Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
2
목차
1.BcN 개요
2.ITU-T X.805 취약점 분석 방법
3.BcN 정보보호 위협과 대응기술
4.IPv6 보안위협과 대응방안
5.웹 서비스 보안기술
6.웹 어플리케이션 보안기술
7.BcN 정보보호 추진방향
3
1. BcN 개요 - BcN 개념
Open API
QoS Security IPv6
홈네트워크 등 8대 서비스 u-센서 네트워크 융합형 정보단말
응 용 서 비 스
유선통신FTTH
광대역무선통신
유·무선 통합 음성·데이터 통합
전화 인터넷
통신·방송 융합
CATV DMB
광대역통합망(BcN)은 단계적으로 유·무선 통신망, 방송망, 인터넷망간 연동을
구현하고 최종적으로는 유비쿼터스 센서 네트워크가 AII-IP망으로 통합되는
개념이며, 이기종 망간 표준접속규격으로 IPv6체계를 기반으로 함
4
1. BcN 개요 – BcN 정보보호 이슈 (1/3)
개별 접속망들이 가지는 취약성의 정도가 다르므로 체계적인 보안관리가 어려움
개방형 망구조로 인해 통신망에 쉽게 접근이 가능하여 해킹 및 바이러스 유포 확대 가능성 내재
이질적인 환경증대에 따른 정보수집/배포의 어려움으로 정보공유가 부족하여 신속한 대응 어려움
개별 망에 대한 침해사고 대응 절차가 상이하여 국가 차원의 체계적인 대응필요
정보보호 제품간 표준규격이 없어 보안 정책의 일괄적인 적용 곤란
문
제
점
문
제
점
IP IP 백본망백본망DWDM Optical NetworkDWDM Optical Network
무선네트워크무선네트워크
교환국
예방 탐지
분석
복구
대응
조사DMB
이동통신
유선네트워크유선네트워크
예방 탐지
분석
복구
대응
조사
교환국
FTTH
DSLAMCableModem
xDSL
PSTN
USNUSN
환경 : 공해감시, (자연)재해관리
병원:환자 관리
홈 네트워크
물류/유통 : SCM, 재고관리쇼핑센터 : 자동계산대
RFID
동물관리
예방 탐지
분석
복구
대응
조사
서비스서비스 제공자제공자 도메인도메인
MediaSolutionFinanceCommerceEducation …
5
1. BcN 개요 – BcN 정보보호 이슈 (2/3)
• 이기종 망간 연동시 표준규격으로 통합함에 따라, 사이버공격에 취약한 인터넷망에서 발
생된 위협이 통합망을 통해 기존에는 Closed Network으로 운용되어 상대적으로 안정되
었던 개별망으로 확산되어 음성통신망, 방송망, USN까지 피해 확산 예상
• 광대역통합망의 피해수준은 통합망 전체에 심각한 악영향을 초래하므로 기존의 사후대응
과 달리 Proactive한 정보보호 기술이 요구됨
인터넷망
무선망
방송망
인터넷망
무선망
방송망
인터넷망
무선망
방송망
인터넷망
무선망
음성통신망
음성통신망
음성통신망
USN망 USN망 USN망
6
보안
위협
유형
보안보안
위협위협
유형유형
~ 1998 1999 ~ 2003
해킹, 바이러스해킹, 바이러스
DoS 공격DoS 공격
DDoS 공격DDoS 공격
인터넷 웜인터넷 웜
2004 ~ 현재
악성 BOT, BotNET악성 BOT, BotNET
공격
기법
특징
공격공격
기법기법
특징특징
독립적인 공격독립적인 공격분산 공격분산 공격
은닉화, 자동화은닉화, 자동화
Spyware, CrimewareSpyware, Crimeware
Phishing (피싱)Phishing (피싱)
조직적 / 범죄적 (금융범죄)조직적 / 범죄적 (금융범죄)
선별적 / 지능화선별적 / 지능화
사회 공학적 기법사회 공학적 기법
대응
방안
대응대응
방안방안
Point 보안 솔루션(IDS, F/W 등)
Point 보안 솔루션(IDS, F/W 등)
통합 보안 관리통합 보안 관리
분산 탐지/ 분석분산 탐지/ 분석보안위협 관리 체계 강화보안위협 관리 체계 강화
대응기구 설립/정보공유 협력대응기구 설립/정보공유 협력
제도 개선/관리적 보안 강화제도 개선/관리적 보안 강화보안동향 분석보안동향 분석
보안 위협 패러다임
지능화된 보안시스템 구축지능화된 보안시스템 구축
1.25
개인 정보 유출 피해 증가개인 정보 유출 피해 증가
중국발 웹 해킹을 통한국내 서버 해킹 증가
중국발 웹 해킹을 통한국내 서버 해킹 증가
악성 BOT에 의한간헐적 DDoS 공격 발생
(유해트래픽 증가)
악성 BOT에 의한간헐적 DDoS 공격 발생
(유해트래픽 증가)
온라인 금융 범죄 증가온라인 금융 범죄 증가
산업스파이내부자 보안사고 증가
산업스파이내부자 보안사고 증가
< 2005년 KT 연간인터넷보안성과분석 >
보안 위협 패러다임의 변화
1. BcN 개요 – BcN 정보보호 이슈 (3/3)
7
위험평가
보호대상 식별환경이해
• 핵심 기술분석• 요소 기술분석• 연관 기술분석
기술분석
보안계층별분류
• Infrastructure layer
• Service layer
• Application layer
기술정의및
범위설정
• 국제 표준규격 및
TTA 표준규격 참고
보안 목표도출
• L.P/D 테이블 도출
• 정보보호 요구사항
도출
참조모델도출
• 모듈 및 구조 도출
서비스흐름분석
• 서비스형태 분석
• 제어 및 사용자
데이터 흐름 도출
• 모듈간 I/O 분석
• 서비스 시나리오 도출
• 서비스 요구사항 도출 위협 분석
위협식별
위협평가 • 우선순위 평가
• 위협목록 도출
• 위협 테이블 도출
취약성 분석
취약성평가
취약성식별
• 우선순위 평가
• 취약성 상세 조사 분석
• 취약성 테이블 도출
보안행위별분류
• Management Plane
• Control Plane
• End-User Plane
정보보호 목표 도출
위험시나리오
도출
우선순위평가
• L/P테이블 도출
• 우선순위 평가
• 현재 적용 보안기술 분석
• 기술적 취약성 조사
현재보안기술
분석
보호대책 기술 도출
개선보안모델
• 대상별 보호대책의
상호연관성 및 중복성
배제 검토
• BcN/8대서비스
공통의 정보보호
프레임워크 최종 도출
대책권고안작성
• Security Technical
Tree 작성
• 보호기술 상세 도출
• 신규기술개발 요소
도출
• 기술트리 목록 필터링
• 최종 보호대책 도출
• 위험시나리오 도출
• 정성적 위험도 평가
정보보호 프레임워크수립
ITU-T X.805 Reference Security Architecture
2. ITU-T X.805 취약점 분석 방법(1/11)
8
IT Network의 Reference Security Architecture 수립을수립을 위한위한Systematic approach 및및 End-to-end 관점의 정보보호 분석 방법 제시제시
2. ITU-T X.805 취약점 분석 방법 (2/11)
9
2. ITU-T X.805 취약점 분석 방법 (3/11)
ITU-T Recommendation X.805
[ Three Security Layers ]
[ Three Security Planes ]< ITU/IETF Workshop on NGN >
10
Security Dimensions Security Threats
• 망의 정보보호를 위한 security measures• 8개 단위기술로 요약(8sets)
- Access Control - Data Integrity- Authentication - Availability- Non-Repudiation - Privacy- Data Confidentiality- Communication Security
• CCITT Rec. X.800(1991) 정의에 따른 위협- Destruction of information - Corruption or modification of information
- theft, removal or loss of information - disclosure of information- interruption of services
Security PlanesSecurity Layers
• 망 activity type에 따라 구별되는 3개planes
• 각 planes별로 발생하는 events는 타planes에 대해 고립되어야 함- Management Plane- Control Plane- End-user Plane
