Plummmm♪

ESM(Enterprise Security Management) , SIEM(Security Information & Event Management) 두가지 로그 관리 솔루션에 대해 알아보자. 1. ESM (Enterprise Security Management) Firewall, IPS(IDS), UTM 등의 보안 솔루션들의 로그, 이벤트를 하나로 모으는 통합 보안관리 시스템이다. 우리말로 풀면 '전사적 통합보안관리' 통합된 솔루션들의 보안로그를 통합관리, 솔루션간의 상호연동 등의 기능을 한다. 하나로 통합이 되니까 전체 시스템의 보안정책을 수립하는데도 용이하다. 쉽게 "여러가지 장비의 로그/이벤트를 한방에 관리하는 시스템" ​ 여러가지 제품들이 있는데, 모니터링 / 경보 / 분석 / 정책관리 등등 어..

IPsec에 대해 알아보자. 말 그대로 IP Layer의 보안을 위한 기능이다. IP 프로토콜은 취약한 부분이 많다. 일단 보안기능은 거의 없다고 보면되고.. (IP 스푸핑 등에 노출) 이런 IP 프로토콜에 암호, 인증 서비스를 패킷 단위로 제공하는 것이 IPsec이다. IPv4 에서는 IPsec이 선택사항이었지만, IPv6에서는 의무적인 요구사항이다. 그만큼 장점이 많아서 그렇겠지? IPsec은 아래와 같은 여러가지 기능을 제공한다. * VPN을 이용하여 보안체널 구성 * 안전한 원격 인터넷 접근 * E-Commerce 보안 * 라우터 간의 안전한 라우팅 정보 교환 IPsec에서는 사용되는 보안 프로토콜들이 있다. •IP Authentication Header (AH) •IP Encapsulating ..

r-services에 대해 알아봅시다. 유닉스/리눅스 시스템에서 신뢰도 있는 사용자에 한해서 패스워드로 검증하지 않고 그냥 서비스를 가능하게 해주는 아주 딱 봐도 취약해보이는 서비스이다. rsh, rcp 등등의 r-services 들은 .rhosts 파일을 사용한다. 이 파일은 호스트와 계정을 패스워드없이 통과하도록 해준다 한번 인증하면 .rhosts 파일에 아래와 같이 등록된다. 문제는 이미 나왔따. 맨 아랫줄 와일드 카드 * * 2개가 나와있는데, 이건 무슨 뜻이나면.. 모든 호스트와 계정을 허용한다는 말이다. 물론 .rhosts 파일에 이게 존재하진 않는다. 하지만.. 해커가 이 .rhosts 파일에 * * 만 추가할 수 있다면 큰일 나는 거지. 다음은 r-services 에서 일어날 수 있는 보안..

SSL/TLS 란? 웹 서버 간에 안전하게 데이터 전송을 하기 위해 고안된 프로토콜이다. 1994년 넷스케이프사에서 개발되었고, 데이터를 전송할 때 평문이 아닌 암호화된 내용을 전송하게끔 만들어져 있다. SSL(Secure Socket Layer)은 SSL 1.0 부터 2.0, 그리고 TLS(Transport Layer Security)라는 이름으로 RFC 2246 표준화 된 SSL 3.0 까지 점진적으로 개발되면서 계속하여 보안에 박차를 가하고 있다. 개인정보보호가 대두되는 요즘 SSL 보안 표준은 필수라고 말할 수 있다. SSL에서는 큰 두가지 개념이 존재한다. Session(세션) 과 Connection(연결) 이다. 세션은 서버와 클라이언트 사이의 관계를 말한다. 두 종단점의 세션은 암호화된 안전..

보안 텔넷이라고 불리는 SSH(Secure shell)에 대해서 알아보자. SSH는 원격 접속할 때 쓰이는 프로토콜이다. rsh, telnet 등 여러가지가 있지만, SSH가 안전하기 때문에.. 보통 보안텔넷이라 부르는 SSH를 사용한다. 호스트에 원격 접속하려면 OpenSSH를 설치해야 한다. SSH는 터널링 기법을 사용하여 보안을 한다. 아래 그림부터 한번 보자. 안전하지 않은 기존의 TCP 연결을 안전한 SSH 연결로 변환하는 것이다. 서버와 클라이언트가 SSH를 사용하려면 일단 서버에는 SSH서버, 클라이언트에는 SSH 클라이언트가 설치되어 있어야 한다. SSH 클라이언트로 SSH 서버로 접속하게 되면 이 둘이 연결이 되는데 이 연결 통로를 만드는 것을 SSH 터널링(SSH Tunneling) 이..

