목록Computer (222)

선릉역 1번 출구

VPN 도입 배경

VPN을 이해하기 위해서는 먼저 Private Network를 이해해야 함 IPv4의 고갈 문제 -> Private Network 탄생 IPv4의 일부 대역을 Private IP로 지정하여 가정, 기업, 기관 등의 근거리 통신망(LAN)에서 사용하도록 함 Private Network IPv4의 고갈 문제 해결 사설 IP를 사용해 별도의 네트워크를 구성함으로써 외부 인터넷과 내부 인터넷의 분리 외부 인터넷의 접근을 막음(필요시에 NAT를 활용해 공인 IP로 탈바꿈) 이런 이유로 다양한 장소에 사설망이 구축됨 -> 멀리 떨어진 다른 사설망과 사설 IP를 통한 연결의 필요성이 증가함 -> 전용 회선이 등장함 ex) 사설망 안에 위치하는 server 접근 정책이 사설망안에서의 접속은 허용하고 외부 IP의 접속은..
Computer/Network 2022. 12. 9. 23:35
VPN 이해하기

VPN(virtual private network) 왜 VPN을 사용하는가?, 어떤 문제가 있는가? 1. 공유기를 통한 가상 사설망의 이해 외부 커피숍(10.0.10.0/24), 우리집 공유기(192.168.10.0/24) *0은 네트워크 주소이고 255는 브로드캐스팅 주소임! 외부 커피숍에서 집 공유기에서 작동 중인 VPN에 접속 내 노트북(외부 커피숍에 위치한)은 우리집 공유기의 IP 주소를 하나 할당 받음 ipconfig 명령어 실행 시 내 노트북은 10.0.10.2와 192.168.10.10이라는 2개의 ip를 할당받은 상태임 노트북에서 10.0.10.0/24 대역으로 라우팅 시에는 10.0.10.2의 주소로, 192.168.10.0/24 대역으로 라우팅 시에는 192.168.10.10의 주소를 ..
Computer/Network 2022. 12. 9. 23:15
IDS

IDS는 탐지 위주의 정책을 이용 -> 네트워크 사이에 인라인으로 끼어들어가지 않음 -> 장애를 예방하기 위해 이중화 구성도 필수는 아님(물론 IDS가 정지 됐을 때 로그를 놓치지 않기 위해 이중화 구성을 하는 곳도 존재함) -> 방화벽/IPS처럼 패킷을 차단하는 역할도 아님 IDS에 필요한 것은 분석해야 할 패킷뿐임 보안 모니터링을 필요로 하는 트래픽을 복사해 IDS에 넣기만 하면 됨 트래픽을 복사하는 작업 시스코: SPAN-Switched Port Analyzer(SPAN이라고 부름) 델, 주니퍼: Port Mirroring Sensor: 복사된 트래픽을 받는 NIC을 부르는 말 어플라이언스 IDS를 사용하기도 하고, 직접 리눅스 서버에 IDS 소프트웨어를 설치해서 사용하기도 함 2개의 NIC이 필요..
Computer/Network 2022. 12. 8. 11:09
IPS, 방화벽의 위치

1. 보통의 경우 2. DDoS 디도스 공격의 경우 디도스 공격에 의해 방화벽이 먼저 죽어버릴 수 있어 IPS를 FW앞에 두는 것이 좋음 3. 한정된 보호 구간 if. 회사가 서비스 받고 있는 ISP는 5G라면 IPS도 ISP 대역폭에 맞는 5G 장비를 준비해야 함 만약에 IPS를 1G정도로 구축해야 한다면 평소 트래픽 양만으로도 IPS에 과부하가 걸릴 뿐만 아니라 공격이 조금만 들어와도 IPS가 다운됨 -> 직원을 보호하느냐? or 웹서버를 보호하느냐? 보안 시스템으로 발생할 수 있는 성능 저하에 대한 고민 IPS 연결 시 정상적으로 서비스하는 트래픽의 저하 발생 가능성 성능 관리가 중요한 결정 요소가 됨 레이턴시가 얼마나 되고 패킷 크기에 따라 마이크로초 단위로 얼마만큼의 지연 시간 내에 처리하도록 ..
Computer/Network 2022. 12. 8. 10:43
방화벽 고가용성

네트워크 장비는 언제든지 죽을 수 있다는 가정하에 디자인 :방화벽처럼 민감한 장비는 일반 스위치나 라우터에 비해 CPU 사용률이 100%에 치닫는 일이 매우 흔함 해결책 1. HA를 사용 한 대의 방화벽이 죽었을 때 다른 한 대의 방화벽이 활성화되면서 백업함 모드 설명 AS(active-standby) 한 대를 메인으로, 한 대는 레디 상태로 두는 것 AA(active-active) 두 대 모두 메인으로 사용하는 것 failover: 자동으로 백업 방화벽이 전환되는 과정 AS 모드의 경우 failover로 한 대가 사망하더라도 문제가 없을 것 같지만 실제로는 몇 초에서 몇 십초에 이르는 네트워크 순단 현상이 발생함 2. 바이패스 스위치 장비가 죽었을 때를 대비해서 우회 경로를 만들어주는 장비 3. Ful..
Computer/Network 2022. 12. 8. 10:19
계층별 장비 보안 관점 및 내부/외부망 연결

L2 Transparent Mode(TP mode) - 두 장비 사이에서 투명하게 자리잡음 L2 방화벽의 특성상 2개의 NIC에 같은 IP 주소 대역 할당 가능 L2 방화벽 설치시에는 기존 네트워크 디자인을 바꾸지 않아도 됨 Transparent 이름처럼 외부 네트워크나 내부망에서 방화벽이 전혀 보이지 않음 -> 보안 시스템을 L2에 설치하는 것은 TP 모드로 들어간다는 의미로, 기존 네트워크의 변동 없이 모니터링 및 제어하고자 하는 장비 사이에/같은 서브넷 대역에 끼워 넣는 것 L3 NAT과 VLAN을 이용해 여러 개의 네트워크 망을 구성 가능(VLAN은 L2부터 지원) -> 네트워크 대역을 구분할 수 있음 L4 여러 머신으로 부하를 분산하는 로드 밸런서 세션에 따라 패킷의 흐름 지정이 가능해 방화벽의..
Computer/Network 2022. 12. 8. 08:33
Prev 1 ··· 13 14 15 16 17 18 19 ··· 37 Next