Network Security Essentials

Chapter01. 개요 - 보안 서비스

메리_99 2022. 1. 3. 15:48
반응형

보안 서비스 : 시스템 자원 보호를 위해 시스템이 제공하는 처리 서비스나 통신 서비스

  • 특정 보안 매커니즘이 적용

OSI 보안 구조 핵심 구축도

인증 서비스 : 통신이 검증되었다는 것을 확인해주는 것(통신 개체 확인)

  • 대등 개체 인증(Peer entity authentication) - 연결형(TCP/IP)
    • 연결하고 있는 개체의 신분에 대한 확신을 주기 위해서 논리적 연결에 사용하는 인증
    • 연결 설정 및 데이터를 전송하는 과정 중에 이 인증 서비스를 사용
    • 상대방이 신분위장을 하거나 이전의 연결에서 사용했던 메시지를 이용한 재전송을 시도하고 있지 않다는 확신을 갖게 함
  • 데이터 출처 인증(Data origin authentication) - 비연결형(UDP)
    • 비연결 전송에서 수신된 데이터의 출처가 정말 주장하고 있는 곳에서 온 것인지를 확신시켜주는 인증
    • 데이터 단위가 수정되거나 복제되는 것을 방어해주지는 못하여, 신뢰성 있는 연결 과정이 없는 전자메일 같은 응용에 사용된다.

접근제어 서비스 : 자원을 불법적으로 사용하지 못하도록 방지하는 것

  • 통신 링크를 통한 호스트 시스템과 응용 간의 접근을 제한하고 통제할 수 있는 능력
  • 접근 시도를 하는 각 개체에 대해 우선 신원을 확인하거나 인증해야 하고, 이에 따라 해당 개체에 적합한 접근 권한을 부여

데이터 기밀성 : 데이터의 불법적인 노출을 막는 것

  • 소극적 공격으로부터 데이터를 보호하는 것을 말함
  • 광범위한 보호 서비스 : 특정 기간 동안 두 사용자 사이에 전송된 데이터를 모두 보호하는 것
  • 협의의 보호 서비스 : 단일 메시지나 심지어는 메시지 내의 특정 필드에 대한 보호
    • 광범위한 서비스에 비하면 덜 유용하고 구현이 복잡하고 비용도 많이 듬
  • 다른 측면에서의 기밀성
    • 연결 기밀성 : 연결시 모든 사용자 데이터에 대한 보호
    • 비연결 기밀성 : 단일 데이터 블록 안의 모든 사용자 데이터에 대한 보호
    • 선별된-필드 기밀성 : 연결이나 단일 데이터 블록의 사용자 데이터 안의 선별된 필드에 대한 보호
    • 트래픽-흐름 기밀성 : 트래픽 흐름을 관찰하여 정보를 가로채려는 경우에 대한 보호

데이터 무결성 : 수신된 데이터가 인증된 개체가 보낸 것과 정확히 일치하는지에 대한 확신

  • 메시지가 중간에 수정, 추가, 제거 혹은 재전송이 없이 그대로 전송됨을 보장
  • 적극적 공격으로부터 보호를 의미
  • 메시지 스트림, 단일 메시지, 메시지 안의 선별된 필드에 적용
  • 스트림 전체 보호가 가장 유용하고 단순한 방법
  • 예방보다는 탐지에 더 중점
  • 침해 탐지시 침해 복구는 소프트웨어나 사람의 손이 가는 작업을 통해 이루어지거나 자동화된 복구 메커니즘이 많이 이용됨
  • 다른 측면에서의 무결성
    • 복구 가능 연결 무결성 : 연결 시 사용자 데이터의 무결성을 제공하고, 데이터를 복구할 때 전체적인 데이터 열안의 모든 데이터에 대한 수정, 추가, 삭제 혹은 재전송이 있었는지를 감지
    • 복구 없는 연결 무결성 : 복구 가능 연결 무결성과 동일하나 복구하지 않고 탐지한다.
    • 선별된 필드 연결 무결성 : 연결시 전송되는 데이터블록의 사용자 데이터 안의 선별된 필드의 무결성을 제공하고, 선별된 필드의 수정, 추가 삭제, 재전송이 있었는지를 판단할 수 있는 형태를 취한다.
    • 비연결 무결성 : 단일 비연결 데이터 블록의 무결성을 제공, 데이터의 수정을 탐지할 수 있는 형태를 취할 수 있다. 추가적으로 재전송 탐지를 위한 제한적 형태를 취할 수도 있다.
    • 선별된-필드 비연결 무결성 : 단일 비연결 데이터 블록 안의 선별된 필드에 대한 무결성을 제공, 선별된 필드의 수정이 있었는지를 판단할 수 있는 형태를 취한다.

부인 봉쇄 : 통신의 한 주체가 통신에 참여했던 사실을 일부 혹은 전부를 부인하는 것을 방지

  • 송신자나 수신자 양측이 메시지를 전송한 사실 자체를 부인하지 못하도록 막는 것을 말함
    • 부인봉쇄, 출처 : 메시지가 특정 출처에서 보내졌음을 증명한다.
    • 부인봉쇄, 목적지 : 특정 개체가 메시지를 수신했음을 증명한다.

가용성 서비스 : 인가된 시스템이 자원에 접근할 필요가 있거나 사용하고자 할 때 시스템의 성능에 따라 시스템 자원에 접근할 수 있도록 하는 것

  • 사용자가 요구할 때마다 시스템 성능에 따라 서비스를 제공할 수 있으면 가용성이 있다라고 판단
  • 그 시스템의 가용성을 보장하기 위해 시스템을 보호하는 서비스
    • 시스템 자원에 대한 적절한 관리와 제어에 의해 좌우되고 접근 제어 서비스와 다른 보안 서비스에 의해서도 영향을 받는다.
위 글은 "Network Security Essentials William Stallings 저"을 공부하며 쓴 글입니다.
728x90
저작자표시