SK shieldus Rookies 16기 (클라우드기반 시스템 운영/구축 실무 #01)

만두다섯개·2024년 1월 3일
클라우드클라우드보안

SK 루키즈 16기

목록 보기
40/52

주요 정보

  • 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
  • 교육 회차 정보 : '24. 01. 03. 모의해킹 실무 #01

학습 요약

  • Mulitalyer Switch & 네트워크 복습
  • 보안 위협 관리 솔루션
  • Network Maintenance Tools (NTP, SNMP, Syslog)

Mulitalyer Switch & 네트워크 복습

Mulitalyer Switch

다계층 스위치란? 기본적으로 2계층(데이터링크)에서 동작하는 장비인 스위치에서 라우팅 등 다른 계층에서도 동작할 수 있는 다계층 장비를 의미한다.

네트워크 구축 시 참조모델(FLB, SLB)을 선택하고, 각각의 참조모델에 대해 장비를 구성한다.

참조모델 종류
FLB : Firewall Load Balancing
SLB : Server Load Balancing

구성장비 종류

다계층스위치별 대표적 기능
L2 SW : Forwarding(= 전달, switching)
L3 SW : L2 + Routing (최적 경로 설정)
L4 SW : L3 + Load Balancing
L7 SW : L4 + Security
L2 SW에는 없지만, 모든 다계층 스위치에 있는 기능 : 라우팅

네트워크 복습

  1. 게이트웨이 : 망과 망 사이 연결하는 중계 장비.
    (장비) 라우터, 다계층 스위치, 게이트웨이(방화벽)
    네트워크 구축 시, L3 스위치 사용은 게이트웨이 사용 의미이다.

  2. Load Balancing 사용 전제 조건 : 동일 기능 수행 서버 2대 이상 존재

  3. 다계층 스위치는 사용 가능한 모든 기능을 오버헤드 발생으로 인한 성능 하락 등의 사유로 특정(단일)기능만 사용한다.
    - 예시 : L3 스위치에서 라우팅, Load Balancing 기능 중, 한 기능만 사용
    - 코어 없는 네트워크 망

  • 코어 존재하는 네트워크 망(코어 다중 기능 사용)
    라우팅 및 부하분산 기능 동시 사용 시, 성능 감소

  • 코어 존재하는 네트워크 망(코어 단일 기능 사용)
    라우팅, 부하 분산을 각 장비에서 담당한다. 즉, 장비별 단일 기능만 사용한다. 이는 성능하락 방지 목적을 가진다.

  1. 단일 기능을 사용하는 다계층 스위치 구성 네트워크 망 예시
    네트워크 망에서 다계층 스위치들은 Access, Distribution, Core등의 각 기능을 수행한다.

  1. NAT
    network address translation의 약자로, 주소 변환 기술을 의미한다.
  • SNAT : 송신지 주소 변환
  • DNAT : 수신지 주소 변환

    사설 IP 대역
    A class : 10.x.x.x
    B class : 172.16.x.x ~ 172.31.x.x
    C class : 192.168.x.x

  1. PAT
    port address translation의 약자로, 수신지 네트워크에 동일 IP와 Port가 지정 시, 각 송신지에서 전송하는 데이터를 구분하기 위해 라우터에서 포트를 변환해 전송해주는 기술.

클라이언트와 서버의 포트는 누가 지정하는가?
서버 Port : 서버 관리자 지정
클라이언트 Port : OS가 지정

PAT 변한 예시)
송신지 포트 번호가 변경되어 전송
192.168.1.10:1111 => 1.1.1.1:2222
192.168.1.20:1111 => 1.1.1.1:3333
192.168.1.30:1111 => 1.1.1.1:4444

  1. Port Forwarding
    포트 포워딩 : 포트번호를 보고 IP,포트 번호 변동(매핑)된다.
    보통 Destination NAT 시 사용된다.

  1. 보안 장비 설치 모드 종류


9. 보안 장비 설치 장소 예시
특정 회사의 네트워크 망은 크게 두가지로 나뉜다.

