암호화
누군가에게 메일을 보낼때 메일 내용을 액면 그대로 보낸다면 네트워킹을 통해 공격자는 반드시 엿보고 있으며 메일 내용을 가로 챌수도 있다.
메일 내용을 암호화 시킨다면 공격자가 메일 내용을 가로 챈다고 해도 해독을 할수 없으므로 보안이 유지가 된다.
암호화에는 비밀키와 공개키 크게 2가지로 나뉘며 공개키가 더 많이 사용되고 있다.
비밀키 암호화 기법
˙DES(Data Encryption Standard) 알고리즘을 사용하며, 동일한 키로 데이터를 암호화 하고 복호화 함
˙복호화 키를 아는 사람은 누구든지 암호문을 복호화 할 수 있어 복호화 키의 비밀성을 유지하는 것이 중요!
˙대칭 암호화 기법, 단일키 암호화 기법이라고도 함
문서를 작업해서 보낼 때, 해당 문서 내용을 암호화 한다.
암호화 한다는것은 아무도 엿보지 못하게끔 문서내용에 대해 암호화 알고리즘을 이용해 암호화를 한다는것으로 이때 암호화할때 키가 필요하며, 이 키를 이용하여 암호화 하여 네트워크를 통해 전송을 하고, 수신자 입장에서 원래 내용으로 보여야 하며 이것을 해독이라 하는데 해독을 하기 위해서 또한 키가 필요하다. 이 때, 암호를 걸었던 키와 암호를 해독하는 키가 같은 키로 이루어 져 있는것을 비밀 키 암호화 기법이라고 한다.
만약 200명에게 메일을 보내려면 어떤식으로 비밀키를 전송해야할지 난감하다. 그래서 등장한것이 공개키 이다.
공개키 암호화 기법
˙RSA(Rivest Shamir Adleman) 알고리즘 사용, 비대칭 암호화 기법
˙서로 다른 키로 데이터를 암호화 하고 복호화 수행
˙데이터를 암호화 할 때 사용되는 키(공개키)는 공개하고, 복호화 할 때의 키(비밀키)는 비밀로 함.
핵심은 암호화를 할 때 수신자에게 메일을 보낼거라고 미리 얘기한다.
수신자는 암호화 키와 복호화 키를 둘 다 가지고 있으며, 송신자는 수신자의 암호화 키로 암호화하여 문서를 보내고 수신자는 나머지 복호화 키로 암호화 된 내용을 해독한다. 암호화 키가 복호화 키가 다른것을 비대칭 암호화 기법 이라고 부른다.
PKI (공개키 기반 구조)
˙PKI는 기본적으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들이, 신뢰할 수 있는 기관에서 부여된 한 쌍의 공개키와 개인키를 사용함으로써, 안전하고 은밀하게 데이터를 교환할 수 있게 함.
˙공개키 암호문을 사용
˙구성 요소
1) 인증기관 - 역할과 기능에 다라 계층적으로 구성되며, 인증정책 수립 및 인증서 발행 및 관리
2) 등록기관 - 인증 기관과 사용자 사이에서 등록기관을 두어 인증기관 대신 사용자들의 신분확인 대행
3) 디렉토리 - 인증서와 관련 정보들을 저장, 검색을 위한 장소
4) 사용자 - 일반적인 사용자는 물론이고 이를 이용하는 시스템도 포함
은행 거래 할 때 공인 인증서가 필요한데, 은행은 등록기관(RA)이 된다. 등록기관은 인증기관에 사용자의 정보를 넘겨준 후 인증기관에서 개인정보들을 토대로 하여 인증서를 발행하게 된다.
인증서 유효기간이 1년이며 만약 이 인증서가 담긴 장치를 잃어버렷을 때, 폐기 요청을 할 수 있다.
즉, 디렉토리 서비스를 한다.
