[정의] 저장매체에 물리적으로 할당 됐으나 논리적으로 사용할수 없는 공간.

 

[구분] 램슬랙, 드라이브 슬랙, 파일시스템 슬랙(램슬랙+드라이브 슬랙), 볼륨슬랙으로 구분


[구분별 내용]

-램슬랙: 램에 저장된 데이터가 저장장치에 저장될때 나타나는 특성에 따라 붙여진 이름

 

-드라이브슬랙: 클러스터의 사용으로 인해 낭비되는 공간

 

-파일시스템 슬랙: 물리적인 공간을 사용하기 위해 파일 시스템을 생성하는데 마지막 부분에 사용할수 없는 영역(악성코드 은닉에 많이 사용). 1002KB 의 Volume 이 있는데 클러스터가 4KB 이면 마지막 2KB 는 사용할 수 없는 영역이 된다

 

-볼륨슬랙: 전체 볼륨 크기와 할당된 파티셔닝크기의 차이로 발생하는 슬랙 스페이스.
파티션의 크기는 임의로 변경 가능하기 때문에 볼륨슬랙은 변경이 가능

 

 

 

 

 

 

 

'ITPE > 보안' 카테고리의 다른 글

Buffer Overflow 공격  (0) 2021.04.01
IP Spoofing  (0) 2021.04.01
DNSSEC  (0) 2021.03.28
IPSec(IP Security)  (0) 2021.03.28
Tunneling  (0) 2021.03.28

 

 

 

I. DNS 보안 강화를 위한 DNSSEC의 개념

- DNS 캐시 포이즈닝 공격에 대응하기 위해, 공개키 암호화 방식의 전자서명 기술을 DNS 체계에 도입한 보안 기술

 

II. DNSSEC의 작동방식 및 상세설명

가.     DNSSEC의 작동방식

- 단계별 DNSKEY를 통한 서명을 사용한 Trust Chain 구현 통한 DNS 공격 방어

 

 

 

 

나.     DNSSEC의 상세설명

구 분 세부항목 설 명
구성요소 DNSKEY - 도메인 존(Zone)의 공개키 데이터를 저장하여 제공 하기 위한 리소스 레코드(RR)
- Zone은 개인키와 공개키 쌍을 가지고 있으며 개인키는 안전한 장소에 따로 보관
- 개인키와 쌍을 이루는 공개키는 DNSKEY RR의 형태로 명시되어 질의응답을 통해 배포
- ZSK : Domain zone의 모든 리소스 레코드 각각 서명 위한 용도
- KSK : DNSKEY 리소스 레코드 자체를 서명 하기 위한 용도
RRSIG - Resource Record Signature
- DNS의 각 리소스 레코드 데이터의 전자 서명 데이터 저장 용도
- DNS 응답 메시지에 응답 대상 리소스 + RRSIG 형태로 응답
DS
(Delegation Signer)		 - DNS 보안 측면 인증 위임 체계 구성 위한 데이터 저장 RR
- 자식 Domain zone KSK 확증 수단 제공 통한 Trust Chain 형성
NSEC / NSEC3
(Next Secure)		 - DNSSEC 보안 기능 중 DNS 데이터 부재 인증용 리소스 레코드
- DNS zone에 존재 하지 않는 리소스 레코드 위장 공격 차단
작동방식 1) RRset 생성 - 동일한 유형의 레코드를 자원 레코드 세트(RRset)로 그룹화
2) 서명 - RRSet 생성이후 ZSK를 이용해 각각의 RRset에 서명
- DNSKEY KSK를 이용하여 서명하고 RRSIG로 저장
3) 검증 - 원하는 RRset을 요청하면 해당 RRSIG 레코드도 함께 반환
- 공개 ZSK와 공개 KSK가 들어 있는 DNSKEY 레코드를 요청하면 DNSKEY RRset RRSIG도 함께 반환
- 공개 ZSK, 요청한 RRset RRSIG를 확인
- 공개 KSK, DNSKEY RRset RRSIG를 확인

- 공개키와, 레코드셋을 전자서명을 통해 안전한 DNS시스템을 구축

 