  • 서버 네트워크 망 : 웹서버가 존재해 부하 분산 목적으로 L4 스위치를 사용한다.
  • 회사원 이용 네트워크 망 : 내부 서비스 서버가 존재해, IDS,IPS 등의 장비를 배치한다.

아래 사진은 보안 장비 설치 예시의 다른 그림이다.
특정 회사의 네트워크를 중앙 관제하는 통합 서버존이 존재한다. 해당 장소에서 전체 네트워크 로그를 분석 및 관리한다.

  1. TAP
    Test Access Point의 약자로, Packet Sniffing 목적으로 네트워크 노드 사이의 트래픽을 미러링 하는 외부 모니터링 장비

  2. 허브
    패킷을 플로딩 하므로 허브에 연결된다면 모든 패킷 스니핑 가능

  3. 스위치
    패킷을 포워딩 하므로 스위치에 연결된다면 패킷이 Drop 될 수 있다. 즉, 모든 패킷을 스니핑할 수 없음. 따라서 스위치 장비를 사용하는 환경에서 모든 패킷을 스니핑 하기 위해서는 포트 미러링, 허빙 아웃, 탭 사용 방식을 사용해 패킷을 스니핑해야 한다.

  4. 스위치 사용 환경에서의 패킷 스니핑 방식
    가. 포트 미러링
    스위치에 연결된 Target과 포트 미러링으로 Target과 같은 패킷 수신

나. 허빙 아웃(Hubbing out)

  • hub in /hub out : 프로젝트나 팀에 참가/탈퇴하다는 의미와 연관시켜 생각해보면 된다.
    스위치로부터 허브를 연결해 스니퍼는 동일한 허브에 연결된 Target이 받는 패킷을 스니핑 가능하다. (허브는 패킷을 포워딩하므로)

다. TAP 사용
TAP을 사용해 스니핑하려는 대상의 트래픽을 미러링한다.

최근 탭은 아래 사진처럼 많은 수의 장비를 동시에 사용가능하게 해준다. (Drop Packets -> Capturing All Packets)

  1. TAP 종류
    가. Network TAP

    네트워크 상의 In-Line 한 구간에 이동하는 패킷 데이터를 복사해 Monitor 장비로 보내주는 역할을 하는 기본적인 TAP. (여기서 IDS/IPS는 Monitor 장비)
    나. Aggregation TAP (집계 : 이미 계산된 것들을 모으다)

    1개 이상의 Network Links 또는 Ports 에서 수집한 패킷 데이터를 1개의 NIC를 사용하는 Monitor 장비로(1개 이상) 보내 분석 하게해주는 TAP.
    다. By-Pass TAP

    Monitor 장비 장애, 전원 장애, 바이패스 탭 장애 시, 자동으로 By Pass 기능을 통해 끊김없는 네트워크 통신을 만들어준다.
    (여기서 IDS/IPS는 Monitor 장비)

보안 위협 관리 솔루션

1) NMS(Network Management System)
2) SMS(Server Management System)
3) ESM(Enterprise Security Management)
4) SIEM(Security Information & Event Management)

1. NMS

Network Management System, 네트워크 관리시스템 또는 망관리 시스템이라고 한다.

NMS 요약
NMS 정의 : 기업단위의 네트워크 망 관리 시스템
NMS 기능 : 네트워크 장비 구성관리, 장애관리, 성능 관리, 보안관리, 계정관리
NMS 운영 목적 사용 프로토콜 : SNMP, CMIP, RMON 등

NMS 대상 : 네트워크 장비(라우터, 보안장비)

NMS 관리항목 :

  • 구성관리(환경설정, 장비초기)
  • 장애관리(시스템 사용 중)
  • 성능관리(시스템 사용 중, 핵심)
  • 보안관리(시스템 사용 중)
  • 계정관리(과금)

