본문 바로가기

공부 이야기

SSL, Secure Sockets Layer 네트워크 보안에서 회자되는 키워드 중 하나가 SSL이다. 실제로 https에서 SSL을 사용하고 있기 때문에 웹 검색을 자주하는 사람들이면 누구나 한번쯤을 봤을 것이다. SSL은 전송계층에서 보안을 제공하기 위해 사용되는 대표적인 기술이다. TCP 서비스와 같이 연결지향형 프로토콜 기반 응용계층을 위한 보안을 제공한다. TCP 443 포트를 사용하고 웹 뿐만이 아닌 SMTP,LDAP,IMAP 등의 어플리케이션 보호를 위해 사용된다. 공개키(RSA,DSA), 대칭키(DES,3DES,RC4), 데이터 무결성(MD5,SHA-1)를 지원한다. SSL은 4가지의 프로토콜로 구성되는데 첫째, 핸드쉐이크 프로토콜로 클라이언트와 서버간의 키 교환, 암호화 방식, 채널 수립 등의 항목들을 4단계에 걸쳐서 협상한다. 둘째.. 더보기
원격 접속 VPN 도입 배경은 회사 외부에서 업무를 처리할 때 이를 지원하기 위해 개발되었다. 원격 접속을 지원하기위해선 IPSec 터널을 확립해야 한다. (IKE 2단계) 1. EZVPN이란? 시스코나 ASA 장비에서 원격 접속 VPN을 간편하게 제공하기 위한 솔루션 클라이언트 측에서 소프트웨어를 다운받아야 한다. IOS 라우터에서도 VTI나 Crypto Map을 이용해서 구성할 수 있다. 2. EZVPN 서버 설정의 단계 IKE 1,2단계 -> 가상 터널 인터페이스 템플릿 설정 -> 사용자 그룹 설정 -> ISAKMP 프로파일 설정 -> 사용자 인증 설정 3. 가상 터널 인터페이스 템플릿 설정 터널 인터페이스의 속성을 미리 정의하고 요청에 의해 생성되는 터널의 모태 및 샘플을 템플릿이라고 한다. ip unnumbere.. 더보기
IPSec, 사이트 투 사이트 VPN 1) 사이트는 지역, 영역을 의미 2) SOHO 가내 집전화망 or 소규모 집전화망 3) IPSec은 IP 프로토콜을 캡슐화하는 프로토콜로 네트워크 계층(3계층)에서 동작함. 10. IPSec은 Transport mode와 tunnel mode로 구분된다. IP payload에 실리는 것은 똑같다. IPSec payload에서 무엇이 실리는지 구분된다. 1) Transport mode : 전송계층 Payload가 IPSec payload에 실린다. L3 헤더를 제외한 상위 계층 정보만 암호화한다. VPN 게이트웨이가 없는 환경에서 많이 사용된다. 즉, 사용자 시스템과 서버 간의 직접 통신에서 사용한다. 2) Tunnel mode : VPN의 GRE 방식과 비슷하게 IP payload와 IP-H가 실린다... 더보기
VPN이란 무엇인가? 네트워크 인프라 설계에서, 특히 보안 분야에서 굉장히 많이 나오는 단어 중 하나가 VPN이다. 오늘은 VPN의 개념과 구현 방법에 대해 간단히 적어보려고 한다. Virtual Private Network. 즉, 인터넷과 같은 공용망을 사설망처럼 동작시키는 기술을 의미한다. 실제로 물리적인 회선을 가져다쓰는 것이 아니라 논리적으로 구현하기 때문에 가상화라는 개념이 붙은 것이다. 그러면 가상화를 통해 얻은 효과는 무엇일까? 앞서 언급했듯이 '보안성'을 강화하기 위함이 크다. 회선은 조직 내에서만 공개가 되며 인증된 자만 사용할 수 있게 함으로써 보안을 키울 수가 있다. 하지만 공중망을 임차하기 위해 관리 비용이 발생하고 거리에 따른 설치비용이 증가하기 때문에 무한정 만들고 볼 순 없는 것이다. 실제 시중해서.. 더보기
