본문 바로가기

공부 이야기/그냥 찾아보는 공부

VPN이란 무엇인가? 네트워크 인프라 설계에서, 특히 보안 분야에서 굉장히 많이 나오는 단어 중 하나가 VPN이다. 오늘은 VPN의 개념과 구현 방법에 대해 간단히 적어보려고 한다. Virtual Private Network. 즉, 인터넷과 같은 공용망을 사설망처럼 동작시키는 기술을 의미한다. 실제로 물리적인 회선을 가져다쓰는 것이 아니라 논리적으로 구현하기 때문에 가상화라는 개념이 붙은 것이다. 그러면 가상화를 통해 얻은 효과는 무엇일까? 앞서 언급했듯이 '보안성'을 강화하기 위함이 크다. 회선은 조직 내에서만 공개가 되며 인증된 자만 사용할 수 있게 함으로써 보안을 키울 수가 있다. 하지만 공중망을 임차하기 위해 관리 비용이 발생하고 거리에 따른 설치비용이 증가하기 때문에 무한정 만들고 볼 순 없는 것이다. 실제 시중해서.. 더보기
AWS Direct Connect https://www.youtube.com/watch?v=aK7f3rL8wnM Youtube에 게시된 소개영상을 보고 생각을 정리해보았다. 해당 영상은 AWS 클라우드 기술 중 하나인 Direct Connect에 대한 설명으로 2주 전에 게시됬다. 클라우드 아키텍쳐에 대한 지식을 얻기 위해 Youtube 검색창에서 '클라우드'를 검색했고 AWS의 해당 영상을 보게되었다. 이 쪽 분야의 선두주자답게 이해하기 쉽고 보기 편하게 정리되어 있어서 클라우드에 대한 내용을 잘 배울 수 있었다. AWS는 아마존 웹 서비스로 4차 산업 혁명의 키워드 중 하나인 '클라우드'를 주력으로 하는 회사이다. 우선, 클라우드를 알기 위해선 네트워크 인프라에 대한 지식이 필요하다. 네트워크 인프라란, 현대인들이 사용하고 있는 AP.. 더보기
네트워크 보안 명령어 정리 범위 : 필터링의 종류, NAT, ASA 장비 자주 쓰거나 핵심적인 명령어를 따로 정리해보았다. 1) 오브젝트 1-1. 한 개의 특정 호스트를 표현하기 설정 모드에서, object network 오브젝트명 그 후, (config-network-object) # host IP주소 1-2. 특정 네트워크를 표현하기 설정 모드에서, object network 오브젝트명 그 후, (config-network-object) # subnet 네트워크망번호 서브넷마스크 1-3. 특정 대상 서비스를 표현하기 설정 모드에서, object service 오브젝트명 그 후, (config-service-object) # service 프로토콜명(tcp,udp...) destination eq 프로토콜명(http, dns.... 더보기
네트워크 보안 - ASA를 이용한 접근 제어 기법 1. 기존의 라우터 ACL과는 다른 ASA의 ACL 특징 - 네임드 액세스 리스트만을 지원, 즉 트래픽 제어에는 확장 ACL만을 사용한다. - 와일드 마스크대신 네트워크 마스크를 사용한다. - 오브젝트와 오브젝트 그룹을 사용이 가능하다. 관리자가 인지하기 쉬운 문자열로 지정되고 일정한 정책이 적용되는 대상을 하나의 그룹으로 묶고 정책을 일괄적으로 적용할 수 있다. 2. 오브젝트와 오브젝트 그룹을 이용하는 설정 방법 3. NAT - 주소변환 방식 - NAT의 종류에는 4가지가 있다. 내부 지역, 내부 전역, 외부 지역, 외부 전역 - NAT의 방식에는 자동과 수동으로 나뉜다. 기본적으로는 수동이 자동보다 우선 순위가 높다. - 자동 NAT의 수행 방식에는 다시 정적 방식과 동적 방식으로 나뉜다. - 정적의.. 더보기