NMS 관리항목 세부

가. 성능 관리 시, 관리 항목

  • 관리대상 장비의 CPU와 메모리에 대한 사용률(평균값, 최대값) 측정, 분석
  • 관리대상 장비성능을 장비별, 지역별, 기간별(시간별, 일별, 주간별, 월별)로 측정, 분석
  • 장비 성능에 대한 임계치 관리 방식에 따른 정보체계 구축 및 관리
  • IPS, IDS, F/W 장비의 S/W적인 문제(성능)은 배제. H/W적인 문제를 다룬다.
  • 장비자체의 성능 측정으로 제한

나. 계정 관리 시, 관리 항목

  • 개별사용자가 네트워크 장비 사용 시 이용량에 따른 과금 책정

EMS & NMS 관계

  1. NMS (Network Management System, EMS 집합)
    • 기관이 정한 요구사항 만족을 위해 네트워크 장비를 관리하는 시스템
  2. EMS(Element Management System)
    • 기관이 정한 요구사항 만족을 위해 네트워크 장비를 관리하는 시스템단위장비 집합을 관리하는 시스템
    • 장비 관리 시스템 또는 통신망 장비 관리 시스템
    • 통신망 장비를 네트워크를 통해 감시 및 제어를 할 수 있는 시스템
    • 주로 동일 기종의 장비 관리에 주안점을 두고 있음
    • EMS는 해당 서브네트워크를 관리
    • 상위계층인 NMS(Network Management System)으로부터의 요구를 수행
    • 관리대상인 NE(Network Element)들을 제어

2. SMS

Server Management System, 서버관리시스템

SMS 요약
SMS 정의 : 이기종 다양한 서버들의 성능/장애 통합 감시 및 조치
SNS 관리 대상 : OS, 애플리케이션(서버급, 클라이언트용)
SMS 기능 : 서버 성능 종합 모니터링, 서버 성능 데이터 분석과 예측

SMS 기능 세부

가. 서버 성능 종합 모니터링

  • 사용자가 변경 가능한 서버 종합 요약 정보 제공
  • 지역별/그룹별/업무별 서버 운영상태 종합 모니터링
  • CPU, 메모리, 디스크 사용률, 프로세스, 네트워크 트래픽, 디스크 I/O 등의 성능을 실시간으로 감시

나. 서버 성능 데이터 분석과 예측

  • 다양한 관점의 성능 자원에 대한 실시간 흐름 상호 비교 분석 기능
  • (CPU, Memory, Disk, Disk I/O, Process, Session 등)
  • 성능 항목 간 관계성 확인 및 분석 정보 제공
  • 수집 성능 정보에 대한 최소, 최대, 평균값에 대한 이력관리 기능 제공

에이전트가 보안패치 등을 자동으로 수행한다면, 윈도우 업데이트와 같은 프로그램을 설치, 수정등을 할 수 있는 원격 수행기능도 가지고 있나요?
->가능은 하나, 삽으로 삼겹살을 구워먹는 말임. 원격 관리 및 모니터링에 중점

3. ESM

Enterprise Security Management, 통합 보안 관제시스템으로, NSM, SMS을 통합시킨 시스템

요약
ESM 정의 : 다양한 보안 솔루션을 하나로 모은 통합 보안 관리시스템
ESM 주요 기능 : 이기종 간 보안 장비 통합 관리 기능, 네트워크 자원 현황 모니터링하는 보안 모니터링 기능

ESM 시스템 프로세스

  1. 보안 관리자가 보안 정책을 ESM 매니저에 전달
  2. ESM 매니저는 ESM Agent에 보안 정책을 적용 및 관련 정보 보고
  3. 보안 관리자는 해당 정보를 분석 후 대응에 사용.

