PART3. 접근통제

 

목차

SECTION 1. 접근통제 개요
SECTION 2. 인증
SECTION 3. 접근통제 보안 모델
SECTION 4. 접근통제 보안 위협

 

SECTION 1. 접근통제 개요

 

1. 접근통제(접근제어)

가. 개요

접근을 통제함. 먼저 접근을 제어한다 = 권한이 있는 사람만 정보에 접근 가능

어떤 회사나 조짖그이 민감 정보가 권한이 없는 사람에게 노출되는 것을 막는 것

접근을 통제한다 

주체: 사람

객체: 파일

접근: CRUD 행위를 함

 

나. 접근통제 정의

허가된 사용자가 허가된 방식으로 파일을 조작하는 것

다. 접근통제 절차

1) 개념

식별, 인증, 인가 

식별: ID, 인증: 패스워드, 인가: 권한을 부여

2) 접근통제 구성

아이디로 식별하고, 회원가입할 때 보면 아이디는 중복체크,

인증은 본인이 맞나 확인, 지식기반, 소유(사원증, 출입증), 존재(생체 인증)

인가는 권한 부여 

가) 인증의 종류

사용자 인증과 메시지 인증이 있음.

메시지인증: 메시지 출처 인증

나) 인가

권한을 부여하는거

다) 접근통제 3단계

식별-인증-인가

 

2. 접근통제 기본 원칙

1) 접근통제의 원칙

가) 최소 권한 정책 = 알 필요성의 원칙 <-> 최대 권한

내가 어떠한 작업을 할 때 내가 딱 알아야 하는 것만 아는 것

쓸데없이 더 큰 권한이나 자료를 주면 안됨. 일개 사원한테 회장급 권한을 주면 안되지.

즉, 니가 일을 수행하기 위해 이건 알아야지;;; 임

 

객체(파일) 접근에 대하여 강력한 통제를 붕여하는게 효과가 좋더라

때때로 정당한 사람에게도 추가적인 권한을 부과할 수 있음. 

현재 작업을 완료하는데 필요한 최소한의 권한만 주는거임. 

 

나) 직무분리

업무 칸막이임. 내가 감사만 하면 감사만 해야지 허가도 하고 그러면 안됨. 공모가 되어버려.

보안관리자와 감시자 분지, 개발자/운영자 분리 등

공모를 막기 위해 직무 순환도 있음. 

 

SECTION 2. 인증

1. 개념

패스워드: 내가 나예요를 증명

사용자 인증과 메시지 인증(메시지 출처 인증, 데이터 출처 인증)으로 분리함.

보통 인증! 하면 사용자 인증임. 

 

2. 사용자 인증과 메시지 인증

가. 사용자인증

내가 진짜다~ 

나. 메시지 인증(데이터 출처 인증)

전송되는 메시지 냉용이 변경이나 수정되지 않고, 본래의 정보를 그대로 가지고 있음을 확인시키는 것임.

 

식별: 아이디

인증: 패스워드, 메시지 인증과 개체인증(사용자 인증)

인가: 권한 부여

계정: 아이디+패스워드: 인증관리나 계정관리나 같은 말임

 

3. 사용자 인증기술

가. 개념

그가 맞는지. 보통 지식기반인 패스워드임. 근데 가장 취약해서 사원증. 사원증 대충 들고 다니던데? -> 지가 관리 못한거임.

안전성: 지식기반 < 소유기반 < 존재기반(지문, 홍채 등 생체인증) 

나. 종류

1) 사용자 인증의 유형

타입1: 지식기반, 니가 아는거, 패스워드/i-PIN -> 근데 아이핀 없어지는 중 ㅎㅎ;

타입2: 소유기반, 니가 가진거, 토큰, 스마트카드, ID카드, OTP, 공인인증성

타입3: 생체인증, 니가 누군뎅, 생체인증

타입4: 행위기반, 주체가 하는 것, 서명(싸인), 움직임, 음성 -> 연구중임.

투팩터: 위 타입 중 2개, 2은행에서 아이디 패스워드 하고 문자 인증함

멀티팩터: 위 타입 중 3개

타입3+타입4 = 생체인증

2) 지식 기반 인증

가) 개념

아이디, 패스워드 

사람들이 패스워드 쓰는 순서가 유사하더라.

나) 아이디/패스워드 방식

보안성 떨어지지만 사용이 편리함.

