암호학(Cryptography)

 

시저암호(caesar cipher) - 가장 오래된 것으로 알려진 암호시스템

: 메세지를 암호화하려면, 알파벳의 각문자를 오른쪽으로 세번째 위치로 이동시킨다.

  시저암호는 ROT3, 또는 Rotate 3)암호라고 부른다. 시저암호는 알파벳만을 사용하는 대체(substitution) 암호이다. 이것은 또한 c3암호라고 불린다.

 

 암호화의 목표(Goals of crytography)

기밀성, 무결성, 인증, 그리고 부인봉쇄의 기본목표를 충족하기위해 암호와 시스템을 활용한다.

부인봉쇄(nonrepudiation) - 메세지가 실제로 송신인으로부터 유래되고 다른 어떤 사람이 송신인으로 위장하지 않았다는 사실에 대한 보증을 수신인에게

제공한다.

 

Confusion(착란상태)

-  평문과 키의 관계가 충분히 복잡하여 공격자가 평문을 변경하고 키를 판단하기 위해 결과 암호문을 분석할 수 없도록 하는 경우에 이루어진다.

 Dffusion (확산)

• 평문내의 한가지 변경이 암호문 전체를 통하여 전파되는 다수의 변경을 산출하는 경우에 이루어진다.

 

코드 대 암호(code VS ciphers)

코드는 단어 또는 구문을 표현하는 상징의 암호화 시스템이며, 때로는 비밀이기는 하나 이것이 필수적으로 기밀성을 제공하지는 않는다.

암호는 반면에 메시지의 실제 의미를 숨기는 것을 항상 의미한다.

 

전위암호(transposition ciphers)

• 암호문 메세지를 형성하기 위해 평문 메시지의 문자들을 재배열하는 암호화 알고리즘을 사용한다.  해독 알고리즘은 원래 메시지를 회수하기 위해 단순히
• 암호화 변환을 역으로 수행하는 것이다.

대체암호(substitution Ciphers)

• 평문 메시지의 각 문자 또는 비트를 다른 문자로 대체하는 암호화 알고리즘을 사용한다.

시저암호는 대체암호의 좋은예이다.

 

One-time pad는 매우 강력한 유형의 대체 암호이다.  평문메지시의 각 문자에 대하여 서로 다른 알파벳을 사용한다. 이것은 다음과 같은 암호화

함수로 표현될 수 있으며, K는 C로써 나타나는 문자를 위한 암호화 키이다.

c=(p+k) mod 26

장점 :  올바르게 사용하는 경우에 이것이 깨지지 않는 암호화 체계라는것이다.

1. 암호화 키는 무작위로 생성되어야 한다. 어떤 서적으로부터의 구문 또는 구절의 사용은 암호분석가가 코드를 해독할 수 있는 가능성을 제공한다.
2. one-time pad는 노출에 대하여 물리적으로 보호되어야 한다. 만약 적이 pad 의 복사본을 가지고 있다면, 이들은 암호화된 메시지를 쉽게 해독할 수 있다.

3. 각 one-time pad는 오직 한 번만 사용되어야 한다. 만약 pad가 재사용된다면, 암호분석가들은 같은 pad를 가지고 암호화된 다수의 메시지 내의 유사성을

   비교하여 사용된 키값을 판단할수 있을 것이다.

4. 키는 최소한 암호화되는 메시지만큼 길어야 한다. 이것은 각 키 요소가 메시지의 단지 한 문자를 암호화하기 위해 사용되기 때문이다.

 

스트림 암호(stream ciphers)

메시지(데이터스트림)의 각 문자 또는 비트에 대하여 한번에 한 문자/비트에 대하여 조작하는 암호이다. 시저암혼느 스트림 암호의 한 예이다

one-time pad는 알고리즘이 평문 메시지에서 각 문자에 대하여 독립적 조작되기 때문에 또한 스트림 암호이다.

 

블록암호(block ciphers)

 블록암호는 메시지의 덩어리 또는 블록에 대하여 조작되며 암호화 알고리즘을 전체 메시지 블록에 대하여 동시에 적용한다. 전위암호는 블록 암호의 한예이다.

