출처 : 열정에 기름붓기(페이스북 페이지)

보안 읽어주는 남자

접근통제

Sercurityplus Union Academy

목 차1. 접근의개요

2. 인증

3. 데이터접근통제

4. 보안모델

5. 공격기법

6. 침입탐지시스템

7. 침투테스트

1. 접근의 개요

Access control 원리

1. 접근의 개요 (1/5)

사 람프로세스프로그램

컴퓨터데이터베이스

파 일

주체 객체

접 근

접근통제란?

접근의 3단계

1. 접근의 개요 (2/5)

주체 객체식별

인증

승인

Identification

Authentication

Authorization

Reference Monitor

1. 접근의 개요 (3/5)

주체 객체ReferenceMonitor

Completeness

Isolation

Verifiability

“보안 커널의 가장 중요한 부분”

19

Access Control

물리보안경비원LocksCCTVToken

관리보안보안 정책보안 인식자산 분류직무 분리

기술보안암호화

접근 통제 S/W인증 매커니즘

백신

Control (Access Control을 보완한다)

예방통제 탐지통제 교정통제

방화벽보안인식교육

정책/절차“Inhibit”

(저지하다)

침입탐지시스템임계치/클리핑레벨

감사증적/로그“Identify”(확인하다)

허니팟BCP/DRP

백업“Diminish”

(줄이다)

Access Control vs Control

1. 접근의 개요 (4/5)

Defense Mechanism

1. 접근의 개요 (5/5)

Cost

Overlap

Work Factor

Defense-in-Depth (Multi-level Security)

Open Design

시스템 설계는 공개가 가능해야 한다.

“보안은 암호학적 키의 비밀성에 의존해야 한다.”

2. 인 증

인증구분 설명 기반 종류

Type 1 인증 Something you know 지식기반 패스워드, PIN

Type 2 인증 Something you have 소유기반 스마트카드, 토큰

Type 3 인증 Something you are 존재기반 홍채, 지문, 정맥

Type 4 인증 Something you do 행동기반 음성, 서명

인증분류

2. 인 증 (1/11)

다중체계인증 (서로Type 달라야한다.)

One Time Password

2. 인 증 (2/11)

OTP (One Time Password) 란?

One Time Password

2. 인 증 (3/11)

OTP (One Time Password) 의종류는?

스마트카드

2. 인 증 (4/11)

스마트카드란?

토큰

2. 인 증 (5/11)

토큰이란?

PCI-DSS

2. 인 증 (6/11)

암호화

접근통제

취약점 관리

주요내용

PCI-DSS

신용카드 정보 보안을 위한 표준

“주요 카드사가 신용카드 정보 유출 사고를 막기 위해

보안 표준 협의회(PCI)를 결성하여 만든 글로벌 보안 기준”

생체인증

2. 인 증 (7/11)

FRR (잘못거절될확률)

FAR (잘못받아들일확률)

CER (Cross over Error Rate)

정확성

<장점>

- 강력한 ‘식별’ 수단

- 부인 방지

<단점>

- 프라이버시 침해

- 사용자 거부감

- 추가 구축 비용

- 에러율

Single Sign On (SSO)

2. 인 증 (8/11)

SSO 란?

Kerberos 와 SESAME

2. 인 증 (9/11)

-커버로스의 단점을개선해서유럽에서세사미를개발.-암호화는대칭키 (비공개키) 를사용.-커버로스보다더욱강력한접근통제기능제공.-공개키시스템의확장성을가지면서키관리의Overhead는감소.

중앙집중 접근통제 관리

2. 인 증 (10/11)

인증

권한

과금

AuthenticationAuthorization

Accounting

RADIUS

Identity Management

2. 인 증 (11/11)

Identity Management 란?

