41일차 보안솔루션

어떠한 것이든 보안상의 문제를 해결할 수 있는 해결책

기밀성 - 인증

무결성 - hash 함수

가용성 - 이중화

종류

네트워크 보안

서버 보안

응용 보안

PC 보안

보안 관리

보안 관제

네트워크 보안 솔루션

IDS - 특정 네트워크를 집어서 패킷을 분석, 탐지에 목적

IPS - 진입 차단 시스템

UTM - 게이트웨이, 방화벽과 보통 IPS, VPN 환경 , NAT , PAT , 서버 로드벨런싱등이 통합되있다.

NAC - PC의 보안 수준이 얼마나 되는지 확인하고 접근제한함 (윈도우에선 NAP 환경)

VPN

무선랜 보안

발신 로깅

서버 보안 솔루션

서버 보안 - 시스템 보안을 위한 사용자 인증, 계정 관리 등을 수행

DB 보안 - 중요 데이터 접근제어 및 암호화를 통해 사용자 작업에 필요한 최소한의 정보만을 제공

세션 로깅 - 관리자 사용자의 시스템 오용 여부 검사를 지원하기 위한 접속 내용 및 작업 내역 등 세션 로그 감사

응용 보안 솔루션

WAF(WEb Apllication Firewwall) - 웹 서버를 보호하기 위한 솔루션

웹 스캔

DRM(Digital Right Management)

안티스팸

PMS(Patch Management System) - OS, 애플리케이션 등의 보안 취약점을 이용하는 해킹과 웜 등으로 인한 인터넷 침해 사고에 대응하기 위해 강제적으로 중앙 서버 시스템에서 PC 사용자에게 보안 패치를 자동으로 하도록 해주는 패치 관리 솔루션

관리를 잘안하면 오히려 위험한 환경이다.

안티-피싱

PC 보안 솔루션

통합 PC 보안 - 작업 환경에 인가 된 작업 외에는 실행 불가하도록 설정, 자원 통제, 매체 제어 솔루션 ex) 피시방

Office PC 보안 -  업무용 단말 자체의 보안성 강화를 위한 바이러스 백신, 스파이웨어 방지, 키로깅 방지 기능 제공 솔루션

시큐 프린터 - 인쇄된 정보의 비인가적 유출 방지 및 관리를 위한 출력물 실명제 유출 방지 기능 지원 솔루션

프린터의 스플링 기능을 사용하기 위해 저장하는 하드를 노린다.

보안관리 솔루션

저장 장치 암호화

포렌식 - 데이터 복구

디가우저(Degausser) - 기록 정보 파기

보안관제솔루션

ESM(Enterprise Security Management)

TMS(Threat Management System) - 위협관리 시스템, 사이버 공격에 대한 침입탐지, 트래픽 분석 및 상관관계 분석을 통한 종합적위협분석

RMS(Risk Management System) - 위험관리 시스템 , 자산의 보안상태 파악 및 보안성향상 및 자동화를 지향하는 종합 솔루션

NMS(Network Monitoring System)

방화벽(Fire Wall)

보통 Deny All로 동작

외부로부터 모든 트래픽이 방화벽을 거쳐 유입되기 때문에, 방화벽 이중화를 구성할 필요가 있다.

IDS(Intrusion Detection System)

데이터 수집

데이터 필터링과 축약

침입 탐지

책임 추적성과 대응 - 대응은 다소 기능성이 떨어진다.

위치에 따라서

-호스트 기반

-네트워크 기반

정탐 탐지율을 높이려면 규칙을 어떻게 잘 만느냐가 관건

- 오용 탐지(misuse detection)

공격 패턴을 미리 입력하여 해당하는 패턴을 탐지

오판율이 낮고 비교적 효율적이나 알려진 공격 이외에는 탐지 불가

대량의 데이터 분석에 부적합 하고 공격의 순서 정보를 얻기 힘듦

모든 시나리오를 고려해야해서 세밀한 시나리오 작성이 어렵다.

- 이상 탐지(anomaly detection)

정상적이고 평균적인 상태를 기준으로 설정하여, 기준에 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입으로 가정하여 탐지

IKE

GRE over IPsec vpn

가상 사설 망을 만드는 방법 중 하나.

encr 암호화 방식

hash 해쉬함수

authentication 인증방식

group diffe hellman 그룹 번호

lifetime master key 살아있는 시간

그 후 key 가 firewallcx이고(csx인건 오타!) 목적지가 192.168.200.2 인 것

transport는 1:1 방식 모드

프로파일 형성후 적용.

R3도 마찬가지로 적용. 다만 아이피만 맞춰서 변경.

터널링이 된 중간 구간을 잡아서 패킷을 살펴보면

xp에서 BT로 보내는 것은 터널로 들어가기 때문에, ipsec이 적용이 되서 이렇게 ESP 프로토콜로 나온다.

하지만 적용이 안된 것은 ICMP 그대로 보인다.