8자 이상 대문자+소문자+숫자+특수문자

간편하고 보안성이 낮음

인증시스템 구축이 용이함

사전 공격에 취약함 이걸 막으려고 솔트(소금, 무작위 난수)를 넣음~

다) 패스워드를 안전하게 관리하기 위한 방법

최소 8자, 대소문자와 숫자, 특수문자

패스워드를 돌려쓰는 것도 문제지~

라) i-PIN

정부에서 만들었음. 주민번호 안 넣게 하려고, 근데 사람들이 ipin발급 과정이 귀찮음. 없어졌답니다~

영지식 증명: 서버한테 내 패스워드 알려주기 싫은데, 내가 그 패스워드를 알고 있음을 증명해야함 그때 쓰는게 영지식 증명이고, 동굴의 예임.

캡챠: 자동가입방지-> 옆에 보이는 숫자를 입력하슝 

로봇이 아닙니다 클릭하는 것도 마우스 움직임을 잡는다고 함.

3) 소유기반 인증

가) 개념

다양한 형태의 물리적 매체, OTP방식, 매번 바뀌기 때문에 패스워드가 유출되어도 괜찮음.

나) OTP형식

일반적으로 시도.응답방식 인증서버가 나한테 1회성 문제를 줌. 그럼 나는 비미키로 암호화된 response를 보냄. 사용자가 많으면 인증 서버의 관리부담이 새ㅇ길 수 있음.

 

시간 동기화 방식도 있음. OTP서버와 내가 가진 오티피가 특정 시간마다 바뀌는 OTP가 있음. 대칭키 사용함

다) 보안카드

보안성이 낮음 훔쳐서 쓰면 되어서... 사람들이 자꾸 사진찍어서 저장해 ㅠㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

라) 공인인증서

악성코드에 의해 유출 될 수 있음. 

마) 기타

4) 존재기반인증(생체기반 인증)

가) 개념

러시아 수학자가 홍채인식 만듦 홍채 주름 패턴이 사람마다 다르다고 함. 정밀함 조절 가능함. 민감도 조절 가능

생체 인증은 민감도에 의한 오류를 만들기도 함.

보편성ㅇ, 유일성, 영속성, 획득성

FAR:  오인식: 창고에 홍채인식이 있는데, 민감도가 낮아서 도둑이 홍채인식했는데 열림

FRR: 오거부: 민감도가 너무 높아서 나도 못들어감 ㅠㅋ

나) 지문인식

가장 간단하고 저렴함, 에러율 살짝 높지만 편리함. 손에 물 묻으면 안됨. 스캐너에 묻은 지문은 추출이 가능한게 좀 아쉬움

-> 요즘은 정맥을 쓰기도 한다고 함.

다) 안면인식

옛날엔 잘 못했는데 요즘은 아주 잘 인식함.

라) 홍채 및 망막인식

시신경이 모여있는 곳이 망막임. 지문보다 7배의식별정보를 가짐. 

-> 눈 뽑아서 홍채인식 할걸 우려해서 빛을 살짝 내서 동공 크기 바뀌는걸로 죽은건지 확인한다고 함;;

 

홍채는 오전과 오후가 또 다름; 오후에 약간 동태눈 되나봄

마) 음성인식

바) 생체인증의 정확성

FRR: 오거부률, 민감성이 너무 높은 경우

FAR: 오인식, 오픈 마이 시큐리티

CER: 오거부과 오인식률이 교차하는 지점, 적당한 민감도 지점,  CER를 아래로 내리는게 생체인증의 목표임

FRR은 민감도가 높은 것

CER을 아래로 내리는게 생체인증의 발전 목표

FRR은 보안성 강화, 단 편리성 저하

FAR은 민감도가 낮은거임. 보안성 저하, 편리성 강화

ERR= CER 

 

False Positive: 오탐, 긍정오류. 공격이 아닌데 공격이라고 판단하는 것

 -> 허구한 날 울리는 화재 경보기, 늑대가 나타났다~

False Negative: 미탐, 부정오류, 공격인데도 맹충한거; 불났는데 조용한 화재경보기

뭐가 더 안좋을까, 오작동한 경보기가 부정오류보다 나음, 거짓말쟁이 양치기 소년의 늑대가 나타났다 외침에 아무도 안나타나는 공포영화

불 났는데 벨 안울려봐....

물론 둘 다 나쁜거긴 함.

 

FRR은 펄스 포지티브고, FAR는 펄스 네거티브의 성격이 있음. 

 

사) 키 입력 패턴 인식

사람이 타이핑 할 때 독특한 리듬이 있음.

