*Gateway, Proxy, Sniffing, Agent 방식이란?

■ Gateway 방식(+Proxy 방식) 

게이트웨이(Gateway) 방식은 DBMS에 접속하기 위한 통로를 별도로 설치한 후 DB 사용자가 해당 통로를 통해서만 접근하도록 하는 방식이다. 예를 들어, 자동차를 타고 고속도로에 진입하기 위해서 반드시 톨게이트를 거쳐 통행료 징수를 위한 체크를 하듯이 DBMS에 로그인하거나 로그인 한 후에 SQL을 수행하기 위해서는 반드시 게이트웨이를 거치도록 구성하여 모든 로그인과 SQL에 대하여 철저하게 통제하는 방식이다.  
프록시 게이트웨이는 별도의 서버(안전성을 위해 이중화 구성 필요)를 설치한 후에 독립적인 IP 및 포트를 부여하고, DB 로그인 시 해당 IP 및 포트로 로그인 하도록 한다. 

■ Sniffing 방식 
스니핑 방식은 스니핑 DB 사용자와 DBMS 서버 간에 주고받는 패킷을 복사하여 DB접근제어 서버에 전달하는 방식이다. 이것은 마치 고속도로 상의 감시 카메라가 지나가는 자동차의 속도를 측정하여 과속 차량이 발생하는 경우에만 사진을 찍어 과태료를 부과하므로 전혀 교통 흐름에 영향을 주지 않는 것과 같은 방식이다. 스니핑 방식은 DBMS 서버의 패킷 흐름에 전혀 영향을 주지 않아 성능 저하 등의 문제가 발생하지 않는다. 

■ Agent 방식 
에이전트 방식은 DB서버에 접근제어를 설치하는 방식이다. 솔루션에 따라서 에이전트만으로 접근이 제어되기도 한다. 어떤 솔루션은 별도로 외부에 서버를 설치한 후에 DB 서버 내부 패킷을 외부 서버로 전송하여 DB의 접근을 제어하기도 한다. DB 서버에 설치되어 부하를 발생할 수 있으므로 애플리케이션 서버에서 오는 SQL은 바이패스 설정을 통해 직접 DBMS에 전송하도록 구성한다. 

개요.
DB접근제어 규칙,종류,방법은 각각의 솔루션마다 다르다. 하지만 DB접근제어 규칙에서 정의해야 하는 본질적인 부분은 같다.

---------------------------------------------------------------------------------------------------------------------------------------

1) 정보의 정확성을 유지

2) 권한 있는 사람이 정보를 볼 수 있도록

3) 원하는 형태로 정보를 활용할 수 있도록

4) 정보 필요한 시간에 활용이 가능하도록

---------------------------------------------------------------------------------------------------------------------------------------

*정보식별:접근제어 할 대상 정보를 식별해야 함. 정보의 종류에따라 법에대한 제도가 다르다.

               정부는 정보통신망법에 대해 주민번호,카드번호,계좌번호를 암호화 관리대상으로 명시함.

               금융기관은 물론 조직의 성격에 따라 분류하여 특별히 관리해야 할 정보는 다를 수 있다.

*접근방법: 정보에 접근할 수 있는 방법을 정의해야함. DB사용자들이 DB에 접속하기위해 단말기,접속 툴, 접속 프로토콜 등을 지정한다.

               DB에 대한 접속툴을 표준화한곳이 많다함. 이외에것으로 접속할경우  보안관점에서 취약점이 노출 될수 있기때문에 통제.

               일반 유저들은 SELECT , 정보에 관리책임있는 사람은 DML,DDL등 수행가능하게, DBA는 모든 SQL문을 수행가능하게 관리 통제

*접근시간:민감한 정보는 접속시간(CONNECT TIME)에만 접근가능하게 하고, 그외엔 차단이나 경보발령, 또한 장시간 자리비움으로 있다가

               접속하는 경우 재접속을 필요로 통제하거나 SELECT 문만 수행 가능하도록 제한하여야 한다.

---------------------------------------------------------------------------------------------------------------------------------------

종류.

DB접근제어 솔루션마다 나름의 철학이 있고, 아키텍쳐가 상이하여 접근제어 규칙의 구성에 차이가 있다.

그렇지만 일반적으로 규칙은 같다.

---------------------------------------------------------------------------------------------------------------------------------------

*명칭부:규칙의 명칭을 정의. 명칭은 규칙의 내용을 간명하게 표현할 수 있도록 작성하고 ,

          개인단위로 관리하는경우 개개인을 식별할 수 있도록 ID나 IP를 추가해서 구성한다.

*조건부:규칙이 적용되는 조건을 설정한 것. 조건은 다양한  요소의 결합(factor)으로 구성되는데

          사용자를 식별할 수 있는 속성, 접근수단 속성, 접근대상 정보 속성 등으로 구분.('*'이나 all은 해당속성은 어떤 값이; 와도 무방)

*제어부:제어부는 주어진 조건으로 사용자가 접속을 하는 경우에 어떻게 제어할지를 정의한 것.

          통제 종류는 로그인통제,SQL통제,로깅 통제, 경보 통제 등이 있다.