• 망 장비 및 시설의 계층적 그룹화• 각 계층별로 다른 취약점과 대책을 가짐• OSI Model의 layers로 매핑 가능함
- Infrastructure Layer- Services Layer- Application Layer
2. ITU-T X.805 취약점 분석 방법 (4/11)
11
YY
Y
2. ITU-T X.805 취약점 분석 방법 (5/11)
12
• 각 Planes과 Layers가 조합된 9개 Modules별로 적용되는 8 security dimensionsset은 다른 모듈에 적용된 set과 구분 되는 유일한 security measures를 포함
• 각 모듈별 security dimension set은 구분되는 security objectives를 갖게 됨
• 각 Planes과 Layers가 조합된 9개 Modules별로 적용되는 8 security dimensionsset은 다른 모듈에 적용된 set과 구분 되는 유일한 security measures를 포함
• 각 모듈별 security dimension set은 구분되는 security objectives를 갖게 됨
2. ITU-T X.805 취약점 분석 방법 (6/11)
13
Module 1: Infrastructure Layer, Management Plane
Security Dimension Security Objectives
Access Control
Ensure that only authorized personnel or devices are allowed to perform or attempt to perform administrative or management activities on the network device or communications link.
AuthenticationVerify the identity of the person or device performing the administrative or management Activity. Authentication techniques may be required as part of Access Control
Non-repudiationProvide a record identifying the individual or device that performed each administrative or management activity and the action that was performed.
Data confidentiality
This applies to configuration information. Protect the administrative authentication information from unauthorized access or viewing.
Communication Flow Security
remote management of a network device or communications link, ensure that the management information only flows between the remote management stations and the devices or communication links.
Data Integrity Protect the configuration information against unauthorized modification, deletion, creation, and replication.
Availability Ensure that the ability to manage the network device or communications link.
PrivacyEnsure that information that can be used to identify the network device or communications link is not available to unauthorized personnel or devices. Examples of this type of information include a network device's IP address or DNS domain name.
Module 2: Infrastructure Layer, Control Plane
Security Dimension Security Objectives
Access Control Ensure that the network device will only accept control information messages from authorized network devices
Authentication Verify the identity of the person or device observing or modifying control information resident in the network device.
Non-repudiation
Provide a record identifying each individual or device that observed or modified control information in the network device and the action that was performed. This record can be used as proof of access to or modification of the control information.
Data confidentiality
Protect control information resident in a network device or in offline storage from unauthorized access or viewing
Communication Flow Security
Ensure that control information being transported across the network only flows between the source of the control information and its desired destination. The control information is not diverted or intercepted as it flows between these endpoints
Data Integrity Protect control information resident in network devices, in-transit across the network, or stored
AvailabilityEnsure that network devices are always available to receive control information fromauthorized sources
PrivacyEnsure that information that can be used to identify the network device or communications link is not available to unauthorized personnel or devices
2. ITU-T X.805 취약점 분석 방법 (7/11)
14
보호할 대상의 계층 분류
Infrastructure/Service/ApplicationLayer
보호할 대상의 네트워킹 행위별 분류
Management/Control/End-userPlane
Technology Tree 작성을 통해 상세 요소기술 도출 및 신규기술개발 요소 발굴
ITU-T X.805 ,ISO 18028Reference Security Architecture 적용
인프라 및 서비스별 대상
BcN, WiBro, DMB, VoIP, DTV, 홈네트워크, 텔레매틱스, RFID, WCDMA
환경 이해 및 보호대상 식별
위협 분석
취약성 분석
위험 평가
정보보호 목표 및 요구사항 도출
보호대책 도출
인프라 및 서비스간 상호 연관기술분석
3대 인프라 및 8대 서비스 통합정보보호프레임워크정보보호프레임워크 도출도출
9개 대상 분석 완료?
