기록이 기억을 지배한다.

네트워크계층의 보안에 대해 안정적이고 표준화된 기초를 제공한다.

네트워크 계층에서 직접 보안을 제공하므로 상위 계층 프로그램의 변경이 필요하지 않다.

패킷을 암호화 하더라도 기존 IP 패킷과 동일한 형태를 가지므로 라우터에 의해 쉽게 라우팅 가능하다.

암호화 장비는 종단점이 되며, 구현 및 관리 비용을 크게 줄일 수 있다.

IPsec은 다른 암호화 알고리즘도 수용할 수 있어 IPv6 에서도 IPsec 을 기본으로 포함하고 있다고 한다.

IPsec의 두가지 전송모드

전송 모드 : 데이터 만을 보호, IP 패킷의 Payload(데이터 부)만을 보호한다.

호스트 대 호스트(종단 대 종단/End to End)의 통신에 사용됨.

터널 모드 : IP 패킷 전체를 보호하여 암호화

원본 IP 헤더까지 보호되므로 패킷 전송을 위한 새로운 IP헤더가 생성된다.

주로 터널 게이트웨이(VPN,라우터,방화벽 등)간 또는 터널게이트웨이<->호스트 간에 사용

IPsec의 보안프로토콜 AH,ESP

IP패킷에 대해 데이터무결성, 송신자인증, 재생공격 보호 기능을 제공하는 AH

(헤더에 의해 지정된 인증을 수행한다~),

AH의 기능을 모두 가지며 추가로 암호화를 통한 기밀성까지 제공하는 ESP.

(~지정된 암호/인증을 결합한 프로토콜)​

암호관련 프로파일 SA,

SA 협상과 키 교환을 위해 설계된 프로토콜 IKE

IPsec은 공개키 암호화 방식을 사용하는데, 송/수신측이 공개키를 교환하고 인증 및 암호화 알고리즘과 암호키에 대한 정보를 교환해야 한다. 이런 프로파일을 SA라고 한다.

상호 협상에 생성되며 양쪽에 하나씩의 SA가 생성이 되어야 한다.(SA는 단방향이므로)

SAD는 SA에 관련된 정보를 보유하고 있는 데이터베이스 이다.

IKE는 상대방 인증 및 SA 협상과 키 교환을 위해 만들어진 프로토콜이다.

Oakley, SKEME, ISAKMP에 기반을 둔 복잡한 프로토콜이다.

종단-대-종단의 안전한 통신을 위해 설계되었으며, 인증 및 암호화 기능을 가집니다.(공개키 암호화 방식)

웹 브라우저와 웹 서버간에 서로를 확인하는 기능이 있습니다.

데이터 무결성을 검사할 때는 일방향 해쉬 함수를 사용하여 검증합니다.

SSL/TLS 를 겨냥한 취약점을 이용한 공격이 몇가지 있는데, BEAST 공격과 CRIME Attack 입니다.

사용자 브라우저 취약점을 이용하여 HTTPS 쿠키를 훔쳐 공격하는 BEAST, (Browser Exploit Against SSL/TLS)

HTTPS의 압축에 따른 취약점을 이용해 HTTPS 세션을 가로채는 CRIME attack 이 있습니다.

(Compression Ration Info-Leak Mass Exploitation)

SSL/TLS은 다음 네 가지의 프로토콜로 이루어져 있습니다.

핸드쉐이크 프로토콜

클라이언트와 서버가 서로 어떤 알고리즘과 공유키를 사용할지 서로에게 공유합니다.

Chage cipher spec 프로토콜

암호 방법을 변경할 때, 상대에게 전하기 위한 규칙입이다.

둘 사이에 합의한 암호사양을 적용하자고 상대방에게 알려줍니다.

alert 프로토콜

에러 발생 시 상대방에게 알립니다.

record 프로토콜

메시지를 압축/암호화 하여 상대방과 통신 합니다.

정리하면,

IPSec 은 네트워크 계층의 보안을 위해 쓰이고,

SSL/TLS 는 TCP계층과 응용계층 사이에서 쓰이는 종단간 보안서비스입니다.

 
SNMP에서 Client는 Manager라고 하며 이 Manager가 탑재되어 응용프로그램(예, MRTG)이 돌아가는 시스템은 네트웍관리시스템이라고 합니다. 
 
또한 Server는 Agent라고 하며 관리대상이 되는 장비들에서 돌아가며 필요한 정보들을 보아서 Manager로 전송을하는 역할을 하게 됩니다. 

(= 일반적으로 생각하는 서버와 클라이언트의 개념이 반대! 처음엔 좀 헷갈릴 수 있으니 주의!)

 
특히 SNMP는 MRTG(라우터의 트래픽을 모니터링 하는 툴)라는 소프트웨어에서 네트웍장비의 트래픽 사용량을 분석하는 데에 많이 사용 되고 있습니다. 
 
