보안&네트워크/보안30 전자서명 전자서명이란 작성자의 신원과 전자문서 변경여부를 확인할 수 있도록 전자문서를 비대칭 암호화 방식을 이용하여 생성한 정보. 개인의 고유성을 주장하고 인증받기 위해 전자적 문서에 서명.(무결성, 추적성 확보 목적) -> 한마디로 내가 나라는 것을 확인 받기 위함. 문서작 성자의 신원, 문서의 변경 여부를 확인하기 위한 방법 A. 송신자 Message --> (hash) --> (송신자 개인키로 암호화) --> (송신자 대칭키로 암호화) --> 암호화된 Digital Signature Message --> (송신자 대칭키로 암호화) --> 암호문 송신자 대칭키 --> (수신자의 공개키로 암호화) --> 암호화된 송신자 대칭키 B. 수신자 '송신자의 3번 과정'에서 수신자의 개인키로 복호화하여 대칭키를 얻음 송.. 2022. 1. 12. SSO (Single Sign On) SSO (Single Sign On) 한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능 1. SPNEGO ( Simple and Protected GSS-API Negotiation Mechanism ) 기존 HTTP 요청에 대해서 통합인증을 수행하는 SSO이다. 2. SESAME 기존 커버로스 구조로 권한서버를 사용해서 대규모의 분산된 이 기종 환경에서 역할 기반의 통합된 접근통제 기능을 제공한다. 3. PKI 기반의 커버로스 대칭키 기반 구조에서 공개키 기반으로 변환해서 강력한 보안서비스 제공 1. 동작 간단 원리 : 클라이언트는 티켓서버를 이용하기 위한?? A티켓을 인증서버로부터 발급 받고 A티켓을 이용해서 진짜 티켓을 티켓서버로부터 발급받는다. 해당 티켓을 이용하여 응.. 2022. 1. 12. 스텔스 스캔(Stealth) 정 의 TCP 연결을 확립하지 않아 응용프로그램 로그에 기록 X 1. TCP Half Open Scan(스텔스 스캔) : Open – Syn, Ack : Close - RST 2. ACK 스캔 (스텔스 스캔)- 방화벽이 stateful 인지 stateless인지 확인용 - 해당 포트가 방화벽에 의해 필터링 되는지, 방화벽 정책 테스트 하는 것 ** stateless 방식 (filtered) : 외부에서 내부로 전송되는 TCP 헤더를 열어서 SYN은 차단하고 SYN+ACK는 통과시킴?? 맞나 모르겠음. : 당연히 오래걸림 - 만약 방화벽에서 필터링 된다면 응답없거나, ICMP 언리쳐블 ** stateful 방식 (unfiltered) : 1.1.1.1 내부에서 10.10.10.10외부로 SYN을 보낸다면 .. 2022. 1. 6. VPN ( Virtual Private Network ) VPN ( Virtual Private Network ) : VPN 4가지 구성 요소: 암호화, 인증, 터널링, QoS ** RSVP는 서비스 품질을 위해 네트워크 자원을 예약하는 프로토콜로 QoS 용도로 사용 VPN은 언제 사용하냐? 원격지 지사 회사에서 본사 인트라넷에 접속해야할 때! (말그대로 Private 해야함) 핵심 포인트는 인터넷을 사용하지만 다른 사람은 접근 못하게끔!! 통신사에서 이쪽으로 들어온 것을 저쪽으로만 리다이렉션 해줘야함. (직접 뚫는건 돈이 너~무 많이 듦, ‘MPLS VPN‘이라고 부름, 물론 이것도 돈이 많이 듦) ** MPLS ( Multi Protocol Label Switching ) 이란?? : IP Routing 시에 IP 주소 대신 특정 라벨을 붙혀 전송 및 식별.. 2022. 1. 6. 커버로스(Kerberos) 커버로스 - 티켓을 기반으로하는 동작으로 컴퓨터 네트워크 인증 암호화 프로토콜 - 비밀키 암호 알고리즘으로 온라인 키 공유 방법 - 보안성 (기밀성, 무결성 보장) - 투명성(명시적인 티켓 요청이 필요 없음) - 재사용성 (재생공격 방지) : AS는 - TGS의 개인키를 갖고 있고, TGS의 대칭키를 생성한다. - 모든 사용자의 PW를 갖고 있음. : TGS는 SS의 개인키를 갖고 있고, SS의 대칭키를 생성한다. : 클라이언트는 TimeStamp를 전송한다. : 클라이언트는 최종적으로 TimeStamp들의 값을 비교해 같으면 응용서버와의 작업을 실시함. : 3A 지원 (Authentication, Accounting, Authorization) 클라이언트 – 인증(AS)서버 1. 