● 커베로스 (Kerberos)
- 그리스 신화에서 하데스 입구를 지키는 개를 일컽는 말로 미국 MIT 대학의 Athena프로젝트에서 출발하였고 가장 안전한 인증 방식으로 평가되고 있다. 사용자가 Site를 이용할때 ID와 비밀번호를 한번 입력하게 되는데 실제로는 새로운 Page를 열때마다 인증을 필요로 함으로 처음 입력한 Key값을 저장해 주었다가 사용하는 방식을 쓰고 있다.
(출처 : 야후! 미니)
위에서 어원에 대해 살펴 보았고 이제 커베로스인증이 어떠한 방법으로 이루어 지는지 살펴보도록 하겠다.
1. 사용자는 User ID와 패스워드를 입력하여 Kerberos Server (Active Directory)에 인증 요청을 시도 한다.
2. Kerberos Server는 사용자와 Ticket-Granting 서버에 사용자가 입력한 패스워드에 기반하여 만든 Session key를 전달하며 추가적으로 사용자에게는 Ticket-Granting 서버에서 발급받은 발행일자, 시간등이 적혀 있는 Ticket (아래 그림에서는 Service Ticket)을 전달받게 된다.
3. 이후 사용자는 접속하려는 Server로 Service 요청을 하게 되며 한번 Ticket을 부여받았을 경우 설정에 따라 추가 인증 없이 자유롭게 이용할 수 있다. Active Directory 환경에서는 통상적으로 8시간정도 유효하다
(출처 : http://kisi.or.kr/information/information_detail.asp?selCommittee=&page=34&idx=2917)
| 케르베로스(Kerberos)는 아직 쓸만한가? 2008-07-30 | |
|
Security Analysis - Reporter’s Notebook 케르베로스(Kerberos)는 아직 쓸만한가 | |
|
댄 기어(Dan Geer)가 가장 유명했던 순간은 5년 전 그가 마이크로소프트사의 독주가 국가 안보를 위협한다고 경고하는 논문을 공저한 이유로 @Stake에서 해고되었던 때다.
그러나 MIT에서 Kerberos 인증 프로토콜을 만들었던 프로젝트 아테네(Project Athena)와 함께 보안 업계에 대한 그의 기여가 시작되었고 이것은 오늘날 썬 마이크로시스템즈(Sun Microsystems)의 Solaris 운영 시스템, Red Hat Linux, MandrakeSoft Linux와 Debian Linux 등 다양한 제품에 편입되었다. 이 프로토콜이 현재의 위협 환경에서도 여전히 적절한지에 관한 물음에 기어는 “이 기술은 여전히 설계된 목적대로 수행하고 있다. 그러나 오늘날의 수많은 공격을 처리하고 있다는 의미는 아니다”고 답했다.
이어 “만일 트랜잭션의 가능성이 ‘나도 괜찮고, 당신도 괜찮고, 그저 인터넷이 문제’인 정도가 아니라 ‘다른 쪽의 엔드가 이미 손상된 것’이라면 어떻게 할 것인가?”라고 질문을 던진 기어는 “그러한 상황에서는 인증 기술이 문제가 아니다. 만일 인증하는 사람이 자기도 모르게 손상을 입었더라도 프로토콜은 작동한다. 그러나 그 사람의 컴퓨터는 다른 누군가에 의해 통제된다. 그것은 우리가 Kerberos로 해결하려던 문제가 아니다. 어떠한 프로토콜도 이것을 해결하지 못 한다. 이것은 엔드포인트의 문제다”라고 말했다.
반(反) 비스타 마이크로소프트사는 Vista SP1로 옮겨간 사람들에게 무료 지원을 제공하는 등 고객들이 비스타로 이동하도록 부추겨왔다. 그러나 IT 관리자들은 계속해서 마이크로소프트가 꿈꾸는 ‘적극적인 도입’에 저항하고 있다. 마이크로소프트는 2007년 초, 비스타 개시부터 지난 해 말 사이에 마이크로소프트가 생산한 보안 픽스와 기타 패치들이 완비된 윈도우 비스타 SP1을 지난 3월에 발매했다.
뮌헨의 Ludwig-Maximilian 대학 도서관의 IT 부서를 지휘하고 있는 시스템 관리자 Michael Pietroforte는 비스타 SP1을 광범위하게 테스트했고 그것이 많은 기업에 있어 여전히 너무 복잡한 OS라는 것을 확인했다. 그는 최종 분석을 통해 “그들은 종종 자신들의 제품의 복잡성을 더 이상 처리하지 못 하는 것처럼 보인다”고 말했다.
L0pht의 명성 최근의 Source Boston 컨퍼런스의 가장 흥미로운 부분은 그 주의 마지막 세션이었다. 그것은 패널 토론으로, L0pht의 전(前) 멤버 6명도 참석했다. 이 좌담에서는 수많은 토픽들이 거론됐는데 멤버들이 어떻게 다양하게 처리했는지, 그들이 어떻게 그들의 첫 ‘사무 공간’을 갖게 되었는지에 관한 내용도 있었다.
그러나 최고의 에피소드는 마이크로소프트사의 몇몇 중역들이 L0pht 멤버들을 저녁 식사에 초대해 그들에게 NDA 하의 윈도우 소스 코드를 제공하려던 것에 관한 것이었다. 물론 그것은 그들이 코드에서 발견한 결점을 폭로하는 것을 막기 위한 것이었다. 이에 대한 L0pht의 대답은 “우리는 이미 그 소스를 갖고 있다”는 것이었다고 Christien Rioux는 밝혔다. <글·데니스 피셔 (Dennis Fisher)> | |