침입탐지시스템과 정보보안 안 병규(bkahn@cgii.co.kr)

목 차 Ⅰ. 정보보호 동향 Ⅱ. 보안정책과 네트웍 보안 Ⅲ. 침입차단시스템(수호신) 기술 Ⅳ. 해킹기술과 정보전쟁 목 차 Ⅰ. 정보보호 동향 Ⅱ. 보안정책과 네트웍 보안 Ⅲ. 침입차단시스템(수호신) 기술 Ⅳ. 해킹기술과 정보전쟁 Ⅴ. 수호신 특장점 Ⅵ 단계별 보안솔루션 도입 예 Ⅶ.보안정책의 수립 및 시행 Ⅷ.암호화 알고리즘(개요) Ⅸ.Q&A

Ⅰ.정보보호 동향(1) KISA(한국정보보호센타) 설립 : 1996.4 침입차단시스템(Firewall) 평가 기준 침해사고대응팀협의회(CONCERT) 국제침해사고대응 / CERT-KR , FIRST 보안시스템 평가 교육,기술,정책지원 침입차단시스템(Firewall) 평가 기준 평가등급 : K1(E) ~K7(E) TCSEC , ITSEC , CTCPEC

정보보호 동향(2) Security round! 전자상거래 정보보호제도 정보화사업 추진시 정보보호 대책 수립 및 감리 강화 인증기관에 의한 전자서명 인증제도 도입 정보화사업 추진시 정보보호 대책 수립 및 감리 강화 국내 개발 정보보호기술 및 제품의 적용 확대 Security round!

Security Round E.C (Internet) 기존의 무역 전자상거래 최대의 시장 지배 국가 정보종속국가 거래시스템 간 신뢰의 문제 제기 자국의 보안솔루션 수용 요구

Ⅱ. 보안정책과 네트웍보안(1) 보안정책의 Scope 기술적보안 물리적 ,관리적,기술적,인적보안 Network Server Client Database Application Main Frame

보안정책과 네트웍보안(2) Risk Analysis Security Policy -지침,절차 Select -Threat , Vulnerability Countermeasure -Minimized Risk -Cost Effective -Efficient Implementation Audit !!!!!!!!???###

Security is people’s problem. 보안정책과 네트웍보안(3) Security is people’s problem. -Awareness,Training,Education -The Food & drink for security

Ⅲ.침입차단시스템(Firewall) 외부망과 내부망사이의 유일한 통로에 위치하여 외부 네트웍의 허락되지 않은 접근으로 부터 내부 네트웍을 보호하는 장치 도입 필요성 가장 경제적이고 필수적인 보안 솔루션 내부 자원의 안전한 외부 제공 비공인 IP사용 네트웍의 인터넷 사용 시 필수

Why…..침입차단시스템 DB Server : 1,000대 PC : 30,000대 인터넷 위협 TCP/IP Main Frame 응용프로그램(기간업무) : 20,000본 외부위협으로 내부망을 보호하기 위한 비용 : ? ! ? ! ? ! ?…………..

Why…..침입차단시스템 수호신인터넷 인터넷 위협 방화벽 하나로 … 일단 O.K

침입차단시스템 기술(1) Access control Reference Monitor Object Subject -system -file -database Subject -user -process Rule DataBase

Access control : BLP model 의 보안정책 1.No-read up(주체의 보안등급이 객체보다 같거나 높을 경우 Read 가능) Object (S,{NATO,NUCLEAR,DOD}) Read O.K Read O.K Subject Object (S,{NATO,NUCLEAR,DOD}) (C,{NATO,NUCLEAR,}) Read 불가 Object (TS,{NATO,NUCLEAR,})

Access control : BLP model 의 보안정책 2.No-Write down(주체의 보안등급이 객체보다 낮거나 같을 경우 Write가능) Object Write 불가 (S,{NATO,NUCLEAR,}) Write 불가 Subject Object (C,{NATO,NUCLEAR,}) (S,{NATO,NUCLEAR,DOD}) Write O.K Object (TS,{NATO,NUCLEAR,DOD})

침입차단시스템 기술(2) Authentication(Identification) Something what you know / password , Key (otp) Something what you have / smartcard ,token Something what you are / Biometric,Retina,지문

침입차단시스템 기술(3) Audit trail(logging) Network address translation Alarm Packet statistics Hacking defense mode Real time monitoring One time password

침입차단시스템 기술(4) VPN(Virtual private network) : 인터넷상비화통신 방화벽(수호신) Internet / 전용회선 ??!$%&?#??#?& ??!$%&?#??#?& 방화벽(수호신) 방화벽(수호신) HASP,RSA,RC4,IDEA,DES,3-DES…...

