접근통제 오답노트

1. 사용자 인증기술 관련 용어

 - 사용자 인증 기술 : A가 B에게 자신이 A임을 확인해줌

 - 개인 식별 기술 : B가 C에게 A인 척을 할 수 없게 해줌

 - 개인 식별 방법 : 생체정보, 비밀번호 등(개인만 알거나 소유한 사설 정보 이용)

 - 사용자 인증의 보안 요구사항 : 식별, 인증, 인가, 책임추적성 등

 

2. Brute Force 및 Dictionary Attack 등 패스워드 크래킹 약점 점검 도구

 - John the Ripper, L0phtcrack, Pwdump

 

3. One Time Password 종류 및 특징

 * Challenge/Response

   - 비밀정보를 활용하여 이루어지며 타임스템프, 세션 랜덤 값, 순서 번호 등을 이용하는데, 그 이유는 재연(Replay)공격을 방지하기 위함이다.

 * S/Key 일회용 패스워드

 * Time Synchronous 방식

   - 임의의 입력값이 필요하지 않다.

   - 서버에서 클라이언트로 보내는 것이 아니므로 피싱에 안전

   - 시간 동기화가 필수적이며 이를 보완하기 위해 1~2 분 정도를 OTP 생성 간격으로 둔다.

 * 이벤트 동기화 방식

   - 서버와 클라이언트가 카운트 값을 동일하게 증가시켜 카운트 값을 기반으로 OTP 생성

 

4. One Time Pad

 - 평문의 길이보다 같거나 긴 난수열을 키로 사용하고, 키는 재사용하지 않는다.

 - 키관리의 어려움으로 인한 경비가 많이 들고 기술적 운용이 어렵다는 것이 단점

 - 핫라인과 같은 특정 통신에서 활용

 - 무조건 안전하다는 것이 샤논에 의해 수학적으로 증명(전사공격 X)

 

5. SSO

 * 장점

   - 운영 비용 감소

   - 사용자 편의성 증가

   - 중앙 집중 관리를 통한 효율성 증대

 * 단점

   - 서버의 업무 부담이 적지 않다.

 * 종류

   - Delegation (인증 대행)

   - Propagation (인증정보 전달)

   - Delegation & Propagation

   - Web 기반 One Cookie Domain SSO

   - Web 기반 Multi Cookie Domain SSO

 * 사례

   - SPNEGO, Kerberos, SESAME

 

6. SSO - EAM - IAM

 * SSO는 하나의 계정으로 다양한 시스템을 접근

 * EAM은 차등적 접근제어 하긴 하는데 수동.

 * IAM은  SSO와 EAM의 종속성 및 확장제약성을 개선하여 자동화된 관리

 

7. Kerberos

 - KDC에 용이

 * 장점

   - 데이터의 기밀성, 무결성 제공

   - 재생공격 예방

   - 이기종간에 자유로운 SSO

   - 대칭키를 사용하여 도청으로부터 보호

 * 단점

   - 패스워드 사전공격에 약함

   - 비밀키, 세션키가 임시로 단말기에 저장되에 탈취 위험

   - 시간동기화 프로토콜 필요

   - 비밀키 변경 필요

   - KDC가 단일 실패 지점 될 수 있음

   - KDC의 부담. 확장 가능성 필요

   - 물리적 공격 및 악성코드로부터 공격에 취약

 

8. 키 분배와 키 합의

 * 키 분배

   - KDC에서 분배, Needham-Schroeder

 * 키 합의

   - 준비된 키가 없더라도 두 당사자가 합의, Diffie hellman, Okamoto-Nakamura, Matsumoto-Takashima-Imai

 

 9. 접근통제 정책

  * 강제적 접근통제 (MAC, Rule based)

    - BLP(Bell-LaPadula- model, 정보흐름 모델 최초의 수학적 모델, 높은 수준 데이터 읽기 불가, 낮은 수준 기록 불가, 둘다하려면 같아야함, 처음에는 군사용, 기밀성, read-simple security write-*(star))

    - Biba(높으면 쓸 수 없고, 낮으면 읽을 수 없다, 무결성)

    - 객체에 부여된 허가 등급과 주체에게 허가된 접근 수준을 비교하여 접근 통제

    - 접근 주체의 등급은 관리자에 의해 설정되며 변경 가능하다

  * 임의적 접근통제 (DAC)

    - 모든 개개의 주체와 객체 단위로 접근 권한 설정

    - 접근통제목록(ACL)을 통해 구현

    - 중앙 집중적으로 통제되는 환경에는 부적합

    - CL, ACL

  * 역할기반 접근통제(RBAC)

    - 보안관리와 감사에 용이 

    - 운영자는 모든 자원에 접근 할 수 있지만 접근 권한을 바꾸지는 못함

    - 구현을 위해 역할에 대한 추상화 작업이 요구됨

    - Non-DAC , 비임의적 접근통제

    - Netware, Windows NT

 

10. 접근통제행렬과 접근통제 리스트(Access Control List)

 * 접근통제행렬

   - 주체에 의해 수행되는 객체를 관리하는 규칙의 집합

   - 2차원 행렬의 행row에 주체, 열column에 객체를 부여

   - 모드에는 읽기 쓰기 붙이기 실행이 있다.

 * 접근통제리스트

   - chown

 * 권한 리스트(Capability List)

   - 한 주체 당 객체 목록과 허용되는 접근모드를 리스트로 관리하는 것

 

11. 피싱과 파밍

 * 피싱 : 접속 유도

 * 파밍 : 도메인 자체를 중간에서 탈취