보안&네트워크51 Sha 해시 함수 Sha 해시 함수 2022. 1. 12. Diffie-Hellman (디피헬만) Diffie-Hellman (디피헬만) 키 공유 절차 - 이산 대수의 어려움 이용(y=gx mod p라고 한다면 g,y,p를 알땐 x를 구하기 어렵다는 점 이용) - a,b,p는 충분히 커야함. 그래야 안전. 중간자 공격에 취약. - 대칭키를 교환. (사실 교환이라기 보다는 각자 계산하여 같은 값을 사용하는 것) - 공개키의 개념을 사용함. - 비밀키(개인키)가 노출되더라도 그 후의 키 분배 과정에서 얻는 세션키(대칭키)의 안전성에는 영향을 미치면 안된다. 0. p = 소수, q= p-1까지의 정수 중 하나, a, b = 난수(제곱근으로 이용, 개인키의 개념) 0-1. 공유키 계산식은 qab mod p (난수 a,b를 모두 알고 있을 때 사용 가능.) 0-2. 만약 모를 때는 [상대의공개키나의개인키 mo.. 2022. 1. 12. 공개키 암호화 공개키 암호화 종류 구분 특징 수학적배경 장점 단점 디피 헬만 - 최초의 알고리즘 - 키 분배전용 (사실 키 분배가 아니라 각자 계산하여 같은 값을 사용하는 것) - 공개키와 개인키로 대칭키를 만듦 이산대수 문제 - 키분배에 최적화 - 키는 필요시에만 생성 (키 저장 불필요) - 비밀키가 노출되더라도 세션키의 안전성에는 영향을 미치면안됌. - 암호모드 불가(인증불가) - 위조에 취약 (신분위장) RSA - 대표적인 공개키 알고리즘 소인수분해 문제 - 여러 Library 존재 -신분 위장공격방어 컴퓨터 속도의 발전으로 키 길이 증가 DSA - 전자서명 알고리즘 표준 이산대수 문제 - 간단한 구조 yes, no의 결과만 가짐) - 전자서명에 사용 - 암호화, 키교환 불가 ECC - 짧은 키로 높은 암호 강도.. 2022. 1. 12. 전자서명 전자서명이란 작성자의 신원과 전자문서 변경여부를 확인할 수 있도록 전자문서를 비대칭 암호화 방식을 이용하여 생성한 정보. 개인의 고유성을 주장하고 인증받기 위해 전자적 문서에 서명.(무결성, 추적성 확보 목적) -> 한마디로 내가 나라는 것을 확인 받기 위함. 문서작 성자의 신원, 문서의 변경 여부를 확인하기 위한 방법 A. 송신자 Message --> (hash) --> (송신자 개인키로 암호화) --> (송신자 대칭키로 암호화) --> 암호화된 Digital Signature Message --> (송신자 대칭키로 암호화) --> 암호문 송신자 대칭키 --> (수신자의 공개키로 암호화) --> 암호화된 송신자 대칭키 B. 수신자 '송신자의 3번 과정'에서 수신자의 개인키로 복호화하여 대칭키를 얻음 송.. 2022. 1. 12. SSO (Single Sign On) SSO (Single Sign On) 한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능 1. SPNEGO ( Simple and Protected GSS-API Negotiation Mechanism ) 기존 HTTP 요청에 대해서 통합인증을 수행하는 SSO이다. 2. SESAME 기존 커버로스 구조로 권한서버를 사용해서 대규모의 분산된 이 기종 환경에서 역할 기반의 통합된 접근통제 기능을 제공한다. 3. PKI 기반의 커버로스 대칭키 기반 구조에서 공개키 기반으로 변환해서 강력한 보안서비스 제공 1. 동작 간단 원리 : 클라이언트는 티켓서버를 이용하기 위한?? A티켓을 인증서버로부터 발급 받고 A티켓을 이용해서 진짜 티켓을 티켓서버로부터 발급받는다. 해당 티켓을 이용하여 응.. 2022. 1. 12. 스텔스 스캔(Stealth) 정 의 TCP 연결을 확립하지 않아 응용프로그램 로그에 기록 X 1. TCP Half Open Scan(스텔스 스캔) : Open – Syn, Ack : Close - RST 2. ACK 스캔 (스텔스 스캔)- 방화벽이 stateful 인지 stateless인지 확인용 - 해당 포트가 방화벽에 의해 필터링 되는지, 방화벽 정책 테스트 하는 것 ** stateless 방식 (filtered) : 외부에서 내부로 전송되는 TCP 헤더를 열어서 SYN은 차단하고 SYN+ACK는 통과시킴?? 