인증서가 현재 사용중이라는 정보를 가지고 있으며, 사용자가 언제든지 인증서에 대한 폐기요청을 한다면 그 인증서를 찾아 폐기된 것을 표시하여 다른 기관에서 조회하더라도 유효하지않은 폐기된 인증서라고 뜨게된다.
암호화 프로토콜
| 1. SSH(Secure Shell) |
| ˙가장 많이 쓰이는암호화 프로토콜 ˙네트웍 상의 다른 컴퓨터에 인증을 통한 로그인과 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 함 ˙telnet, ftp를 암호화하여 전송 ˙스니핑 공격을 막고, 기존의 rsh, rlogin, rcp등을 대체하기 위해 설계되었으며, 강력한 인증방법 및 안전하지 못한 네트워크에서 안전하게 통신을 할 수 있는 기능을 제공 |
| 2. 전자서명(Digital Signature) |
| ˙자료를 송신한 사람이 추후에 부인할 수 없도록 신원을 증명하기 위한 서명 ˙특정인을 확인하기 위해 공개키 암호방식(RSA)을 사용 ˙메시지를 받는 사람이 메시지를 위/변조 할 수 없으며, 재사용이 불가능 ˙송수신자 신분을 암호화된 데이터로 메시지에 덧붙여 보내기도 하며, 전자상거래를 활용할 수 있음 |
| 3. 케베로스(Kerberos) |
| ˙ 개방된 네트워크에서 서비스 요구 를 인증하기 위한 방법으로 미국 MIT Athena 프로젝트에서 개발 ˙ 분산 컴퓨팅 환경에서 대칭키를 이용하여 사용자 인증을 제공하는 중앙 집중형 인증(authentication)방식 ˙ 사용자가 서버의 인증을 얻기 위해서 티켓 이라는 인증값을 사용 ˙ 개체 → 클라이언트 : 인증을 얻길 원하는 사용자의 컴퓨터 → 서버 : 클라이언트가 접속 하려고 하는 컴퓨터 → 인증 서버 : 클라이언트를 인증 하는 컴퓨터 → 티켓 발급 서버 : 인증 값인 티켓을 클라이언트에게 발급 해 주는 컴퓨터 ˙ 개방된 다른 기종간의 컴퓨터에서 자유로운 서비스 인증(SSO)이 가능 ˙ 대칭키를 이용하면 도청으로부터 보호받을 수 있지만 패스워드 사전 공격에는 취약 ˙ 타임스탬프(Time stamp)로 클라이언트와 서버에 시간 동기화 프로토콜이 필요하고, 재생 방지 공격을 위해 유효기간을 표기해야 함 |
보안기술
| 침입 탐지 시스템(IDS) |
| ˙ IDS(Intrusion Detection System)은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 주는 시스템 ˙ 방화벽보다 한 단계 발전한 형태로 네트워크 장비나 방화벽 시스템에서 모든 포트의 동작을 감시하여 침입이 의심되는 패턴을 검색 ˙ 사용자 시스템의 네트워크 또는 동작을 모니터링 하거나 보안 정책에 대한 정보를 체크 ˙ 우회공격기법의 통합 로그를 관리/분석 함으로써 어느 정도 예방할 수 있다. ˙ 탐지공격에 대한 자동 대응 및 근원적 차단의 한계성은 방화벽과 침입탐지 시스템의 상호 연동을 통해 보안 가능 ▶ 유형 ˙ 오용탐지(Misuse detection) - IDS는 수집한 정보를 분석하여 공격 문자열(공격패턴)을 포함하고 있는 대규모 DB와 비교 ˙ 이상탐지(Anomaly detection) - 미리 정상적인 사용자의 행위를 기록해 뒀다가 그 패턴과 상이한 경우를 모두 이상징후로 관리자에게 통보하는 시스템 ˙ 수동적 시스템(Passive System) - 잠재적인 보안의 틈새를 탐지하여 거기서 얻은 정보를 기록하고 관리자에게 알림 ˙ 