Information Security (160) 썸네일형 리스트형 TCP Wrapper * TCP Wrapper : 리눅스의 인터넷 서비스 포트별 프로토콜 접근 제어 구현 모듈로 호스트 기반 네트워크 접근에 대한 필터링 수행 - 방화벽(F/W, Iptables)이후 애플리케이션에 대한 접근을 직접 통제 * TCP Wrapper 절차 절차 내용 1. xinet.d 서비스 구동 리눅스에서 서비스를 올려주는 주체 데몬 2. /etc/hosts.allow 확인 허용할 대상을 지정한 파일 3. /etc/hosts.deny 확인 거부할 대상을 지정한 파일 4. 연결 허용 allow, deny 두 파일에 일치하는 규칙 없을 시 허용 - 위 특징으로 인해 hosts.deny 파일 마지막에 ALL:ALL이 없다면, 허용도 차단도 명시되지 않아 허용이 되도 모르는 문제가 존재 - 보통 블랙리스트(가용성 측면.. Windows 접근 구조 및 Local/Remote 인증 * 윈도우 인증 구조 : Challenge & Response 방식으로 사용자에게 인증 요청을 수신, 규칙 또는 랜덤한 Challenge 값을 생성 하여 전달, 이후 사용자는 해당 Challeng 값과 패스워드 정보를 이용한 Response 값 생성 후 서버에 전달, 해당 값을 확인하여 인증 성공 여부를 전달 * 윈도우 인증 암호 알고리즘 알고리즘 내용 LM (Lan Manager) 해시 Windows 2000, XP의 기본 알고리즘으로 취약하여 Vista 이후 사용 불가 NT (New Technology) LM 해시 LM 해시에 MD4 해시가 추가된 형태 NT (New Technology) LMv2 해시 Vista 이후 Windows 기본 인증 프로토콜로 복잡도 충분으로 크래킹이 어려움 - Lan Ma.. 접근 통제 (Access Control) * 접근 통제 : 사용자(주체)의 신원을 식별, 대상 정보(객체)에 대한 접근과 사용 수준을 인가(Authorization) 하는 절차 * 접근 통제 원리 구성 요소 내용 정책 (Policy) 자원에 접근하는 제한 조건을 정의 모델 (Model) 시스템 보안 요구를 간결하게 표현 메커니즘 (Mechanism) 요청을 규칙에 대응시켜 검사 및 제한 * 접근제어 메커니즘의 구성 요소 - ACL : 객체 기준으로 허가받은 대상 - CL : 주체 기준으로 허가받은 접근 가능 권한 - SL : 객체에 부여된 보안 속성 집합 * 접근 통제 정책과 모델 구현의 원칙 원칙 내용 최소 권한 부여 업무 수행에 꼭 필요한 권한만 부여 최대 권한의 정책 데이터 공유의 장점으로 가용성을 관리 직무 분리의 원칙 직무별로 권한을 .. FIDO (Fast Identity Online) * FIDO : 온라인 환경에서 바이오 인식 기술을 활용, 기존 인증 체계와 연동하여 토큰&공개키로 개인 인증(전자 서명 등)을 수행하는 기술 - Who you are (본인 자체)에 해당하는 인증 기술 * FIDO 인증 규격 표준 분류 내용 UAF (Universal Authentication Framework) 비밀번호 대신 로컬 인증(지문, 목소리 등)을 통해 온라인 인증 수행 U2F (Universal 2nd Factor) 로컬 인증 외 추가 인증을 통해 보안을 강화하는 방법 (보안 토큰 사용 등) * FIDO 버전 버전 특징 FIDO 1.0 모바일 앱 중심으로 바이오 정보를 통해 인증 수행 FIDO 2.0 모바일 및 PC, 웹 브라우저 등 다양한 체제에 대한 FIDO 지원 * FIDO 아키텍처 .. OAUTH (Open Authorization) OAUTH : 회원가입 없이, 기존 가입된 사이트(서비스 공급자)의 인증 정보를 API를 통해서 보호된 자원에 접근을 허가하는 기술 (제 삼자의 인증 정보를 이용한 인증 처리) * OAUTH(1.0) 인증 절차 1. 사용자 (본인) : 접근 권한을 서비스 공급자에게 제공하도록 허가하여 미 가입, 필요 대상을 이용 2. 서비스 공급자 : OAUTH를 통해서 기존에 가입된 계정(사용자의 기 가입 계정)으로 인증하도록 제공 3. 미 가입, 필요 대상 : 실제 서비스를 제공할 수 있는 제공자로 인증을 이용 4. Request Token : 사용자 (본인)가 이용할 수 있게 정보 접근 권한을 전달 5. Access Token : 인증 후 실제 자원에 접속하기 위해 요구하는 토큰 SSO(Single Sign On) / EAM(Enterprise/Extranet Access Management) / IAM(Identity Access Management) * SSO : 한번의 시스템 인증을 통해 여러 시스템에 재인증 절차 없이 접근할 수 있는 통합 로그인 솔루션 * SSO 적용기술 적용 기술 측면 종류 인증 측면 PKI / 바이오 인식 / OTP 관리 측면 LDAP / Cookie * SSO 구현 모델 분류 내용 Delegation (대행) 모델 ID, PW를 가지고 인증 요청 시 직접 에이전트가 전달, 해당 시스템에 직접 인증을 수행 Propagation (정보 전달) 모델 SSO와 개별 업무시스템 간 신뢰 관계에서 사용자가 SSO 에이전트에 인증을 수행하면 이후에 토큰으로 이용 - 웹 환경에서 보통 Propagation 방식을 주로 사용 / 혼합한 하이브리드 방식도 존재 * EAM : 시스템별, 사용자별 인증 및 접근 권한을 통합적으로 관리하며 보안 .. Kerberos * Kerberos : 분산 컴퓨팅 환경에서 시간 개념이 있는 티켓을 통해 임시적 사용자 인증을 제공하는 인증 방식 - MIT의 아테나(Athena) 프로젝트에서 개발한 중앙 집중 형태의 보안인증 모델 * Kerberos 인증 절차 - 일시적 티켓은 중간에 노출되더라도 이미 효력이 없어 재사용이 불가하게 됨 AAA (Authentication, Authorization, Accounting) * AAA : 불법적 서비스 사용을 방지하는 목적으로 인증, 권한 레벨 검증, 과금 기능을 제공하는 서비스, 프레임워크와 기술들 AAA 내용 Authentication (인증) 내가 누구인지에 대한 증명 - PKI (Public Key Infrastructure) - PAP(Password Authentication Protocol - 출입 카드) Authorization (권한) 사전에 허락 받은 권한 내 행위 가능 - ACL (Access Control List) - CL (Capability List) - SL (Security Level) Accounting (과금) 이용 양에 비례하여 자원 비용 지불 - AMI (Account Management Information) * AAA 과정을 만들어 .. 이전 1 ··· 11 12 13 14 15 16 17 ··· 20 다음
