접근제어 - 주관적 정리

1.다음 중 인증 시스템의 구성 요소에 해당하지 않는 것은?

(1).인증 메커니즘

(2).접근제어 메커니즘

(3).식별 특성

(4).방화벽

>방화벽은 구성요소가 아니다. 접근제어(식별,인증,인가)

 

2.무작위 대입공격(Brute Force Attack) 및 Dictionary Attack등 사용자의 패스워드 크래킹 약점을 점검하기 위한 도구와 가장 거리가 먼 것은?

(1).John the Ripper

(2).L0phtcrack

(3).Pwdump

(4).WinNuke

>John the Ripper -> 패스워드 점검도구(윈도우,리눅스,Mac 지원) , L0phtcrack = 윈도우에서 패스워드를 덤프 시키는도구

>Pwdump = 패스워드 취약점 도구 

 

3.One Time Pasword에 대한 설명 중 옳지 않은 것은?

(1).최소한 평문 메시지 길이와 같은 키 스트림을 생성해야한다.

(2).암호화키와 복호화키가 동일하다.

(3).One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.

(4).전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

>OTP 는 전사공격(brute force) 에대한 무조건안전을 만족함

 

4.다음 중 OTP 전달 방식으로 가장 부적절한 것은?

(1).OTP 토근

(2).E-mail

(3).스마트폰 앱

(4).단문메시지(SMS)

> 이메일이라고 한다 (요즘 이메일로 쓰는것도 있지않나?)

 

5.다음 지문은 어떤 사용자 인증기법을 설명하고 있는가?

[보기]

사용자가 ID를 서버 호스트에 전달하면, 서버 호스트는 난수를 생성하여 사용자에게 보낸다.

사용자는 서버 호스트에 등록되어 있는 사전 공유키를 사용하여 난수를 암호화해서 서버 호스트에 보낸다.

서버 호스트는 사용자 ID에 대응되는 사전 공유키를 사용하여 이를 확인한다.

(1).OTP

(2).Challenge-Response 기법

(3).시간동기화(Time-synchronous) 기법

(4).S/Key 일회용 패스워드

>시간 동기화 방식은 현재 시각을 기준으로 입력값으로 OTP 를 생성한다

>S/Key 방식은 해시체인에 기반하고 있는 알고리즘 이다.

>Challenge-Response 기반은 난수 생성을 통해 임의의 수를 생성하고 클라이언트 한테 응답하게끔 하는 방식이다.

 

6.행동학적 특징을 이용한 바이오인식 종류에 해당되지 않는 것은?

(1).서명인식

(2).음성 인식

(3).얼굴 인식

(4).키 스트로크 인식

>행동학적 특징은 서명 , 말투 , 키보드 입력 패턴 같은 것들 얼굴인식은 그냥 생물학적 특징이다

 

7.다음 중 커버로스(Kerberos)의 세 가지 요소에 속하지 않는것은?

(1).사용자

(2).클라이언트

(3).SSO server

(4).서버

>SSO 서버는 AS와 TGS 합친 KDC 이다 , 서버는 필수 , 클라이언트는 사용을 받아야하니 필수 , 사용자에 대한 내용은 없다

 

8.다음 중 Kerberos 키분배 프로토콜의 기반 기술에 해당하는 것은?

(1).Needham-Schroeder 프로토콜

(2).Challenge-Response 프로토콜

(3).Diffle-Hellman 프로토콜

(4).RSA 이용 키 분배 프로토콜

>Needham-Schroeder 프로토콜을 쓰고 있다고 한다.

 

9.다음 중 온라인 열쇠 분배방법인 Kerberos 방식에 대해 설명으로 틀린 것은?

(1).분산 컴퓨팅 환경에서 대칭키를 이용하여 사용자 인증을 제공하는 중앙 집중형 인증 방식이다.

(2).데이터의 기밀성은 보장되지만 무결성은 보장하지 못하는 치명적인 단점이 있다.

(3).사용자의 비밀키가 사용자의 워크스테이션에 임시로 저장되므로 칩입자에 의해 유출될 가능성이 있다.