ESM 구조

  1. Agent : 관리 대상 보안장비에 설치
  2. Manager : ESM Agent에 의해 수집된 데이터 분석 및 저장, 결과를 ESM Console 저장
  3. Console : ESM Manager에게 전달받은 정보 시각적 전달 및 상황판단 리포팅 기능 제공. ESM Manger/Agent 규칙 제어 및 통제 수행

4. SIEM(Security Information & Event Management)

ESM의 진화된 형태 (2015년 가트너에 의해 처음으로 도입된 개념)
기능적으로는 ESM과 차이가 없지만, 수집 및 분석 / 하드웨어에서의 차이가 존재한다.
종류 : HP 아크사이트(ArcSight), IBM 큐레이더(Qrader), Splunk

최대 1일은 패킷 저장 기간이 아닌, 위협 분석 시, 단시간(최대 1일) 까지 위협을 분석한다는 의미이다.
1~2개월 패킷 저장한다.
(반대로 SEIM 은 수개월간의 위협을 분석하고, 1년이상 수집 데이터를 보관)

SEIM에서 카카오톡, 페이스북 등의 애플리케이션 로그 또는 애플리케이션 트래픽 로그 처리한다.
=> 다양한 소스에서 발생하는 로그와 이벤트 데이터를 통합적으로 수집가능하다. 애플리케이션의 다양한 형태의 비정형 데이터를 종합적으로 수집 및 관리 가능.

SEIM VS IDS 차이

IDS : 실시간 트래픽 수집/분석 ==> 실시간 대응 목적
SEIM : 로그 수집/분석 ==> 기록 파일으로 인해 분석 및 탐지
실시간 트래픽 : Mac Address, IP Address, Port, Date
로그 구성 : 시간정보/ 호스트정보/ 프로세스 정보
트래픽으로 로그가 생성된다.
SIEM 은 아래와 같은 로그를 사용한다.

SIEM 개략적 처리 프로세스

  1. 관제 대상으로부터 Agent, SNMP, Syslog 서버로부터 로그를 수집한다. 이후 수집한 로그를 DB에 저장하기 위해 정규화시킨다. 정규화 과정 중, 불필요한 데이터를 필터링 한다.
  2. 상관관계 분석 (Correlation)
    동/이기종 간 보안 솔루션에서 발생하는 로그 패턴간 연관성 분석
    로그들 간 상호연관 분석을 통해 실시간 보안 위협을 파악하고 대응한다.
  3. 위험탐지 -> 정책 위험 탐지
    로그 분석 결과로 보호 대상의 전산 환경에 발생하는 문제, 공격, 정책 위반 탐지한다.
    탐지는 설정한 규칙이나 조건에 해당되는 상황에 일치 시 발생한다.
    임계값 초과, 통계 기반의 사용자 행위를 분석하는 방법이 있다.
  4. 알림 (Alert)
    정책 위반 탐지 시, 경고 생성(Alert) 및 보안 담당자 통보
    경고의 종류에 따라 중요도 부여.
    중요도에 따라 해당 경고에 대해 상세 분석 여부를 결정.
  5. 대시보드 (보고서)
    로그는 보고서 또는 대시보드로 변환된다.

Network Maintenance Tools

네트워크를 유지보수하기 위한 도구들이 존재한다.

  1. NTP
  2. SNMP
  3. Syslog

NTP

Network Time Protocol의 약자로, 네트워크 장비와 Time Server 에서 시간을 동기화 시키는 프로토콜.

  • UDP port 123번 사용
  • SNTP(Simple Network Time Protocol) : NTP version 3이 적용된 NTP 사용
  • Stratum : Authoritative Time Source로부터 NTP machine이 얼마나 떨어져 있는 Hop 수

SNMP

Simple Network Management Protocol의 약자로, 네트워크 관리 프로토콜
요약

네트워크 관리 표준 프로토콜
중앙 관제(중앙 집중화된 관제) 목적의 프로토콜
비TCP/IP 장비를 포함한 어떤 형태의 네트워크 트래픽도 관리가능하고 모니터링 가능
SNMP Version 3까지 나왔으며 각 차이는 보안성에 대한 차이

SNMP 기능

  1. 네트워크 구성관리- 네트워크 상의 호스트들이 어떠한 구조로 구성되었는지 확인 가능
  2. 성능 관리 - 네트워크 사용량, 에러량, 처리속도, 응답시간 등의 성능분석에 필요한 통계정보를 얻을 수 있음
  3. 장비 관리 - 시스템 정보(CPU/Memory/Disk 사용량)를 얻을 수 있음
  4. 보안 관리 - 정보의 제어및 보호 기능

SNMP Manager와 Agent 간의 통신

Manager는 UDP 162번을, Agent는 UDP 161번을 사용해 SNMP 통신한다.