          **로그인통제 : 권한이 없는 계정으로 로그인을 통제함

          **SQL통제    : 사용자별로 권한이 있는 SQL만을 사용할 수 있도록 통제 AND 컬럼, 테이블 단위..

          **로깅통제    : 저장되는 SQL을 설정. 모든 SQL을 저장하지만 불필요한 SQL은 통제

          **경보통제    : DB접근제어 과정에서  보안정책을 위반하는 사건발생시 보안관리자에게 통지 및 즉각대응

---------------------------------------------------------------------------------------------------------------------------------------

로그인 통제 규칙:

SQL수행 통제규칙:

로깅 통제 규칙:

경보 통제 규칙:

모니터링 지표설정:

DATABASE(이하 DB)는 조직의 필요한 정보로써 DATABASE MANAGEMENT SYSTEM(이하 DBMS)라는 DB관리 시스템에 의해

관리되며 인증과정을 거쳐 로그인한 후에 SQL질의어를 통해서만 해당 정보에 정상적으로 접근할 수 있다.

일반적으로 DB는 *DMZ를 거쳐 조직의 가장 내부에 위치해있고, DBMS 자체가 가장 강력한 보안기능을 제공하기 때문에

해킹보다는 DB에 접근 권한을 가진 사용자가 권한을 남용하여 정보를 유출하거나 변조하는것이 제일큰 위협이다.(외부자<내부자)

그래서 정부에서는 각종 규제를 만들어 개인정보 등 중요한 정보들을 관리하는 개인정보처리시스템에 대한 철저한 관리를 요구.

*DMZ*

--------------------------------------------------------------------------------------------------------------------------------------

외부의 위협에 노출을 막고자 하는 내부 서비스(서버나 특정 자원들)을 보호 하기위한 안전지대이다.

예를 들면, 서비스 사용자 -> 서버로 접근 중인 상황에 DMZ 를 사용한다면 물리적인 경로는 서비스 사용자 -> DMZ -> 서버 로

연결이 된다.이렇게 외부에서는 서비스를 하고 있는 서버의 정보를 단편적으로라도 알 수 없게 만들어 악의적인 공격 등에

보호하고자 하는 보안 기법.

일반 가정의 네트워크(소규모)에서는 특정 서비스를 외부로 내보내고 있는 상황이 아니므로(주로 컨텐츠를 받는 쪽이므로)

DMZ 설정은 필요없고 VPN 이나 공유기등이 DMZ 기능을 가진 것은 네트워크 장비들이 가지고 있는 기능 중의 하나이므로,

사용하고 안하고는 관리자의 몫입니다. 필요하다면 하고 그렇지 않다면 꺼 놓는 것이 좋습니다.

--------------------------------------------------------------------------------------------------------------------------------------

*제 4조 (접근제어), 제 5조 (접소기록의 위.변조 방지), 제 9조 (개인정보 표시 제한 보호조치)

DB 접근제어는 사용자가 DBMS에 로그인하거나 SQL을 수행하려고 할 때 미리 정의된 보안규칙에 따라 권한 여부를 판단하여

통제하는 솔루션이다. 일반적으로 SQL을 통제할 뿐만 아니라 로깅이 필요한  SQL에 대해서 SQL 수행과 관련된 정보를 저장하는

기술도 제공함.

*DB 보안강화를 할려면 다음과 같이 조취해야함

--------------------------------------------------------------------------------------------------------------------------------------

1) DBMS를 설치한 계정을 엄격하게 관리하고,DB 파일 및 BINATY 파일에 대한 접근은 엄격히 제한해야 한다.

2) 불필요한 기능은 설치하지 않거나 , 설치되었다면 DISABLE 해야한다.

3) 최소한의 권한만을 부여하고, DBMS내에서 작업을 수행하는 내부 사용자나, 자동으로 수행하는 태스크 및 서버의

프로세서들에 대하여 DB에 접근하여 작업할 수 있는 꼭 필요한 권한만을 부여해야 한다.

--------------------------------------------------------------------------------------------------------------------------------------

DBMS에 대해서 기본적으로 제공하는 기능을 이용해서 권한을 설정하는 것이 필요하다. 물론 DB접근제어 솔루션을 통해

접근제한을 관리하지만 해당 솔루션을 우회하여 접근하는 경우가 있으므로 DBMS에서 제공하는 기능을 이용하여 권한 설정을

하는 것이 심층방어의 원칙이다.

*DBMS 자체보안 강화 사례(ORACLE)
------------------------------------------------------------------------------------------------------------------------------

오라클의 권한은 시스템 계열 권한과 객체 계열 권한으로 구분된다. 먼저 시스템 계열의 권한을 조회하는 방법은 다음과 같다.

SQL> select name from sys.system_privilege_map order by name;

객체 관련 조회는 다음과 같다.

SQL> select name from sys.table_privilege_map order by name;

특정 계정에 부여된 권한을 조회하는 방법은 다음과 같다.

SQL> select * from dba_sys_privs where grantee='SCOTT';

오라클 계정에 만든 후에, 기본적으로 CONNET,RESOURCE 룰을 부여하는데

해당 룰에 포함된 권한을 조회하는 방법은 다음과 같다.

