|
SSH(Secure Shell) |
|
정의 |
° 네트워크의 다른 컴퓨터에 로그인, 원격실행, 파일전송 서비스를 안전하게 통신하도록 하는 기능 제공 |
|
특징 |
° rlogin, rsh와 같은 보안에 취약한 서비스를 대체
° 패킷을 암호화 하므로 Spoofing, Session Hijacking등에 안전
° 다양한 인증방식 및 강력한 암호화 사용(3DES, Blowfish, TWOFISH), MD5/SHA1 해시 알고리즘
° X11, TCP/IP 포워딩 | |
|
SSL(Secure Socket Layer)/TLS
※ HTTPs |
|
정
의 |
° 인터넷 정보보안을 위한 전자상거래 표준 보안 프로토콜(전형적인 하이브리드 암호 프로토콜) |
|
특
징 |
° 상호인증, 기밀성, 무결성을 제공하지만 데이터에 대한 전자서명 기능은 제공하지 않음
° 별도의 통신계층 또는 특정 응용에 포함되어 사용될 수 있다
|
Handshake Protocol |
Record Protocol |
|
° Client/Server간 암호화 통신을 위한 준비 단계
- ①보안능력(프로토콜버전, 암호화방식) 협상
- ②서버인증, ③사용자 인증 단계로 구성
° 중간자 공격(man in the middle attack)이 가능 |
° Handshake protocol을 통해 세션키, MAC함수, 암호화 알고리즘 공유
° 공유된 세션키로 메시지 암호화
° MAC을 이용하여 메시지 인증, 송신부인방지 | | |
|
S-HTTP |
|
정
의 |
° HTTP에 보안 기능을 추가, 확장한 보안 프로토콜 |
|
특
징 |
° 서명, 암호화, 인증검사를 통해 Transaction 의 보안 지원, HTTP형식 헤더 암호화를 통해 안전한 전송을 지원함
° End to End 암호화 전송을 지원
|
SSL |
S-HTTP |
|
공통점 |
Public/Private key 모두 지원 |
|
차이점 |
° 서버인증, 클라이언트 인증 가능
° RSA공개키/개인키 암호화
° TCP 상위 계층 |
° 서버인증만 수행
° 단일 암호화 시스템 사용하지 않음
° HTTP 응용의 상위 계층 | | |
|
SET(Secure
Electronic
Transaction) |
|
정의 |
° 인터넷상의 금융거래 안전을 보장하기 위한 프로토콜, 1024bit 암호기법 |
|
개요 |
° cardholder와 merchant 간의 신분확인을 위한 인증에 관한 내용
° 메시지를 안전하게 주고 받기 위한 암호화 기법에 관한 내용
° 지불절차 |
|
특징 |
° 거래당사자 모두 서명하는 이중서명 방식
° SSL, STT(Secure Transaction Technology), S-HTTP, PKI를 사용
° 구현이 복잡하고 많은 비용이 소요됨 | |
|
SEA(Security Extention Architecture) |
° W3C에서 최근에 만들고 있는 웹보안 프로토콜
° HTTP와 호환성을 가지면서 SSL/S-HTTP의 약점을 고려한 HTTP와 밀접한 관련을 갖는 새로운 보안 프로토콜
° S-HTTP 기능을 수용하면서 구현은 PEP(Protocol Extension Protocol)을 사용 |
|
NAT(Network Address Transition) |
|
NAT |
Proxy |
|
개념 |
° 사설 IP를 공인 IP로 변환 |
° 여러 컴퓨터가 IP주소 하나를 사용하여 인터넷에 연결하도록 하는 방화벽의 구성요소임 |
|
기능 |
° 내부 IP주소를 숨겨 보안성을 향상
° 적은 공인 IP주소 사용 |
° 특정 인터넷 연결에 대한 클라이언트 요청을 필터링
° 캐쉬를 사용하여 웹페이지 요청에 대한 응답 향상 | |
|
E-Mail 보안
(PEM/PGP/
S/MIME) |
|
PEM |
PGP |
S/MIME |
|
° IETF에서 공개 제정한 프로토콜 |
° Phil Zimmerman이 개발한 공개sw |
° RSA사가 제안한 프로토콜 |
|
° Triple DES