III. DNSSEC 실무 적용시 고려 사항

구 분 이슈 사항 대응 방안
유지 보수 주기적 키 생성, 교체 및
zone 정보 관리 필요		 - 키 생성 관리 툴 적용, 필요 정보 마스터화 편의성 확보
- DNS 관리자 사전 교육을 통한 DNSSEC 관리 여건 확보
N/W 부하 DNSSEC 적용 시 처리량
증가에 따른 부하 발생		 - 적용 전 부하 테스트 통한 충분한 성능 검증 진행
- 부하 증가에 대비한 네트워크 장비, 예산 추가 확보
DNS 업무 영향 도메인 신청, DB 저장,
정보 전송 등 기존 업무 영향		 - 기존 적용 사례 분석 통한 영향도 최소화
- DNSSEC 관련 국내외 표준 가이드 확인

 

 

 

'ITPE > 보안' 카테고리의 다른 글

IP Spoofing  (0) 2021.04.01
Slack Space 분석  (0) 2021.03.30
IPSec(IP Security)  (0) 2021.03.28
Tunneling  (0) 2021.03.28
접근제어 (MAC, DAC, RBAC, ABAC)  (0) 2021.03.28

 

 

 

[정의] TCP/IP 프로토콜의 IP계층에서 무결성과 인증을 보장하는 인증헤더(AH)와 기밀성을 보장하는 ESP를 이용한 IP보안 프로토콜

 

[동작모드]

- 트랜스포트 모드: Transport Layer에서 Network Layer 로 오는 정보만 보호. IP 헤더를 보호하지 않음. Peer-to-peer

- 터널모드 : 전체 IP 패킷을 보호. 헤더를 포함한 IP 패킷을 취해서, 전체 패킷에 IPSec 보안을 적용한 다음 새로운 IP 헤더 추가, 새로운 IP 헤더는 라우터의 IP. site-to-site

 

[프로토콜]

- AH(Authentication Header. 데이터 무결성과 IP 패킷의 인증을 지원, 재생방지(anti-reply) 서비스를 제공, 기밀성을 제공해주지는 않음)

- ESP(Encapsulation Security Payload. 암호화 기법을사용하여 데이터의 무결성, 비밀성의 기능을 제공하는 프로토콜, 프라이버시 제공)

 

 

 

 


[정책 및 키관리]
-SPD(Security Policy Database): 패킷에 대한 보안 정책을 적용하며, 모든 트래픽 처리 시에 참조. SAD를
이용하기 전에, 호스트 패킷에 대해 규정된 정책을 결정.(종류: Drop(폐기), 통과(Bypass), 적용(Apply) 등)
-SAD(Security Authentication Database): 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안
요소들에 대한 데이터 관리.
-IKE(Internet Key Exchange): inbound 와 outbound 보안 연관을 생성하기 위하여 설계된 프로토콜로
IPSec을 위한 SA(Security Association) 생성. Key 를 주고 받는 알고리즘, 공개된 네트워크를 통하여
Key 를 어떻게 할 것 인가를 정의, IKE 교환을 위한 메시지를 전달하는 프로토콜. ISAKMP(키교환, 인증을
위한 프레임워크, 메시지포멧), SKEME(인증을 위한 공개키 암호화 기법), Oakley(Mode-based 메커니즘)의
3가지 방식 중 Oakley, SKEME 를 다포함하는 ISAKMP 를 주로 사용.

 

[IKE SA(Security Association)과정]
-IKE Phase 1 (IKE SA설정) : 1) IKE 보안 파라미터 협상과정, 2) IKE SA용 마스터키가 설정, 3) 상호 인증과정
-IKE Phase 1.5(Option) : - 추가인증(Xauth), 클라이언트에게 파라미터 값 전달(Mode config)
-IKE Phase 2 (IP Sec SA 설정) : 4) IPSec SA 보안 파라미터 협상 과정, 5) 세션키 생성, 6) 상호인증

 

 

 

'ITPE > 보안' 카테고리의 다른 글

Slack Space 분석  (0) 2021.03.30
DNSSEC  (0) 2021.03.28
Tunneling  (0) 2021.03.28
접근제어 (MAC, DAC, RBAC, ABAC)  (0) 2021.03.28
암호 공격기법  (0) 2021.03.28

+ Recent posts

티스토리툴바