1/3

개요

보안관제 프로그램 

- 로그분석 => Splunk => SIEM

 

매니지먼트 솔루션

- SIEM (33p)

 

보안관제 환경구성

- NTP, SNMP, Syslog, Wireshark 

> SIEM 구성을 위한 프로토콜 

 

---

1장 (~21p)

- 2계층 물리적 주소: 이더넷 카드 => 맥주소(12자리 = 제조회사번호, 일련번호로 구성) 

- 3계층 논리적 주소: IP address => NetID.HostID 

- 4계층 포트번호(1~65535), 애플리케이션 번호(서버(1~1023)/client/app)

- 7계층 문자주소 = 호스트명, 도메인명 

 

 

Routing : 최적 경로 탐색 

Gateway: 망과 망을 연결시켜주는 중계장비 

- 라우터 장비, 멀티레이어 스위치, 게이트웨이 방화벽

 

Load balancing : 동일한 기능을 수행하는 서버가 2대 이상

 

*회사에서 한 장비에 두 가지 기능을 올리려고하지 않음. 

- 최종 출력을 포트번호로 

 

사내망 구성도

코어 계층 > 분배 계층(멀티레이어 스위치 배치)  > 접근 계층

 

NAT

- 주소 변환 

Source nat : 송신지 주소가 변환

Destination nat : 수신지 주소가 변환

 

PAT

- nat를 통과할 때 ip + port 까지 바뀜

 

PAT 와 PortForwarding 의차이

- DNAT 작업시에 포트 포워딩은 포트번호로 ip와 port번호 같이 바뀜 

 

NAT, PAT, PortForwarding 각 차이 

- nat: 1:1/ N: N / M:M

- PAT : n:1 / 100 : 4

- Port forwarding : DNAT ( Port: IP address.Port ) 

---

2장

보안망 구성도

- 인터넷: 외부에서 직접접근 가능

- 인트라넷: 물리적으로 분리 

- DMZ(서비스존) 

 

- 대외망

- 인터넷

- 인트라넷

- DMZ

 

IDS => snort rule 

IPS => Firewall + IDS 

 

In-line : 관제 후 제어

Out-of-Path : 관제만 

 

 

 

 

 

NMS

- 네트워크 관리 시스템 

- 라우터, 스위치, VPN, 방화벽

- 관리항목: 구성관리(환경 설정, 장비초기), 성능관리(시스템 사용 중), 장애관리(시스템 사용중), 계정관리(과금)

>>> 중앙에서 관리, 과금, 

         - 성능관리 : 시스템의 상태 정보를 수신 받아 해당 장비의 상태를 파악

   

SMS

- 서버관리 시스템 

- web, was, mail, dns, db, 업무 서버

- 어떤 애플리케이션을 했는지 정보를 받고 진행되고있는지 보고있음 

- 애플리케이션 보안 패치 (통합 관리 운영) 

 

ESM

- 네트워크 장비와 서버 장비를 묶어서 관리하는 시스템 

- 통합보안 관리 시스템

- 다른 기종의 보안 장비 통합 관리 기능, 자원 현황을 모니터링 하는 기능

 

SIEM

- Advanced ESM

- 기능 프로그램이 Splunk

- 수집 기능, 분석 

주요 기능

- 로그 수집 분석 

- 위반 탐지 경고 

 

*IDS와 SIEM의 차이 

- IDS는 실시간

- SIEM은 로그, IDS는 실시간 트래픽을 수집

 

과정

- 데이터 통합 

- 상관관계분석 : 연관성 분석

---

NTP

- 시간을 동기화 해주는 프로토콜

* 관제는 대부분 UDP 방식으로 

* 각프로토콜의 포트 번호 (NTP는 #123번)

 

SNMP

- 중앙관제(관리) 

 

- snmp 전송 프로토콜

- MIB 관리되어야 할 객체들의 집합

- SMI 관리방법 

set, get, trap(요청하지 않아도 알려줌) 

- MIB : 저장소, 객체들의 데이터베이스

- OID : 번호를 기준을 로그를 수집 

*OID 번호를 관리해주는 SMI

 

Syslog

- 로그를 중앙관제에서 관리함

- 로그들 유형, 저장위치 설정

- syslog/ rsyslog

 

 

무차별모드

- 특정한 대상이나 조건 없이 모든 트래픽이나 데이터를 처리하거나 전달하는 모드

 

TAP

- 네트워크에 영향을 주지 않고 트래픽 모니터링 할 수 있게 해주는 장비 

 

Network TAP

- 차단 기능이 없음

 

Aggregation TAP

- 1개 이상의 패킷데이터들을 1개의 NIC를 사용하는 모니터 또는 그 이상의 모니터 장비로 보내 분석 해주는 TAP

 

Bypass tap

- 네트워크 탭과 다르게 모든 트래픽이 IDS나 IPS를 경유해서 전달

- bypass장비가 고장나는 경우 Network TAP처럼 스위치 장비로 변환되서 바로 스위치 장비로 전달