질문-응답 알고리즘 내에서 사용되는 단순한 알고리즘은 전체 단어를 취하여 그것의 문자들을 역으로 한다.

 

 암호화 키(cryptographic keys)

 대체키 알고리즘(symmetric key algorithms)

대칭키 알고리즘은 통신에 참여하는 모든 구성원들에게 분배되는 공유된 비밀 암호화 키에 의존한다. 이키는 메시지를 암호화하고 해독하기 위해 모든 당사자들에

의해 사용된다. 대칭 키 암호화와 해독과정

 

               (((   sender  )))                                                                    ((( receiver  )))

p(plantext)  -> encryption   -> c(ciphers)                                         c  ->  decryption      -> p

                      algorithm                                                                         algorithm

                           ^                                                                                   ^

                       secret key                                                                      secret key

 

대칭키 암호화는 여러 약점을 가진다.

1.  키 분배는 주요한 문제이다. 당사자들은 대칭 키 프로토콜을 가지고 통신을 수립하기 전에 비밀 키(secret key)를 교환하기 위한 안전한 방식을 가져야 한다.

     만약 안전한 전자 채녈이 사용 가능하지 않다면, 오프라인 키 분배 방식이 때로는 사용되어야 한다.

1. 대칭 키 암호화는 부인봉쇄를 구현하지 않는다. 어떠한 통신 당사자도 공유된 비밀 키를 가지고 메시지를 암호화 하고 해독할 수 있기 때문에 해당 메시지가 어디에서 유래되었는지를 구별할 수 있는 방법이 없다.
2.  알고리즘은 확장 가능하지 않다. 대규모의 그룹이 대칭 키 암호화를 사용하여 통신하는 것은 매우 어렵다. 그룹내의 개인들 사이의 안전한 사설 통신은 오직 사용자들의 각 가능한 조합이 사설 키를 공유하는 경우에만 성취될 수 있다.
3. 키가 자주 생성되어야 한다. 어떤 참여자가 그룹을 떠날 때마다. 해당 참여자와 관계되는 모든 키는 폐기되어야 한다.

 

비대칭 알고리즘(Asymmetric key algorithms)

비대칭 키 (asymmetric key)알고리즘는 대칭키 암호화의 약점에 대한 솔루션을 제공한다.  

 

 

 

 

 

 

 

 

이 글은 스프링노트에서 작성되었습니다.

 보안관리(Security Management Practices)

 

 threat agent ->threat -> vulnerability -> risk

         ^                                               asset 

safeguard <-          exposure            <-|

 

정보보호의 정의 및 목적 

security management(보안관리)

기업내의 중요한 자산이 무엇이지 파악하고 파악된 자산에 대하여 위험이 존재하는지 조사하고, 만약 위험이 존재한다면 위험에 대해 safeguard를 강구해야함. 

그리고 수립된 safeguard의 효율적으로 사용되기 위해, 최고경영자의 강력한 의지를 표현하는 security policy를 수립, 공표 

보안정책에 의거하여 실제적인 절차를 수립하는 baseline, 표준 지침 절차를 수립하고 수립된 모든 절차에 대하여 직원들의 교육을 통하여, 실생활에서 이행토록하는 일련의 과정

 

데이터분류

 objectives of a classification schema...[from BS 7799-1:9999]

1. • to ensure that information assets receive an appropriate level of protection
   • helps identity which info is the most sensitive or vital to an organization 

2. information classification의 주요 목적

   •  기밀성, 무결성 가용성을 증진시키고 정보에 대한 위험을 최소화하기 위해
   • cost-to-benifit ratio 수립 
   • maintain competitive edge. 
   • classification 의 기본적인 목적은 자산들을 그룹핑하여 적절한 class로 할당하는 것임. 
   • class를 정의함으로써 기업은 그 자산을 어떻게 취급(보호)할지에 대해 알게 됨.  
   • 분류는 보호에 대한 사용자의 인식을 상승시킴 

3. classification criteria(분류기준) 

   • 데이터의 분류 체계의 주요 목적은 부여된 중요성(criticality)과 민감성 (sensitivity) label에 처리, 그리고 전송을 위한 보안메커니즘을 제공위해 사용 

      value : 데이터의 등급을 결정 #1 fator

lifetime or age : classified 된 데이터는 일정기간이 지나면 자동으로 분류해제.  