예
아니오
8개 시큐리티 서비스를 기준으로목표 설정 및 요구사항 도출
Access control, Authentication, Non-repudiation, Data confidentiality, Communication flow security, Data integrity, Availability, Privacy
2. ITU-T X.805 취약점 분석 방법 (8/11)
15
2. ITU-T X.805 취약점 분석 방법 (9/11)
Module One
신규 BcN장비통합관리방안부재
Module Two
제어/신호정보노출및위변조
Module Three
단말의불법복제
이종망간상호연동시관리문제
IPv4와 IPv6의병행사용으로인한관리어려움
BcN환경에적합한보안장비의부재
다양한단말개발로인한취약성증가
16
Module 4
모바일환경의발달로인한공격추적의어려움
Module 5
DDoS/DoS공격으로인한서비스지연및장애
Module 6
사용자의개인정보유출서비스인증및권한관리문제
BcN에적합한법, 제도부재
다양한서비스제공으로보안취약점증가예상
온라인금융범죄증가
웜/바이러스및악성코드로인한고객 PC 장애
2. ITU-T X.805 취약점 분석 방법 (10/11)
17
Module 7
개방형 API 제공으로인해다양한취약점발생
Module 8
취약점을이용한Application 권한탈취시도
Module 9
Web Application 취약점증가
악성코드및보안취약점증가추세
Spam 메일및 Phishing증가
2. ITU-T X.805 취약점 분석 방법 (11/11)
18
3. BcN 정보보호 위협 (1/10)BcN Architecture BcNBcN Architecture Architecture
전달계층
접속계층
서비스/ 제어 계층
OXC
소프트스위치
BTS
무선망
DSLAM
xDSL
유선망
FTTH HFC
ONU
OLT CMTS
ONUBSC
AGWAGW TGW
DWDM ATMRouter
OXC
AP
Open APIG/W
응용서버
APC
이더넷
SGW
AGWSDHSDH
PSTN
보안서버
Home G/W라우터 이더넷
구내 망 및홈N/WAccess Mediator
DMB
통합단말
u-센서 네트워크
RFID WPAN (UWB 등)
센서망
방송망
DNS
단말 및홈N/W계층
19
3. BcN 정보보호 위협(2/10)BcN 계층별 위협 특성BcNBcN 계층별계층별 위협위협 특성특성
Open API
OSS/BSS서버
Application서버
IPv6기반QoS 보장형 패킷망
디지털콘텐츠
IT SoCPost PC 이동
통신DTV내장형
S/W지능형
홈네트워크
USN 망
텔레매틱스
방송망유무선통합망
유무선 통합스위치플랫폼
Open APIGateway
BcN 계층 구조
단말계층
접속계층
전달계층
제어계층
Application계층
Network API
개인정보 노출
BcN 신호/제어 정보 노출/위변조
QoS 보장을 저해하는 공격
공격의 역추적 어려움
다양한 단말로 인한 취약성증가
통합인증 (접속, 서비스)/ 통합보안관리
20
3. BcN 정보보호 위협(3/10)서비스 및 제어계층서비스서비스 및및 제어계층제어계층
소프트스위치Open API
G/W
응용서버주요 보호 대상
OSA GW, 소프트스위치(IMS), 과금서버, HSS, MRC 및 Policy서버
Open API
보안 위협 내용
사용자의 개인정보 유출 사용자의 정보가 불법적으로 유출
지적 재산권 보호 응용서비스 컨텐츠에 대한 지적재산권 침해
관리 제어 정보의 보호 문제 관리제어 정보들이 노출 및 위변조
사용자 세션 하이젝킹 위협 사용자의 세션을 가로채거나, 해제할 수 있음
소프트스위치(IMS) 및 게이트웨이의 신뢰성 보장 문제
악의적인 공격으로 비정상적으로 동작할 수 있음
핵심역할을 담당하는 구성요소로 신뢰성을 보장하여야 함
서비스 접근 인증 및 권한 문제응용 서비스에 대하여 불법적인 사용자가 접근
본래 부여된 권한을 초과하여 서비스 이용
개방형 API 제공으로 인한 비인증장비 접속 취약점
비인증 장비가 쉽게 접속
불법적인 서비스 제공 및 서비스 가로채기
새로운 Protocol의 사용 검증되지 않은 프로토콜 자체의 보안 취약성에 악용
21
3. BcN 정보보호 위협(4/10)
트래픽관리서버
과금서버
AAA HSS방송제어
서버홈 제어
서버
소프트 스위치
SIPAS
OSAGW
OSAAS
VoD/방송응용서버
홈응용서버
IM-SSF
SCP
CSC MGC
관리자
사용자
개인정보
제어정보
지적재산권
새로운 프로토콜
서비스계층
제어계층
사용자 인증사용자 인증
사용자 인증사용자 인증
서비스 인증
시스템 보호
기밀성 보장
지적재산권 보호)
관리자 인증
시스템 인증
시스템 보호
기밀성 보장신규 프로토콜 취약성
분석 및 대책마련
암호화 기법 및 접근제어를 이용한 개인정보보호
AAA를 이용한 강한 사용자 인증 및 권한 관리
DRM을 이용한 지적재산권 보호
Open Service Access GW 시스템 보호
개방형 구조에서의 서비스에 대한 인증
SSL, IPSec을 이용한 원격 장비 관리
SecureOS를 통한 게이트웨이, 소프트스위치 보호
암호화 기범을 사용하여 제어 및 설정 정보 보호
사용자 인증 통한 SIP 세션 가로채기 공격 보호
22
3. BcN 정보보호 위협(5/10)전달 계층전달전달 계층계층
OXC
AGW
AGW TGW
DWDM ATMRouter
AGWSDH
SDH