° RSA, X.509
° MD2, MD5 |
° Triple DES, AES
° RSA, DSA, Diffie-Hellman, X.509
° MD5, SHA-1, RIPEMD-160 |
° Triple DES
° DSA, Diffie-Hellman, X.509
° SHA-1 |
|
° 완전한 PKI를 전제로 함
° 익명의 메시지 허용 안함
° 중앙 집중화된 키 관리 |
° 인증기관없이 ‘Web of Trust‘ 방식
° 개인키와 공개키를 key-ring에 보관
° 메시지를 ZIP로 압축 후 일회용 세션키로 암호화 |
° 인터넷 MIME에 전자서명, 암호화
° PKCS 표준을 따른다 | |
|
IPSec |
|
정의 |
° IP상에서 오가는 메시지에 대한 접근통제, 암호화, 부인봉쇄, 인증, 키관리를 제공하는 표준 |
|
프로
토콜 |
|
AH(Authenticate Header) protocol |
ESP(Encapsulation Security Payload) protocol |
|
° 인증, 무결성 기능 제공 |
° 암호화 제공, 선택적으로 인증과 무결성도 제공 |
|
° AH 헤더에는 MAC값과 일련번호 포함
° 실제 패킷을 암호화하지 않으므로 원래 패킷의 데이터를 확인 가능하지만 위조나 변조는 할 수 없음
° 일련번호는 재생공격을 방지 |
° 암호화 알고리즘은 기본적으로 DES를 사용
° ESP 헤더에 일련번호 포함하여 재생공격 방지
° ESP 인증데이터는 암호화된 데이터에 대한 MAC값
° CBC모드로 운용되며 IV는 ESP 헤더에 포함, 패딩정보는 ESP 트레일러에 포함되어 복호화시 사용됨 | |
|
동작
방식 |
|
전송모드(Transport Mode) |
터널모드(Tunneling Mode) |
|
° 데이터(IP payload)만 암호화, 헤더는 제외
° 각 endpoint가 IPSec을 이해할 수 있어야 함 |
° IP헤더를 포함한 모든 패킷 암호화
° 트래픽 분석이 불가(라우터는 IP Proxy로 동작) | |
|
SAD |
° SA는 Security Association을 의미하며 IPSec을 사용하는 두 peer간 협약을 의미하며 이렇게 특정 connection에 대하여 정의되는 SA의 database를 SAD라 한다.
° SA는 보안을 위해 두 peer간 사용되는 암호화 알고리즘, 사용되는 Key, SA lifetime, 최대 전송 byte등을 정의함 |
|
SPD |
° 패킷의 출입여부를 결정한다. 즉, 패킷의 선택자들을 SPD의 내용들과 비교하여 그 패킷에 적당한 정책을 결정한다. 이때 사용될 수 있는 내용으로는 목적지 IP주소, 트랜스포트 계층 프로토콜, 발신지/목적지 포트등이 있고, 결정될 수 있는 정책으로는 통과(Relay), 폐기(Discard), IPSec Processing이 있다. |
|
키교환
(IKE) |
° ISAKMP의 프레임웍에 Oakley 키 결정 알고리즘을 결합하여 SA의 협상, 상호인증, 키 교환 메커니즘을 제공하는 프로토콜(Hybrid Diffie-Hellman 기법 사용) | |
|
PPTP/L2F/
L2TP |
|
PPTP |
L2F |
L2TP |
|
° MS와 어센드사에서 개발, 사설터널
° IP, IPX, NetBEUI payload를 암호화하여 IP 헤더로 캡슐화하여 전송
° 서버는 NT, 사용자는 별도 PPTP SW
° IP packet의 routing을 위해 GRE(Generic Routing Encapsulation)라고 하는 Routing Tag기법 사용
° 현재는 다중접속도 지원 |
° 시스코사에서 개발
° 하나의 터널에 여러개의 연결지원
° PPP를 사용하며 인증은 RADIUS, TACACS+ 사용
|
° L2F기반, PPTP와 호환성 고려
° IP, IPX, AppleTalk을 지원
° X.25, FrameRelay, ATM, SONET같은 WAN도 지원
° IPSec 알고리즘 이용하여 암호화
° UDP 17번 port 이용 | |