분류 전체보기 (20) 썸네일형 리스트형 시스템접근제어 및 통합계정관리 솔루션이란? 2020.09.02 IT업계에 취업한 후 약 5년이라는 시간이 지났다. 오늘은 그간 다루었던 보안솔루션 제품 중 시스템접근제어 및 통합계정관리 솔루션인 GATEONE-Z 기반으로 내용을 정리하는 시간을 가지려 한다. 시스템접근제어란?- 기업이나 기관에서 운영하는 시스템(서버)들로의 접근에 대한 관리가 목적인 솔루션- 보통 시스템접근제어가 없는 환경일 경우, 아래 그림과 같이 PC에서 putty 또는 원격 데스크톱 연결 등을 통해 서버로 직접 접속할 것이다.- 위와 같이 서버가 3대밖에 없고 사용자가 1명밖에 없는 소규모 환경의 경우 크게 관리에 어려움이 생기진 않지만, 큰 기업 / 기관일 경우 서버가 100대, 1000대 단위로 많아지기도 하고 해당 서버를 접속하려는 사용자들도 100명 1000명 단.. 리눅스 기초 명령어 ls - 현재 위치의 디렉터리 목록 확인 cd - 디렉터리 이동 cp - 파일 혹은 디렉터리 복사 (디렉터리 복사 경우인 -r) mv - 파일 혹은 디렉터리 이동 pwd - 자신의 현재 위치 정보 date - 현재 날짜 mkdir - 디렉터리 생성 rm - 파일 또는 디렉터리 삭제 cat - 파일 보기 (한번에) more, less - 파일 보기 (순차적으로) tail - 파일 최하단에서 보기 chmod - 파일 권한 부여 (주로 755 사용) : 4 - 2 - 1 순으로 읽기, 쓰기, 실행 권한이다. find - 특정 파일 또는 디렉터리 검색 (find [검색경로] -name [파일명]) 쿠키(Cookie), 세션(Session) 쿠키와 세션은 http 프로토콜의 단점을 보완하기 위해 존재한다. http는 클라이언트와 서버 간의 접속을 끊는 순간 통신은 종료되고 상태 정보는 유지되지 않는 특성을 갖고 있다. 어떻게 보면 통신을 유지하고 종료하였을 때 낭비되는 리소스를 줄여 장점으로만 다가올 수 있지만, 반대로 생각해 보면 통신을 시도할 때마다 계속해서 내가 누구인지 인증을 해야 하는 번거로움이 발생하게 된다. 예를 들자면, 우리가 네이버에 로그인을 한 후 서비스를 이용하기 위해 서비스를 클릭해 이동할 때마다 로그인을 계속해서 새로 다시 해 주어야 하는 일이 발생하는 것이다! 쿠키(Cookie) 쿠키는 클라이언트에 저장되는 작은 데이터 파일이며, 일정 시간동안 데이터를 기억하여 로그인 상태를 유지시킨다. 또한 클라이언트의 상태 정보.. (미완성) DHCP (Dynamic Host Configuration Protocol) DHCP의 정의 - 동적 호스트 구성 프로토콜이라고 명칭하며, 호스트 IP 구성 관리를 단순화하는 IP 표준이다. DHCP란? - 호스트의 IP주소와 각종 TCP/IP 프로토콜의 기본 설정들을 사용자에게 자동적으로 부여/제공해주는 프로토콜이다. - DHCP를 지원받는 사용자는 네트워크 부팅 과정에서 DHCP서버에 IP주소를 요청하고 이를 얻게 된다. - DHCP네트워크 안의 컴퓨터에 자동으로 DNS주소, IP주소, 게이트웨이 주소를 할당해주며, 해당 사용자에게 일정 기간 동안 임대를 하는 동적 주소 할당 프로토콜이다. DHCP의 장점 - PC의 수가 많거나 PC 자체 변동사항이 많은 경우 IP설정이 자동으로 이루어지기 때문에 효율적으로 사용이 가능하다. - DHCP서버에서 사용 가능한 IP를 자동으로 할.. VLAN (Virtual Local Area Network) VLAN이란? - L2 Switch 부터 제공되는 가상의 LAN을 구성하는 기능이다. - 물리적인 네트워크 분리가 아닌 논리적인 네트워크 분리 기술이다. (물리적 분할은 물리적 장비(라우터) 필요) - 식별자 (Number. 