Usefulness: 기존 데이터에 대한 새 데이터가 만들어지면, 기존 데이터는 자동 분류해제.  

1. data classification 이점 

   • identification of critical information 
   • Understanding of value of information 
   • Meeting legal requirements 

Government data classification(군 정부기관에서의 데이터 등급) 

• unclassified :  중요하지도 않고 등급화되지 않은 데이터 (메뉴얼, 재무재표) 
• sensitive but unclassified(SBU) : 정보는 mirror secert로 분류되어있지만, 누출(disclosed)되면 심각한 해를 끼침 (의료정보, )
• confidential :  누출되면 국가에 약간의 끼치는 정보 
• secert : 누출되면 국가에 심각한 해를 끼치는 정보 (군사배치 계획)
• top secert : 누출되면 국가에 중대한 해를 끼치는 정보(스파이 위성정보) 

 

 Private sector(commerical) data classification(민간기업부문의 등급)

• public : 정부조직의 unclassified계층과 비슷하며, 누출되더라도 회사에 악영향을 끼치지 않을 정보(회사의 인원 및 홈페이지 공개자료) 
• sensitive :  특별한 데이터의 무결성과 기밀성에 주의를 요하는 정보로써 일반적인 데이터라도 약간 높은 수준의 classification을 요한다. (재무분석표) 
• private :  누출되면 개인에게 불리한 영향을 끼치는 정보(의료정보) 
• confidential  : 누출되면 회사에 심각한 해를 끼치는 매우 민감한 저보로 회사만 사용가능(무역비밀, 신규 전략 사업 기획안 등) 

 

information classification [from ISO 17799 -  YEAE 2003 ] 

1. top secert :  highly sensitive interal documents (M&A, 투자전략 등) 
2. highly confidential :  공개되면 심각한 조직운영의 장애 ( 환자의료기록, 은행 고객정보, ) 
3. proprietary (소유 , 독점, 전유 ) 
4. internal use only :  내부 메모, 미팅시간, 내부 프로젝트 보고서  
5. public document : annual report, press statement등 

 

몇가지 원칙  

자원을 분류하기 위해서 risk-based approach를 고려하라.  

직원들로 하여금 그들 스스로 무엇을 보호할지 알도록 하는 방법을 사용하라. 

이를 위하여 사용자들을 분류과정에 참여할수 있도록 하라.  

가장 단순하게 하고 , 분류레벨도 최소화 한다.  

보안프로그램..(security policy, standards, guideline and procedures baseline security awareness trainning, incident handling 

compliance program 등 

  

효과적인 보안에 대한 장애물들, (경영진의 지원부족, 보안정책 부족, 교육 부족, 예산부족, 책임할당제 부족) 

정보보호 정책 이행시의 에로사항 

예산부족, 관리자의 이해부족, 정책집행의 무관심 , 형식상의 결제, 실천 방안의 준비부족, 임무 부적격자의 임명, 시행상의 의구심, 기술적인 문제의 거부의식 

 

 

 

 

 

이 글은 스프링노트에서 작성되었습니다.

 통신망 및 네트워크 보안(Telecommunications & Network Securit)

Dns cache poisoning - dns 캐시에 저장된 IP address를 다른 IP로 바꾸게 하는 공격

Social engineering(masquerade:위장) - 내부사용자 인것처럼 위장하여 주요정보를 빼내는 공경방법

Phone phreaking/   honey pot/   shoulder surflng

salami attack - 일부해커가 시티뱅크의 여러계좌에서 1센트씩 빼낸후, $200,000달러가 되었을때 도주, 이런종류의 공격방법

                         작은 정보들을 모아 아주 중요한 정보를 얻어 내는 것도 salami 공격이라 부름.

data diddling - (false data) - 예를 들어 편의점에서 700짜리 아이스크림인경우 종업원은 시스템에 1000원을 입력하고 잔돈 300원을 꿀꺽하는 방법

call forwarding - RAS서버에 callback기능을 설정하였을 경우 , 서버가 다시 클라이언트에게 전화를 하게되는데 이때 클라이언트전화기에 call forwarding을 설정하면 보안에 취약할수 있음.

