UNIV

2022-04-18 02:17

컴퓨터보안 6강. 네트워크 보안

1. 네트워크 보안의 개요

  • 컴퓨터 네트워크
    • 시스템 간의 상호 접속 및 정보교환의 편리한 창구 역할
    • 시스템에 대한 불특정 다수의 접근을 가능하게 함
      • 시스템 침입자에 의한 보안 사고의 위험을 내포
  • 네트워크 보안의 목적
    • 모든 통신회선상의 정보는 항상 획득 가능
    • 통신 회선상의 정보를 보호할 수 있는 방법을 찾는 것
  • 보안 위협 요소
    • 물리적인 위협
      • 네트워크 시스템에 대한 직접적인 파괴나 손상을 입히는 행위 또는 도난 등
    • 기술적인 위협
      • 수동적 공격
        • 통신 회선상의 정보를 무단으로 취득하는 행위
      • 능동적 공격
        • 통신 회선상의 정보를 변조, 위조하는 행위
  • 수동적 공격과 능동적 공격에 대한 대응을 총칭
  • 수동적 공격에 대한 방어
    • 통신 회선에 대한 제 3자의 접속 시도를 방지
    • 통신 회선상의 데이터를 암호화 (기밀성 보장)
  • 능동적 공격에 대한 방어
    • 암호화
    • 수신 측에서 데이터에 대한 무결성 확인

2. 네트워크 보안의 목표

  • 기밀성, 무결성, 가용성, 부인방지, 사용자의 신분확인 및 인증, 데이터 발신처 확인, 접근 제어

3. 네트워크 보안 모델

  • 네트워크 보안 서비스
    • 보안공격을 방어하기 위한 것
  • 네트워크 보안 메커니즘
    • 보안 공격을 예방, 탐지 및 복구하기 위한 제반 기법
    • 보안서비스를 구성하는 기술
  • OSI 7 계층에서의 보안 프로토콜 구조
    1. 물리 계층: 전송되는 모든 비트를 전부 암호화
    2. 데이터링크 계층: 보안 서비스는 규정됨
    3. 네트워크 계층: SP3
    4. 트랜스포트 계층: SP4
    5. 세션 계층: 보안서비스 제공 안됨
    6. 프레젠테이션 계층: 암호에 기초한 데이터의 구문적인 부호화
    7. 애플리케이션 계층: MHS, FTAM, 디렉토리 보안 등

4. 네트워크 보안 서비스

  • 인증
    • 수신된 데이터의 실체가 원하는 실체라는 것을 확인하는 서비스
    • 대등 실체 인증
      • 통신 당사자간의 신분 확인과 자격 유무의 점검
      • 대등한 개체간의 신뢰성 있는 연결 확립 또는 데이터의 전송 과정에 적용
      • 일반적으로 패스워드 및 암호화 기법이 사용됨
      • 일방향 대등 실체 인증과 양방향 대등 실체 인증으로 구분
    • 데이터 발신처 인증
      • 데이터를 발신한 발신처를 확인한 후 해당 발신처의 자격 유무를 제공
      • 송신자와 수신자 상호간의 통신 없이 정보를 제공하는 네트워크 (전자우편)
      • 데이터 수정 등에 대한 보안은 제공하지 못함
  • 접근 제어
    • 비인가된 사용자의 위협으로부터 정보 자원을 보호
    • 사용자의 신분이 확인된 이후 해당 사용자가 정보 자원에 대하여 어느 수준의 접근 권한을 갖고 있는지 결정
    • 보호하여야 할 정보 자원에 대한 불법적인 접근이 이루어지지 못하도록 함
  • 기밀성
    • 네트워크를 통하여 전달되는 정보가 인가되지 않은 사용자나 주체가 행하는 여러가지의 불법 행위 및 처리 등으로 인하여 노출되는 것을 방지하는 서비스
    • 접속 기밀성
    • 비접속 기밀성
    • 선택 영역 기밀성
    • 트래픽 흐름 기밀성
  • 데이터 무결성
    • 데이터의 내용이 인가되지 않은 방식에 의하여 변경 또는 삭제 되는 것을 방지하는 서비스
    • 다섯가지 형태로 구분
      • 복구 기능을 갖는 접속 무결성
      • 복구 기능이 없는 접속 무결성
      • 선택영역 접속 무결성
      • 비접속 무결성
      • 선택영역 비접속 무결성
  • 부인방지
    • 데이터의 발신자 혹은 수신자의 사실을 부인하지 못하도록 방지하는 서비스
    • 발신 부인방지
    • 수신 부인방지

