적 보안 대응
– Research용: 보안위협 분석, 대응책 연구
고려사항
– 엄격한 통제, Data Mining
- 12 - ㈜ 인포레버컨설팅 교육사업본부
14. Honey Pot/Net/Active Honey Pot
Active Honey Pot의 부각배경
– 최근 해킹타입은 취약서버를 찾아 다니기 보다 사
용자 접근을 전제로 함. (Downloader)
– 따라서 기존 Honey Pot을 통해서는 최신해킹 트랜
드 수집이 어려움.
Active Honey Pot: 능동적 악성코드 샘플 수집
– 취약성을 가진 서버가 여러 URL을 능동적으로 방
문, 악성코드를 다운로드/수집
OUTBOUND
Active Honey pot 개념도 (출처: 안랩)
- 13 - ㈜ 인포레버컨설팅 교육사업본부
20. 2-2. DB 보안
Preview
항목 상세내역
개요 웹에 DB가 연결되면서 대두되는 데이터 유출문제에 대한 대책
기출여부 92
관련KeyWord 접근제어, 암호화, Compliance
추천사이트
기술발전
Crypto Card기반 암호화접근제어솔루션/암호화 솔루션
RoadMap
기타 성능성 문제 심각
- 19 - ㈜ 인포레버컨설팅 교육사업본부
21. DB보안
개요
– 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술
– 최근 기업데이터, 개인정보의 중요성 및 Compliance증가로 이슈화
– DB보안 요구사항: 인증/접근통제/감사
DB보안의 문제점
– 보안관리자는 DB를 모르고… DB관리자는 보안을 모른다.
– DB Vender마다 보안수준이 제 각각임
– 연관인, 내부자에 의한 범죄발생 비율이 높음
– 보안강화에 따른 Performance저하/비용소요가 많음
DB보안 관련공격
Domain 관련내용
네트워크 관련 공격 • DDOS: String투입을 통한 NW Daemon down
(BOF, 우회) • NW Daemon우회 및 직접공격: 암호설정의 취약성, 내부패키지 변형
을 통한 해킹코드 삽입
인증 프로세스 공격 • 사용자 정보 변형: 확인절차 차단을 통한 직접 엑세스
• 백도어: 메모리상주 패키지를 악용한 백도어 설치
SQL, Procedure Injection • SQL Injection: SQL변형, 코드투입, 함수투입, BOF
• Procedure Injection: Embeded SQL, Cursors, DBMS특화된 패키지
- 20 - ㈜ 인포레버컨설팅 교육사업본부
22. DB보안
DB보안의 기술 Domain
Domain 관련내용
Authentication • 패스워드 관리
• 가용한 인증수단 동원: 생체인식, 인증서, ID/password 등
• NW Daemon설정관리, 기본포트 변경
Authorization •Public계정의 제한, 사용 어플리케이션 변경 검토
•시스템 권한 Revoke, Any계열 권한 Revoke
Access Control • DB Schema Design: Authorization고려하여 설계
• 접근제어모델:MAC, DAC, RBAC
Confidentiality • 데이터 암호화(DBMS 옵션사용 혹은 전용 솔루션)
• 전송데이터 암호화(SSL/TLS)
Backup/Recovery •Incremental/Full, 백업정책
Audit • Trigger 등 임시조치
• DBMS제공 Audit Tool 이용(성능저하 감소 고려)
전망/고려사항
– 웹 일색의 App.웹을 통한 침해가능성 상존(웹 보안과 DB보안의 동시진행 필요)
– IT Compliance 주의(개인정보보호법 등)
– 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주
– 감사기능은 DBMS Vender에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요
- 21 - ㈜ 인포레버컨설팅 교육사업본부
23. DB보안 솔루션의 종류
접근제어 제품
구분 암호화 제품
Sniffing 방식 Server Agent 방식 Gateway 방식
보안통제가 완벽하지
보안기능 강력한 보안 기능 제공 강력한 보안 기능 제공 강력한 보안 기능 제공
않음
DB서버에 영향 없이
DB 서버 성능에
Agent 가 설치되지 않는 Agent 설치로 인한 DB 서버 안정적 운영 가능
영향 영향을 줌
방식 성능에 영향을 줄 수 있음 Gateway 구성에 따른
장단점 (5-10% 부하 생성)
DB서버에 영향 없이 Agent 장애로 인한 장애 대응 방안 필요
안정적 운영 가능 암호화 및 인증 키
대책 미비 (이중화 or Bypass)
관리 필요
암화화 대체 기능제공
확장 시 각각의 세그먼트 별도의 H/W 추가 없이 별도의 H/W 추가 없이
확장성 서버마다 Agent 설치 필요
마다 H/W 연결 필요 확장 가능 확장 가능
비정형데이터 제어 시
정형데이터 모니터링 시 우회 접속에 대한 제어 시 구성하는 방식이며, 암복호화 및 DB 성능
제품특징
구성 방식 구성하는 방식 보안성 및 확장성이 튜닝 등 고려 사항 많음
뛰어남
출처: DB Safer
- 22 - ㈜ 인포레버컨설팅 교육사업본부
24. DB접근제어 솔루션의 일반기능
• 인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능
접속 및
• 오브젝트에 대한 권한 설정 및 차단 기능
권한 제어
• 사용자별 사용 가능 명령어를 제한
• SQL 문 감시
모니터링 및
• 실행된 SQL문/실행시간/사용자/시간대 별 검색 및 추적
이력관리
• 접속 세션 및 실행 명령어 별 이력 관리
보안정책 관리 용이한 정책설정 및 반영
결재관리 중요 SQL 명령에 대한 사전/사후 승인(결재) 기능
• 데이터베이스 내부 통제
기타 • 여러 유형의 DBMS 통합 모니터링
• 특정 Data, Field에 대한 Masking 기능
- 23 - ㈜ 인포레버컨설팅 교육사업본부