War dilaling - 내부망의 pc에 부착되 모뎀을 찾는 방법 / 모뎀을 찾는 이유는 방화벽 및 보안장비를 우회하기 위한 목적 / 해결 - pc나 laptop에 모뎀을 허용하지 않도록 보안정책

War driving (=War chalking:분필) - AP를 차를 타고 다니면서 찾아내어 내부에 침투하는 방법/ netstumbler

RF jamming  - 유선상의 dos 개념과 비슷/ wireless Lan에서 사용하는 Dos 공격 / Wireless는 Radio Frequency(RF)를 보내어서 정상적인 클라이언트 요청을 하였을때 서비스를 못하게 하는 방법

Dumpster diving - 쓰레기통같은 곳을 뒤져서 정보를 얻는 방법

Cross-site scripting - 스크립트를 이용하여 클라이언트의 중요정보, 즉 쿠기를 빼낼수 있게 하는 공격방법

 

Bluetooth

2.4Ghz, IM, 30feet

confidentiality: 128bit symmetric

authentication: challenge & response method

FHSS(Frequency Hopping Spread Spectrum) - 1.600 times per sec

GSM/CDMA : 64bit symmetric key

bluetooth 의 인증방식은 ?  CHAP 

 

802.11 이더넷 프레임 해더 구조...... (wep/tkip)

WEP은 Replay attack을 방지할수 없는가?  SEQ가 없어서 방지할수 없다.

Design Good for WEP고려사항 (exportable / reasponably strong / self-synchronization / computationally efficient ) 

 self-cynchronization : 서로 stream cipher키를 동기화시킴 why? L2 프로토콜을 재전송 기능 같은게 없으므로 프로토콜헤더에 Random IV값을 매번 넣어서 cleartext로 전송하며, receiver는

받은 패킷에서 IV값을 WEP KEY와 결합하여 key stream을 만듦 

 

Wired Equivalent Privacy(WEP)

 designed to provide security equivalent to a wired network

uses shared WEP key of 40 or 104 bits 

uses an initialization vector(IV) of 24bits -  client changes this every packet and is included in the packet in the clear

combined IV+WEP key gives a key size of 64 or 128bits 

Layer 2 protocol

Secureing Access point(AP)

• disable broadcast probe response 
• change AP's default values(SSID)  

Weakness of WEP	TKIP
RC4 algorithm	RC4 algorithm
weak key -key(40bit)+ IV(24bit)	tempoaral key(128bit) -input for session key  -changed per 10,000 packets
forgery (spoofing) -per packet integrity	MIC(message integrity check) - key hash  - per packet authentication
repaly attack	SEQ payload
collision attack -IV(24bit)	IV(48bit)

Wireless LAN보안할때 사용하는 프로토콜은? WEP 

AP(access point)를 원격에서 찾아서 공격하는 방법은? (War driving/ Walking) 

Wireless보안

WEP->dynamic WEP(TKIP)-WPA(인증: 802.1x.EAP, 암호: TKIP)->802.11i(인증 : 802.1x/EAP, 암호:AES)

 

 SIM card(subscriber Identity Module)

• IMSI(Electronic serial number) 
• individual subscriber's authentication key (128bit) 
• A3 and A8 algorithm 
• USER PIN code 
• PIN unlocking key(PUK): 사용자가 PIN을 잊었을 때만 필요. 

GSM에서 SIM의 목적은? 미러정보를 가지고 있음(로밍)

 

Phone clonning(전화기 복제) 

ESN (electronic serial number) => 핸드폰 H/W cd키

MIN(Mobile identification number)

PHone clonning을 할때 필요한 것은? ESN, MIN

 

Spread spectrum  

 Radio technique that continuously alters its transmission patten either by constantly changing carrier frequencies (FHSS) or by Constantly changing the data pattern(DSSS)

two main benefits of DSSS 

More secure than narrowband systems because spreading the signals can decrease the risk of the signal being detected by unauthorizied parties 

Increase signal quality and connections because it reduces the risk of signals not getting through 