클라이언트는 먼저 자신.. 2022. 1. 6. SNI (서버 이름 표시자) HandShake Protocol - 여기에 server_name 이라는 서버의 호스트명이 표시됨 (암호화 전) - 해당 필드를 보고 동일 IP에 각기 다른 TLS 인증서를 적용할 수 있음 --> 암호화 전 ClientHello 보낼 때 server_name 전송하기 때문에 당연히 암호화가 안되어 있음. ----------------------------------------------------------------------------------------------------------- * server_name 필드 안에 'Data'에 서버 호스트 명이 있을 수도 있고 * server_name 필드 안에 'SNI' 필드 안에 서버 호스트 명이 있을 수도 있음. - 참고 : blog.naver.co.. 2022. 1. 3. 메일 관련 공격 Active Contents Attack - Active Content 공격은 이메일 클라이언트 프로그램의 취약점을 이용한 공격으로 스크립트가 포함된 이메일을 읽을 때 스크립트가 실행되어 공격 악성메일 탐지 방법 1. SPF 레코드를 적용 -> 발송한 메일 서버의 IP와 DNS에 설정되어 있는 TXT의 IP가 다를 경우 수신측에서 메일을 차단. 2. Inflex로 첨부 파일 필터링 3. MTA 패턴 참고 : https://blog.naver.com/PostView.nhn?blogId=didim365_&logNo=220032145575&parentCategoryNo=&categoryNo=11&viewDate=&isShowPopularPosts=false&from=postView 2021. 12. 31. 메일 보안 기술 ( MIME, PGP, S/MIME ) 1. MIME ( Multipurpose Internet Mail Extensions ) - MIME 사양에 따라 멀티미디어 파일의 데이터를 ASCII 데이터로 변환 후 전송하였음. 1.1 MIME이 나오게 된 이유 - 원래 전자우편은 7비트의 ASCII 코드를 사용하여 전송된다. 즉, 문자 이외의 데이터(이미지, 동영상)등은 전송할 수 없었다. 이 문제를 해결하기 위해 멀티미디어 데이터들의 바이너리 데이터를 ASCII코드로 변환하는 방법과 미디어 종류를 MIME 타입 목록으로 정의하였고, MIME 사양에 따라 멀티미디어 파일의 데이터를 ASCII 데이터로 변환 후 전송하였다. 송신측에서는 전송 ASCII 데이터가 원래는 어떤 형식의 파일이었는지 MIME 타입을 기록하여 전송하는데 수신측에서는해당 MIM.. 2021. 12. 31. 블록암호화 블록암호화 운용방식 : 운용방식이란 하나의 키 아래에서 블록암호를 반복적으로 안전하게 하는 절차 ECB 모드 : Electric CodeBook mode - 암호화 키를 사용하기에 보안에 취약 - 동일한 내용을 갖는 평문블록은 암호문도 동일함.(패턴이 존재함) CBC 모드 : Cipher Block Chaining mode 오라클 패딩 공격 ( CBC 취약점 ) – 패딩 여부에 따라 서버의 응답이 다름. https://bperhaps.tistory.com/entry/%EC%98%A4%EB%9D%BC%ED%81%B4-%ED%8C%A8%EB%94%A9-%EA%B3%B5%EA%B2%A9-%EA%B8%B0%EC%B4%88-%EC%84%A4%EB%AA%85-Oracle-Padding-Attack - 1단계 앞에 .. 2021. 12. 31. Meltdown & Spectre 읽을 수 없는 커널영역 메모리 or 다른 프로세스의 메모리 영역을 읽을 수 있다. CPU의 최적화 기법에는 비순차실행과, 예측실행을 함 (== 결국 대기시간을 줄이기 위함) 이것들의 취약점이다. (MeltDown) Rogue Data Cache Load 비순차 취약점을 이용, 읽을 권한이 없는 메모리를 읽은 것 부채널 공격 ( 암호화 시 소요되는 시간, 소비되는 전력, 방출되는 전자기파, 소리 등을 분석하여 추가적인 정보를 획득하는 것) Spectre와 달리 Root 권한이 없어도! 