목록CISCO Networks/Security (14)
layer 3
안녕하세요 뿅뿅뽁입니다. 지금까지 보았던 내용들은 대부분 네트워크 서버로의 정보 흐름제어에 대한 내용입니다. 즉 방화벽에 대한 내용이고 이것은 네트워크의 1차 보호선이라 할 수 있습니다. 처음 DoD, TCP/IP 모델을 보았을 때 계층별 보안 기법을 적용하는 것이 좋은 방법이라 하였습니다. 이를 다계층 보안이라고 하는데 지금부터 할 내용은 2차 보호선의 핵심 구성 요소중 하나인 침입 탐지 시스템입니다. 1. 침입 탐지 개요 침입 탐지 시스템(IDS, intrusion detection system)은 컴퓨터에 대한 비정상적 또는 잠재적으로 부적합한 행위를 자동으로 탐지하는 소프트웨어 또는 소프트웨어/하드웨어 모음을 의미합니다. IDS는 기술적 보안 통제의 한 예인데, 기술적 보안 통제란 보안 문제를 해..
안녕하세요 뿅뿅뽁입니다. 지금까지 알아왔지만 어느정도 규모가 있는 대부분의 조직에서는 네트워크 경계 보안을 강화하기 위해 방화벽을 구성/설치하고 있고 가상 사설망(VPN)을 이용하여 네트워크의 무결성을 보호하고 비지니스간 통신을 보호하고 있습니다. 이 장에서 알게 되시겠지만 Cisco Secure Policy Manager(CSPM)는 비용을 최소화하고 네트워크에 일관적으로 보안 정책을 적용할 수 있도록 하는 멋진 툴입니다. 그리고 CSPM은 네트워크와 관련 서비스를 통합 관리 시스템을 통해 관리할 수 있도록 합니다. CSPM은 여러 방화벽(VPN) 라우터를 통해 인트라넷으로 연결하는 조직의 다양한 요구를 만족시켜 주고, 침입탐지 시스템으로부터 오는 경고 메시지를 실시간 모니터링합니다. 그러나 대부분의 ..
안녕하세요 뿅뿅뽁입니다. 이번에 할 내용은 Cisco Secure Scanner입니다. 네트워크의 취약점을 찾는 것은 매우 중요하지만, 일일이 찾기가 그렇게 순탄치가 않습니다. 그래서 Cisco Secure Scanner라는 스캐너를 사용합니다. Cisco Secure Scanner란. 네트워크 장치를 찾아내서 운영 체제와 버전을 파악하고, 열린 포트와 애플리케이션, 그리고 그 애플리케이션과 관련된 취약점을 찾아내는 취약점 스캐너입니다. Cisco Secure Scanner의 주요 특징은 다음과 같습니다. 첫번째. 열린 포트를 검사한 뒤 취약점 존재 여부를 실제로 확인하려고 시도한다.두번째. 네트워크 스캔을 마치고 나면 Grid Browser를 이용해 그 결과를 다양한 시각에서 다양한 수준으로 확인할 수..
안녕하세요 뿅뿅뽁입니다. 컨텐트 서비스 스위치에 생소하신 분들은 많으실 겁니다. 이 장비에 대해 이해하실려면 컨텐트 스위칭을 아셔야 하는데 컨텐트 스위칭이란 네트워크를 통한 데이터 전송시 일어날 수 있는 시간 지연을 제거하는 기술입니다. 하지만 단점도 있으니 이번 장에서 알아보도록 하겠습니다. 1. 컨텐트 서비스 스위치 개관 컨텐트 서비스 스위치는 컨텐트 스위칭을 이용해 서비스에 대한 요청을 가장 적합한 서버에게 지능적으로 분배합니다. 로드 밸런싱과 컨테느 스위칭의 가장 큰 차이는 컨텐트 스위칭이 LocalDirector나 DistributedDirector처럼 단지 4계층 정보(IP와 포트)만을 사용하는 것이 아니라 4계층에서 7계층까지의 정보(URL, 호스트 태그, 쿠키 포함) 모두를 사용해 분배 결..
안녕하세요 뿅뿅뽁입니다. 그동안 포스팅을 보셨거나 따로 보안공부를 하셨다면 다들 아시다시피 보안에서 인증을 빼놓고서는 이야기 할 수 없다는 것을 아실 것입니다. 그래서 오늘은 Cisco AAA에 관하여 써보자 합니다. AAA란 무엇인가? AAA는 Authentication, Authorization, Accounting의 약자로 인증, 인가, 어카운팅을 의미합니다. 쉽게 은행으로 설명해보겠습니다. 고객이 은행에서 돈을 뽑고자 PIN을 입력하는 인증과정, 인증 후 신원정보에 따라 할 수 있는 일이 정해지는 인가과정, 작업을 마치고 거래내역과 계좌 잔액이 화면에 출력하며 거래 내역을 기록하는 어카운팅과정입니다. AAA는 세 가지의 독립적이면서도 서로 관련된 구성 요소로 이루어진 프레임워크이며 네트워크 장치와..