• FHSS(frequency hopping spread spectrum) :  bluetooth 
• DSSS(Direct Sequence Spread spectrum) CDMA, 802.11b  

CDMA가 GSM보다 보안적으로 우수한 이유는? spread spectrum 

 

wireless threat 

Eavesdropping 도청

jamming(RF Dos)전파방해 

• client jamming for rogue client 
• Access point(AP) jamming for rogue AP : Evil Twin  
• MITM(man in the middle) 
• Cryptography threat 
• WEP(RC4 / 40 bit static key)   

Evil twin 공격방법은? ap jamming for roque AP / AP 전파를 방해해서 약한 AP를 만드는 것이다. 

 

SSL	SET
카드사용자와 머천트간의 데이터 보호에 초점 거래와 승인의 동시성 및 자동화는 머천트의 어플리케이션에 의존 (통상적으로 알려진 일괄처리)  신용카드정보가 머천트에게 완전 노출  머천트-은행간의 표준적 인터페이스 설계가 불가능 (대향의 머천트 확보곤란)	카드 사용자 머천트 은행 3자간의 통합 거래 및 승인의 동시성이 확보되면 지불 요청 등  전 과정이 자동화   신용카드정보가 머천트에게 노출되지 않음  머천트 은행간의 표준적 인터페이스로 머천트 확보가 용이

 SSH(secure shell)

• Originally developed in finland by tatuylonen
• it is now a commercial product. but it can still be used free of charge(mostly) 
• secure connection for FTP, telnet and unix R* command 
• port forwarding for web secure 
• port 22번 사용 

unix의 R* command를 보안할수 있는 프로토콜은? SSH 

 

S-HTTP(secure HTTP) 

• EIT(enterprise integration technologies)의 allan schiffman과 eric rescoria가 제안한 HTTP 확장판 
• S-HTTP는 WWW프로토콜을 연장한 것으로 응용계층 바로 아래에 보안 특성들을 추가한 프로토콜임.  
• 메세지 별로 암호화 수행하며 HTTPS의 대안이 될수 있음.    

웹을 보완하기위해 어플리케이션 레이어에서 수행되는 프로토콜은? S-HTTP 

 

SSL(Secure socket Layer ) 

•  https://www.abc.com 실행 했을때

  • client가 서버의 인증서를 받는다.  
  • client는 임의의 세션키(대칭키)를 생성한 후 서버의 인증서에서 public key를 이용하여 이 세션키(대칭키)를 암호화하여 서버에 전송한다.  
  • 서버는 자신의 private key를 갖고 복호화하여 세션키(대칭키)를 얻는다.  
  • 이후 이 세션키(대칭키)를 이용하여 모든 트래픽을 암호화한다.   
  • netscape사가 개발 SSLv3(vision3) 
  • IETF TLS(trnansport layer security)로 발전(ssl v3.1) 
  • SSL은 여러 프로토콜로 구성되는데 ssl handshake protocol SSL change cipher spec protocol, SSL alert Protocol등은 관리를 위해 사용되고      

            SSL Record protocol에서 실질적인 보안서비스를 제공함.

•  SSL v3.0부터 client Authentication을 지원, 즉 mutual(two-way)인증 방식 지원(옵션) 
• SSL 역시 symmetric algorithm 을 지원 (RC4)로 암호화하여 그 session키는 상대방 certificate에 있는 public key로 암호화하여 키 교환 함. 
• SSL v2.0까지 MITM 공격에 취약  

client Authentication을 지원하는 SSL version은 ? V3.0 

 

PEM(Privacy Enhanced Mail )

• attempt to add security to SMTP 
• TEXT only : MIME didn't exist yet 
• attempt to build a CA hirearchy along x.500 lines 
• hierarchy allows only single path 

• PEM services

  • confidentiality only(DES-CBC / RSA) 
  • Authentication Only(MD5/MD2) 
  • Confidentiality and Authentication  

PEM에서 주로 사용하는 암호화 알고리즘은? DES-CBC

 

 S/MIME(multipurpose internet mail extensions)

• developed by RSA in 1996 
• IETF is working on version 3 
• Uses X.509v3 certificates to authenticate owner of the public key  
• symmetric encryption:  3DES, RC2 