대응적 시스템(Reactive System) - 의심스런 사용자와의 연결을 끊고 악성으로 의심되는 소스로부터의 네트워크 트래픽을 막기 위해 방화벽을 재설정 1)NIDS : 패킷 스니퍼를 바탕으로 정해진 패턴 데이터가 네트워크 상으로 전송될 경우 해킹으로 간주 단점 - 암호화 세션에 대한 탐지가 어려움 2)HIDS : 자신이 설치된 운영체제 내부 시스템의 여러가지 상태를 모니터링 하다가 특정한 패턴의 행위가 일어나거나 비정상적 상황이 발생하면 경고 발생 단점 - 해당 호스트의 성능저하가 일어날 수 있음 |
| 침입 방지 시스템(IPS) |
| ˙ IPS(Intrusion Prevention System)는 잠재적 위협 을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 ˙ 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄 |
공격 유형
| 패킷 스니핑(Snipping) |
 |
| ˙ 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 (도청) 행위를 의미 ˙ TCP/IP 프로토콜을 이용한 통신에서는 통신매체를 통과하는 패킷들이 암호화가 되어있지 않은 상태이므로 이 패킷을 도청하여 메시지 내용을 볼 수 있음 ˙ 모니터링 포트 (미러링 포트) - 스위치를 통과하는 모든 트래픽을 볼 수 있는 모니터링 포트가 있고 여기서 네트워크 사용량, 응답시간 등과 같은 장비 성능을 관리, 공격자가 여기에 자신의 PC를 연결하면 스니핑이 가능 ˙ 스위칭 재밍(Jamming) - 스위치가 ip주소를 MAC주소로 변경하기 위해 내부적으로 관리하는 매핑 테이블의 최대 저장개수보다 더 많은 정보를 추가하여(오버플로우) 스위치가 브로드캐스팅 모드로 전환하도록 하는 것 → 자신이 전달받은 모든 패킷을 연결된 다른 PC에 전달하는 모드가 됨을 의미 |
| 스푸핑(Spooping) |
 |
| ˙ 마치 자신이 수신자인 것 처럼 행세하여 송신자가 보낸 메시지를 강탈 ˙ 송신자로 행세하는 스푸핑은 서비스 거부 공격(Dos)의 수단이 되기도 함 1) DNS 스푸핑 - 공격대상의 DNS 쿼리가 발생하면 DNS 서버보다 공격자가 먼저 응답하여 공격자가 의도한 IP를 넘겨줌 2) IP 스푸핑 - 패킷을 전송할 때 공격자가 자신의 IP주소가 아닌 다른 시스템의 주소로 위장하여 공격대상 서버로부터 정보를 가로채는 방식 |
| 세션 하이제킹(Session hijacking) |
 |
| ˙ 상대방 세션을 가로채는 지능적 공격 기법 ˙ 정당한 접근권한을 획득한 사용자가 패스워드를 성공적으로 입력하여 로그온 후에 공격자는 현재의 연결된 세션을 넘겨받아 그 사용자 처럼 위장 ˙ 공격자는 서버로의 접근을 위해 ID, 패스워드를 사용하는 인증절차를 건너뛸 수 있음 |
기타 프로토콜 및 용어
| ① RTP - 인터넷을 통해 실시간으로 비디오 또는 오디오 데이터를 전송하기 위해 사용하는 프로토콜로, 표준화되지 않은 미디어 포맷 등 다양한 종류의 미디어 형식을 전달하는데 사용 특징 ⒧ RTP는 유니캐스트 및 멀티캐스트 방식의 전송방식 가능 ⑵ RTP는 QoS(서비스 품질)를 유지하거나 세션 관리 및 미디어 동기화를 가능하도록 하는 RTCP(Realtime Transport Control Protocol) 프로토콜과 함께 사용 ⑶ 전송계층의 UDP에서 수행 ② 