PSTN
IPv6, MPLS주요 보호 대상
IP/MPLS 에지 라우터, 서비스 스위치, AGW, TGW, SGW, IP/MPLS 코어 라우터, 인증서버, OXC, DWDM 시스템
SGW
보안 위협 내용
DoS 공격으로 인한 서비스 지연 및 장애 DoS 및 DDoS 공격을 통한 인터넷의 마비
전달망 측면에서의 서비스 품질 보장 문제대역폭을 불법적으로 사용
특정 대상의 할당 대역폭을 사용하지 못하게 하는 공격
BcN 생존성 보장 문제 악의적인 공격 혹은 기타 원인으로 서비스가 중단
이종망간 상호 연동시의 정보보호 문제연동을 방해하는 공격이 발생
연동과정에서 사용자 정보 노출
IPv4와 IPv6의 혼합 사용으로 인한 보안 문제IPv4와 IPv6 연동 취약점 악용
보안정책이나, 여러 보안기능의 적용 측면에서 어려움
23
3. BcN 정보보호 위협(6/10)
TGW
SGW
IP/MPLS에지 라우터
DWDM
AGW
QoS 정보
IP/MPLS코어 라우터
OXCIP/MPLS
코어 라우터
에지라우터
코어라우터
에지라우터
ATM ATM
라우팅 정보 스위칭 정보
BcN 코어 네트워크
기존 패킷 네트워크기존 서킷 스위치
네트워크
TGW
SGW
AGW
IP/MPLS에지 라우터
코어라우터
OXC
관리자
관리자 인증
시스템 인증
이상트래픽 탐지 분석
DDoS 공격 대응
네트워크 생존성 보장
시스템 보호
IPv4/IPv6
병행 사용
IPv4/IPv6 병행사용취약점 분석/대응
이기종망간 연동메커니즘 보호
ACL, rate-limit 기능을 이용한 DoS 공격 트래픽 제한
Black hole, Sink hole을 통한 DoS 공격 트래픽 완화
트래픽의 통합 모니터링 및 이상트래픽 분석체계 구축
One Time Password와 같은 강력한 관리자 인증
광대역 환경에 적합한 능동형 고성능 정보보호 시스템
24
3. BcN 정보보호 위협(7/10)가입자 계층가입자가입자 계층계층
BTS
DSLAM
xDSLFTTH HFC
ONU
OLT CMTS
ONUBSC
AP
APC
이더넷 DMB
DNS
무선망 유선망 방송망
주요 보호 대상
DHCP 서버, 무선망 접속장비(AP, BTS, Node-B, RAS), 유선망 접속장
비, 방송망 접속장비
보안 위협 내용
망 통합으로 인한 취약성 확산 개별망의 취약성으로 인한 피해는 모든 망으로 확산될 수 있음
악의적 공격의 위치 다양화 및 역추적 악의적인 공격자의 위치는 매우 다양/ 역추적에 있어서도 어려움
DHCP 주소 공간 고갈 공격 정상적인 사용자가 망에 접속하는 것을 방해
유·무선망 도청, 데이터 위변조 문제 음성 데이터 및 기타 멀티미디어 서비스 피해
Jamming 공격 무선 및 방송망에 jamming 공격 (QoS 보장하기 어려울 수 있음)
MITM(Man in the middle) 공격 다양한 무선 망 (WLAN, WiBro 등)
비인가자 접속 차단 문제 다양한 접속망을 동시에 이용할 수 있는 환경
25
3. BcN 정보보호 위협(8/10)
sw
MUX
BRAS
ATM
DSLAM
IP-DSLAM
Ethernet VDSL ADSL
CMTS
OTX/RX
Coaxial
ONU
HFC
PDSN
BSC
GGSN
SGSN
RNC
위성 DMB
지구국
지상파 DMB
지구국
GapFiller
유선 가입자망
무선 가입자망 방송망
WCDMAcdma2000 WLAN
관리자
사용자 기밀성 보장 기밀성 보장
사용자 인증 사용자 인증
관리자 인증
시스템 보호
이상트래픽 탐지 분석
DDoS 공격 대응
네트워크 생존성 보장
이동환경에서의공격자 역추적
사용자 인증
접속계층의 DoS 공격 트래픽 제한 기능(AcL, Rate Limit)
접속계층의 DoS 공격 트래픽 완화 (Black hole)
가입자단 트래픽의 모니터링 및 분석체계 구축
공개키 기반의 강력한 사용자 인증
암호화를 통한 사용자 정보 보호
26
3. BcN 정보보호 위협(9/10)단말 및 홈 계층단말단말 및및 홈홈 계층계층
Home G/W라우터 이더넷
구내 망 및홈N/W
통합단말
RFID WPAN (UWB 등)
센서망
U-센서네트워크
주요 보호 대상
Home GW, 다양한 단말(가전기기 등), 소형 센서, 각종 무선 PAN 기술
(Zigbee, UWB, Bluetooth 등)
보안 위협 내용
가입자망 접속장비의 정보보호 취약성 문제접속 장비의 플랫폼상에서의 취약성, 응용 프로그램상의
취약성, 사용 프로토콜상의 취약성 악용
홈 게이트웨이 안전성 보장 문제홈네트워크 내부에는 많은 개인정보가 있으며 가전을 제어
홈네트워크 마비시키기 위한 공격의 대상
위장 단말기 탐지 어려움 복제 단말기를 통하여 사용자의 통신내용을 도청
무선/USN 에 사용되는 소형 단말의 보안 취약성소형 단말기들이 보안에 취약성
개인 정보 유출
다형성 웜/바이러스/Spyware등의 출현 웜·바이러스 및 Spyware가 등장 및 빠른 확산
27
3. BcN 정보보호 위협(10/10)
Open API
OSS/BSS서버
Application서버
IPv6기반QoS 보장형 패킷망
디지털콘텐츠
IT SoCPost PC 이동
통신DTV내장형
S/W지능형
홈네트워크텔레매틱스
방송망유무선통합망
유무선 통합스위치플랫폼
Open APIGateway
BcN 계층 구조
단말계층
접속계층
전달계층
제어계층
응용계층
- 제어 시스템(플랫폼) 보호
- 제어정보 보호(정책 및 설정)