(4).패스워드 추측 공격에 취약하다.

> 커버로스는 메시지 인증 코드(MAC) 을 사용하기에 무결성이 보장된다.

 

10. 강제적 접근통제(Mandatory Access Control) 정책의 특징에 대한 설명으로 가장 부적절한 것은?

(1).객체의 소유주가 주체와 객체간의 접근통제 관계를 정의

(2).접근 규칙수가 적어 통제가 용이

(3).보안관리자 주도 하에 중앙 집중적 관리가 가능

(4).사용자와 데이터는 보인 취급허가를 부여 받아 적용

> 객체의 소유주가 접근통제 관계를 정의 하는 건 DAC(임의적 접근통제) 이며 

> 강제적 접근통제(MAC)은 주체와 객체 간의 접근을 중앙 통제 정책과 보안 레이블을 통해 정의한다.

 

11.강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?

(1).모든 주체와 객체에 보안관리자가 부여한 보안레이블이 부여되며 주체가 객체를 접근할 때 주체와 객체의 보안레이블을 비교하여 접근허가 여부를 결정한다.

(2).미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집중적인 접근 통제가 가능하다.

(3).강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula),Biba 등이 있다.

(4).강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로 Capability List와 ACL(Access Control List)등 이있다.

> Capability List(능력 기반제어) , ACL 은 DAC 의 특징이다.

>DAC  : ACL , CL , RBAC 등

>MAC : BLP , BIBA , Clark-Wilson , MLS 등

 

12.다음 중 역할기반 접근제어의 기본 보안정책과 가장 거리가 먼 것은?

(1).권한의 최소화

(2).직무의 분리

(3).데이터 추상화

(4).다단계 보안등급

> 역할기반 접근제어 RBAC 이다 DAC 에 근거하며 다단계 보안등급은 MAC 을 의미한다.

 

13.강제적 접근통제 모델의 한 사례인 BLP 에 대한 설명으로 옳지 않은 것은?

(1).BLP 모델이 개발된 주요 목적은 정보의 비밀성과 무결성 보호에 있다.

(2).모든 주체의 객체에는 보안 레이블이 부여되며 보안 레이블에 의해 접근이 통제된다.
(3).주체가 객체에 포함된 정보를 조회(read)할 때 Simple security 규칙이 적용되며 주체의 보안 레이블이 객체의 보안 레이블을 지배하는 경우 조회(read)가 허용된다.

(4).주체가 객체에 정보를 기록(write)하려 할 때 *(star) 규칙이 적용되며 객체의 보안 레이블이 주체의 보안 레이블을 지배하는 경우 기록(write)이 허용된다.

>BLP 보안 규칙은 No read up , No write Down 이 있다.

>No read up 은 주체는 같거나 낮은 보안 수준의 객체만 읽을 수 있다.

>No wirte Down 은 주체는 높거나 같은 보안 수준의 객체에 대해서 쓸수 있다.

>그러면 낮은 보안등급에 사람이 높은 보안 수준의 객체에 대해서 쓸수 있으니 무결성이 보호되지않는다.

 

14.다음 지문과 같은 특징을 갖는 접근통제 모델은?

[보기]

-무결성 중심의 상업용 모델로 설계된 모델

-상용 응용 보안 요구사항을 다루고 있음

-금융/회계 데이터는 자산에 대한 정보를 취급하고 있어 변조 방지가 더욱 중요

-예측가능하고 완전하게 처리되는 자료처리 정책 필요

(1).클락/윌슨 모델

(2).만리장성 모델

(3).비바 모델

(4).상태기계모델

>금융면에서 쓰이는 것은 클락/윌슨,만리장성이다 근데 이제 무결성 중심을 요구하는건 클락/윌슨 모델이다.

>만리장성모델은 이해충돌이 메인이라고 생각하면 된다.

>(이해충돌 예 : 금융 자문사가 한 고객의 기밀 정보를 다른 고객의 이익을 위해 사용할 경우 ~)

>비바모델은 하위-쓰기 , 상위-읽기 가 메인이다.