• Asymmetric Encryption :  EIGamal , RSA 

  • S/MIME services 
  • Confidentiality Only by Digital envelope(3DES, RC2 w/EIGamal, RSA) 
  • Authentication Only by Digital Signatures(DSS, RSA, EIGamal w/SHA) 
  • Confidentiality and Authentication 

• EIGamal은 DH의 파생된 알고리즘이며 encryption 및 digital signature용으로 사용 

  Email에서 MIME를 안전하게 전송시키는 방법은? S/MIME

 

PGP vs S/MIME

	PGP	S/MIME
CA Server	No	Yes
Key related	web of trust key ring  passphrase	CA server

 web of trust, key ring와 관련 있는 Email 프로토콜은? PGP 

key concept for application security 

authentication/ non-repudiation(부인봉쇄) / digital Certificate / digital Signature / Digital Envelope /  key distribution for symmetric algorithm 

(diffie-hellman key exchange : ipsec, ssl(v3.0) ssh 

digital envelope: PGP, S/MIME, PEM. SSL 

 

symmetric key를 public key로 함호화해서 전송하는 방법은? digital envelope 

 

Pretty Good Privacy : PGP 

Phil Zimmermann이 만듦 

A security mail protocol 

Widely available 

vendor-supported version exist 

open-source 

PGP-service 

•  Confidentiailty only by digital envelope(CAST/IDEA/3DES/ w/RSA) 
• Authentication only by digital Signatures (DSS/RSA w/SHA-1) 
• Confidentiality and Authentication 
• Compression  use of ZIP 
• Segmentation - to accommodate maximum message size limitation 

 

PGP에서 자주 사용되어 지는 알고리즘은? IDEA128 

 

 AH(authentication Header)

데이터의 보존성과 IP 패킷의 인증을 제공 

replay attack을 방지 

AH는 message authentication code(MAC)를 기반 

AH는 패킷 인증과 데이터보존성만을 지원하므로 ESP와 함게 사용하면 더 높은 보안성을 갖게 될수 있음.

암호 알고리즘  : HMAC_MD5,_96, HMAC_SHA_1_96

 

IP Header

AH

payload

                                                               |

 authentication key     ->          authentication algorithm

 AH Header 은 암호화흫 제공하는가? 안함

 

ESP(encapsulating security payload 

•  전송자료를 암호화하여 전송하고 수신자가 받은 자료를 복호화하여 수신 
• 비밀성과 무결성을 제공, replay attack 방지 
• 암호화와 선택적 인증을 동시에 지원 
• IPv4와 IPv6 를 모두 수용
• 사용자의 요구에 따라 트랜스포트 계층 세그먼트를 암호화하거나 전체 IP패킷에 대하여 암호화 
• tcp/udp 등의 트랜스포트계층까지를 암호화할 경우 이를 트랜스포트모드라 한다.  
• 전체 IP패킷에 대하여 암호화를 할경우 터널 모드라고 한다.  

IPSEC에서 암호화와 인증 모두를 제공하기 위한 프로토콜은? ESP 

 

transport & tunnel modes 

• ipsec의 연결 형태에 따라 터널모드와 트랜스포트 모드로 구성 

• tunnel mode : vpn과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSEC을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 

  중계장비의 IP주소를 붙여전송 

• transport mode: 패킷의 출발지에서 암호화(인증)을 하고 목적지에서 복호화가 이루어지므로 end-to end보안을 제공 

 

PPTP(point - to - point tunneling protocol) 

• microsoft 의 RSA(remote access services)에 기반 
• 계층 2에서 동작 
• PPTP tunneling에 Dial-up PPP packet을 encapsulate함 

• 정보보호서비스 

  • 양방향 tunnel 형성 
  • 기밀성 RC4 알고리즘 사용 
  • 주소부분은 암호화하지 않음 
  • 사용자 인증: MS-CHAP(PPP인증) 
  • Windows NT server, Windows 95 client 에서 지원 