네트워크 보안 - ASA에 대해 ASA는 시스코 방화벽 장비이다. 다음은 ASA 장비의 특징에 대해서 소개하겠다. 1. 특징 - 보안 레벨(0~100)을 설정할 수 있다. 숫자가 높을 수록 높은 신뢰도를 가진다. - 방화벽과 비슷하게 패킷은 기본적으로 차단된다. - 동적 패킷 필터링과 비슷하게 상태기반으로 검사(Stateful Inpection)되고 응답 트래픽은 자동으로 허용된다. - 사용중인 연결 세션은 커넥션 테이블로 관리한다. 이때, UDP와 ICMP와 같은 상태기반 필터링은 지원이 되지 않는다. 2. 동작 모드 - 모니터 모드 : 특수 모드로 패스워드를 복구하거나 이미지 업그레이드에 사용된다. 운용 x - 사용자 모드 : 제한된 명령어만 제공된다. 일반 라우터와 다르게 인터페이스 정보 확인 및 장비 설정이 없다. Ping, T.. 더보기
네트워크 보안 - ZBFW - Zone Based FireWall, 멀티포트를 지원하는 CBAC보다 한 술 더뜨는 방화벽 기법 - 라우터에 인터페이스가 많을 경우 (20개~), 각 인터페이스별로 정책을 개별적으로 적용해야 하는 단점이 존재한다. - 영역 단위로 필터링을 수행하기 때문에 영역의 개념이 중요하다. 1. 영역의 특징 - 각 인터페이스는 단 하나의 영역에만 소속된다. - 영역 내의 인터페이스 간에는 통신이 허용되나, 다른 영역 간에는 제한된다. 2. 기본영역 - 관리자가 아닌 시스템이 생성한 특수 영역으로 시스템 관리와 관련된 텔넷, SSH, SNMP 등 시스템 트래픽 처리와 관련이 있다. - 다른 모든 영역과 무소속 인터페이스와 항상 통신이 가능하다. 3. 존 페어, Zone Fair - 영역 간 통신은 2개 방향으로 .. 더보기
네트워크 보안 - 필터링 종류, CBAC 방화벽 -> 정적 패킷 필터링 -> 응용 계층 필터링 -> 동적 액세스 리스트 -> 리플렉시브 액세스 리스트 -> CBAC 1. 주 기능은 접근 제어, 필터링을 통해 인가되지 않은 트래픽을 차단한다. 2. 네트워크 사이의 수문장처럼 존재하여 반드시 패킷들은 방화벽을 거치게 된다. 3. 방화벽에 적용되는 정책은 조직의 요구사항을 모두 만족해야 한다. 1. 정적 패킷 필터링 - IP, TCP와 UDP의 헤더 정보를 이용 - 엑세스 리스트(ACL)를 이용 - 복잡한 보안 정책에는 미약함, IP 스푸핑 공격에 취약 2. 응용 계층 필터링 - 프록시 방화벽 또는 응용 계층 게이트웨이라고도 불리며 7 계층까지의 모든 정보를 확인 - 이메일, 웹 서비스, DNS, telnet, FTP 등의 응용 계층 서비스를 지원 .. 더보기
네트워크 보안 - 보안의 기초 개념 보안의 목적 기밀성 허가 받지 않은 사용자에게 노출되는 것을 방지 무결성 허가 받지 않 사용자에게 수정, 변경을 방지 사용가능성 인가된 사용자는 언제든지 정보에 접근할 수 있음. 중간자 공격 사용자와 다른 사용자 혹은 서버 간의 통신을 해커가 중간에 가로채는 것. 사용자에 대해 프록시 역할을 하면서 사용자 정보를 수집 ARP 스푸핑 MAC 주소를 속여서 정보를 가로채는 기법 2계층 중간자 공격 해커의 스위치를 STP 루트 스위치가 되도록 유도하여 정보를 가로채는 기법 3계층 중간자 공격 라우팅 경로를 해커가 있는 라우터를 경유하도록 하여 정보를 가로채는 기법 기타 네트워크 공격 유형 IP 주소 스푸핑 특정 IP 주소를 자신의 것으로 속여서 전달하는 방식 공격 대상 서버가 신뢰하는 호스트의 IP 주소를 이.. 더보기

티스토리툴바