3주차 강의

1. 출처: 열정에기름붓기(페이스북페이지)

12. 보안읽어주는남자
접근통제
SercurityplusUnion Academy

13. 목차
1. 접근의개요2. 인증3. 데이터접근통제4. 보안모델5. 공격기법6. 침입탐지시스템7. 침투테스트

15. 1. 접근의개요

16. Access control 원리
1. 접근의개요(1/5)
사람
프로세스
프로그램
컴퓨터
데이터베이스
파일
주체
객체
접근
접근통제란?

17. 접근의3단계
1. 접근의개요(2/5)
주체
객체
식
별
인
증
승
인
Identification
Authentication
Authorization

18. Reference Monitor
1. 접근의개요(3/5)
주체
객체
Reference
Monitor
Completeness
Isolation
Verifiability
“보안커널의가장중요한부분”

19. 19
Access Control
물리보안
경비원
Locks
CCTV
Token
관리보안
보안정책
보안인식
자산분류
직무분리
기술보안
암호화
접근통제S/W
인증매커니즘
백신
Control (Access Control을보완한다)
예방통제
탐지통제
교정통제
방화벽
보안인식교육
정책/절차
“Inhibit”
(저지하다)
침입탐지시스템
임계치/클리핑레벨
감사증적/로그
“Identify”
(확인하다)
허니팟
BCP/DRP
백업
“Diminish”
(줄이다)
Access Control vs Control
1. 접근의개요(4/5)

20. Defense Mechanism
1. 접근의개요(5/5)
Cost
Overlap
Work Factor
Defense-in-Depth (Multi-level Security)
Open Design
시스템설계는공개가가능해야한다.
“보안은암호학적키의비밀성에의존해야한다.”

21. 2. 인증

22. 인증구분
설명
기반
종류
Type 1 인증
Something you know
지식기반
패스워드, PIN
Type 2 인증
Something you have
소유기반
스마트카드, 토큰
Type 3 인증
Something you are
존재기반
홍채, 지문, 정맥
Type 4 인증
Something you do
행동기반
음성, 서명
인증분류
2. 인증(1/11)
다중체계인증(서로Type 달라야한다.)

23. One Time Password
2. 인증(2/11)
OTP (One Time Password) 란?

24. One Time Password
2. 인증(3/11)
OTP (One Time Password) 의종류는?

25. 스마트카드
2. 인증(4/11)
스마트카드란?

26. 토큰
2. 인증(5/11)
토큰이란?

27. PCI-DSS
2. 인증(6/11)
암호화
접근통제
취약점관리
주요내용
PCI-DSS
신용카드정보보안을위한표준
“주요카드사가신용카드정보유출사고를막기위해
보안표준협의회(PCI)를결성하여만든글로벌보안기준”

28. 생체인증
2. 인증(7/11)
FRR (잘못거절될확률)
FAR (잘못받아들일확률)
CER (Cross over Error Rate)
정확성
<장점>
-강력한‘식별’ 수단
-부인방지
<단점>
-프라이버시침해
-사용자거부감
-추가구축비용
-에러율

29. Single Sign On (SSO)
2. 인증(8/11)
SSO 란?

30. Kerberos 와SESAME
2. 인증(9/11)
-커버로스의단점을개선해서유럽에서세사미를개발.
-암호화는대칭키(비공개키) 를사용.
-커버로스보다더욱강력한접근통제기능제공.
-공개키시스템의확장성을가지면서키관리의Overhead는감소.