안녕하세요 뿅뿅뽁입니다. 오늘은 가상 사설망(VPN)을 알아보겠습니다 오늘날과 같이 해킹사고가 많이 일어나는 상황에서는 독자의 프라이버시를 지켜 줄 무언가가 필요합니다. VPN은 LAN, WAN, 원격 접속 환경에서 독자를 지켜주는 솔루션입니다. 이번장에서는 VPN에 내장된 IPSec이 네트워크의 보안 사고를 예방하는 데 어떤 도움을 주는지 알아보겠습니다. 1. 여러 VPN 기술 개관 1.1 피어모델 피어(peer) VPN 모델은 네트워크 계층에서의 경로 설정이 홉 단위로 이루어집니다. 여기서 홉이란 출발지와 목적지 사이에 위치한 경로의 한 부분입니다. 쉽게 말해 네트워크 장비를 하나 이동할때마다 1홉이라 생각하시면 됩니다. 종단 노드는 다른 종단 노드와 미리 정해진 경로에 따라 통신하는 것이 아니라 V..
안녕하세요 뿅뿅뽁입니다. 제목을 보신분들은 조금 생소하실수도 있습니다. 우선 LocalDirector와 DistributedDirector이 무엇이냐면 쉽게 말해 로드 밸런서입니다. 그렇지만 확장성, 고가용성, 서버 연결 관리, 서버 보안과 같은 여러 부가 가능을 제공하므로 로드 밸런서라는 단어는 좋지 않은거 같습니다. 이 글을 보시거나 따로 공부하시어 이 두가지가 무엇인지를 아시면 될 것 같습니다. 이 장비에 대해서는 크게 자세히는 안할 예정입니다. 이 장비를 이용한 보안 기법과 취약점들을 다루겠습니다. 1. Cisco LocalDirector를 이용한 보안 강화 이 장비는 여러 로컬 서버 사이에서 인터넷 자원에 대한 요청을 로드 밸런싱 할 수 있습니다. LocalDirector는 일반적으로 웹 서버 ..
안녕하세요 뿅뿅뽁입니다. 오늘 다룰 내용은 암호학의 배경지식, 깨는 법을 볼 것입니다. 암호화를 하는 이유는 간단합니다. 데이터를 보호하기 위해서입니다. 정보를 감추는 것은 암호화, 감춰진 정보를 보는 것을 복호화라고 합니다. 그러면 암호화에 대해 지식이 없으신 분들을 위해 역사를 알고 가겠습니다. 1. 역사와 암호학의 개념 4천년 전 율리우스 시저는 시저 암호화라는 독창적인 암호 방법을 고안해냈습니다. 알파벳 문제들을 세 문자만큼 회전시키는 방법입니다. 게임을 좋아하시는 분들은 어쌔신크리드2 에서 시저 엄호화 비슷한 것을 보셨을 겁니다. 오늘날 사용됐던 방법인 ROT13이 이러한 방법입니다. 암호학에서는 두 가지 유형의 키를 사용합니다. 대칭과 비대칭입니다. 대칭키는 오래전부터 존재해 왔습니다. 이 방..
안녕하세요 뿅뿅뽁입니다. 오늘은 NAT / PAT 을 해보겠습니다. NAT은 R&S에서 들어보셨겠지만 PAT은 들어보신적이 없으셨을겁니다. PAT은 포트 변환으로 5장에서 다룰 내용은 NAT/PAT이 보안 정책에 어떻게 기여할 수 있는지, NAT의 핵심 기능, 그리고 NAT를 구축할 때 고려해야 할 사항입니다. 이 글을 보시는 분들은 알다시피 NAT의 목적은 보안이 아닙니다. 기존 IPv4의 주소 공간 고갈로 인하여 사설IP와 공인IP를 나누기 위함입니다. 사설 IP 주소는 주로 RFC 1918주소가 쓰이는데 오늘 RFC 1918은 많이 언급될 것 같아 미리 정리 하고 가겠습니다. 0. RFC 1918 초기 인터넷을 만들 때는 인터넷의 수요가 그리 많지 않을 것이라 생각하여 효율적인 주소 할당 문제는 고..
안녕하세요 뿅뿅뽁입니다. 1,2장에서는 보안 개요를 보았고 3장에서부터는 장비 및 실제로 보안기법을 적용하는법을 배우고 있습니다. 네트워크에 허가받지 않고 접근하는 것을 막는 가장 쉽고, 효과적인 방법은 바로 진입로에서 트래픽을 필터링하는 것입니다. 오늘은 시스코 라우터에서 여러 필터랑 방법을 포스팅 해보겠습니다. 우리는 필터링을 어떻게 하는지 알고 있습니다. 출발지, 목적지 IP 주소와 포트를 이용합니다. 그러나 이것들만 가지고는 세밀한 제어가 힘듭니다. 좀 더 자세히 조사하고 연결상태를 유지해야 하고, 이러한 고급 기능들을 지원하려면 라우터 또는 방화벽이 프로토콜의 내부를 깊숙히 이해해야 합니다. 1. 접근목록(ACL) 위에서 말했듯이 데이터 흐름을 제어하는 것은 보안에 있어서 매우 중요합니다. AC..