- 제어 시스템/관리자 인증
- 제어 서버에 대한 침입탐지/대응
- 통합보안관리(통합 모티터링/탐지/대응)
- 통합인증(서비스, 접속 인증)
- 개방 구조에서 응용서비스 인증
- 응용서비스 침입탐지/차단
- 응용서버 시스템(플랫폼) 보호
- 사용자 개인정보 보호
- 컨텐츠 지적재산권 보호 (DRM)
- 사용자의 개인정보 유출
- 서비스 접근인증/권한 위협
- 개방형 API 제공으로 인한 비인증 장비 접속 취약점
- 컨텐츠 지적 재산권 보호
- 관리 제어 정보의 도청/위변조
- 사용자 세션 하이젝킹 위협
- 소프트스위치(IMS) 및 게이트웨이의 신뢰성 보장 문제
- 각종 설정 정보 보호
- 서비스 품질 보장 저해 위협
- DoS 공격으로 인한 서비스지연 및 장애
- 접근인증 및 권한 문제 (불법관리자, 시스템)
- 과다 트레픽 유발을 통한DDoS 공격
- 유·무선망 도청, 데이터 위변조 위협
- 악의적 공격의 위치 다양화및 역추적
- 비인가 사용자 접속
계층별 취약성 정보보호 소요기술
- 능동 고성능 정보보호 시스템
- 네트워크 시스템/관리자 인증
- DDoS 공격 대응(QoS 저해 방지)
- 백본 네트워크 시스템 보호
- 백본 이상트래픽 탐지 분석
- 이기종망간 연동 메커니즘 보호
- 접속망 네트워크 시스템 보호
- 네트워크 시스템 관리자 인증
- 가입자 이상트래픽 탐지/대응(웜/바이러스)
- 사용자(접속) 인증
- 가입자 데이터 기밀성 보장
- 이동환경에서 공격자 역추적
USN 망
28
The security framework for the IP protocol layer has been formally defined and standardized by the IETF IP Security Working Group (IPsec) in RFC 2401
IPsec Components(IPv6 Essential p.89참조)
IP security architecture
ESP protocol/header AH protocol/header
Encryption Algorithms Authentication Algorithms
ISAKMP for IP Security
Key management framework※ Internet Security Association and Key Management Protocol
4. IPv6 보안위협과 대응방안IPsec 개요(1/7)
29
IPsec mode of operationTunnel Mode – A new packet is created using an IP-in-IP tunneling method. Original IP header can be authenticated and encrypted. This provide better protection against traffic flow analysis ( I.e Virtual Private Network )Transport Mode – IP header will be no protected by Authentication and Encryption. Typically applicable to end to end.
IPsec Protocol SuitesAuthentication Header (AH) TransformationEncapsulating Security Payload (ESP) TransformationInternet Key Exchange Protocol (IKE)
연결 관리와 정책 관리를 위한 데이터베이스
SPD(Security Policy Database) 보안 정책 데이터베이스
SAD(Security Association Database) 보안 연계 데이터베이스
4. IPv6 보안위협과 대응방안IPsec 개요(2/7)
30
Provides:Data Origin AuthenticationConnectionless IntegrityAnti-Replay Protection
Does Not ProvideMessage Confidentiality
Calculates And Verifies A Message Authentication Code (MAC) Using Transforms Specified For IPsec Standard
AH in
Tra
nspo
rtMo
de
IP UPR. LYR. PAYLOADTCP/UDP HDR
UPR. LYR. PAYLOADTCP/UDP HDRIP AH HDR
AUTHENTICATED
4. IPv6 보안위협과 대응방안IPsec 개요(3/7)
AH – Authentication Header
31
4. IPv6 보안위협과 대응방안IPsec 개요(4/7)
Provides:Data Origin AuthenticationConnectionless IntegrityMessage Confidentiality
적용방법 : ESP 단독, ESP+AH 조합된 형태 (터널모드 사용 시)
터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터그램 암호화
ESP
in T
rans
port
Mode
IP UPR. LYR. PAYLOADTCP/UDP HDR
UPR. LYR. PAYLOADTCP/UDP HDRIP ESP HDR
ENCRYPTED
AUTHENTICATED
ESP TRLR. ESP AUTH.