침입차단시스템 기술(5) Mechanism-Packet filtering(1)

침입차단시스템 기술(6) Mechanism-Packet filtering(2) / IP layer Appls TCP/UDP Physical Datalink TCP/UDP Appls IP 내부망 외부망 Firewall

침입차단시스템 기술(7) Packet Filtering Type IP(Network/Transport) layer Port #(Service) 및 source / destination IP에 근거하여 Packet 제어 Router 기본 기능 특별히 제한하지 않은 서비스는 모두 허용한다. 단점 logging 정보 부족 추적감시의 기능 부재 하드웨어적인 버그에 취약 보안정책의 구현이 어려움 사용자 인증 불가 Session의 상황 감시 불가 장점 성능 비교적 우수 Transparency

침입차단시스템 기술(8) Mechanism-Application gateway(1) / Appls layer Appls Physical Datalink TCP/UDP Appls IP 내부망 외부망 Firewall

침입차단시스템 기술(9) Application gateway Type Hybrid gateway 기타변종 Application layer 특별히 허락하지 않은 모든 서비스는 제거된다. 독립적인 Process생성 / Application proxy Only TCP services 지속적인 Session 감시 Direct connection이 아닌 중개 방식으로 Application에 잠재할 수 있는 Trap에 대한 위험 제거 보안정책의 다양한 구현 및 검증이 용이 새로운 어플리케이션 등장 시 마다 프락시 개발 부담 강력한 사용자 인증(OTP) Hybrid gateway 두 가지 방식의 선택적 적용 가능 기타변종 Mac layer access control type

침입차단시스템 기술(10) Mechanism-Application gateway(2) / Proxies Client Server Telnet proxies

침입차단시스템 기술(11) Screened host type Internet Internal Suhocin Web Router Hub Internet Internal Suhocin Web

침입차단시스템 기술(12) Dual homed bastion host Suhocin Internet Internal Router Suhocin Hub Internet Internal Web Appls. / Email

Ⅳ. 해킹기술 및 정보전쟁(1)  Sniffering  방어기술 Ethernet을 통과하는 모든 통신 트래픽을 가로채서 원하는 정보(User name,password,mail)을 얻어내는 공격 Packet Broadcasting이용 Ethernet device를 Promiscuous mode로 변경  방어기술 Virtual private network(패킷 암호화) One time password 방화벽 설치시 구성상 방어

해킹기술 및 정보전쟁(2)  IP Spoofing(1) Tcp protocol의 3way handshake Server 1.SYN : Client to server, 동기화,Initial sequence #(ISN) 2.SYN/ACK : Server to client , 응답, ISN+1,동기화 요청 응답 3.ACK : 동기화 요청 응답에 대한 확인 메시지 -->통신개시 Client Server Seq#=X SYN SYN/ACK ACK ACK=X+1 Seq#=y ACK=Y+1 시간

SYN Flooding(DOS attack) 해킹기술 및 정보전쟁(3)  IP spoofing(2) Target host와 Victim host는 상호신뢰 Hacker host는 Target host에 Victim host의 IP를 도용하여 SYN packet발송 동시에 Hacker host는 Victim host에 SYN flooding attack Target host의 SYN/ACK packet을 가로챔(패턴분석) Hacker host는 SYN/ACK에 적절한 ACK를 Target host에 발행 Target host와 Hacker host간 세션성립 SYN X X.target.com X.victim.com X.target.com X.victim.com ACK SYN Flooding(DOS attack) step1 step3 Source IP=X.victim.com step2 X.Hacker.com X.Hacker.com