SNMP는 RFC-1157에 정의되어 있으며 네트웍장비를 생산하는 대부분의 업체에서는 RFC-1157문서에 알려바를 수용해서 생산함으로써 다른 네트웍장비와의 호환성을 유지하게 되는 것입니다.

SNMP는 OSI 7계층의 프로토콜이며(응용 계층),

사용되는 메세지는 단순히 요청과 응답형식의 프로토콜에 의해 교환되므로 UDP를 사용한다.

SNMP는 161번 포트를 사용한다.

SNMP TRAP 메세지는 162번 포트를 사용한다.

​

​SNMP는 아래와 같이 구성된다.

​

get-request

get-response

get-next-request

set-request

trap

​trap 만 UDP 162포트를 사용하고, 나머지는 모두 UDP 161 포트를 사용한다.

​

SNMP가 사용되면서 관리자가 조회하거나 설정할 수 있도록

대행자에 의해 유지되는 변수를 정의하는 MIB가 있고,

데이터와 데이터의 속성들을 설명하는 언어이고 SNMP의 공식사양인 ASN.1 이 있다.

​BER은 SNMP 메세지로의 실제 비트변환을 한다.

​

Forward Proxy(포워드 프록시) = 프록시는 '대리인'의 의미
 

위 그림을 보면 내부망 -> 외부망 으로 전달이 되는 걸 볼 수 있는데,

내가 어떤 사이트를 가려고 할 때, 가고싶은 목적지 사이트의 주소를 직접 프록시 서버에게 전달하며 그 프록시가 해당 목적지 사이트의 내용을 받아와서 전달해주는 대리인 역할을 한다.

​

약간 사용자가 자유롭게 목적지를 설정할 수 있게 되는 부분이다.​

클라이언트가 목적지서버에 접근 시,

클라이언트가 자신이 가고싶은 목적지서버의 주소를 프락시에 전달 하고,

프락시가 직접 해당 목적지 서버의 요청된 내용을 받아와서 클라이언트에게 전달을 해준다.

(리버스 프록시에 비해 클라이언트가 준 대로 능동적으로 찾아올 수 있는 느낌)
 
예) 타겟서버가 target.com 이고, proxy서버가 proxy.com 일때,
클라이언트의 Proxy 설정에 proxy.com을 설정하고, 주소창에는 target.com 을 입력하여 브라우징 하게됨.

​

​
  

Reverse Proxy (리버스 프록시)
 
사용자가 Reverse Proxy 로 설정된 서버의 주소(Junction 에 미리 주소를 설정하는 것처럼) 로 데이타를 요청하게 되며, Reverse Proxy는 이 요청을 받아서 자신의 뒤에 있는 "배후"의 서버에 데이타를 요청하여 받은 다음 클라이언트에 전달하게 됨.

​

포워드 프록시와 다르게 리버스 프록시는 미리 지정된 자원(자신의 배후에 있는 자원)에만 접근이 가능한 차이점이 있는 것 같다.​
 
여기서 Reverse 의 뜻은 "배후,뒷쪽" 이라는 뜻으로 반대의 의미가 아니며 

"나의 배후에 있는 시스템에 너를 연결 해주겠다" 라는 의미이다.
 
예) 타겟서버가 target.com 이고, proxy서버가 proxy.com 일때,
클라이언트는 별도의 프락시 설정없이 proxy.com으로 접근하게 되면

proxy.com이 자동으로 매핑된 주소로 변환하여 target.com에서 컨텐츠를
가지고 온 후 이를 클라이언트에 전달하게 됨. 

네트워크 하드웨어 및 응용프로그램에 의해 생성된 보안 경고 실시간 분석 제공.

ESM 의 진화된 형태 = SIEM

SIEM이 제공하는 로그 수집 및 관리 기능은 아래와 같다.

로그수집 : 관제 대상 시스템에 설치된 에이전트가 SNMP, syslog 서버에 저장하는 과정

로그분류 : 이벤트 발생 누적 횟수 등등 유사 정보를 기준으로 그룹핑. 한개의 정보로 취합한다.

로그변환 : 다양한 로그 표현형식을 표준적 포맷으로 변환

로그분석 : 표준 포맷으로 변환 완료된 로그에서 타임스탬프,IP주소,이벤트 구성규칙 등을 기준으로 여러 로그들의 연관성을 분석한다.

도청(스니핑)은 네트워크 상에서 흘러다니는 트래픽을 도청하는 행위이다.

- 암호화 통신을 사용 (도청을 해도 어떤 내용인지 모른다.)

  = 웹 : SSL/TLS

    이메일 : PGP, PEM, S/MIME

    텔넷, FTP = SSH

    VPN을 통한 공중망에서의 암호화

- ARP 캐쉬 정보를 정적(Static)으로 설정

- 스위치의 Port Security, ARP Inspection 기능을 사용하여 방지

- VLAN 구성을 하여 브로드캐스트 도메인을 줄이고, 도청 피해가 있더라도 최소화

- 꾸준한 보안 교육으로 보안수준 향상