자동협상(auto negotiation) - 상대방의 전송속도나 통신방식을 모른채로 상대 장비와의 통신속도를 자동으로 맞추어 주는 기술로써, 고속 이더넷 100Mbps가 정의되면서 서로 다른 전송 속도나 흐름제어 등에 상관없이 자동으로 두 장비 사이의 통신방식을 맞추게 하는 기술이 필요하게 됨 ③ IPSec(인터넷 계층 보안) - IP계층에서 패킷에 대해 보안을 제공하기 위해 IEFT가 설계한 프로토콜 모음으로, 특정 암호화나 인증방법을 사용하지 않는 대신에 프레임워크와 매커니즘을 제공(사용자에게 해싱 및 암호화, 인증방법을 선택하도록 함) ④ TLS(전송 계층 보안) - TLS는 WWW에서 보안을 제공하기 위해 넷스케이프사에 의해 SSL보안프로토콜에서 시작됨 ⑤ PGP(응용 계층 보안) - 이메일에서 기밀성, 무결성, 인증, 부인방지 라는 4가지 보안기능을 제공하기 위해 개발됨. 하나의 해시함수와 하나의 비밀키, 그리고 두 개의 개인키와 공개키 쌍을 사용 ⑥ Hot swapping - 전원이 on되어 있는 상태에서 모듈 교체를 가능하게 하는 기능 ⑦ Load valance - 하나의 인터넷 서비스가 발생하는 트래픽이 많을 때 여러 대의 서버가 분산처리 하여 서버의 로드율 증가, 부하량, 속도저하 등을 고려하여 적절히 분산처리 하여 해결해 주는 서비스 ⑧ DDNS(동적 DNS) - 주로 유동IP 주소를 사용하는 컴퓨터들의 경우에도 DNS정보를 쉽게 유지할 수 있도록 해주는 방법 ⑨ SSO(Signal Sign On) - 사용자가 하나의 패스워드로 로그인해서 다른 패스워드를 보내지 않고 사용자가 사용권한이 있는 모든 네트워크자원에 접근할 수 있는 인증을 얻는 것 ⑩ 무선응용통신규약(WAP;Wireless Application Protocal) - 이동전화나 PDA등 소형 무선 단말기상에서 인터넷을 이용할 수 있도록 해주는 프로토콜의 총칭 ⑪ 동적 디스크 (RAID) - 성능 향상 또는 안정성 강화를 위해 컴퓨터 내의 여러 하드디스크를 사용하여 데이터를 관리하는 것을 의미 기본 디스크는 파티션이라고 하여 주 파티션, 확장 파티션 으로 나뉘지만, 동적 디스크는 볼륨이라고 하며, 개수는 제한이 없고, 확장이 가능하여 각디스크에 할당되지 않는 공간을 합쳐 하나의 논리적 볼륨으로사용 가능. 볼륨 방식은 별도의 동적 하드 디스크를 단일 동적 볼륨에 결합(스패닝)하거나 여러 하드 디스크간에서 데이터를 분리(스트라이핑)하여 성능을 향상시키거나 여러 하드 디스크 간에서 데이터를 복제(미러링)하여 안정성을 강화 |
네트워크 용어 관련 단답형 유형 문제
# 아래 설명은 <전자 상거래 정보 보호 환경> 의 (A)에 해당하는 내용이다. (A)는 무엇인지 답안란에 입력하시오.
 |
| 답안란: PKI |
| 풀이 CA - 인증기관 |
# 아래 내용에 해당하는 침입탐지 시스템(Intrusion Detection System)의 탐지기법을 <보기>에서 하나 선택하여 답안란에 해당 번호를 입력하시오.
|
| 답안란: 1. 오용 탐지 기법 |
| 풀이 이미 발견되고 정립된 공격패턴을 미리 입력해두고, 이 말은 DataBase에 저장해둔다는 말이며 |
# 아래 내용에 설명하고 있는 네트워크 기술이 무엇인지 답안란에 적으시오
|
(A)란?
|
| 답안란: vpn |
| 풀이 사설망은 회사에서 조직 내부 에서만 사용할 수 있도록 만들어놓은 것을 사설망 이라고 한다. |