SQL> select privilege from dba_sys_[rovs wjere grantee='CONNECT';
SQL> select privilege from dba_sys_[rovs wjere grantee='RESOURCE';

-------------------------------------------------------------------------------------------------------------------------------

*PASSWD의 경우 가능하면 최소 8자리 이상으로 특수문자와 수자 등을 포함하는게 좋다.

오라클10R2에서 생성한 간단한 패스워드의 경우에는 BRUTE FROCE ATACKK(무차별 대입 공격)에

의하여 일반적인 노트북으로도 38초만에 간단히 해독이 가능하다.

*구성 방법

FOD(Fail Over Device)란?

FOD는 IPS, QoS 등과 같은 In-Line 장비와 연동하여 In-Line 장비의 전원, 링크, 어플리케이션 등에 문제가 생겼을 때
자동으로 트래픽을 우회시켜 네트워크의 안정성을 유지시켜주는 장치입니다.

[root@dbsafer dbsafer_pkg]# ozlicense_피시앤시큐어_141204-150303_temp_5.0S_De.zip
[root@dbsafer dbsafer_pkg]# unzip ozlicense_피시앤시큐어_141204-150303_temp_5.0S_De.zip

[root@dbsafer ozlicense]# ls
ozlicense_5.0_temp_2015-03-04_Designer.xml
ozlicense_5.0_temp_2015-03-04_Server.xml

[root@dbsafer ~]# cd /home/reportsvr/license/
[root@dbsafer license]# ls
ozlicense.xml  OZSpecialLicense_PNP.jar

[root@dbsafer license]# mv ozlicense.xml /home/reportsvr/license/ozlicense.xml_bak
[root@dbsafer license]# cp /root/ozlicense/ozlicense_5.0_temp_2015-03-04_Server.xml /home/reportsvr/license/ozlicense.xml

[root@dbsafer dbsafer3]# service pnpweb restart
Shutting down Tomcat service:
Using CATALINA_BASE:   /usr/local/apache-tomcat-6.0.26
Using CATALINA_HOME:   /usr/local/apache-tomcat-6.0.26
Using CATALINA_TMPDIR: /usr/local/apache-tomcat-6.0.26/temp
Using JRE_HOME:        /usr/java/jre1.6.0_24
Using CLASSPATH:       /usr/local/apache-tomcat-6.0.26/bin/bootstrap.jar
                                                           [  OK  ]
Starting DREPORT WEB service:
Using CATALINA_BASE:   /usr/local/apache-tomcat-6.0.26
Using CATALINA_HOME:   /usr/local/apache-tomcat-6.0.26
Using CATALINA_TMPDIR: /usr/local/apache-tomcat-6.0.26/temp
Using JRE_HOME:        /usr/java/jre1.6.0_24
Using CLASSPATH:       /usr/local/apache-tomcat-6.0.26/bin/bootstrap.jar
                                                           [  OK  ]
[root@dbsafer dbsafer3]# ./dbsafer_statistics stop

        DBSAFER STATISTICS RELEASE (Rev 68) Nov  8 2013 13:20:19s


        DBSAFER STATISTICS STOP. PID [12290]

[root@dbsafer dbsafer3]# ./dbsafer_statistics start

        DBSAFER STATISTICS RELEASE (Rev 68) Nov  8 2013 13:20:19s


        DBSAFER STATISTICS START. PID [27027]

PC.AGENT가 설치된 곳에 가면 config라는 파일과 DBSsferAgt라는 파일이 있는데 둘다 메모장으로 열어서 작업하면 된다.

config파일때문에 pnp업데이트 오류가 나는데 ip란에다가 loopback을 지워주고 dbsafer IP를 넣으면 된다.
*config파일*
--------------------------------------------------------
/** PNP AutoUpdate ver1.9 **/

[SERVER_LOCATION]
ip = 172.16.126.188
port = 8000
--------------------------------------------------------
그리고 dbsafer3디렉토리에 가서 업데이트를 실행시켜 주면 된다.

[root@dbsafer ~]# cd /dbsafer3/

[root@dbsafer dbsafer3]# ./dbsafer_update_server start

DBSAFER update server start.

[root@dbsafer ~]# vi /dbsafer3/.conf/dbsafer_oms_dms.conf

# DBSAFER OMS DMS 의 서버 IP를 설정
# Example : 127.0.0.1
# Default : 127.0.0.1
SERVER_IP = 172.16.126.188

# DBSAFER의 버전을 선택
# Example : 2 (DBSAFER v2.X), 3(DBSAFER v3.X), 14(WASSAFER v4.X)
# Default : 2
DBSAFER_VERSION = 3

# Agent에 "EXIT" 메뉴 사용 유무를 설정
# Example : YES (사용), NO (미 사용)
# Default : NO
EXIT_USE = YES

# Agnet에 "로그아웃" 메뉴 사용 유무를 설정
# Example : YES (사용), NO (미 사용)
# Default : NO
AUTH_CERT_LOGOUT_USE = YES