예를 들어 Valn1, Valn2 등) 를 이용하여 네트워크 이름을 지정한다. - Switch port에 VLAN 에 대한 정보를 설정한다. VLAN을 사용하는 이유? - 네트워크가 분리되므로 정책을 통하여 허용된 대상만 접근하게 해 보안성이 증가한다. - 기존 Topology의 큰 물리적 변화 없이 네트워크 구조를 변경할 수 있다. (Topology란? : 컴퓨터 네트워크의 요소들을 물리적으로 연결해 놓은 것. 쉽게 말해 네트워크의 구성라고 생각하자.) VLAN은 같은 네트워크로 .. 이중화 구성 이중화 구성이란? - 시스템의 신뢰성을 올리기 위하여 같은 기능을 가진 시스템을 두 개 준비하여 활용하는 것. 이중화를 해야 하는 이유? 만약 장비 1대로 어떠한 웹 서비스를 운영하는데, 갑작스럽게 장비에 장애가 생기게 되면 해당 서비스는 불능이 될 것이다. 그러므로 이중화를 하여 장비 1대에 장애가 발생하게 되어도 같은 기능을 가진 다른 장비가 서비스를 계속해서 운영하게 되므로 서비스의 신뢰성, 연속성 등을 보장하여 서비스 이용에 끊김이 없게 하는 것이 가능하다. 일단 위 그림을 설명하자면 내부 사용자(컴퓨터 모양)가 인터넷 서비스를 이용하고 있는 그림이다. 방화벽(그림에선 라우터로 표현했다) 부분을 이중화하여 동일한 기능을 수행하는 본 방화벽 1대, 예비 방화벽 1대를 설치하였다. 인터넷 서비스 이용.. 침입차단시스템 IPS (Intrusion Prevention System) IPS란? - 네트워크상의 유해트래픽의 탐지 및 방어를 능동적으로 수행하며, 실시간으로 탐지/방어하는 솔루션이다. 위의 그림처럼 IPS는 일반적으로 인라인 구조 방식으로 구성도에 설계가 된다. 인라인 방식이란? - 네트워크 통로에 들어가서 패킷을 직접적으로 관리하는 방식이다. - IPS를 통과하는 패킷 중 비정상적이거나 악용 된 패킷은 차단시킨다. IPS는 앞에서 알아보았던 IDS와는 다르게 직접 유해트래픽을 탐지하여 차단시키는 기능을 수행한다고 보면 된다. 즉, IDS + 차단기능 = IPS 인 것이다. IPS 차단 방식 비정상적인 패킷을 탐지한 IPS는 다양한 방식으로 패킷을 차단할 수 있다. 설정에 따라 일시적으로 출발지 IP를 블랙리스트에 추가하여 접근을 차단한다던지, 아니면 악성 데이터를 담은 .. 침입탐지시스템 IDS (Intrusion Detection System) IDS란? - 단어 그대로 침입탐지시스템으로, 외부에서 내부로 들어오는 패킷이 정상인지 아닌지를 탐지하는 솔루션을 말한다. (네트워크계의 CCTV라고 이해하면 될 것 같다.) 위의 설명처럼 IDS는 외부에서 내부로 들어오는 모든 패킷들에 대해 정상 여부를 검사해야 하므로, 일반적으로 모든 패킷을 탐지할 수 있는 경로에 설치된다. 위의 그림처럼 IDS는 일반적으로 미러링 구조 방식으로 구성도에 설계가 된다. TAP(또는 Switch) 이라는 장치를 이용하여 IDS 장비로 패킷을 전달하여 탐지를 실행하는 방식이다. 이 미러링 방식을 사용하게 되면 인라인 모드(다음에 배울 IPS에 나온다)에 비해 유해트래픽 차단이 어렵지만, 보안장비의 존재를 숨기는 데 있어 용이하다는 특성을 가진다. 다시 한번 더 말하지만,.. 이전 1 2 3 다음