31. 중앙집중접근통제관리
2. 인증(10/11)
인
증
권
한
과
금
Authentication
Authorization
Accounting
RADIUS

32. Identity Management
2. 인증(11/11)
Identity Management 란?

33. 일시정지

34. 3. 데이터접근통제

35. Orange Book
3. 데이터접근통제(1/4)
‘오렌지북’이란? (공개버전: TESEC)
Trusted Computer Security Evaluation Criteria

36. MAC(강제적접근통제)
3. 데이터접근통제(2/4)
정의
Orange book B-Level
Mandatory

37. DAC(임의적접근통제)
3. 데이터접근통제(3/4)
정의
Orange book C-Level
Discretionary

38. RBAC(역할기반접근통제)
3. 데이터접근통제(4/4)
정의
최소권한: 최소의권한만을허용하여권한의남용을방지.
직무분리: 시스템의오용을일으킬정도의특권이부여된사용자없앰.
Role-Based

39. 4. 보안모델
39

40. Bell-LaPadula모델(BLP)
4. 보안모델(1/4)
목적
정의
속성

41. BIBA 모델
4. 보안모델(2/4)
목적
정의
속성

42. •BIBA 모델
Bell-LaPadula모델vs BIBA 모델
4. 보안모델(3/4)
•BLP 모델

43. Doctor
Bell-LaPadula모델vs BIBA 모델
4. 보안모델(4/4)
Operating Room
Emergency
Personal
Secretacy
Secretacy
Secretacy
Nurse
Nurse
Nurse
Doctor
Doctor
Patient
Patient
Patient
LIST
FILE
Prescription
Receipt
찬우
ㅁㅅㅅ
정권
BLP Model
BIBA Model

44. 5. 공격기법
44

45. 무차별공격
5. 공격기법(1/14)

46. 사전공격
5. 공격기법(2/14)
[출처–웹툰‘한국식보안상황에서살아남는법’]

47. 버퍼오버플로우
5. 공격기법(3/14)

48. 중간자공격
5. 공격기법(4/14)

49. 세션하이재킹
5. 공격기법(5/14)

50. IP 스푸핑
5. 공격기법(6/14)

51. 웹스푸핑
5. 공격기법(7/14)

52. 서비스거부공격(도스공격)
5. 공격기법(8/14)

53. TCP SYN Attack
5. 공격기법(9/14)

54. Ping of Death
5. 공격기법(10/14)

55. Land Attack
5. 공격기법(11/14)

56. Teardrop Attack
5. 공격기법(12/14)

57. SMURF Attack
5. 공격기법(13/14)

58. 분산도스공격
5. 공격기법(14/14)

59. 6. 침입탐지시스템
59

60. IDS 흐름도
6. 침입탐지시스템(1/2)
흐름도
탐지가능한공격
IDS False Error
Intrusion Detection System

61. IDS의요소와분류
6. 침입탐지시스템(2/2)
자료수집위치에따른분류
* H-IDS : 호스트자원사용실태를분석하여탐지.
* N-IDS : 네트워크패킷을분석하고캡쳐함으로써공격을탐지.
항목
MisuseDetection
AnomalyDetection
동일용어
시그니쳐(지식)기반
통계(행동)기반
탐지방법
패턴매칭
임계치초과
적용원리
전문가시스템
인공지능
장점
오탐율낮음
Zero-day공격탐지가능
단점
알려진공격만탐지
에러율높음
침입탐지방식에따른분류

62. 7. 침투테스트

63. 침투테스트개요
7. 침투테스트개요(1/5)
정의: 조직의정보보안수준을능동적으로평가하기위한프로세스의일환으로실제공격자행위( =hacking )의시뮬레이션을수행
Penetration testing

64. NDA(Non Disclosure Agreement)
7. 침투테스트개요(2/5)
기밀유지협약서란?

65. 침투테스트방법론
7. 침투테스트개요(3/5)
대상
범위
선정
정보
수집
목록화
취약
점
분석
공격
시도
결과
분석
대응
방안
마련
보고
서
작성
흔적
제거
수행전
모의침투
수행후

66. Documentation
7. 침투테스트개요(4/5)
C-Level
Manager
Staff
“짧고간결”
“컴플라이언스초점”
“기술방안초점”

67. Covert Channel(은닉채널)
7. 침투테스트개요(5/5)
은닉채널이란?