해킹기술과 정보전쟁(4) Denial of service IP spoofing 방어기술 DNS spoofing 외부에서 내부의 IP를 가지고 내부로 Access하는 모든 패킷에 대해 접근 거부 VPN, OTP사용 DNS spoofing Target host의 Name server내 DNS table변조 10.1.1.2 IN PTR x.hacker.com --> 10.1.1.2 IN PTR x.victim.com Target host는 잘못된 Name server의 정보 사용 Denial of service 시스템 자원에 대한 가용성(Availability) 파괴 네트웍 서비스거부 공격 TCP SYN Flooding(service overloading) Mail bomb,Mail storm,Mail flooding(message flooding) Signal grounding (전원차단등 물리적 방법) ICMP attack /Echo reply,Destination Unreachable,ICMP redirect

해킹기술과 정보전쟁(5) TCP SYN Flooding Port : X 공격대상 호스트 SYN Flood 공격자 HACKER SYN Flood Attack 서비스 거부

해킹기술과 정보전쟁(6) Land attack (‘97.12발표) TCP SYN Flooding Attack 변형 IP기반의 라우터 및 서버의 성능 장애나 Down유발 (CISCO router) Step SYN packet의 Source 주소를 Destination주소로 위장하여 전송 SYN packet을 받은 시스템은 자신의 주소로 응답, SYN/ACK 전송 loop back 장애 발생 서비스 중단

해킹기술과 정보전쟁(7) OS의 신뢰성과 Firewall Windows NT 기반의 Firewall system 미국 Microsoft사의 Blackbox로 운영체계내의 Trap door등의 문제가 미정부와 MS의 철저한 통제하에 있음. 미국 내에서도 신뢰성 있는 UNIX에 주로 설치 Unix용 Firewall에 WUI사용 시 더욱 안전성 있는 Windows환경 제공 동일한 성능의 Unix machine과 NT 비교시 실질적 가격차 없음

해킹기술 및 정보전쟁(8) Information Warfare (전자정부,전자軍) 보안의 확대 개념 = 안보 美國 : Key escrow policy (Big brother) MISSI:Multilevel Information system security Initiative -각 계층별 다중 정보보호체계 -유럽은 주요시스템 격리 운용 IW사용기술 Electronic magnetic pulse gun TEMPEST Hacking Bugs………..

Ⅴ. 수호신인터넷 특장점 우수한 성능 정부기관 ,군 , 기업 각각 전용으로 개발됨. 순수국산기술 편리한 사용자 인터페이스 및 한글도움말 다양한 커스터마이징 (그룹웨어 프락시) 국내 유일 SQL*NET(Oracle) proxy 보유 벤더 자체 핵심기술력 풍부(Man power 국내 최대) 다양한 레퍼런스 신소프트웨어 대상 수상 국내 보안시스템 최초 NT(New Technology) 획득

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 0-단계 Model ■ 보안 0-STEP : 무방비 상태 •인터넷에 내부망이 연결되어 있으나 인터넷으로 부터의 해킹위협에 무방비 상태로 노출되어 있음. 전산자원 취약성 & 위협요소 (외부망)

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 1-단계 Model ■ 보안 1-STEP ⇒ 수호신 R.A(Risk Analysis) ☞기업전산망에 존재하는 취약성 및 위협을 분석한 후 투자대비 효율성을 분석, 기업전산망에 가장 적합한 보안솔루션 선정 및 보안정책, 보안관리 체계 수립 기업전산망 보안 위협 분석/ 기업전산망 정보보안 대상 선정 전산자원 취약성 & 위협요소 (외부망) 수호신 R.A (위험분석 Tool) 기업전산망 정보보안 정책 수립/ 기업전산망 정보보안 메커니즘 설계