맞나 모르겠음. : 당연히 오래걸림 - 만약 방화벽에서 필터링 된다면 응답없거나, ICMP 언리쳐블 ** stateful 방식 (unfiltered) : 1.1.1.1 내부에서 10.10.10.10외부로 SYN을 보낸다면 .. 2022. 1. 6. VPN ( Virtual Private Network ) VPN ( Virtual Private Network ) : VPN 4가지 구성 요소: 암호화, 인증, 터널링, QoS ** RSVP는 서비스 품질을 위해 네트워크 자원을 예약하는 프로토콜로 QoS 용도로 사용 VPN은 언제 사용하냐? 원격지 지사 회사에서 본사 인트라넷에 접속해야할 때! (말그대로 Private 해야함) 핵심 포인트는 인터넷을 사용하지만 다른 사람은 접근 못하게끔!! 통신사에서 이쪽으로 들어온 것을 저쪽으로만 리다이렉션 해줘야함. (직접 뚫는건 돈이 너~무 많이 듦, ‘MPLS VPN‘이라고 부름, 물론 이것도 돈이 많이 듦) ** MPLS ( Multi Protocol Label Switching ) 이란?? : IP Routing 시에 IP 주소 대신 특정 라벨을 붙혀 전송 및 식별.. 2022. 1. 6. 커버로스(Kerberos) 커버로스 - 티켓을 기반으로하는 동작으로 컴퓨터 네트워크 인증 암호화 프로토콜 - 비밀키 암호 알고리즘으로 온라인 키 공유 방법 - 보안성 (기밀성, 무결성 보장) - 투명성(명시적인 티켓 요청이 필요 없음) - 재사용성 (재생공격 방지) : AS는 - TGS의 개인키를 갖고 있고, TGS의 대칭키를 생성한다. - 모든 사용자의 PW를 갖고 있음. : TGS는 SS의 개인키를 갖고 있고, SS의 대칭키를 생성한다. : 클라이언트는 TimeStamp를 전송한다. : 클라이언트는 최종적으로 TimeStamp들의 값을 비교해 같으면 응용서버와의 작업을 실시함. : 3A 지원 (Authentication, Accounting, Authorization) 클라이언트 – 인증(AS)서버 1. 클라이언트는 먼저 자신.. 2022. 1. 6. 라우터 Class Policy 설정 : Class Map은 QoS 명령어로 특정 프로토콜의 속도를 조절 -------------- Pop3 프로토콜에 대해서 최대 5M의 대역을 할당하는 방법---------------- : (config)# class-map match-all pop3 : (config-cmap)# match access-group 101 : (config)# policy-map cisco : (config)# class pop3 : (config)# police flow 5000000 3000 conform-action transmit exceed-action drop --------------------------------------------------------------------------------------.. 2022. 1. 6. SNI (서버 이름 표시자) HandShake Protocol - 여기에 server_name 이라는 서버의 호스트명이 표시됨 (암호화 전) - 해당 필드를 보고 동일 IP에 각기 다른 TLS 인증서를 적용할 수 있음 --> 암호화 전 ClientHello 보낼 때 server_name 전송하기 때문에 당연히 암호화가 안되어 있음. ----------------------------------------------------------------------------------------------------------- * server_name 필드 안에 'Data'에 서버 호스트 명이 있을 수도 있고 * server_name 필드 안에 'SNI' 필드 안에 서버 호스트 명이 있을 수도 있음. - 참고 : blog.naver.co.. 2022. 1. 3. 