모니터를 보고 있는지 볼 수 있는 등

 

아) 비교

타입1 지식기반: 아이디 패스워드, 아이핀

타입2 소유기반: OTP, 보안카드, 공인인증서

타입3 존재기반: 지문인식, 안면인식, 홍채인식, 음성인식

 

4. 통합 인증체계

가. SSO

한 번만 인증한당. 우리는 인사관리, 영업관리, 통계관리 매번 로그인하면 힘드니까 한 번만해서 로그인하장.

대표 솔루션이 커버로스(케르베르스) 클라이언트, 서버, 싱글사인온을 말함.

 

나. 커버로스

1) 개념

티켓기반, 보통 1일 티켓으로 추가적인 인증없이 다양한 서버에 로그인 할 수 있다.

니덤-슈로더 프로토콜을 기반으로 함  -> 삼성이 이거 씀.

타임스템프를 이용해 재생공격을 예방할 수 있음. -> 패스워드에 발생 시간을 찍어, 그걸 중간에 카피해서 쓰면 시간값이 달라서 로그인이 안되겠지~

2) 커버로스

클라이언트가 있고 회사에는 생산관리서버, 품질관리서버,인사관리서버가 있음

출근해서 인사관리 로그인, 품질 로그인 어쩌구 로그인... 귀찮잖아.

 

KDC키 분배 센터(커버로스) 인증서버(AS) 티켓 발급서버(TGS)  

출근해서 AS에 로그인 함(패스워드를 보냄).
AS는 사용자가 DB에 접근권한이 있는지 확인하고, TGT(인증값) 사용자에게 발급함.

사용자는 TGT를 TGS(티켓발급서버)에 보내고 로그인함.
그럼 TGS는 SGT(티켓)를 줌.

그러면 SGT를 통해 서버들에 로그인 함. (발급받은 티켓을 재사용하여 서벙에 접속함)

-> 즉 AS는 클라이언트가 TGS에 접속하는데 필요한 세션키와 TGS에 제시할 티켓(TGT)을 암호화하여 반송한다.

 

TGS가 발급하는 티켓은 응용 서버의 대칭키로 암호화한다.(DES ver.4사용)

끽해야 천명 수준은 걍 대칭키 써도 상관 없음;;
-> 사용자끼리 키 교환을 안하고 TGS랑 사용자만 교환하면 되어서 1만명이면 키 1만개면 됨

 

3) 시스템 구성: 분산된 클라이언트 / 서버 구조

가) KDC

(1) AS: KDC는 TGT를 발행함. 

(2) TGS: TGT을 발급받아서, SGT를 발급함.  

그리고 이들을 암호화할 땐 대칭키로 암호화 함

-> 원거리도 이거 할 수 있음. TCP/IP 

암호화 할때 대칭키로 암호화 한다가 중요함. (DES ver.4)

 

나) 접속 서비스/서버

다) 접속 클라이언트(사용자)

4) 인증절차(커버로스 동작)

가) 개념

제 3자 인증 서비스를 제공 -> KDC가 끼어 듦

인증서버 AS와 티켓그랜드서버TGS로 구성된 KDC에 접속하고 

TGS가 발급하는 대칭키로 암호화한다. (DES+UDP) -> TCP: 속도 느리고 신뢰성, UDP:속도 빠르고 신뢰 ㄴ

한 번 인증을 받은 클라이언트는 TGS에 여러차례 접속 가능(재사용 가능), 여러 응용서버에 접속 할 때 요 티켓도 재사용 가능하다.

나) 사용자가 어떤 서비스 또는 서버에 접속하려면

다) 티켓 종류

TGT, SGT

라) 3단계 인증절차

클라이언트 -> AS - > TGS

5) 커버로스 특징과 문제점

가) 개념

대칭키와 UDP(포트번호88) -> 포트 번호: 프로그램 넘버나 구분자 

대칭키(비밀키)로 암호화한다 

TGT는 유효기간 동안에 재사용 가능함.

티켓은 암호화 되어 가로채기 공격에 취약하지 않음.

개방형 분산 통신망 -> TCP/IP를 쓸 수 있다는 말임 (원거리에서도 된다고 ㅇㅇ)

타임스탬프를 이용하여 재생공격을 막을 수 있음.

나) 커버로스 특징

비밀키(대칭키) 암호화 방식 공개키 방식 아예 안 씀. -> 무거워짐. 

UDP사용

커버로스 ver.4사용함.

다) 커버로스 인증의 문제점

실패의 단일점으로 존재함. KDC가 뻗으면 할 일이 없음... 접속 안되면 직원이 할 일이 없음. 

