Plummmm♪

디도스 공격을 방어하는 DDoS 방어 솔루션 (Anti-DDoS)에 대해 알아보자. 이름 그대로 DDOS를 방어하는 장비다. 보통 방화벽을 기준으로 외부망/내부망을 구분하는데, Anti-DDoS 장비는 방화벽 외부에 위치한다. DDOS막는 거니까 당연히 외부망에서 트래픽 차단함 Anti-DDoS 장비 외부에 있는 엄한 장비가 부하를 받아 가용성 특이사항이 생길 수 있으므로 보통 DDOS 장비는 기본적으로 임계치를 기반으로 하여 DDOS를 방어한다. 임계치가 넘으면 현재 맺고 있는 세션 사용자 외에 추가로 들어오는 패킷들은 전부 NULL Routing 한다. 이벤트 행사 등으로 DDOS가 아닌데 트래픽이 임계치를 초과할 경우는 탐지모드로 바꾸어 운영한다. DOS는 출발지 기준으로 판별한다. 통상적으로 출발..

1. APT Solution 개념 이번에는 APT 공격에 대비하여 만들어진 APT Solution에 대해 알아보자. APT 공격을 막을 수 있는 솔루션이라서 이름이 저런건 아니다. 작정하고 몇 일. 몇 달을 정보수집하여 들어오는 APT공격은 사실 방어하기 어렵다. 보통 APT공격을 할 때는 알려지지 않은 악성코드, 제로데이 취약점 등을 이용해서 들어온다. 즉, 기존에 시그니쳐가 존재하지 않는 생전 처음보는 방법으로 공격이 들어온다는 말인데.. APT Solution 이라는 말이 여기에 입각하여 나온 것이다. 완전 처음보는 수상한 놈들을 탐지하고 분석하는 솔루션 정도로 이해하면 쉬울 것 같다. 로컬에서 위협을 탐지하는게 안티바이러스라면, 네트워크 라인 가운데서 안티바이러스 역할을 하는? 것이라고 보면 될 ..

웹쉘을 탐지하는 웹쉘 탐지 솔루션에 대해 알아보자. WAF를 쓰면 될 것을 굳이 또 웹셀 탐지장비를 따로 쓰는 이유는 뭘까. WAF는 OWASP top 10에 있는 모든 취약점을 탐지, 차단해야 하므로 웹쉘에 대한 탐지/차단 기능이 부족하다. 그래서 추가로 웹쉘 탐지 장비를 따로 두는 기업이 많다. 웹쉘 탐지 장비는 웹쉘을 탐지하는 기능에 추가로 개인정보 탐지, 업로드 필터링, 변경 방지 등의 기능도 제공한다. Webshell 탐지 장비는 탐지 대상 웹 서버에 설치되고 웹 어플리케이션 디렉토리 내에 존재하는 웹쉘을 탐지한다. 웹쉘에 대한 내용은 다음에 따로 정리할 것이다. 간단하게 설명하자면 웹 어플리케이션에서 쉘을 실행시키는 기능을 담은 어플리케이션 스크립트이다. 대표적으로 UMV사의 ShellMoni..

이번에 알아볼 솔루션은 SMS, TMS, TSM 보안솔루션 관리 시스템이다. 명확하게 정의된 용어(?) 공식 명칭은 없다. 작성의 편의상 SMS로 통칭하여 작성하겠다. SMS, TMS, TSM 등등 여러가지 이름으로 불린다. 하지만 솔루션의 기능과 가장 직관적인 연관을 가진 용어는 SMS이다. 1. SMS의 개념 SMS는 각 벤더들이 제공하는 자사의 보안솔루션을 통합 관리하는 솔루션이다. 쉽게 말해, 동일한 벤더사 제품군들에 대해 통합적으로 관리가 가능한 솔루션. IBM의 SiteProtector, 윈스테크넷의 iTMS, HP의 TippingPoint SMS, Ahnlab의 TSM 등이 있다. "우리 회사에서 나온 제품은 우리회사 SMS로 관리할 수 있도록 해주겠다!!" 이런 느낌이다. 아니 그럼, ES..

1. WAF의 개념 WAF라는 장비에 대해 알아봅시다. 웹 어플리케이션 방화벽이라는 뜻이다. 웹 어플리케이션 방화벽이라면서 왜 방화벽 카테고리에 안넣고 여기에 넣었는가.. IDS/IPS 장비들과 구성, 관리 방식이 거의 동일하기 때문이다. WAF는 웹에 특화된 L7 방화벽이라고 할 수 있다. 웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템이다. OWASP top 10을 기반으로 적용된 차단룰을 바탕으로 방어한다. 요즘 차세대 방화벽, IPS 등에서도 충분히 웹 취약점들에 대해 탐지가 가능한데, 굳이 WAF를 사용하는 이유가 뭘까? WAF가 상대적으로 다른장비보다 가격이 저렴하면서 가장 주된 공격인 웹어플리케이션 공격을 막는 장비이기 때문이다. 또한 WAF는 SSL 통신을 탐지하는 것이 가능하다..