커널 메모리 영역까지 읽을 수 있기에 더 치명적 만약 해커가 커널영역의 메모리에 접근하면 Exception이 발생한다 하지만 사실 비순차 실행에 의해서 커널 메모리 읽기는 이미 시작 되었다. 이제 변경된 캐시 상태(Cache.. 2021. 12. 31. FTP Bounce Attack - Active 모드에서 파일을 요청하면 클라이언트에서는 파일을 받을 아이피를 설정할 수 있다 (보통본인의 IP, PORT를 설정하겠지?) 근데 이것을 해커의 IP, PORT로 설정하면 해커쪽으로 데이터를 빼돌리는 것. 2021. 12. 31. FTP Passive 모드를 사용하는 이유 클라이언트가 방화벽 뒤에 있어 FTP 접근할 수 없는 경우를 해결하기 위해서 사용한다. Active 모드는 Client가 자신의 Data 포트번호를 서버에 알려주고 그 포트를 서버가 연결을 먼저 시도한다. 이러면 클라이언트 방화벽 Inbound 정책에 걸려 차단될 수 있다. 그래서 Passive mode를 사용한다. 클라이언트가 PASV 패시브 모드임을 알려주면 서버가 보조 데이터포트를 알려주면 클라이언트가 접속하여 사용. ftpusers 파일에 접근 거부 할 user 설정해야함. 참고 : https://mazinga83.blogspot.com/2017/09/ftp-active-mode-passive-mode.html 2021. 12. 31. SSL 구성요소 Change Cipher Spec Protocol Alert Protocol - 암호화 방식 정함. - 오류 발생시 상대방에게 오류 통보 기능 수행 (상대가 제시한 암호화 방식을 지원 불가능할 때 통보) - 세션의 종료 등 비정상 동작을 할 경우 Alert Message Level 값이 변경(1 = Warn, 2 = Fatal) Record Protocol – 실제 데이터를 전송하기 전 데이터를 일정한 단위의 조각으로 분리 압축 해제, 및 메시지 암/복호화 기능 수행. 전송 : 상위계층에서 전송받은 HandShake 이뤄진 암호 알고리즘, MAC / HASH 알고리즘을 사용해 SSL에서 처리 가능한 크기와 블록으로 나누고 압축한 후에 선택적으로 MAC 을 덧붙여 전송하고, 수신 : 데이터 복호화, MAC.. 2021. 12. 31. SET (Secure Electronic Transaction) 한마디로 지불정보와 구매정보의 해시값을 합쳐 구매자의 개인키로 서명 (이중서명). 지불정보와 구매정보를 가게와 은행이 모르게 끔 하도록 함. 해시 쌍 = 클라이언트 개인키로 암호화 지불정보 = 대칭키로 암호화 대칭키 = PG 공개키로 암호화 1. 인증서 수신 (고객) -> 판매자 & PG 인증서 수신 고객은 인터넷상의 판매자에게 접속하여 해당 판매자의 정당성을 검증하기 위해 판매자 & 지급 중계기관(PG:Payment Gateway)의 인증서 수신 2. 구매요청 (고객) -> 인증서& 지급정보 송신 고객은 판매자와 PG의 인증서를 확인 후, 자신의 지급정보와 인증서를 송부하여 구매요청. 3. 지급정보 & 인증서를 PG에 전송(판매자) 판매자는 고객의 인증서를 확인 후 주문정보는 자신이 보유하고 고객의 지.. 2021. 12. 31. 블록암호화 공격 기법 1. 선형공격 (Linear Cryptanalysis) : 평문 공격 기법으로, 알고리즘 내부의 비선형 구조를 적당히 선형화 시켜서 키를 찾음 2. 차분공격 (Differential Cryptanalysis) : 선택 평문 공격 기법으로,두 평문 블록의 비트 차이에 대응되는 암호문 블록들의 비트 차이를 이용하여 암호키를 찾아내는 방법 3. 통계적 분석 (Statistical Analysis) : 암호문에 대한 평문의 각 단어 빈도수에 관한 자료를 포함하여 모든 통계 자료를 이용하여 해독 4. 수학적 분석 ( Mathematical Analysis ) : 통계적인 방법을 포함하며 수학적 이론을 이용하여 해독 5. 전수키 조사법 (Exhaustive Key Search ) : 디피 헬만이 제안한 방법으로, .. 2021. 12. 31. 이전 1 2 다음 반응형