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 2-단계 Model ■ 보안 2-STEP ⇒ 수호신Internet • 외부네트웍의 허락되지 않은 접근으로부터 내부 네트웍 보호 및 외부망과의 안전한 정보전송을 목적으로 한다. 전산자원 취약성 & 위협요소 (외부망) 수호신Internet 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 3-단계 Model ■ 보안 3-STEP ⇒ 수호신LAN • 내부망의 각 부서 및 지사간의 정보흐름을 제어하기 위해 주요 정보를 한 곳으로 모아 원격 중앙 통제하여 내부 부서간의 정보흐름 제어한다. 취약성 & 위협요소 서버 전산 자원 전산 자원 취약성 & 위협요소 (외부망) 수호신LAN 수호신Internet 클라이언트 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 4-단계 Model ■ 보안 4-STEP ⇒ 서버보안 TOOL • Client/Server의 분산처리 환경에 따른 위험증가로 내부의 각 중요Server를 대상으로 중앙 에서 전체 서버의 보안정책을 정의하고 제어하며 적절한 로그와 감사기능을 제공하여 내부 중요 Server를 보호한다. 취약성 & 위협요소 서버 전산 자원 전산 자원 취약성 & 위협요소 (외부망) 수호신Internet 클라이언트 Server 보안 Tool 수호신LAN 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 5-단계 Model ■ 보안 5-STEP ⇒ 수호신DESK •디스켓 및 자료의 불법적인 유출을 원천적으로 봉쇄하기 위하여 H/W board를 이용한 Booting 제어, 사용자 정보관리, 디스켓 복사방지, 파일 암/복호화 기능 및 무결성을 검사하는 P.C보안시스템 취약성 & 위협요소 서버 전산 자원 전산 자원 수호신Internet 취약성 & 위협요소 (외부망) Server 보안 Tool 수호신LAN 클라이언트 수호신DESK 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 6-단계 Model ■ 보안 6-STEP ⇒ 수호신VPN & 수호신Remote • 원격지간의 암호화 통신프로그램(Server-to-Client 및 Server-to-Server)으로 다양한 암호화 알고리즘 지원(IDEA,RC4,DES,3DES,HASP,RSA…) 취약성 & 위협요소 수호신IDS Server 보안 Tool 서버 전산 자원 전산 자원 수호신LAN 수호신Internet 취약성 & 위협요소 (외부망) 클라이언트 수호신DESK 수호신Remote 클라이언트 수호신VPN 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 7-단계 Model ■ 보안 7-STEP ⇒ 수호신CA • 특정서비스를 하는 Server 에 탑재하여 정확한 사용자 신분확인을 위한하기 위한 전자적인 신분증(인증서)를 발급하는 시스템 수호신CA 취약성 & 위협요소 Server 보안 Tool 서버 전산 자원 전산 자원 취약성 & 위협요소 (외부망) 수호신LAN 수호신Internet 클라이언트 수호신DESK 수호신Remote 클라이언트 수호신VPN 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 정보보안솔루션 8-단계 Model ■ 보안 8-STEP ⇒ 수호신IDS • 불법 침입의 시도 또는 시스템에 접속한 사용자들의 불법적인 침해 행위를 실시간 으로 감지, 추적하는 기능을 수행 수호신 CA 취약성 & 위협요소 수호신IDS Server 보안 Tool 서버 전산 자원 전산 자원 수호신Internet 취약성 & 위협요소 (외부망) 수호신LAN 클라이언트 수호신DESK 수호신Remote 클라이언트 수호신VPN 취약성 & 위협요소 수호신 R.A 보안시스템 운영조직 보안감사

Ⅵ. 단계별 보안솔루션 도입 예 보안관리 Check List

VII.보안정책의 수립 및 시행(1) 보안정책의 필요성 보안 통제의 수준 설정 자원에 대한 등급 부여 기준 설정 관리 권한 및 책임 부여 적절한 보안대책(Solution) 선택 보호 Attack A1 A2 A3 T1 t2 t3 S1 S2 Attack 보호실패 손실발생 Attack 보호대책전무 손실발생 자산

보안정책의 수립 및 시행(2) 1. 보안정책의 목표 2. 보안 요구조건 3. 보안 기본방침 4. 적용대상 및 범위 5. 자원별 보안등급 분류기준 6. 구성 요소별 보안 관리지침 및 실행계획 6.1 관리적 보안대책 6.2 기술적 보안대책 6.2.1 네트웍 6.2.2 서버 6.2.3 데이타베이스 6.2.4 HOST 6.2.5 클라이언트 6.2.6 어플리케이션 6.2.7 인터넷 6.2.8 USER ID 관리방안 7. 대외 보안정책 계열사 및 관련사 보안관리 8. 보안 관리조직 가 . 조직구성 및 역할 나 . 권한과 책임 9. 보안사고처리 10. 직원 ( 일반사용자 ) 의 의무 및 책임

보안정책의 수립 및 시행(3) 인터넷 관련지역 보안정책(예) 외부에서 내부로의 모든 접속은 Logging한다 외부로부터의 E-mail은 외부메일서버에서 받는 역할만 하고 내부메일서버로 Forwarding되어 저장된다. 외부 메일서버의 보안취약성을 고려한 메일보안관리. DNS서버는 외부 네임서버의 정보만 일방향으로 조회할수 있도록 한다. web서버는 해킹시 피해를 최소화 할 수 있는 낮은 보안등급의 자료만 제공한다. E-mail의 Password변경은 정한 절차에 따라 관리자 만이 변경 할 수 있도록 함으로서 메일서버 자체가 갖는 보안 취약성을 보완한다.