ESP – Encapsulation Payload
32
4. IPv6 보안위협과 대응방안IPsec 개요(5/7)
말단 호스트 사이는 ESP 사용
IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth
New IP headerNew IP header AHAH IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth
IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth
ESP applied packetAH Added
호스트 A 와 보안 게이트웨이 1 사이
보안 게이트웨이 사이
보안 게이트웨이 2 와호스트 B 사이
Authentication only
Encryption & authentication
보안 게이트웨이 2보안 게이트웨이 1
1472 1472
IPsecIPsecIPsecIPsec
호스트 A 호스트 B
보안 게이트웨이사이는 AH 사용
AH와 ESP를 이용한 예
33
4. IPv6 보안위협과 대응방안IPsec 개요(6/7)
IPsec flow processing
34
4. IPv6 보안위협과 대응방안IPsec 개요(7/7)
IKE – Internet Key Exchange
AH, ESP 등의 암호화, 인증 서비스를 이용해서 상대방과 통신을 하기 위해서는 다음 사항을 결정해야 함
프로토콜, 암호 알고리즘, 키 등에 대한 협의
( Internet Key Exchange – IKE ) 이러한 협의 내용에 대한 기록 ( Security Association – SA )
SA는 둘 이상의 객체가 어떻게 보안 서비스를 사용하는지에 대한 relationship
각 SA는 다음 사항에 의해서 식별됨
Security Parameter Index (SPI)IP destination addressSecurity Protocol Identifier (AH or ESP)
35
4. IPv6 보안위협과 대응방안IPv6 보안 기술(1/7)
IPv4/IPv6 공통 보안 이슈스니핑(Sniffing) , 스푸핑(Spoofing)응용계층 공격Rogue 디바이스 위장 공격Man-in-the-Middle 공격플러딩(flooding) 등 DoS공격
IPv6 새로운 보안 이슈확장된 주소 공간AnycastICMPv6라우팅 헤더Hop-by-Hop 옵션 헤더Access ControlPrivacy ExtensionsFragmentationLink Local 공격Ingress Filtering & Routing 위협
36
전환단계의 보안 이슈
Firewall의 Filtering을 위한 패킷 조사
• IPsec 터널링 이슈
IPv6망내 공격자가 IPv4망에 대한 보안 공격후 주소변경으로역추적 회피 가능성
• 프라이버시 기능의 악용
주소 적법성 검사
• Ingress filtering– 터널링된 IPv4 또는 IPv6 주소의 Filtering 및 위변조
검사
• Broadcast 오용(IPv4 network)• Multicast 오용(IPv6 network)
4. IPv6 보안위협과 대응방안IPv6 보안 기술(2/7)
37
향상된 부분
자동화된 스캐닝과 웜 전파는 늘어난 주소 공간으로 어려워짐
링크로컬 주소의 사용으로 외부공격자의 내부네트워크 접근제한
IPsec 의 기본 채택으로 IPv4보다 안전한 인프라 구축이 용이
• IPsec 을 사용함으로써 IPv6 보안 취약성의 많은 부분이
해결 가능
고려할 부분
전환 기술(단계)에서의 보안 취약성
운영자들의 IPv6 운용 및 관리 부주의로 인한 취약성 노출 위험
IPv6 보안 응용 개발의 초기단계에 따른 보안기능의 강화 필요
4. IPv6 보안위협과 대응방안IPv6 보안 기술(3/7)
38
4. IPv6 보안위협과 대응방안라우팅 헤더(4/7)
Firewall
IPv6 Internet
InternalServer B
Attacker A
Internal Server CPacket Src Dst dport Rt Header
Segs LeftRt Header Address
1 A B 53 1 C
B2 A C 53 0
XA->C 패킷
1. 접근 제어 회피
3.Reflection 공격
모든 IPv6호스트들은 라우팅 헤더 처리를 해야 함(RFC2460)
2. Spoofing을 통한 DoS 공격
대응방안
호스트와 라우터: 타입0의 라우팅 헤더 처리를 제한 또는 금지
Firewall : 목적지 주소와 라우팅 헤더를 필터링
39
Anycast 서비스 (RFC3513)애니캐스트 라우터를 통해 최적(짧은 홉거리, 낮은 비용, RTT 등) 서버에게 전달
서버는 Global Unicast 주소로 응답
보안 취약성서버의 주소 위장 공격(애니캐스트 요청 -> 유니캐스트 주소 응답)스니핑을 통한 서버의 정보(유니캐스트 주소) 유출
대응 방안Firewall의 애니캐스트 주소 필터링 필요
• 외부에서의 Anycast 서비스 요청 제한
IPsec을 이용하여 위장 공격 및 정보 유출 방지
AR
Request : Anycast Addr.
Reply : Global Uncast Addr.
host A
host B
host C
Client
Anycast Group
4. IPv6 보안위협과 대응방안Anycast(5/7)
40
4. IPv6 보안위협과 대응방안Access control(6/7)
암호화된 패킷은 네트워크 기반의 firewalls이 상위 레이어의 정보를 알 수 없게 함. Distributed (personal) firewalls은 복호화 후 볼 수 있음.AH만 사용한 IPv6에서는 firewall이 상위 레이어의 정보를 볼 수 있도록 할 수 있음.
Firewall은 상위 레이어 정보를 기초로 패킷에 대한 접근을 permit or deny 가능
ESP HDRESP HDRSrc A Dst BSrc A Dst B Encrypted DataEncrypted Data What the Network Firewall Sees
What the DistributedFirewall Sees
UDP HDRUDP HDRSrc A Dst BSrc A Dst B DataData
AH HDRAH HDRSrc A Dst BSrc A Dst B DataDataUDP HDRUDP HDRWhat the Network Firewall Sees with AH
IPv6 Net
Network Firewall
Src A Dst B
Distributed Firewall
IPv6 IPsec Tunnel
41
취약성IPv4 Firewall은 터널링된 패킷의 페이로드 검사 불가능
• IPv4용 firewall – IPv4 헤더는 검사 가능– IPv4 페이로드 검사 불가능
• IPv6용 firewall– IPv4 페이로드 검사 가능 (IP protocol 41)
방안Firewall은 패킷을 디캡슐화후 검사터널 종단에서 내부망으로 전송 전에 패킷 검사 수행Firewall을 통과하는 암호화 터널(ex: IPsec-ESP) 불허용
• IPsec-AH 허용호스트 기반의 Firewall 사용
IPv4 헤더 IPv6 헤더 IPv6 페이로드(L4헤더와 데이터)
IPv4 페이로드
4. IPv6 보안위협과 대응방안터널링과 Firewall(7/7)
42
5. 웹 서비스 보안 기술 (1/7)
XML 키 관리(XKMS)
XML 키 관리(XKMS)
Web Services Security (WS-Security)Web Services Security (WS-Security)
