전체 글
ELK, ELK 설치
ELK 등장 배경모니터링ssh : 접속시 시스템정보를 제공. snmp : snmp work를 실행하여 OID값을 취합하여 정보를 확인. 단, 갱신 시간 텀이 5분이라는 단점이 존재. 트래픽이 많기 떄문. 현제는 네트워크의 속도, 서버의 퍼포먼스, 저장소 용량이 모두 증가 --> 클라우드의 등장. 클라우드로 인해 과거와 달리 다른 네트워크가 하나의 도매인으로 묶여 서버팜을 형성 시킬 수 있음. 따라서 네트워크가 대규모로 이루어짐.보안솔루션은 대부분 국지적 특성을 가짐.해당 네트워크와 도메인은 같은 지역적 위치를 가짐.--> 통합 관리가 필요하다. snmp의 Cacti나 mrtg같은 경우 부하가 심함. 이를 그나마 분산구축을 통해 부하를 줄일 수 있음.ESM(Enterprise Security Menage..
WAF
WAFWeb Application FirewallWAS + 추가모듈(mod_security) 기존 방화벽과의 차이. 기존 방화벽 : selinux, iptables, firewalld(ufw), tcp wrapper--> 주로 헤더의 확인을 통한 접근제어 WAF : WAS의 앞단에서 공격을 감지. 공격 감지 대상은 웹 패킷의 Payload(웹 해킹) WAF의 필요성payload를 검사. web(http/https) 프로토콜동적 언어(PHP, ASP, JSP)system 언어 perl / cgi / fcgi / wcgi --> 사용상 편리. 단, 시스템 명령어 처리가능. DBMS 연동 룰was가 없음 --> waf를 못함. 설치1. Apache 동작 확인[root@rocky-9 named]# syste..
ASA 방화벽
ASA 포트 4개 (e0 - e3)management port (M0/0)inside port (G0/1)outside port (G0/2)dmz port (G0/3) e0 / e1 / e2 / e3MGNT( managemetn port ) --> GUI환경의 ASA 방화벽 Controler PC와 연결된 Port ASDM 옵션시 동일레벨이면 Drop(Option으로 해제) ASA의 ASDM(ASA GUI Control Software)은별개의 프로그램ASDM의 MGNT에 연결된 PC가 있을 경우 ASA가 자동으로 배포함. 다만 ASDM 이미지가 없을 수 있으므로 이를 먼저 설치 할 수 있어야함. TFTP서버를 통한 Management 이를 라우터에 적용 하게 되면 Startconfig Running..
DNSSec
전자서명 복호화 값과 원본 데이터의 해시값이 일치한지 여부를 확인하여 무결성을 확인한다. DNS서버와 DNS서버간의 데이터 전달에서 위변조를 막기 위한 방법 zone 키 생성 zsk(zone 서명 키) -- 공개키 / 비밀키. (공개키를 외부에 배포하여 zsk/ksk 공개키를 존파일에 반영) --> 해시값ksk (key 서명 키) -- 공개키 / 비밀키 public key 존 반영개인키 zone 서명dnssec-dignzone(개인키에 의해 서명됨_kaya.com.zone.signed Name Server에 Zone 반영스마트 샤이닝 : bind의 서명 도구(dnssec-signed)의 옵션public key 존 반영 : 절차없이 서명처리가 가능 설정1. zone key 생성dnssec-keygen..
SSH 인증서 로그인
파일 동기화원격 폴더 : SMB / NFS원격 디스크 : iSCSI --> 사용을 위해서는 반드시 인증이 필요.ID/PW사용 --> 불편expect --> 보안상 취약==>> 인증서를 이용한 로그인이 가능 백업 --> 클라이언트가 서버에 접속. FTP 접속: [ID]:[PW]@[Domain]EX ) ftp kaya:1234@172.16.20.1--> 신형 OS에서는 막힘--> FTP 자체 취약성 및 보안성으로 인해 순수 FTP는 사용되지 않고 있음. SSHrsync파일 전송이 가능하나 보안기능이없음rsync -e "ssh port 22" --> 보안기능을 위해 -e 뒷부분을 모두 써야함but 신형에서는 생략 가능주로 백업(증분)에 사용SSH 접속을 위해 PW를 입력해야한다. scp기본적으로 자체적인 ..
VPN
Virtual Private Network가상망을 통하여 특정 네트워크를 캡슐화를 통해 넘어가는 기술새로운 헤더를 추가하여 이중화하는 기술 vpnd : cisco vpn 서버에 붙인 이름. 가상 인터페이스 ==> svi(vlan) / loopback / subinterface / gre GRE (Generic Route Encapsulation): Cisco의 터널링 기본형. 자체로는 터널링만을 제공. vpnd : host to site특정 Host를 해당 네트워크에 편입시킴--> 자택근무를 주로 사용 router의 vpn 서버 setting 외부에서 접근 하는 host에게 자신의 사설 네트워크 IP를 부여현제 사설 네트워크 IP 범위 : 10.1.1.1~10.1.1.3vpnd에서 부여할 IP범위..
IPv6(2)
6 To 4 TunnelingTunneling패킷을 Incapsulation 하여 전달하는 것을 Tunneling이라한다. 캡슐화를 풀지 않는 이상 어떤 패킷이 전달되는지 다른 노드에서 알 수 없다.6 To 4 TunnelingIPv6는 IPv4의 IP 고갈에 의해서 등장했다. 따라서 IPv4로 이미 구축된 망이 있으며 IPv4와 통신이 불가능하지만 새로운 망인 IPv6의 망을 구축할 수 있다.다만 IPv6끼리 통신이 가능하나 IPv6 - IPv4 -IPv6와 같이 서로 이어지지 않은 망 구조일때 IPv6와 IPv4를 혼용하는 경계라우터에서 다른 경계라우터로 Incapsulation하여 전달하는 방식을 사용 할 수 있다. 이를 6 to 4 Tunneling이라한다. cisco에서는 GRE라 한다. 현제..