메일 관련 공격 Active Contents Attack - Active Content 공격은 이메일 클라이언트 프로그램의 취약점을 이용한 공격으로 스크립트가 포함된 이메일을 읽을 때 스크립트가 실행되어 공격 악성메일 탐지 방법 1. SPF 레코드를 적용 -> 발송한 메일 서버의 IP와 DNS에 설정되어 있는 TXT의 IP가 다를 경우 수신측에서 메일을 차단. 2. Inflex로 첨부 파일 필터링 3. MTA 패턴 참고 : https://blog.naver.com/PostView.nhn?blogId=didim365_&logNo=220032145575&parentCategoryNo=&categoryNo=11&viewDate=&isShowPopularPosts=false&from=postView 2021. 12. 31. 메일 보안 기술 ( MIME, PGP, S/MIME ) 1. MIME ( Multipurpose Internet Mail Extensions ) - MIME 사양에 따라 멀티미디어 파일의 데이터를 ASCII 데이터로 변환 후 전송하였음. 1.1 MIME이 나오게 된 이유 - 원래 전자우편은 7비트의 ASCII 코드를 사용하여 전송된다. 즉, 문자 이외의 데이터(이미지, 동영상)등은 전송할 수 없었다. 이 문제를 해결하기 위해 멀티미디어 데이터들의 바이너리 데이터를 ASCII코드로 변환하는 방법과 미디어 종류를 MIME 타입 목록으로 정의하였고, MIME 사양에 따라 멀티미디어 파일의 데이터를 ASCII 데이터로 변환 후 전송하였다. 송신측에서는 전송 ASCII 데이터가 원래는 어떤 형식의 파일이었는지 MIME 타입을 기록하여 전송하는데 수신측에서는해당 MIM.. 2021. 12. 31. 블록암호화 블록암호화 운용방식 : 운용방식이란 하나의 키 아래에서 블록암호를 반복적으로 안전하게 하는 절차 ECB 모드 : Electric CodeBook mode - 암호화 키를 사용하기에 보안에 취약 - 동일한 내용을 갖는 평문블록은 암호문도 동일함.(패턴이 존재함) CBC 모드 : Cipher Block Chaining mode 오라클 패딩 공격 ( CBC 취약점 ) – 패딩 여부에 따라 서버의 응답이 다름. https://bperhaps.tistory.com/entry/%EC%98%A4%EB%9D%BC%ED%81%B4-%ED%8C%A8%EB%94%A9-%EA%B3%B5%EA%B2%A9-%EA%B8%B0%EC%B4%88-%EC%84%A4%EB%AA%85-Oracle-Padding-Attack - 1단계 앞에 .. 2021. 12. 31. 스케줄링 비선점 스케줄링 (Non-Preemptive) - 스케줄링 우선순위가 정해지면 우선순위 변경 불가능. (FCFS, SJF, HRN) - 응답 시간 예측 용이 선점 스케줄링 (Preemptive) - Round Robin, SRT, Multi Level Queue, 다단계 큐 / 다단계 피드백 큐 스케줄링 알고리즘 - AT ( Arrive Time ) , BT (Burst Time - 걸리는 시간), 스케줄링 알고리즘 설명 단점 우선순위(Priority) - 비선점 - 작업마다 우선순위가 주어짐. - 우선순위가 낮으면 Starvation,indefinite Blocking 상태에 빠짐. 기한부(DeadLine) - 비선점 - 작업을 주어진 제한시간 내에 완료되도록 함. FIFO( First In First.. 2021. 12. 31. Meltdown & Spectre 읽을 수 없는 커널영역 메모리 or 다른 프로세스의 메모리 영역을 읽을 수 있다. CPU의 최적화 기법에는 비순차실행과, 예측실행을 함 (== 결국 대기시간을 줄이기 위함) 이것들의 취약점이다. (MeltDown) Rogue Data Cache Load 비순차 취약점을 이용, 읽을 권한이 없는 메모리를 읽은 것 부채널 공격 ( 암호화 시 소요되는 시간, 소비되는 전력, 방출되는 전자기파, 소리 등을 분석하여 추가적인 정보를 획득하는 것) Spectre와 달리 Root 권한이 없어도! 커널 메모리 영역까지 읽을 수 있기에 더 치명적 만약 해커가 커널영역의 메모리에 접근하면 Exception이 발생한다 하지만 사실 비순차 실행에 의해서 커널 메모리 읽기는 이미 시작 되었다. 이제 변경된 캐시 상태(Cache.. 2021. 12. 31. 이전 1 2 3 4 다음 반응형
