접근 통제란?
주체가 객체에 접근하는걸 통제하는것
접근통제 절차
1.식별 :일반적 자기주장
2.인증 :DB랑 비교
3.인가 :권한 부여
4.책임 추적성 : 사용자의 이용을 추적하고 그의 행동을 기록하고 추정한다.
=>log파일은 편집권한을 아무도 가지면 안된다..
시간의 연속성이중요하다
인증 위한 4가지 특징
- 지식 기반 ex) 패스워드 아이디
- 소유 기반 ex) 토큰,스마트카드
- 존재 기반 ex) 생체인증
- 행위 기반 ex) 움직임,음성,터치서명
메커니즘 사용 시 단일 one -factor
메커니즘 최소한 2가지 이상 다중(Multi-factor)
인가
클리어런스 : 사용자가 특정 데이터, 시스템, 또는 물리적 공간에 접근할 수 있는 권한이 있는지를 나타냅니다.
최소권한 = need to know :Need-to-know"은 정보에 접근할 필요가 있는 사용자에게만 해당 정보에 대한 액세스 권한을 부여하는 원칙
접근통제 원칙
직무 분리:시스템 또는 프로세스의 각 부분이나 기능은 가능한 한 분리되어야 합니다. 이는 특정 작업에 필요한 권한을 갖는 사용자가 해당 작업 외의 다른 작업에는 접근할 수 없도록 하는 것을 의미합니다.
최소 권한:사용자나 프로세스가 최소한의 권한만을 가지고 있을 때, 시스템의 공격 표면이 줄어들어 보안이 강화됩니다. 악의적인 사용자나 프로세스가 시스템에 액세스할 때 가져올 수 있는 피해가 최소화됩니다.
접근통제 범주
-
예방 통제 : 모든 위해를 사전에 예방하기위한
-
탐지 통제 : 시스템으로 침입하는 위해 요소들을 탐지하는 행위
-
교정 통제 : 피해를 원상복귀하기 위한 통제
FRR(false rejection Rate) :오거부율
=> type 1 Error, Anomly, 가용성
FAR ():오수용율
=> type 2 Error, Misuse,기밀성
사람: 가장 시너지가 좋은 보안 요소 이지만 동시에 가장 취약점이다.
=> Security hole
CCTV:예방,탐지도 된다.
패스워드
- 가장널리 쓰는 인증방법으로 가격이 저렴하다.
- 스피닝 될 수 있다.
- 최소한 8자리이상 문자와 4가지 유형 문자(대,소문자,숫자,특수문자)
Interception(간첩): 정보가 전송되는 동안 타인이 그 정보를 가로채어 읽을 수 있는 위험을 말합니다. 이는 데이터가 암호화되지 않거나 안전하지 않은 네트워크를 통해 전송될 때 발생할 수 있습니다.
Interruption(중단): 시스템의 가용성을 저해하는 위험을 의미합니다. 예를 들어, 서비스 거부 공격(DDoS)과 같은 공격이 이에 해당합니다. 이러한 공격은 시스템의 정상적인 작동을 방해하거나 중단시키는 데 사용될 수 있습니다.
Modification(수정): 데이터가 송수신되는 동안 중간에서 수정될 수 있는 위험을 나타냅니다. 공격자가 데이터를 변경하여 정보의 무결성을 훼손할 수 있습니다.
Fabrication(위조): 인증되지 않은 개체가 가짜로 인증된 것처럼 나타나는 위험을 의미합니다. 예를 들어, 위조된 인증서를 사용하여 공격자가 유효하지 않은 서비스에 접근하는 것이 이에 해당합니다.
암호화 프로토콜 :데이터를 전송하고 받는 과정에서 데이터를 암호화하고 복호화하는 데 사용됩니다.
Bruteforce Attack(브루트 포스 공격)
암호 해독이나 접근 권한을 얻기 위해 모든 가능한 조합을 시도하는 공격 방법입니다. 이 방법은 매우 간단하지만 효과적일 수 있습니다. 공격자는 가능한 모든 조합을 시도하여 암호를 찾을 때까지 지속적으로 시도합니다.
Q.사내 네트워크에 Vlan구성하려고 한다.
Vlan은 모두7개 필요한 상황이고 ,각 Vlan별 PC의 숫자는 16~22개 사이이다.
이 경우 적절한 서브넷 마스크 값은 얼마인가?
/24 => sssh hhhh => 1110 0000 => /27
A.255.255.255.224
Q.198.157.156.200, 198.157.156.220 이 2개 주소를 단일 네트워크로 묶는 최적의 서브넷 마스크 값은 얼마인가?
200 1100 1000
220 1101 1100
1110 0000 =224
정답: 255.255.255.224
192.168.1.0/24를 사용하고 있는 회사에서 사내 부서 6개에 대한 서브넷팅을 하려고 한다.
첫번째 서브넷이 Zero-subnet은 사용하지 말고 2~7번째 서브넷 범위를 각 Vlan에 할당해야 한다면 주소 범위는 어떻게 해야 되는가?
Q. 192.168.1.0/24를 사용하고 있는 회사에서 사내 부서 6개에 대한 서브넷팅을 하려고 한다.
첫 번째 서브넷이 zero-subnet은 사용하지 말고 2~7번째 서브넷 범위를 각 Vlan에 할당해야 한다면 주소 범위는 어떻게 되는가?
현재 메이저 네트워크 주소에서 6개의 서브넷을 만들려면 /27로 해야 함.
sssh hhhh
sss
000
001(1st)
001 0 0000=>32
001 1 1111=>63
010(2nd)
010 0 0000=>64
010 1 1111=>95
011(3rd)
011 0 0000=>96
011 1 1111=>127
100(4th)
100 0 0000=>128
100 1 1111=>159
101(5th)
101 0 0000=>160
101 1 1111=>191
110(6th)
110 0 0000=>192
110 1 1111=>223
라우터 네크워크 유형
1. Local network : 라우터에 직접 연결된 네트워크
2. Remote network: 다른 라우터를 통해야 연결되는 네트워크
브로드네크워크가 총네크워크수다.
- Routed Protocol : 식별자,IP,IPX,Apple talk
- Routung Protocal: 경로(원격지 네트워크) 과정을 학습 시키는것
라우터의 핵심기능
1.Packet switching (패킷 스위칭)
=> 수신된 패킷을 전달할지 버릴지 결정하는 것.
2.Path Selection(경로 선택)
=> 전달(Forwarding)이 어딜로 보낼지 결정.
라우터의 구성
- Routed Protocol : 식별자,IP,Unicast IP 을 사용한다.
- Routung Protocal: 경로(원격지 네트워크) 과정을 학습 시키는것
Network ID 만 있으면 됨
static : 관리자 직접 경로를 지정하는 방식, 라우터간 정보교환은 없음, 원격지 네트워크를 등록
Dynamic : 로컬네트워크 등록 후 라우터 간 정보 교환후 동기화
-현재 라우터들은 로컬 네트워크는 모두 학습 완료된 상태
슈퍼넷팅을 이용한 경로 요약에서 슈퍼넷팅은 연속적인 메이저 네크워크 또는 서브네트워크를 하나로 합치는 기능