Dos공격에 약함

UDP기반으로 방화벽에서 자주 차단됨;; 회사는 TCP가 기본임. 영상스트리밍에나 UDP쓰는데 UDP라 충돌남.

타임스탬프로 인해 시간동기화 프로토콜 NTP 필요함 (안 비쌈)

 

다. AAA

1) 개념

과금할 때 써....

2) AAA서버

3) AAA프로토콜의 종류

라.RADIUS

1) 개념

휴대폰으로 인터넷 많이하죠. 근처에 와이파ㅣ없으면 기지국을 통해 3g로 연결하지. 근데 원래는 TCP/IP랑 이동통신 프로토콜 연동 안됨 -> 게이트웨이를 기지국 이동통신망이랑 인터넷에 연결을 함. -> 게이트웨이가 외산임

와이파이는 와이파이로 연결 할 때 바로 TPC/IP에 붙을 수 있음. -> 저렴

 

라디우스는 와이파이에 이씀. 공짜와이파이 말고 로그인하는 와이파이의 경우 사용됨. 

-> 근데 이 사용자가 정상적이고 돈 잘 내고있는지 확인해야함. 

와이파이 - 라디우스 - 인터넷 - 웹서버

라디우스는 전파라 보안에 취약함. 

 

실제로 무선 구간은 폰->AP(공유기) 구간이고,

공유기 -> 인터넷 사이에 인증서버(로그인 해야함)에 들어가는 프로토콜이 라디우스임. 

폰으로 인증요청(로그인 시도) 

공유기가 인증서버에 인증 요청(로그인 확인)

인증서버는 인증 확인해주고 공유기는 인증확인한 걸 폰에 넘김. -> 근데 전파(무선)이라 보안에 매우 취약함 360도 퍼져나감

폰과 공유기 간에 암호키 교환을 진행함(4번 오고감, 폰-> 공유기->폰->공유기->폰 )

그 다음 암호화 통신 함

 

인터넷 뱅ㅇ킹할 때 암호키 안쓰고 평문으로 날리면 다 뚫리겠지?

그래서 암호화함.

보통 75m정도 거리 적용됨.

노트북에 와이파이가 나도 모르게 켜져있을 수도 있음.

주차장에 해커가 앉아있다면 다 보겠지~

 

2) RADIUS

 

SECTION 3. 접근통제 보안 모델

MAC: 강제적 접근제어, 자원마다 보안등급 부여, BLP근간

DAC: 임의적 접근제어, UNIX, 정보의 소유자가 접근제어 설정

RBAC: 역할기반, 회사

CBAC: 문맥의존성 접근통제

BLP: 군대, 비밀유출방지에 중점 

 

Biba: 최초의 수학적 무결성 모델

Chinese Wall: 상업적 기밀성, 금융, 회계

Clark-Wilson: 무결성의 결정

가. 개요

나. 접근통제 정

1) MAC: 강제적 접근제어

가) 개념

대외비, 일급 비밀

파일에 책에 군사 일급비밀 이런건 책에 군사 1급 비밀 이런거 적혀있음. 복사하면 난리나고, 인증을 하고 필요할 때 보고 바로 반납해야함누가 보고 있는지. 관리대장도 있어야 함. 잃어버리면 마지막으로 빌려간 사람이 책임짐.

이걸 컴퓨터로 옮긴게 MAC방식임.

나) 특징

자원마다 보안 등급 부여, 보안 레이블을 사용(1급 비밀, 2급비밀..)

당연히 보려면 보는 권한이 필요함. 높은 등급의 사용자도 다른 그룹의 정보에는 접근이 불가함.

벨랖파듈라(BLP)를 근간으로 함.

BLP가 먼데? 군대에서 쓰는 거임. (이따 배움)

다) 단점

강제적 접근통제, 주체(사람),객체(파일)에 접근권한을 하나하나 설정해야함. -> 매우 귀찮아요.

 

2. DAC

가) 개념

임의적 접근제어, 유닉스, 정보의 소유자(유저)가 접근제어 세팅이 가능

유닉스, 윈도우 -> 사용자 별로 접근 권리 이전됨.

유닉스는 체인지모드(chmod)가 있음 예: chmod 777 파일명-> 유저에게 rwx줌, 그룹에도 rwx, 다른에도 rwx

즉 DAC방식은 임의적 접근통제 기법

유저가 식별자 ID에 기초하여 자신의 의지내로 데이터에 대한 접근 권한을 부여함.

나) 문제점

ID 도용되면 난리남

트로이 목마에 취약함

중앙집중형이 아니라 유저가 관리하는거라 독재지 뭐.