AWS Direct Connect https://www.youtube.com/watch?v=aK7f3rL8wnM Youtube에 게시된 소개영상을 보고 생각을 정리해보았다. 해당 영상은 AWS 클라우드 기술 중 하나인 Direct Connect에 대한 설명으로 2주 전에 게시됬다. 클라우드 아키텍쳐에 대한 지식을 얻기 위해 Youtube 검색창에서 '클라우드'를 검색했고 AWS의 해당 영상을 보게되었다. 이 쪽 분야의 선두주자답게 이해하기 쉽고 보기 편하게 정리되어 있어서 클라우드에 대한 내용을 잘 배울 수 있었다. AWS는 아마존 웹 서비스로 4차 산업 혁명의 키워드 중 하나인 '클라우드'를 주력으로 하는 회사이다. 우선, 클라우드를 알기 위해선 네트워크 인프라에 대한 지식이 필요하다. 네트워크 인프라란, 현대인들이 사용하고 있는 AP.. 더보기
네트워크 보안 명령어 정리 범위 : 필터링의 종류, NAT, ASA 장비 자주 쓰거나 핵심적인 명령어를 따로 정리해보았다. 1) 오브젝트 1-1. 한 개의 특정 호스트를 표현하기 설정 모드에서, object network 오브젝트명 그 후, (config-network-object) # host IP주소 1-2. 특정 네트워크를 표현하기 설정 모드에서, object network 오브젝트명 그 후, (config-network-object) # subnet 네트워크망번호 서브넷마스크 1-3. 특정 대상 서비스를 표현하기 설정 모드에서, object service 오브젝트명 그 후, (config-service-object) # service 프로토콜명(tcp,udp...) destination eq 프로토콜명(http, dns.... 더보기
네트워크 보안 - ASA를 이용한 접근 제어 기법 1. 기존의 라우터 ACL과는 다른 ASA의 ACL 특징 - 네임드 액세스 리스트만을 지원, 즉 트래픽 제어에는 확장 ACL만을 사용한다. - 와일드 마스크대신 네트워크 마스크를 사용한다. - 오브젝트와 오브젝트 그룹을 사용이 가능하다. 관리자가 인지하기 쉬운 문자열로 지정되고 일정한 정책이 적용되는 대상을 하나의 그룹으로 묶고 정책을 일괄적으로 적용할 수 있다. 2. 오브젝트와 오브젝트 그룹을 이용하는 설정 방법 3. NAT - 주소변환 방식 - NAT의 종류에는 4가지가 있다. 내부 지역, 내부 전역, 외부 지역, 외부 전역 - NAT의 방식에는 자동과 수동으로 나뉜다. 기본적으로는 수동이 자동보다 우선 순위가 높다. - 자동 NAT의 수행 방식에는 다시 정적 방식과 동적 방식으로 나뉜다. - 정적의.. 더보기
네트워크 보안 - ASA에 대해 ASA는 시스코 방화벽 장비이다. 다음은 ASA 장비의 특징에 대해서 소개하겠다. 1. 특징 - 보안 레벨(0~100)을 설정할 수 있다. 숫자가 높을 수록 높은 신뢰도를 가진다. - 방화벽과 비슷하게 패킷은 기본적으로 차단된다. - 동적 패킷 필터링과 비슷하게 상태기반으로 검사(Stateful Inpection)되고 응답 트래픽은 자동으로 허용된다. - 사용중인 연결 세션은 커넥션 테이블로 관리한다. 이때, UDP와 ICMP와 같은 상태기반 필터링은 지원이 되지 않는다. 2. 동작 모드 - 모니터 모드 : 특수 모드로 패스워드를 복구하거나 이미지 업그레이드에 사용된다. 운용 x - 사용자 모드 : 제한된 명령어만 제공된다. 일반 라우터와 다르게 인터페이스 정보 확인 및 장비 설정이 없다. Ping, T.. 더보기

티스토리툴바