본문 바로가기

정보보호/정보보호론(박승철)

정보보호론-(26) SET, WLAN 보안 정보보호론-(26) SET, WLAN 보안 SET(Secure Electronic Transaction) - 안전한 전자 거래 프로토콜인 SET은 인터넷 상에서 신용카드 거래를 보호하기 위해 1996년 마스터카드사와 비자카드사의 요청에 의해 개발됨 SET 3가지 보안 요소 (1) 통신정보의 기밀성, 무결성 보장 (2) X.509 공인인증서 기반의 공개키 신뢰성 제공 (3) 거래에 참가하는 개체들의 프라이버시 보장(이중 서명) - 카드 사용자(Card Holder) : 카드 회사(Issuer)가 발급한 지불 카드의 소지자 - 카드 가맹점(Merchant) : 카드 사용자에게 인터넷으로 제품을 판매하는 기관, 해당 카드 지불은행에 가입되어 있음 지불 게이트웨이(PG, Payment Gateway) (1) 인..
정보보호론-(25) 이메일 보안 프로토콜(PGP, S/MIME) 정보보호론-(25) 이메일 보안 프로토콜(PGP, S/MIME) PGP - MAC(Message Authentication Code)를 통한 무결성 보장 - 부인방지를 위한 해시함수 + 공개키 암호화 기반 디지털 서명 서비스 제공 - 공개키 암호 구조(PKI)대신 Web of Trust 기반으로 공개키의 신뢰성 확보 Web of Trust - 사용자A가 사용자B의 공키를 수신했을 때 이것이 사용자B의 공개키가 확실한 지 확인하는 과정이 필요하다. 공개키 기반 구조에서는 인증 기관을 통한 인증서 발급으로 이것을 달성했으나 PGP 프로토콜에서는 Web of Trust 방식을 사용한다. - Web of Trust는 인증기관 대신 사용자B의 공개키 접미부분에 다른 사용자들의 서명(signature)를 추가한다...
정보보호론-(24) SSL/TLS 정보보호론-(24) SSL/TLS SSL/TLS 개발 및 표준화 - 1994년 Netscape사에서 전자 상거래 서비스를 안전하게 보호하기 위해 SSL(Secure Socket Layer)를 개발 - 1999년 TLS(Transport Layer Security)로 표준화됨 SSL/TLS란? - 인터넷에서의 정보를 암호화해서 송수신하는 프로토콜 SSL/TLS의 보안 서비스 기능 - 클라이언트에 의한 서버 인증 : 인증서(Certificate)를 통한 서버 인증성 확보 - 암호화된 세션 서비스 : 기밀성 - 메시지 인증 서비스 : HMAC - 무결성, 인증성 Handshake Protocol - 클라이언트와 서버에 대한 인증 - 메시지 인증 알고리즘을 무엇으로 할지 결정 - 암호 알고리즘을 무엇으로 할지 ..
정보보호론-(23) IPsec 정보보호론-(23) IPsec IPsec 구성 - 통신 세션의 각 IP패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP) 통신을 위한 인터넷 프로토콜이다. - IPsec의 보안 통신 당사자간 키 관리 프로토콜 : IKE(Internet Key Exchange) - IPsec의 실제 보안 서비스를 제공하는 프로토콜 : AH, ESP - IPsec의 응요 : VPN(Virtual Private Network) IPsec 모드 - Transport 모드 - Tunnel 모드 IPsec Transport 모드 - 호스트(host)와 호스트(host)간의 통신을 보호하기 위해 사용됨 - IP 헤더 다음에 IPsec 헤더 정보를 추가함 - 통신 당사자(호스트)들이 IPsec 프로토콜을 구현하고 있어야 함 IP..
정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 침입 탐지(Intrusion Detection) - 보안 방어선을 뚫고 비인가된(unauthorized) 방법으로 내부 자원을 접근하거나 접근하고자 시도하는 사건(event)들을 모니터링하고 분석하여, 보안 사고(Security Incident)의 징후(Sign)을 찾아내고 기록(logging)하며 경고(alert)하는 일련의 과정 - 침입 탐지(Detection) -> 경고(alert) 침입 탐지 시스템(Intrusion Detection System) - 침입 행위에 대한 탐지 작업을 자동으로 수행하는 시스템 - 사용자 인증, 방화벽, 접근 제어 방법을 사용하더라도 완벽한 침입 차단은 불가능하므로 내부 침입이 발생함을 깨닫고 ..
정보보호론-(21) 방화벽 - 2 정보보호론-(21) 방화벽 - 2 상태형 검사 방화벽(Stateful Inspection Firewall) - 방화벽이 TCP 연결 상태에 대한 데이터 표(=데이터 베이스)를 만들어 이 정보를 바탕으로 패킷을 필터링하는 기법 (패킷 필터링 방화벽은 인바운드, 아웃바운드 되는 패킷의 IP, TCP 헤더를 보고 필터링함) 응용 게이트웨이 방화벽(Application Gateway Firewall) - 외부 네트워크의 사용자가 내부 네트워크의 응용 서버 대신 접속하는 장치 - Application Layer 데이터를 검사함 - 장점 : Application 계층 취약점을 이용하는 공격 차단 가능, 로깅(Logging) 기능 - 단점 : 속도 저하 회선 게이트웨이 방화벽(Circuit Gateway Firewa..
정보보호론-(20) 방화벽 - 1 정보보호론-(20) 방화벽 - 1 방화벽(Firewall) - 지역 네트워크를 인터넷과 같이 신뢰할 수 없는 외부의 네트워크로부터 적절하게 차단 - 내·외부 네트워크간에 반드시 필요한 정보의 교환은 허용하되 외부의 위협으로 부터 내부 자산을 보호하는 장치 - 내·외부 네트워크 간에 관문(Check Point)형성 방화벽의 종류 - 패킷 필터링 방화벽(Packet Filtering Firewall) : IP, TCP 프로토콜 헤더정보를 기반으로 패킷 필터링 - 상대형 검사 방화벽(Stateful Inspection Firewall) : TCP 연결 상태 정보를 기반으로 패킷 필터링 - 응용 게이트웨이 방화벽(Application Gateway Firewall) : Application 계층 데이터를 해석한..
정보보호론-(19) 접근 제어(Access Control) 정보보호론-(19) 접근 제어(Access Control) 접근 제어(Access Control) - 시스템 자원에 대해 누가 어떤 유형의 접근이 가능한지를 지정하는 정책 주체(Subject) - 소유자(Owner) : 자원의 생성자, 시스템의 관리자 - 그룹(group) : 특정 그룹에 속한 사용자는 구룹에 부여된 접근권한을 동일하게 유지 - 전체(world) : 소유자와 그룹에 속하지 않는 사용자로서 최소한의 접근권한이 부여 접근 제어 정책 - 임의적 접근 제어(DAC, Discretionary Access Conrol) - 역할 기반 접근 제어(RBAC, Rule Base Access Control) - 강제적 접근 제어(MAC, Mandatory Access Control) 임의적 접근 제어(DA..