일시 정지

3. 데이터 접근통제

Orange Book

3. 데이터 접근통제 (1/4)

‘오렌지 북’이란? (공개버전: TESEC)

Trusted Computer Security Evaluation Criteria

MAC(강제적 접근통제)

3. 데이터 접근통제 (2/4)

정의

Orange book B-Level

Mandatory

DAC(임의적 접근통제)

3. 데이터 접근통제 (3/4)

정의

Orange book C-Level

Discretionary

RBAC(역할 기반 접근통제)

3. 데이터 접근통제 (4/4)

정의

최소권한: 최소의권한만을허용하여권한의남용을방지.직무분리: 시스템의오용을일으킬정도의특권이부여된사용자없앰.

Role-Based

4. 보안 모델

39

Bell-LaPadula 모델(BLP)

4. 보안 모델 (1/4)

목적

정의

속성

BIBA 모델

4. 보안 모델 (2/4)

목적

정의

속성

• BIBA 모델

Bell-LaPadula 모델 vs BIBA 모델

4. 보안 모델 (3/4)

• BLP 모델

Doctor

Bell-LaPadula 모델 vs BIBA 모델

4. 보안 모델 (4/4)

Operating Room

Emergency

Personal

Secretacy

Secretacy

Secretacy

Nurse

Nurse

Nurse

Doctor

Doctor

Patient

Patient

Patient

LIST

FILE

Prescription

Receipt

찬우

ㅁㅅㅅ

정권

BLP Model

BIBA Model

5. 공격기법

44

무차별 공격

5. 공격기법 (1/14)

사전 공격

5. 공격기법 (2/14)

[출처 – 웹툰 ‘한국식 보안 상황에서 살아남는 법’]

버퍼 오버플로우

5. 공격기법 (3/14)

중간자 공격

5. 공격기법 (4/14)

세션 하이재킹

5. 공격기법 (5/14)

IP 스푸핑

5. 공격기법 (6/14)

웹 스푸핑

5. 공격기법 (7/14)

서비스 거부 공격(도스 공격)

5. 공격기법 (8/14)

TCP SYN Attack

5. 공격기법 (9/14)

Ping of Death

5. 공격기법 (10/14)

Land Attack

5. 공격기법 (11/14)

Teardrop Attack

5. 공격기법 (12/14)

SMURF Attack

5. 공격기법 (13/14)

분산 도스 공격

5. 공격기법 (14/14)

6. 침입탐지시스템

59

IDS 흐름도

6. 침입탐지시스템 (1/2)

흐름도

탐지가능한 공격

IDS False Error

Intrusion Detection System

IDS의 요소와 분류

6. 침입탐지시스템 (2/2)

자료수집위치에 따른분류

* H-IDS : 호스트자원사용실태를분석하여탐지.* N-IDS : 네트워크패킷을분석하고캡쳐함으로써공격을탐지.

항목 Misuse Detection Anomaly Detection

동일 용어 시그니쳐(지식)기반 통계(행동) 기반

탐지 방법 패턴 매칭 임계치 초과

적용 원리 전문가시스템 인공지능

장 점 오탐율 낮음 Zero-day 공격 탐지 가능

단 점 알려진공격만탐지 에러율 높음

침입탐지 방식에 따른 분류

7. 침투테스트

침투테스트 개요

7. 침투테스트 개요 (1/5)

정의 : 조직의정보보안수준을능동적으로평가하기위한프로세스의일환으로실제공격자행위( =hacking )의시뮬레이션을수행

Penetration testing

NDA(Non Disclosure Agreement)

7. 침투테스트 개요 (2/5)

기밀유지협약서란?

침투테스트 방법론

7. 침투테스트 개요 (3/5)

대상범위선정

정보수집

목록화취약점분석

공격시도

결과분석

대응방안마련

보고서작성

흔적제거

수행 전 모의침투 수행 후

Documentation

7. 침투테스트 개요 (4/5)

C-Level

Manager

Staff

“짧고 간결”

“컴플라이언스 초점”

“기술방안 초점”

Covert Channel(은닉채널)

7. 침투테스트 개요 (5/5)

은닉채널이란?