  • Get Request : 관리 시스템이 특정 변수 값을 읽음
  • Get Next Request : 관리 시스템이 이미 요청한 변수 다음의 변수 값을 요청
  • Set Request : 관리 시스템이 특정 변수 값의 변경을 요청
  • Get Response : Agent가 관리 시스템에게 해당 변수 값을 전송
  • Trap : Agent의 특정 상황을 관리 시스템에게 알림 (매니저가 요청하지 않았는데도 알림)

SNMP 구성요소

  • SNMP(Simple Network Management Protocol) : 전송 프로토콜
  • MIB(Management Information Base) : 관리되어야 할 객체들의 집합
  • SMI(Structure of Management Information) : 관리 방법

MIB

Management Information Base의 약자로, 관리 정보 베이스라고도 한다. 체계화된 관리 정보로 관리자 조회, 설정할 수 있는 객체의 데이터베이스(CPU, 라우팅 테이블, TCP, IP 등)가 MIB 객체가 될 수 있다. MIB은 이러한 MIB 객체를 해당 시스템의 Managed Node에서 저장하고 전송한다.

OID

Object Identifier, 의 약자로, 객체 식별자이다. Manager가 라우터의 CPU 정보를 요청 시, OID를 사용해 객체에 대한 식별을 진행해 데이터를 가져온다. SNMP 계층에서 객체를 식별하기 위한 고유한 식별자로 사용하며, IANA에서 이를 관리

궁금한 점
OID는 로그보다는 트래픽 정보를 가져오기 위한 식별자에 가깝나요? 아니면 그보다 프로토콜 레벨에서 데이터를 가져오기 위한 식별자인가요?
=> MIB을 구별하기 위해 사용하므로 로그보다는 트래픽 정보를 가져오기 위한 식별자이다. 또한, SNMP에서 데이터를 가져오기 위해 사용된다.

MIB Tree

.1.3.6.1.2.1.1 -> {root.iso(1).org(3).dod(6).internet(1).mgmt(2).mib-2(1).system(1)}

SNMP 버전과 Community String

SNMP 버전의 업그레이드는 보안 취약점을 보완하는 방향으로 진행되었다. SNMP 보안 취약점 중 하나는 바로 Manager와 Agent사이의 정보 전달 시 인증 취약점이다.
NMS와 네트워크 장비 간 Community String(커뮤니티 값)이 일치해야 인증되고, 이를 장비에서 전송한 트래픽으로 인정하고 사용한다.
SNMPv1 : Community String 평문전송
SNMPv2 : 데이터 무결성 문제
SNMPv3 : 사용자 인증, 데이터 암호화, 접근 제어 등..
Agent로부터 얻은 정보는 community String이 일치해야 한다.

Syslog

한 시스템의 로그를 체계적으로 관리 목적으로 사용한다.
시스템 에러 메시지나 debugging 정보를 처리하는 서비스
rsyslog : 빠른 속도와 다양한 확장성을 지원한다.

SNMP VS syslog/rsyslog

둘다 중앙 관제하는 곳으로 로그를 전송한다.
1. SNMP : 에이전트-매니저 모델을 사용해 관리자가 네트워크 장비나 시스템에 직접 요청을 보내어 관련된 정보를 얻는 방식
2. syslog/rsyslog : 로컬에서 결정한 로그를 전송해 정보를 얻는 방식

profile
만두다섯개
磨斧爲針
이전 포스트

Bee-box XSS-Reflected(GET) 소스코드 XSS 취약점 분석

다음 포스트

SK shieldus Rookies 16기 (클라우드기반 시스템 운영/구축 실무 #02)

0개의 댓글