본문 바로가기
정보보호/정보보호론(박승철)

정보보호론-(9) 정보 보안 목표와 대책 - 2

jacob942 2019. 6. 4. 22:20

정보보호론-(9) 정보 보안 목표와 대책 - 2

메시지 인증 코드(MAC, Message Authentication Code)
- 사용자B가 사용자A에게 송신한 메시지(M)가 실제로 사용자B가 송신한 것이 맞는지 확인하는 행위(인증성을 확인)
- 사용자B는 전송하고자 하는 메시지(M)과 함께 H(M,pwd)의 해시값을 함께 전송
- 사용자A는 전송받은 메시지(M')를 자신이 갖고 있는 패스워드를 이용하여 H(M',pwd)의 해시값을 생성하고 수신한 해시값과 비교하여 결과가 일치하면 해당 메시지는 사용자B가 보낸 것으로 확신할 수 있음(인증성 확보)
- 재현 공격 방지 : 메시지 인증 코드, H(M, pwd), 를 생성할 때 메시지 순서번호(SQE), 타임 스탬프, 임의의 숫자(nonce)를 포함하여 생성해야 스니핑에 의한 패킷 재현 공격을 방지할 수 있음
- 그러나 메시지 인증 코드는 패스워드를 미리 공유하고 있지 않은 사용자 간에는 인증이 불가능하고 부인 공격에 대한 대책이 없는 것이 한계임
(부인 방지 불가, 어느 사용자가 H(M, pwd)를 생성한 것인지 알 수 없음) -> 디지털 서명 기술(부인 방지 효과)로 극복

디지털 서명(Digital Signature)
- 메시지 송신자는 개인키를 사용하여 메시지의 해시값을 암호화하여 디지털 서명을 생성하고 수신자는 송신자의 공개키를 사용하여 디지털 서명을 복호화
- 디지털 서명 복호화는 공개키에 대응되는 개인키의 소유자에 의해 디지털 서명이 작성되었음을 증명함
- 공개키 소유자는 공개키 공증 기반 구조(PKI)에 의해 인증이 가능하다(중간자 공격의 해결책)

사용자 인증(User Authentication)
- 상대방이 알고 있는 정보를 이용하여 상대방의 실체를 확인(SNS, 지문, 공인인증서)
- 사용자 인증을 통한 인증성 훼손 공격 : 피싱, 파밍, 중간자 공격

지역 사용자 인증 방법
(1) 패스워드 기반 인증
(2) 토큰 기반 인증
(3) 생체인식 사용자 인증

원격 사용자 인증 방법
- Challenge/Response 프로토콜 : 사용자가 패스워드 기반 인증을 사용하고자 할때 먼저 서버로 부터 난수(challenge)를 받음. 사용자는 H(challenge, pwd)로 해시값을 생성하여 서버에 해시값을 전달함. 서버는 전달받은 해시값을 기반으로 패스워드의 일치여부를 확인(인증성 확보)

접근 제어(Access Control)
- 비인가된 정보 자원 사용의 방지를 위함
- 사용자별 각기 다른 권한을 가지고 있고 각 권한별 수행할 수 있는 기능이 다를 때 사용자가 특정 기능을 수행할 때 해당 사용자의 권한을 비교함

접근 제어 정책
- 임의적 접근 제어(Discretionary Access Control)
- 강제적 접근 제어(Mandatory Access Control)
- 역할 기반 접근 제어(Role-based Access Control)

침입 탐지(Intrusion Detection)
- 비인가된 방법으로 정보 자산을 접근하는 시도를 찾아내고 경고할 목적으로 시스템을 관찰하는 보안 행위

침입 탐지 분류
- 호스트 기반의 침입 탐지(Host-based Intrusion Detection)
- 분산 호스트 침입 탐지(Distributed Host Intrusion Detection)
- 네트워크 기반 침입 탐지(Network-based Intrusion Detection)

허니폿(Honeypot)
- 공격자들을 유인하여 침입 행위를 실행하게 하고 이에관한 정보를 수집함으로써 공격자와 공격행위에 대한 정보를 수집하기 위해 의도적으로 설치된 시스템

방화벽(Firewall)
- 입력과 출력 네트워크 트래픽을 보안 정책에 따라 통과시키거나 막는 소프트웨어 또는 하드웨어 기반의 네트우크 보안 시스템

방화벽의 분류
- 패킷 필터 방화벽(Packet Filter Firewall)
- 상태형 검사 방화벽(Stateful Inspection Firewall)
- 응용 게이트웨이 방화벽(Application Gateway Firewall)
- 회선 게이트웨이 방화벽(Circuit Gateway Firewall)

침입 방지 시스템(IPS, Intrusion Protection System)
- 침입 탐지 시스템(Intrusion Detection System) + 방화벽(Firewall)
- 침입 탐지 시스템과 방화벽을 결합하여 침입 행위를 탐지할 뿐만 아니라 침입 행위와 관련된 패킷과 연결을 차단하여 침입을 방지함

Reference
1.

제9강+정보보안목표와대책(2).pdf
0.43MB

2. https://www.youtube.com/watch?v=zruD6sU5-ck

저작자표시

'정보보호 > 정보보호론(박승철)' 카테고리의 다른 글

정보보호론-(11) 대칭키 블록 암호화, 스트림 암호화  (0) 2019.06.05
정보보호론-(10) 암호화 기술 개요  (0) 2019.06.04
정보보호론-(8) 정보 보안 목표와 대책 - 1  (0) 2019.06.04
정보보호론-(7) 세션 하이재킹, APT, 스피어 피싱, 스미싱, 랜섬웨어  (0) 2019.06.04
정보보호론-(6) Dos, DDoS, Amplified DoS  (0) 2019.06.04

'정보보호/정보보호론(박승철)' Related Articles

티스토리툴바