보안정책의 수립 및 시행(4) 인터넷 관련지역 보안정책 Firewall과 DMZ는 Broadcasting packet이 없는 별도의 네트웍으로 분리하여 Sniffering을 방지한다. DMZ의 host는 정기적인 검사를 통해 promicuous mode 를 제거한다. IP spoofing 및 SYN flooding공격을 막기위해 Firewall은 내부주소에서 내부로의 접속을 불허하도록 구성한다. Dial-up접속자나 BBS를 통한 사용자를 위한 통신서버는 DMZ에 둔다. Source ip가 DMZ인 패킷은 내부로의 접근을 제한한다. Firewall은 침해사고발생시 양단네트웍을 통한 통신을 단절시킨다.

보안정책의 수립 및 시행(5) 인터넷 관련지역 보안정책 Web서버를 통한 내부호스트정보의 실시간 서비스가 있을시 특정포트나 응용에 대해 Firewall에서 기동되는 Application gateway를 개발한다. 외부 ISP와 연동하는 라우터는 패킷필터링을 원활히 하기위해 최신의 OS버전을 유지한다. ISP와 연동하는 외부라우터의 라우팅 프로토콜은 연동하는 ISP라우터의 라우팅 프로토콜과 달리한다.

보안정책의 수립 및 시행(6) 침입차단시스템(Firewall) 관리 운영 정책 Firewall system은 타서버(WEB,MAIL..etc.)와 함께 운영하지 않는다. Firewall system은 관리자 1인외 모든 시스템계정을 폐쇄한다. Firewall system은 불필요한 네트웍서비스를 모두 없앤다. Firewall system과 같은 네트웍엔 호스트를 두지 않는다. 일,주,월 단위 logging정보는 분석을 통해 보안정책에 반영한다

보안정책의 수립 및 시행(7) 침입차단시스템(Firewall) 관리 운영 정책 OTP사용자관리는 행정적인 신청 및 말소업무에 관한 책임자의 승인을 득하는 Process를 갖는다. Firewall시스템의 구성이나 적용정책의 변경 시 반드시 이를 기록으로 남기고 검증의 자료로 활용한다. Firewall은 버전관리,구성관리,변경관리,보안관리를 문서화 시켜 사내 비밀보관소에 안전히 보관한다. Firewall은 주변 Screening router와 밀접한 관계를 유지하므로 주변 라우터의 부주의한 구성 변경 시 효율이나 보안성이 떨어질 수 있다.

VIII. 암호화알고리즘(개요) 1. (symmetric Cryptosystem) -One key system : 대칭암호체계 (symmetric Cryptosystem) -One key system : 암호화 및 복호화 암호키가 동일 -Symmetric : 암 / 복호화 과정이 동일 ( 관용키암호시스템 ) -Secret key : 암호키를 비밀로 보유 -DES(Data encryption standard) 미연방표준 H/W 기반 Block 암호알고리즘

암호화알고리즘(개요) 2. (Asymmetric Cryptosystem) -Two key system : / 비대칭 암호체계 (Asymmetric Cryptosystem) -Two key system : 암 / 복호화 암호키가 상이 공개키로부터 비밀키 유추가 수학적으로 불가능 -Asymmetric ; 암 / 복호화 과정이 상이 -Public key : 암호화 암호키 -Secret key : 복호화 암호키로 비밀로 유지 -One way Function : 암호화는 계산 가능하나 복호화 불가능 -Trapdoor One way Function : 비밀정보인 복호화 암호키를 알고 있을 경우 복호화가능 -RSA(Rivest,Shamir,Adleman) 큰 합성수를 인수분해하는 문제의 어려움에 안전성이 근거 만료기한 : 2000 년 9 월 -Digital Signature system

암호화알고리즘(개요)

암호화 알고리즘(개요)

㈜사이버게이트 인터내셔널의 VISION 國寶 -회사,인재 & 수호신

Q & A