Security Goals

Confidentiality, Integrity, Availabilty

공격이 있더라도 원하는 속성들을 보장해야 함

기밀성 - 도청, 암호화 .. 와이어샤크, 네트워크 패킷 캡처

무결성 - 리패키징, 바이러스, 웹 프록시를 통한 변조

가용성 - 랜섬웨어, 디도스 ..

 

보안은 시스템을 내외부의 고의적인 공격으로부터 방어하는 것을 다루고,

개인이 정보를 탈취하거나 손상시키거나 다른 방법으로 혼란을 의도적으로 초래하는 것들이 공격에 포함됨

1. 비인가된 접근

2. 시스템 메모리에 대한 악의적인 접근

3. 멀웨어

등으로부터 컴퓨터 시스템은 보호되어야 함

 

Secuity = 위협, 리스크, 취약점으로부터 안전한 상태

Confidentiality, Integrity, Availability, Authentication, Authorization, Auditing 같은 속성들을 지켜야 함

 

보안 위협의 예시

시스템에 접근하거나, 더 높은 권한을 얻으려 시도하거나, 합법적인 계정의 비밀번호를 얻으려 하거나..

- 기본 비밀번호 시도

- 짧은 비번 무차별 대입

- 사전이나 일반적인 비밀번호 목록에서 시도

- 사용자 개인 정보 수집

- 트로이 목마

- 통신 라인 도청

 

Interruption - 도스

Interception - 감청

Modification - 변조

Fabrication - 위조

 

인터셉트를 제외한 건 능동적인 공격.. 더블 체크하여 알아낼 수 있음

인터셉트는 더블 체크해도 알애채기 힘드나, 탐디는 됨 => 디코이하기

인터셉션은 메시지 내용 보기랑 트래픽 분석으로 나눠짐

 

보안 위협

자연 재해도 일단 위협

악의적이지 않은 위협은 패스워드 1234 이렇게 해 놓은 거

 

Security Violation Categories

- Confidentaility: 비인가된 데이터 읽기

- Integrity: 비인가된 데이터 변형

- Availability: 비인가된 데이터 파괴, DoS

- Authentucation: Masquerading .. 인가된 유저인척

- Authorization: Privilege escalation .. 주어진 이상으로 접근

 

STRIDE vs. AINCAA

Spooping	Authentication
Tempering	Integrity
Repudiation	Non-repudiation
Information disclosure	Confidentiality
Denial od Service	Availability
Elevation of Privilege	Authorization

 Non-repudiation의 구현?

전자 서명이나 로깅으로 가능

 

Confidentiality

대칭키 암호화 많이 사용.. AES(128비트 기본)

 

Availability

백업, 이중화.. 데이터든 네트워크 라인이든

 

Authorization

ACL.. 루트와 일반 사용자 구분

 

 

보안은 기술적인 문제도 중요하지만 사회적인 문제도 중요 (사회공학)

사람에 대한 교육, 문화도 중요

 

 

일반적인 OS의 보안 특징

- 인증

- 메모리 보호

- 파일과 I/O 장치 액세스 컨트롤

- 일반적인 객체에 할당 및 액세스 컨트롤

- OS 데이터 보호 .. 샌드박스와 경계가 확인되지 않은 접근을 예방

- 강제 공유 .. 무분별한 독점의 예방

- 공정한 서비스 보장

- IPC와 동기화

 

우분투의 보안 특징

- 컨피규레이션(구성)

     - 패스워드 해싱, 포트 닫기, SYN 쿠키 등

서브 시스템

     - 파일 시스템 캐이퍼빌리티, 방화벽, ..

강제 접근 제어 (MAC)

     - AppArmor, SELinux, SMACK .

스토리지 인크립션

유저 스페이스 하드닝

     - 스택 프로텍터, 힙 프로텍터,..

커널 하드닝

     - ....

 

Fedora의 보안 특징

- SElinux가 디폴트

- 풀 디스크, 파일 인크립션

- 가상화, 샌드방식

- Exec-Shiled: No eXecute, PIE(Position Independant Executables)

- 컴파일 타임 버퍼 체크 (FORTIFY_SOURCE)

- 스택 스매시 프로텍션, 버퍼 오버플로우 디텍션

- ELF Data 하드닝

....