다) 임의적 접근통제 기법과 기술

접근통제행렬 = 접근 제어 행렬(ACM)

영희는 파일 A에 rw, B에 r, C에 r할 수 있다.

이런식으로 표로 정리해 놓은 것임.

 

3) RBAC

가) 개념

롤 베이스임, 역할기반, 회사에서 사용

내가 관리팀의 관리팀장인데, 관리팀에서 관리하고 있는 문서르르 다 볼 수 있겠ㅈㅈ지. 근데 어느날 갑자기 인사발령이 나서 관리팀장에서 영업부장이 됨. 그럼 바뀌는 순간 관리팀의 문서를 다 볼 수 없고, 대신 영업팀의 문서를 열람하게됭겠지.

직무에 적합한 접근권한이 할당되는 것임.

역할에 따라 권한을 부여,

직급이 자주 바뀌는 회사에서는 매우 유리함.

모든 문서에 대해 권한을 해야하는데 MAC을 쓰면 너무 힘드니까 RBAC을 쓰는거임.

나) 특징

 

4) CBAC

컨테스트(문맥)

회사에 인사고과라고 하는 텍스트는 굉장히 민감함. 데이터 ㅔㅂ이스에 테이블이 있고, 거기에있는 특정 컬럼에 인사고과 텍스트가 있음. 평사원은 이 텍스트에 접근이 안됨. 접근은 인사팀장 정도는 되어야 접근가능함. 이게 문맥의존성 접근 통제 방식임. 객체(파일)의 내용에 따라 주체(사람)의 접근을 제한하는 것임. DB내용에 민감한 내용이 있으면 인사 팀장은 볼 수 있고, 일반 사원은 볼 수 없음. 

 

다. 보안 모델 종류

1) BLP

벨 라파듈라 모델, 비밀 유출방지,

불법적인 비밀 유출 방지에 중점을 둔 수학적 접근모델, 비밀유출방지가 제일 중요함.

읽기권한: 나랑 같거나 나보다 낮은 보안수준의 객체만 읽을 수 있음(Not Read Up) -> 일반병사는 작계같은거 볼 수 없음.

               -> 단순보안규칙이라 부름, 보안수준이 낮은 주체는 높은 객체를 읽을 수 없음.

쓰기권한: 주체는 자신과 같거나 자신보다 높은 보안 수준의 객체에만 쓸 수 있음.(NoWrite Dowm) -> 스타 속성규칙

  -> 보안수준이 높은 주체는 보안수준이 낮은 객체에 기록할 수 없음 -> 내가 중대장인데 부대일지를 쓴다면 몇시에 일어나고 몇시에 밥먹고... 행정원이 이걸 막 적는데, 부대에서 누가 다쳤어. 중대장이 이 일지를 고치고 싶음... ㅎㅎ... 하필 그날 안전교육 안했고..ㅎㅎㅎ...하면 행정계원한테가서 안전교육했으나 다쳤다고 해줘.이런식으로 고치고 싶을 것임. -> 안됨

  -> 작계 워드 작업은 병사가 해..ㅠ.. 작성은 객체보다 낮은 사람이 씀

 

no read up -> 당연하지

no Write Down -> 군대라는 특수성을 가짐.

 

블라인드 라이트 가능 -> 눈 감고 타이핑

 

2) Biba: 최초의 수학적 모델

3) Chiness Wall: 상업적 관점에서 기밀성(만리장성) 

 중국에서 협상할 때 상인 둘이 손을 잡고 손을 가리고 손가락으로 입찰금을 이야기함. (손구락 숫자가 여기서 나왔겠지)

 -> 근데 입으론 잡담함. 날씨얘기... Brewer-Nash라고도 함.

4) Clerk-Wison: 무결성의 결정함.

5) Lipner

 

SECTION 4. 접근통제 보안 위협

1. 패스워드 크래커

가. 유형

1) Brute-Force-Attack(무차별 대입)

가장무식하고 가장 시간이 많이 걸림.

그래서 좀 더 좋은 방법을 찾음

2) Rainbow Table을 이용한 공격

비밀번호의 해시값을 가져다가 이용하는 공격

3) Dintionary 공격

사람들이 자주사용하는 비밀번호를 쭈욱 보니까, 비슷하더라.. 

통상적으로 사람들이 많이 쓰는 비번을 사전 형식으로 모아서 씀 -> 효과적이더라.

-> 사전 형식으로 모임, 은행 비밀번호 4자리의 각 지분률 ㅋㅋ