5. 네트워크 보안 메커니즘

  • 암호화
    • 프라이버시, 인증, 무결성 및 데이터에 대한 제한적 접근을 제공하는 강력한 수단
    • 두 호스트 간 혹은 두 응용 시스템 간에 적용
  • 링크 암호화 메시지
  • 단대단 암호화 메시지
  • 전자서명
    • 서명: 서명자의 비밀정보인 공개키 암호 알고리즘의 개인키를 사용
    • 검증: 서명자의 공개키를 사용하여 저옵를 보낸 사람이 누구인지 알아냄
  • 접근제어
    • 사용자의 접근 권한을 결정, 사용자에게 접근권한을 부여하기 위하여 사용자의 고유성, 정보 자격등을 이용
    • 접근제어 정보, 패스워드, 자격, 보안 레이블, 접근 시도 시간 등
  • 데이터 무결성
    • 네트워크상에서 데이터의 정확성을 점검하는 메커니즘
    • 송신자
      • 메시지 인증 코드 (MAC)와 조작 점검 코드 (MDC) 등 사용
    • 수신자
      • 수신한 데이터를 이용하여 무결성 정보 생성
      • 수신한 무결성 정보와 비교하여 데이터의 변경여부 결정
    • 데이터 재사용을 막기 위해 타임스탬프 사용
  • 인증 교환
    • 패스워드 같은 단순한 신분 확인 정보부터 암호 기술까지 다양
    • 대개 타임스탬프, 동기 클록, 2-방향 혹은 3-방향 핸드 셰이크, 부인방지 선택
  • 트래픽 패딩
    • 트래픽 흐름의 해석을 방지하기 위하여 다양한 수준의 보안을 제공
  • 라우팅 제어
    • 데이터에 대한 보안요구 충족시키기 위하여 물리적 논리적 전송 경로를 선택하는 메커니즘
    • 서브네트워크, 릴레이 시스템, 링크 등을 사용
    • 특정한 보안수준을 갖는 데이터는 보안 방침에 따라 서브네트워크
  • 공증
    • 통신중인 데이터의 무결성, 발신지, 목적지 등과 같은 특성을 보증하는 것
    • 통신 실체들이 신뢰할수 있는 제3자에 의하여 이루어짐
  • 기타 보안 메커니즘
    • 신뢰기능
    • 보안 레이블
    • 이벤트 감지
    • 보안감사 추적
    • 보안 복구

6. LAN 보안

  • LAN을 통하여 분산된 시스템을 효율적으로 이용
  • 정보의 내용변경, 불법유출, 순서변경, 바이러스 감염 등 위협
  • 물리계층, 데이터링크 계층과 연관
  • LLC 계층에서 전송되는 프로콜 데이터 단위(PDU)
  • SILS
    • LAN 환경에서의 정보보안 필요성이 증가함에 따라 IEEE에서 LAN의 정보보안을 위한 표준화 작업 수행
      • 제공 서비스
      • 데이터 발신처 인증, 기밀성, 비접속 무결성, 접속 제어

7. TCP/IP 보안

  • TCP/IP, UDP, ICMP는 인터넷의 핵심적인 프로토콜
  • 애플리케이션, 트랜스포트/세션, 인터넷, 네트워크 액세스
  • IP를 위한 보안 메커니즘 제시
    • 두가지 프로토콜
      • IP 인증 헤더: 송신자 인증
      • IP 캡슐화 보안 페이로드: 송신자 인증 + 데이터 암호화
  • AH 프로토콜
    • 인증을 통해 IP 데이터그램의 무결성과 출처 보장
    • 인증 데이터를 데이터그램 내의 헤더에 포함시킴
  • ESP 프로토콜
    • 암호화를 통해 기밀성도 보장
    • ESP 헤더는 일반적으로 암호 데이터의 앞에 위치
    • 불투명 전송 데이터는 암호 알고리즘의 처리에 관련된 추가적인 매개변수를 포함하는 보호 필드
  • SSL/TLS
    • 인터넷상의 TEXT기반 정보가 전송 중간단계에서 제3자에게 유출될 위험 존재
    • SSL (Secure Socket Layer)
      • 서버와 브라우저간의 통신을 위해 Netscape사에서 개발
      • 애플리케이션 계층과 TCP 사이에 위치
      • 애플리케이션 계층의 Telnet, FTP, HTTP 등의 프로토콜의 안정성 보장
      • 서버 인증, 클라이언트 인증, 기밀성 보장
    • TLS (Transport Layer Security)
      • SSL 3.0을 기반으로 한 업그레이드 프로토콜