인터넷 보안
ㅁ 인터넷 보안기법
인터넷 보안기법은 크게 3가지로 나눌수 있는데, 이는 신분(시원) 확인에 대한 문제, Privacy 보호, 접근제어(Access Control)로 나눌수 있다.
- 신분(신원) 확인에 대한 문제
. 권한(Authorization), 인증(Authentication), 무결성(Intefrity)
. User Authentication (계정, 패스워드) 문제
. IP Source Authentication
1 불완전한 인증 메커니즘(IP Spoofing 로 인해)
2 공개키 암호방식(Public Key Encryption System)
- Privacy 보호
. 암호화 방법(공개키 암호방식)
1 UNIX 로그인 시 패스워드 입력
2 데이터 보호
- 접근제어(Access Control)
. 방화벽 사용
ㅁ 방화벽
외부 네트워크와 내부 네트워크 사이에 위치하여 네트워크들 사이에서 공격을 차단하는 소프트웨어 및 하드웨어이다. 즉, 외부 네트워크부터 내부 네으워크의 자원을 보호하는 것이다.
- 방화벽의 일반 구조
. Router와 Backbone 스위치 사이에서 외부의 허가 받지 않은 접근으로부터 내부망 보호.
. 서비스 네트워크를 분리하여 일차방어선 구축
-à 침해 당해도 내부망 안전하게 보호 가능하다.(그림 참고)
|
※방화벽 적용 내용 [그림 – 2 방화벽 적용 내용1] Internet에서 1차적으로 Screening Router 검사하고, Internal network에 접근하려면 Bastion Host를 거쳐야 한다. (Screening Router, Bastion Host는 방화벽의 일종이라고 생각하면 된다.)
|
ㅁ 방화벽(Firewall) 시스템
방화벽은 침입차단 시스템이라고 생각하면 되겠다. 그럼 방화벽 설계 시 고려 사항에 대해 알아보자.
1. 외부에서 내부망으로 또는 내부에서 외부로의 모든 트래픽(traffic)이 반드시 경유할 수 있도록 디자인해야 한다.
2. 작업에 최적인 H/W와 S/W 사용한다.
. 네트워크 속도를 고려.
. 버퍼의 overflow 발생 가능성 최소화
3. 위험지역(Risk Zone)축소
. 인터넷에 연결된 내부 네트워크를 분리시켜 다른 내부 네트워크로의 피해를 최소화한다.
ㅁ 인터넷 다단계 보안모델
인너넷 상에서 내부 네트워크로 들어올 때 보안단계를 여러 개로 구축할 수 있다. 1단계부터 7단계까지 나눠질수 있는데, 이는 아래와 같다.
[그림 – 4 다단계 보안모델]
- 1단계 : External-Demark
. 모뎀, 회선선로 등에 대한 물리적 보안대책.
. 외부망 연결 통신 선로 / 하드웨어 보안
. 라우터의 라우팅 테이블 변조 및 조정, LAN케이블 도청
- 2단계 : Packet Filtering
. 내부와 외부망 사이의 패킷 필터링.
. IP 주소, TCP port 번호에 대한 접근제어(라우터)
- 3단계 : Gateway
. 내부와 외부망 사이에 유일한 경로를 제공.
. 통과하거나 접속하는 트래픽에 대한 검사(Auditing)
. 접속을 요구하는 사용자에 대한 인증.
. 방화벽(Firewall)
- 4단계 : Internal-Demark
. 내부 LAN들의 격리
. 하나의 네트워크가 침해를 당하였을 경우 이의 전파를 막을 수 있는 방안.
- 5단계 : LAN
. LAN상의 모든 호스트에서의 보안 대책.
. 계정, 패스워드, 파일 시스템 보안.
. 새 버전 패치, 구성 파일의 올바른 셋업, 보안 도구
- 6단계 : 사용자 / 관리자 , 7단계 : 보안방침
. 보안정책에 따른 시스템 관리 문제, 보안 사고 시 처리 방법 및 절차 정의
ㅁ 침입탐지시스템
시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고 대응하기 위한 시스템이다. 또한, 침입탐지시스템은 어떠한 정보를 가지고 침입을 탐지할 건지에 대한 기준에 따라서 크게 3가지로 나눌수 있다.
- 네트워크 기반의 침입탐지시스템.
. 네트워크 상의 패킷을 통한 침입여부 판단.
. 원격지 호스트의 취약점 분석을 기반으로 한 침입탐지.
- 단일 호스트 기반의 침입탐지시스템.
. 특정 시스템의 불법 사용에 대한 점검.
. 시스템 내의 로그 파일 및 접속 관련 파일 점검.
. 프로그램의 버그들을 이용한 침입 점검.
- 멀티 호스트 기반의 침입탐지시스템.
. 여러 호스트들로부터 생성된 감사 데이터를 통한 침입 여부 판단.
|
※ 용어 정리 - Wiretapping : - UNIX : . 1969년 Bell 연구소에서 개발한 운영체제. . 유닉스는 처음 등장한 이후 몇 차례의 변신을 했다. 그런 변신 중에는 캘리포니아 주립 버클리대학에서 개발한 UNIX 4.3 BSD(Berkeley Standard Distribution(버클리 표준 배포판))과 AT&T에서 개발한 UNIX System V Release 4.0이 있다. - IRC : 로토콜. IRC는 각각 사용자별로 하나씩 클라이언트 프로그램으로부터 연결을 받아들이는 서 버들로 구성된 하나의 네트워크로 구축되 있다. - Spoofing : 터가 사용하는 기법. 라우터는 그 세션이 아직 실행중인 것처럼 호스트가 믿게 하기 위해 위해 보낼 트래픽이 없으면 회선 스위치드 링크를 다운시키는, DDR과 같은 라우팅 환경에서 유용하다. (참초 항목: DDR) 위. 스푸핑은 필터나 액세스 리스트와 같은 네트워크 보안 메커니즘을 파괴하도록 고안된 것 이다. - Audit : . 사용정책 및 보안정책을 수립하고 이에 따라 정보시스템이 안전하게 운용되고 있는지 확 조사, 분석하는 행위. - Backbone : . 네트워크에서 다른 네트워크로부터 가장 자주 송수신 대상이 되는 트래픽 주 경로 역할을 하는 부분. |