- IDS/IPS 장비 개념 IDS/IPS에 대해 알아보자. 이름 그대로 외부의 침입을 탐지하거나 차단하는 시스템이다. KISA에서는 IDS/IPS를 이렇게 정의한다. 사용자 및 외부침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 또는 내부사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 최소화하는 시스템. 라고 한다.. 보통은 방화벽과 함께 사용한다. 방화벽과의 가장 큰 차이점은, 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고, IPS는 특정 패턴 기반 탐지 및 차단 기능을 한다. IDS/IPS는 목적에 따라 여러가지 종류로 나뉜다. 1. 호스트 기반 IDS/IPS 각 호스트 내에서 OS 감사자료와 시스템 로그 분석, 프로세..

차세대 방화벽, New Generation Firewall = UTM (Unified Threat Management) 에 대해서 알아보자. 왜 UTM이 나오게 되었는지, 어떤 특징과 장점이 있는지 상세히 알아보도록 한다. 먼저 도입된 배경부터 보자. 1. Legacy Firewall의 한계 어플리케이션은 변화하고 진화하였지만 방화벽은 여전히 그대로였다. legacy F/W 나 Stateful inspection F/W 등은 어플리케이션을 제어하기에는 무리가 있다. Ports != Applications IP Addresses != Users Packets != Contents 방화벽은 이제 "어플리케이션 레벨에서, 유저 단위로, 컨텐츠를 제어" 해야할 필요성이 생겼다. Unified Threat Man..

irewall, IDS/IPS, WAF, Anti Virus 등의 솔루션들이 하나로 통합되어 있는 것을 말한다. PaloAlto, FortiGate, Netscreen 등의 차세대 방화벽 (NGFW) 장비들도 UTM이라고 할 수 있다. NGFW = UTM = (방화벽+그 외 솔루션) 이라고 생각하면 이해하기 쉬울 것 같다. 이런 용어들은 각 벤더사들이 제품을 출시할 때, 일종의 프로모션 효과를 보기 위해 도입되는 용어들 일뿐, 커다란 의미를 갖거나 기능 차이가 있는 것이 아니다. 보안 솔루션들에 대해 처음 배우게 되면 이런 용어들이 너무 많아서 헷갈리는 경우가 많다. 실무에서는 실제로 UTM의 Firewall 기능만 사용되는 경우가 많다. 솔직히 말이 좋아 통합위협관리... UTM 장비에서 여러가지 기능..

ESM(Enterprise Security Management) , SIEM(Security Information & Event Management) 두가지 로그 관리 솔루션에 대해 알아보자. 1. ESM (Enterprise Security Management) Firewall, IPS(IDS), UTM 등의 보안 솔루션들의 로그, 이벤트를 하나로 모으는 통합 보안관리 시스템이다. 우리말로 풀면 '전사적 통합보안관리' 통합된 솔루션들의 보안로그를 통합관리, 솔루션간의 상호연동 등의 기능을 한다. 하나로 통합이 되니까 전체 시스템의 보안정책을 수립하는데도 용이하다. 쉽게 "여러가지 장비의 로그/이벤트를 한방에 관리하는 시스템" ​ 여러가지 제품들이 있는데, 모니터링 / 경보 / 분석 / 정책관리 등등 어..

네트워크 상의 장비를 모니터링하고 장애에 대한 발빠른 처리를 위해서 트래픽을 실시간으로 저장하고 가시적인 도표 등으로 보여주는 관리 솔루션이다. Network Management System의 약자이다. Cacti (오픈소스), MRTG (오픈소스), PRTG (상용툴) 등이 주로 쓰인다. Cacti : RRD라는 오픈소스 툴로 만들어진 솔루션. 뒤에서 설명한다. MRTG : 공짜 툴이다. 자유롭게 사용가능하지만 문제해결은 스스로 해야한다. 연동작업도 불편하다. PRTG : 상용 툴이다. 연동이 간편하고 기술지원이 용이하다. 돈주고 쓰는 거니까.. NMS에서는 SNMP (Simple Network Management Protocol)을 이용하여 관리한다. SNMP 패킷을 쏴서 네트워크 장비들이 문제가 있..