1. SNMP 개념 네트워크 장비를 관리, 감시하기 위한 목적으로 설계된 프로토콜이다. 1970년대 후반에는 네트워크 장비 정보를 얻기 위해 ICMP가 사용되었으나, 지금은 ICMP에서 관리 목적의 기능을 향상시킨 SNMP를 사용한다. 주로 UDP 161번 포트를 사용한다. 2. SNMP 구성 SNMP는 Manager에 SNMP Agent들이 붙은 구조다. SNMP 에이전트는 각 장비의 규격에 따라 장비의 정보를 수집하고 저장한다. SNMP 매니저는 SNMP 에이전트에 정보를 요청하고 획득, 관리한다. 쉽게 에이전트는 Client, 매니저는 Server라고 생각하면 된다. 3. SNMP 메시지 SNMP에서는 총 4가지 메시지를 사용한다. 좀더 추가해서 설명하자면, Get-Next 메시지는 GET과 같은 ..

네트워크 상의 장비를 모니터링하고 장애에 대한 발빠른 처리를 위해서 트래픽을 실시간으로 저장하고 가시적인 도표 등으로 보여주는 관리 솔루션이다. Network Management System의 약자이다. Cacti (오픈소스), MRTG (오픈소스), PRTG (상용툴) 등이 주로 쓰인다. Cacti : RRD라는 오픈소스 툴로 만들어진 솔루션. 뒤에서 설명한다. MRTG : 공짜 툴이다. 자유롭게 사용가능하지만 문제해결은 스스로 해야한다. 연동작업도 불편하다. PRTG : 상용 툴이다. 연동이 간편하고 기술지원이 용이하다. 돈주고 쓰는 거니까.. NMS에서는 SNMP (Simple Network Management Protocol)을 이용하여 관리한다. SNMP 패킷을 쏴서 네트워크 장비들이 문제가 있..

1. 망분리의 개념 이름 그대로 망을 분리하는 것이다. 외부 인터넷망과 업무망을 분리하는 것을 말한다. 종류에는 크게 물리적 망분리와 논리적 망분리가 있다. 외부와 업무망을 분리한다는 말은 인터넷을 차단한다는 말이다. 즉, s/w 업데이트도 오프라인으로 해야하고 속도도 그만큼 느리며.. 하여튼 여간 불편한게 아니다. 그래도 확실히 망분리를 하면 안전하다. 3.4 ddos, 7.7 ddos, 3.20 사이버테러 등 여러가지 침해사고를 겪으면서 이런 공격들을 대비할 방책으로 떠오른 대안책 중 가장 많이 사용되는 것이다. '정통망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 시행령 제15조'에 망분리를 의무화하도록 법률적으로 명시해두었다. 2. 망분리의 구축방식 망분리는 총 3가지 구축 방식이 있다. ..

가상 LAN 환경 VLAN에 대해 알아봅시다. 스위치가 Collision domain을 나누어 주는건 다들 알고 있는 사실이다. (그렇죠?) Broadcast domain을 나누려면 라우터가 필요한데, VLAN을 이용하면 동일 스위치 환경에서 브로드캐스트 도메인을 나눌 수 있다. VLAN은 총 4가지 종류로 나눌 수 있다. - Port 기반 VLAN : 스위치 포트를 각 VLAN에 할당함. VLAN에 속한 호스트 끼리만 통신이 가능하다. - MAC 기반 VLAN : 각 호스트의 MAC 주소를 등록하여 VLAN 구성 - 네트워크주소 기반 VLAN : 같은 네트워크에 속한 호스트들 간에 VLAN 구축 - 프로토콜 기반 VLAN : 같은 통신 프로토콜 간에만 통신 가능하도록 구축한 VLAN 그리고 Taggin..

DNS 란? Domain Name System 혹은 Domain Name Service의 약자로, TCP/IP 네트워크 상의 도메인을 컴퓨터가 처리할 수 있는 숫자로 된 인터넷주소(IP)로 바꾸는 시스템인 Domain Name System 을 일컫기도 하고, 이런 역할을 하는 Domain Name Service 를 일컫기도 한다. DNS 요청을 하면 DNS Server로 domain 주소를 보내어 응답을 받는 형식인데, DNS Server는 국가나 통신 관련 대기업에서 관리하고 있다. 먼저, Zone과 Domain의 차이를 알아보자. 위에 그림에서 보다시피, 도메인 네임 공간의 하위 트리를 domain 이라고 한다. 그리고 domain 하위에서 생성된 도메인 네임 공간을 zone이라고 한다. 또한 que..