Simple Object Access Protocol (SOAP)Simple Object Access Protocol (SOAP)
XM
L S
ecuri
tyFra
mew
ork
s
HTTP, FTP, SMTP, JMS, etcHTTP, FTP, SMTP, JMS, etc
Transport-Level Security : Secure Socket Layer (SSL)Transport-Level Security : Secure Socket Layer (SSL)
Transmission Control Protocol and Internet Protocol (TCP/IP)Transmission Control Protocol and Internet Protocol (TCP/IP)
Non-X
ML
Fra
mew
ork
s
XML 접근제어(XACML)
XML 접근제어(XACML)
XML 보안정보 교환(SAML)
XML 보안정보 교환(SAML)
43
5. 웹 서비스 보안 기술 (2/7)XML 전자서명/암호
▣ 전자문서 혹은 메시지에 대한 인증, 무결성, 부인봉쇄 서비스 제공◈전자서명된 결과가 XML 형태로 XML 및 웹서비스 환경에 접목이 용이
◈ XML에 대한 부분서명 지원
◈ Remote에 있는 대상에 대한 전자서명 가능
◈여러 개의 문서에 대한 서명을 하나의 XML 전자서명으로 처리 가능
▣ 전자문서 혹은 메시지에 대한 기밀성 제공
◈암호화된 결과가 XML 형태로 XML 및 웹서비스 환경에 접목이 용이
◈ XML에 대한 부분암호화 지원
44
5. 웹 서비스 보안 기술 (3/7)SOAP Message Security
▣ SOAP 메시지에 대한 정보보호 제공◈메시지 수준에서의 무결성과 기밀성
을 구현하기 위한 SOAP extension 의 표준 집합
◈제공되는 주요 메커니즘: - security token을 메시지의
일부로 전송하는 기능- 메시지 무결성, 인증, 부인봉쇄- 메시지 기밀성
◈ Multi-hop 을 거치는 SOAP Message의 안전한 end-to-end 전송 가능
◈ SOAP 메시지 일부분에 대한 전자서명이나 암호화 가능
◈메시지 전달 경로상의 intermediary가 추가로 전자서명이나 암호화 가능
◈ Timestamp 지원으로 메시지 중복송수신 여부 판단 가능
SOAP-Envelope
SOAP-Header
SOAP-Body
Timestamp
Security Header
Security Token
Cipher Data
Signature
Cipher Data
45
5. 웹 서비스 보안 기술 (4/7)XKMS(1/2)
▣ PKI 기능을 XML 기반 어플리케이션에 용이하게 지원할 수 있는 공개키 관리를 위한 프로토콜(XKMS : XML Key Management Spec)
◈ X-KISS (XML Key Information Service Specification)- 식별자 정보가 주어졌을 때, 필요로 하는 공개키 위치와 식별자 정보 그리고 공개키 연결 기능 지원
- X-KISS Locate Service와 Validate Service로 구성
- 인증서의 유효성 검증 서비스 제공
◈ X-KRSS (XML Key Registration Service Specification)- 키 쌍 소유자에 의한 키 쌍의 등록, 관리를 지원하는 프로토콜
- 키복구, 재발급 (갱신) 또는 키취소 기능 지원
46
5. 웹 서비스 보안 기술 (5/7)XKMS(2/2)
SOAP Request
SOAP Response
PKI Provider (1) PKI Provider (2)
XM
LSig
natu
reXM
LEncry
ption
Java
Cry
pto
Lib
rary
SO
AP
Security
X-KISS
LocateLocate
ValidateValidate
X-KRSS
RegisterRegister
ReissueReissue
RevocationRevocation
RecoveryRecovery
PKI Module Interface
Signed &Encrypted
XML Documents
<KeyBinding><…..>
Result = Valid<KeyBinding>
<KeyID> <KeyInfo>
SOAP Request
SOAP Response
Public Key
Key Pair
User (1)
User (2)
47
5. 웹 서비스 보안 기술 (6/7)XACML, SAML
▣ 공유 자원 및 시스템에 대한 사용자의 접근 권한을 명시하는 접근제어정책에 대한 표준화된 언어의 제공을 목적으로 하는 XML 기반의 접근제어 언어 (XACML : eXtensible Access Control Markup Language)
◈보안정책에 대한 표준언어 제공
- 정책의 작성, 검토, 시험 및 승인 등의 보안정책의 관리가 수월
◈기존의 접근제어 시스템에도 쉽게 적용 가능
◈ XML의 범용성, 확장성 상속
◈정책언어와 요청/응답언어로 구성
▣ 이질적인 웹 접근 관리와 보안 제품간에 인증과 인가 정보를 교환하기위해 제안된 XML 기반 언어 (SAML : Security Assertion Markup Language)
◈인증과 인가 서비스를 제공하는 다양한 벤더 플랫폼간의 상호 운용성 제공
◈인증과 인가 정보를 교환하기 위한 XML 기반의 프레임워크
◈시스템들에 의해 생성되는 정보를 전달하기 위한 일반적인 공통언어 정의
◈ SSO (Single Sign On)에 적용 가능
◈ Assertion Protocol, Binding, Profile이 정의되어 있음
48
5. 웹 서비스 보안 기술 (7/7)SAML
SAML
AuthenticationAssertion
AttributeAssertion
AuthorizationDecisionAssertion
AuthenticationAuthority
AttributeAuthority
Policy DecisionPoint
Policy EnforcementPoint
Policy Policy Policy
CredentialsCollector
SystemEntity
ApplicationRequest
<SAML 서비스 모델>
49
6. 웹 어플리케이션 보안 기술(1/3)웹 어플리케이션 방화벽
Firewall, SSL, IDS, 보안 OS 등을 이용한 네트워크 계층에서의 방어만으로는 응용 계층에 대한 공격을 막을 수 없음
Firewall
Hardened OSWeb ServerApp Server
Firewall
Dat
abas
esLe
gacy
Sy
stem
sW
eb S
ervi
ces
Dire
ctor
ies
Hum
an R
esrc
sB
illin
gCustom Developed Application Code
APPLICATIONATTACK
Net
wor
k La
yer
App
licat
ion
Laye
r (응용계층에 보안 구멍이 존재)
50
6. 웹 어플리케이션 보안 기술(2/3)웹 어플리케이션 방화벽
IP Address TCP Port HTTP Header Cookie URL Form Data
Firewall / IDS :Denial of service(DoS)Distributed DoSSYN floodPing of deathTCP session hijackingPacket fragmentation
Web 취약성 :SQL InjectionCross site scriptingCookie/Session PoisoningForceful browsing
.