PPTP가 안전한 통신을 제공하는 것은? encapsulation and encryption 

IPSEC 두가지 모드는? Main mode, quick mode 

IPv6에서 내재된 암호화 protocol은? IPSEC 

IPSEC에서 암호화를 수행하는 프로토콜은? ESP  

IKE의 또다른 이름은? ISAKMP/OAKLEY 

Sniffing을 방지할수 있는 방법은 어트것인가? ESP, AH, PPP

IPSEC은 어느계층에 속하는가? network layer

 

L2TP(Layer 2 tunneling protocol) 

• L2F 프로토콜(cisco에서 제안)과 PPTP프로토콜을 결합한 프로토콜 

  • dial-up 사용자 인증 
  • network-based server에 routed connection 지원  

• 인터넷서비스 제공자 (isp)를 목표로 제안 

  • window NT server 지원 안 함. 

• 정보 보호 서비스 

  • 기밀성없음 -> L2TP over IPSEC 
  • 인증(certificate)  

 

 VPN(virtual private network)

• 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합(bandwidth & security)
• 기업간 안전하게 데이터를 전송하려면 어떻게 해야 하나? VPN 

 

침투테스트(penetration test)- 목적 : Designed to identify vulnerabilites before they are exploited 

negative 성질을 보임 

침투테스트의 주요목적은? 평가, 탐지, 예방 교정 

 

principles of security(art of defense) 

• least privilege 
• defense in depth 
• choke point 
• weakest Link 
• fail-safe stance 

 

암호화와 관련있는 계층은? 프리젠테이션 

전선다발에 의해 발생할수 있는 것은? 크로스토크(혼선) crosstalk 

bridge 가 repeater와 다른점은 ? data link layer 

internet의 유래? 알파넷 

x.25망 에 접속을 하기 위해 필요한 장비는? pad 

ppp전송이 안전하지 않는 이유는 ? 스니핑 노출(id/pw 암호화 안됨) 

tcp wrapper: 서버에서 ip단위로 접근차단 (/etc/hosts.allow )

dns cache poisonning이란? dns값을 잘못된 값으로 바꿔 다른 경로로 유도 

ftp 전송시 데이터 통신을 수행할때?20포트 

ATM, FDDI , Ethernet Appletalk 중 성질이 다른하나는? ATM 

라우터가 동작하는 osi 계층은? 네트워크계층 

replay attack을 방지할수 있는 인증 방식은? CHAP 

SSL은 OSI 7 계층중 어디에 속하는가? 트렌스포트위 프리젠테이션 사이 

 

  OSI 7 Layer

물리계층 - 비트단위의 정보를 전송

             물리적장치와 전송매체간의 인터페이스, 전송매체의 종류, 전송속도, 부호화 방법

             네트워크 구조(링, 별, 버스, 스타 매시)

             ethernet x.21, Rs-232, hssi eia/tla-232 eia/tia-449

 

데이터링크 - 패킷을 프레임단위로 변환

               물리적 주소 지정(mac)

               Ethernet 2, 802,3 , PPP, SLIP L2F, L2TP, FDDI, ISDN

네트워크 - 개별패킷을 송신자로부터 수신자에게 전달.

               경로선택(ROUTING) , 논리적 주소(IP)지정

              IP, ICMP, IGMP, RIP, OSPF, BGP

전송계층 - 전체 메세지를 송신자로 부터 수신자에게 전달.

              메세지 크기 세크먼테이션으로 분할, 연결제어 재조합, 흐름과 에러제어, 포트주소지정

세션계층 - 시스템간의 논리적인 연결확립 및 관리 통제.

              송수신 양방향 데이터 전송을 위한 동기화 기능 제공              

              SSL , NFS, SQL , RPC 등

             단방향, 전이중, 반양방향

표현계층 - 응용계층에서 만들어진 정보를 표준화된 형식으로 변환

               암호화/ 복호화

               데이터 압축기능

              ASCII, EBCDIC, JPEG, TIFF, GIF, MPEG

응용계층- 사용자나 소프트웨어가 네트워크에 접근할수 있는 기능 제공

HTTP, SMTP, FTP  POP , TFTP, NNTP

 

 

 

 

             

 

 

 

 

 

 

 

 

 

 

이 글은 스프링노트에서 작성되었습니다.