2020.08.18 접근통제내용

접근 통제

   - 주체 : 사용자
   - 객체 : 이용을 당하는 것

  
     주체  ------------------------------ 객체
                            |
                            |            Read only, Read write, N/A == ACL
                            --------------- 참조 모니터링 (방화벽 역활 - 보안 장비 - )


접근통제원칙

    - 직무 분리 : 개발 / 운영의 분리
    - 최소한의 권한
    - 겸직 시에는 보안통제를 해야한다 ( 사전 승인 후 사후 모니터링 )


통제 절차

   식별  - 아이디
   인증  - 암호
   인가  - 식별과 인증을 거치고 주체에 주어진 권한
   책임 추적성 - 로그

   AD -------------------  업무
               |------------  업무
               |------------  업무 


  AD에서는 식별과 인증을 해주시고 업무에서 권한을 부여


인증수단의 장단점
   지식  - 암호 - 망각,노출
   소유  - ID 카드, OTP - 분실, 도난
   생체  ----------  행위 : 습관을 이용 (걸음, 싸인, 음성) = 시간이 지나면 변경
             |
             -------- 유전학 특성 : 홍체 , 지문 , 망막 = 변경이 안됨
                                         지문은 체온과 같이 측정

   멀티 팩트 인증 - 2개 이상의 인증을 사용


접근통제모델

  MAC - 보안레이블 (모든 사용자와 문서에 등급을 부여 ) 군대나 공무원
  DAC  - 소유기반권한 관리(소유자가 권한을 관리)
  RBAC - 커다란 조직에 사용 Role 기반


인증방식
  - 소유 방식
  - 존재 방식
  - 위치 방식 : IP 기반 , call back

인증 시스템
  - SSO
  - EMS = SSO + profile
  - IAM = EAM + APP


암호기술

 대치 -   A를 C로 변환, B를 K로 변환 (문자의 통계를 숨길 수는 없음)
           xyz는 사용이 거의 없음, EST는 사용이 많음

 시저 암호 - 스키타일 : 분산효과

 스타카노그래픽 - 메세지 존재를 감추어서 전송


암호화 유형

  대칭키 = 암복화 키가 하나 , n(n-1)/2
  공개키 = 암복화키가 다름 , 2n
  HASH  --------  MDC : 메세지 무결성을 검증
           |
           --------  MAC : 알고리즘 + 개인키 = 무결성과 부인봉쇄


서버보안
   계정 - 권한 - 접근 - 로그
   
   식별 - 계정
   단말기 통제, 패치, 직무분리

   클라우드 보안
     - 대부분 설정의 문제가 많이 발생
         = 옵션이 너무 많음
         = 변화가 너무 많음
     - 가상화 취약성
     - 유출시 대처
     - 접속에 이용하는 다양한 단말기 분실 대처
     - 자원 집중화에 따른 서비스 장애에 대한 대처
     - 법규 및 규제의 문제 (해외 이전의 문제)


시스템 물리적 설정
  - 디스크 파티션
  - 최소 s/w 설치
  - 부트로드 암호 설정


syslog 
  - 모든 데몬으로 부터 로그를 받은 데몬
  - 로그 관리 기능
  - 로그 쉬핑 기능(다른 서버로 로그를 이동)

  syslog 등급  - 이머전시 부터 디버그까지

  
  사용자 접속 로그 UTMP, UTMPX = 현재 로그인되어 있는 사용자 확인 (현재 세션을 가지고 있는 사용자)  - who, w , finger, whodo
                        WTMP             = 로그인 시간 로그아웃시간 시스템 리부팅 시간 - last 명령어로 확인

  로그인 실패 로그 = loginlog(text), btmp(바이너리), faillog

  web서버 로그    = access log 
                          error log  400 ,500 코드의 메세지 남음

  lastlog   = 장기미사용 로그 확인


  acct, pacct = 시간과 명령어 확인 가능
  history      = 명령어 순서와 옵션까지 확인 가능   
  acct,pacct 와 history 두개 모두 확인해야 합니다.

  xferlog = ftp log
  sulog   = sulog 로 사용자 change 확인


window는 RDP 설정이 중요  === 리눅스의 ssh와 동일
           = windows event view = syslog와 비슷
              - 보안 로그는 비활성화 되어 있어 활성화 시켜야한다
              - 나머지 로그는 기본적으로 활성화
              - type2는 검색이 가능
              - event ID 가 중요 = 버전마다 이벤트 아이디 다름



AD 보안 = 계정관리의 근간
  - 계정에 대한 관리
  - 접근 통제 보안 관리
  - 이상 징후 탐지 및 대응강화

 스크렁크나 SIEM을 통한 보안 통제 = 로그 분석
 APT는 조금씩 공격

ELK 이용한 보안

서버 접근 통제 시스템
 - 시스템 접근 통제
 - 명령어 통제
 - 다양한 인증 통제
 - 고스트 계정 통제
 - 실시간 모니터링


서버접근 통제의 경우 우회경로 통제를 해야한다

gateway 통제 : 다양한 장비 , 우회 가능 ,  관리가 용이 
agent    통제 : 모든통제 가능, 패치 가능, OS에 제한, 보안이 우수