.
.
ATTACKSATTACKSSQL Slammer Code Red Nimda Forceful browsing Cross site scripting OS command injectionUnicode attacks Cookie password theftCookie poisoning Web-based worms SQL injection Site defacing
웹 어플리케이션보안 솔루션의 필요
51
6. 웹 어플리케이션 보안 기술(3/3)웹 어플리케이션 방화벽
홈페이지와 웹 서버를 보호 목적
웹 해킹 및 웹 애플리케이션 취약점 공격에 대한 차단과 방어
개인 정보 및 신용카드 정보 불법 유출 방지
웹 사이트 변조 사전 차단
Hacker
Internet
내부 Network
…Web Zone
Web FirewallFirewall
IP TrafficHTTPHTTPS
AuthorizedUser
Public WebServer
WebApplication
Database
IntranetWeb Server
52
7. BcN 정보보호 추진방향
Open API
OSS/BSS서버
Application서버
IPv6기반 QoS 보장형 패킷망
디지털콘텐츠
IT SoCPost PC 이동
통신
DTV 내장형S/W
지능형홈네트워크
USN 망
텔레매틱스
방송망유무선통합망
소프트스위치Open APIGateway
통합 정보보호관리 시스템
고성능 통합정보보호시스템
유선망 유해 트래픽 탐지/차단
서비스및
제어계층
전달계층
접속계층
홈/단말계층
응용서버 보호 시스템
무선망 유해트래픽 탐지/차단
접속계층 ACL, Rate-limit, Sink hole, Black hole
전달계층 ACL, Rate-limit, Sink hole, Black hole
53
Open API
OSS/BSS서버
Application서버
IPv6기반 QoS 보장형 패킷망
디지털콘텐츠
IT SoCPost PC 이동
통신
DTV 내장형S/W
지능형홈네트워크
USN 망
텔레매틱스
방송망유무선통합망
소프트스위치Open APIGateway
통합 인증 시스템-서비스 품질에 영향 최소화
-사용자의 편리성 제공
서비스및
제어계층
전달계층
접속계층
홈/단말계층
응용서비스에 대한 사용자 인증
단말기를 통한 네트워크 접속인증
이동성에 의한 핸드오프로 인한 재인증
7. BcN 정보보호 추진방향통합인증체계구축
54
7. BcN 정보보호 추진방향가입자단까지 보안기능 확대
일반 사용자들은 자신의 단말이 유해 트래픽의 진원지가 될 수 있으며,
악의적인 공격의 피해자가 될 수 있다는 인식 부족
정보보호 관련 투자 및 관리가 어려운 중소기업의 사용자들은 회사의
데이터가 외보로 유출될 수 있다는 인식 부족
가입자 단말에서 발생하는 유해 트래픽에 대한 제어 요구 증가
가입자 단말에 대한 보안 관리 요구 증가
다양하고 이동성이 많은 단말의 사용 예상
홈 게이트웨이
레지덴셜게이트웨미
인터넷
• 유해 트래픽 탐지/차단
• 내부 단말 보안관리 (패치, 접속인증 등)
• 유해 트래픽 탐지/분석
• 홈/레지덴셜 게이트웨이 관리(ACL 등)
55
BcN
QoS 보장-Bandwidth
-Delay-Jitter
정보보호 기능으로 인한 품질저해 방지해야 함
서비스별로 요청 품질이 다르므로 QoS-Aware한 정보보호 기술 필요
QoS 관련 제어 시스템/프로토콜에 대한 공격을 통한 서비스 품질저해 공격을
예방하기 위한 정보보호 기술개발 필요
사용자 단말
응용서비스
7. BcN 정보보호 추진방향서비스 품질을 고려한 정보보호
56
BcN 시범사업에 BcN 정보보호 기술요구사항 제시
BcN시범사업의 정보보호 현황분석
시범사업의 안전성 점검 및 세부대책 마련
BcN 구축⋅운영에 참조할 수 있는 정보보호 가이드라인 개발 및 배포
BcN 품질요구사항을 만족시키는 정보보호 SLA 등급 기준 마련
BcN 안전성 확보를 위한 정보보호 관리체계 구축
BcN 정보보호 안정성 점검 및 세부대책 마련
-환경 제공
-정보보호 현황분석-안전성점검-법제정비
-관리체계 구축정보보호이행 계획
BcN시범사업자
정부
-보안기술개발-보안제품개발
정보보호 기술요구사항
BcN 정보보호 기술 및 제품
연구소/업체
정보보호 기술요구사항
세부대책/가이드라인
7. BcN 정보보호 추진방향구축단계부터 고려한 정보보호
57
사용자의 선택적 요구에 따른 정보보호 서비스(Firewall, VPN, IDS, 안티바이러스,
스팸차단 등) 제공
맞춤형 정보보호 서비스
정보보호 검역서비스
가입자 단말의 보안상태 점검을 통하여 격리/치료/접속허용 등 일련의 조치를
취하는 검역 네트워크 구축
가입자 단말에 대한 바이러스 치료, 취약점 패치, 해킹툴제거 등의 정보보호
기능에 대한 원격 수행 시스템 구축
정보보호 취약점 점검 ASP 서비스
ASP 서비스 형태로써, 보유 자산에 대한 원격 정보보호 취약점 점검 시스템 구축
취약점 점검 서비스 신청 접수 및 관리 시스템 구축
7. BcN 정보보호 추진방향정보보호시범서비스 추진
58
인터넷
검역네트워크
검역 네트워크
바이러스치료 취약점패치
해킹툴제거네트워크 접속 제어
가입자에이전트
정보보호 취약점 점검
ASP 서비스
원격 정보보호 취약점
점검 시스템
맞춤형 정보보호서비스
VPNFirewall IDS 스팸차단
안티바이러스
7. BcN 정보보호 추진방향정보보호시범서비스 추진