본문 바로가기

IT 살이/03. 관리 - 보안 관리

네트워크 보안 CISSP의 보안 도메인중에서 네트워크 도메인을 정리한 내용이다. OSI7 레이어를 기준으로해서 프로토콜, 기술, 구현 등을 정리하고 있다. 네트워크와 보안 from InGuen Hwang 더보기
암호화 정리 CISSP의 보안 도메인중에서 암호화를 정리한 내용이다. 암호화 from InGuen Hwang 더보기
802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)(링크) BYOD는 수용하되, 미인가 IT기기의 네트워크 접근을 원천적으로 차단하고 싶다. 유선이든 무선이든 사용자 인증 먼저 하고 네트워크에 접속시키고 싶다. 고정된 VLAN이 아니라 사용자 기반으로 동적으로 VLAN이 사용자에게 할당된다면? --> IP 주소 변경 관리와 단말기 사용자 관리 한번 더 고민! 802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제) from MinChoul Lee 더보기
네트워크 보안- FireWall, DMZ, IDS, IPS(링크) 방화벽, DMZ, 침입탐지, 침입방지 공부를 좀 하다 보니, 기본적인 이 녀석들이 헷갈린다. 아래는 개념 정리에 좋은 링크다. 네트워크 보안- FireWall, DMZ, IDS, IPS 그렇다면... "기밀성이 높은 정보를 가지고 있는 서버를 외부에 공개해야만 하는 상황이다"네트워크 구조를 어떻게 구성하는 것이 좋을까나. 으음... IDS는 노출되고 나서 뒷북칠거고.... 방화벽은 룰셋이 너무 단초롭고(IP, 포트 기반, 프로토콜기반) 그럼,,,,,실시간적으로 차단해야 하고, 필터링 방식도 "알아서 잘"( 통계, behavior 기반 )해야 한다면... DMZ + IPS. 여기에 앞에 방화벽이 붙어준다면 한번 필터링된 패킷만 IPS로 올테니 더 효과적일 거고. 방화벽 + DMZ( IPS + 서버 ) 이렇.. 더보기
permissions, rights, privileges 비교(업데이트) 이들에 대한 지난 비교가 만족스럽지 않았다. 2016/10/14 - permissions, rights, privileges 비교 다시 간략하게 요약해 보도록 한다. 다음 그림은 세 개념의 관계를 표현하고 있다. 다음은 이 그림의 관계를 이야기한다. 모든 객체는 외부에 대해서 제공하는 서비스가 있다고 볼 수 있다. 파일은 내용을 "읽고", "쓰고", "수정"할 수 있는 서비스를 제공한다. 운영 체제는 "환경을 설정할 수 있는 서비스", 더 구체적인 예로는 "시스템의 시간을 변경할 수 있는 서비스"를 제공한다. 그리고 팩스 서버는 "팩스를 전송할 수 있는 서비스"를 제공한다. 또한 객체들은 다른 객체들의 서비스를 이용하고 조합해서 (mesh up) 자신의 서비스를 구현하기도 한다. 운영 체제가 다른 여러 .. 더보기
HA, Fault tolerance, Failover, redundancy HA, Fault tolerance, Failover, redundancy한때 이것들의 정의가 뭐고, 어떤 "관계"가 있는지 궁금했었다. 한번 baseline을 정리해 놔야 업데이트를 위한 수고가 줄어들 것 같다. ▣ 정의 ☞HA어떤 특정한 것이 항상 실행되도록 보장하기 위해서 함께 동작하는 기술과 프로세스의 조합 ☞중복 redundancy예) RAID ☞내고장성Fult tolerance예상치 않은 어떤 일이 발생하는 경우(고장)에도 예상한 대로 지속적으로 동작하는 기술 능력 예)#1. 데이터베이스에 예상치 않은 결함이 발생하면 다시 양호한 상태know good state로 복귀됨예)#2. TcP세션동안 한 패킷이 손실되면 재전송한다.예)#3. RAID에서 한 디스크가 손상되면 시스템이 그것의 패러티 데.. 더보기
정책과 아키텍처의 관계 엔지니어로서 아키텍처에 먼저 눈을 뜬다. 근데 경영을 기웃거리다 보니까 정책 사슬(정책, 표준, 기준, 지침, 절차)에 접하게 된다. 생각에 잠긴다. 이 둘은 어떤 관계에 있지? 지금까지는 아키텍처 위주로만 생각해서 이게 제일 높을 줄 알았는데, 그게 아니다. 경영에도 아키텍처가 있을 텐데...그것이 제일 높지 않을까 했다. 엔지니어답게 이런 생각을 했던 것 같다. 내가 아무리 조직 관점에서 생각한다해도, 숲 밖에서 본다고는 하는데 여전히 엔지니어 관점을 벗어나지 못하고 있구나하는 생각을 하게 된다. 아키텍처는 엔지니어링용 툴이다. 아키텍처라는 툴을 이용해서 기존 조직의 구조와 관계, 환경 등을 파악할 수 있다. 또한 이 툴은 여러 이해관계자들의 관점을 반영한다. 그래서 커뮤니테이션을 위한 툴로도 사용할.. 더보기
보안을 공부하면서...후기 이번에 보안을 공부하면서 새삼 느끼게 된 것은 .... "전혀 다른 도메인인데, 어떻게 콜라 회사의 경영자가 컴퓨터 회사의 경영자로 갈 수 있었을까". 평소에는 그럴 수도 있겠다 는 생각으로 그냥 넘어갔었을 문제를 다시 생각해보게 되었다. 경영학을 공부해보지는 않아서 잘은 모르겠지만 경영 차원에서는 돈을 벌고 이익을 내는 그 "프로세스나 절차, 방법론"은 동일할 것이라는 생각이다. 돈을 벌어오는 그 컨텐츠가 무엇이든지 간에 그것은 다음 문제이다. 경영에 대한 프로세스, 절차, 방법 그리고 그것들에 대한 그의 노하우(전략과 전술). 이것이 중요할 것이다라는 예상을 해 본다. "조직과 IT 보안 프로그램 도입"과 "물리적인 보안 프로그램 도입"의 절차는 거의 유사했다. 그리고 유지하고 모니터링하는 방법론도 .. 더보기
01. 아키텍처, 프레임워크, 프로그램, 보안 프로그램 요즘 보안이 달봉이의 관심속에 들어와 있다. 앞으로 당분간은 "보안 관리자로서의 달봉이"가 글을 정리하는 경우가 많아질 것 같다. 만약 달봉이가 보안 관리자가 된다면 무엇을 먼저 할까를 고민한다. 그러다가 일반적인 내용을 먼저 주변의 이해관계자들에게 이해를 시켜야 한다는 생각을 하게 된다. 01. 아키텍처,프레임웤, 프로그램, 보안 프로그램 2016.09.23 from InGuen Hwang 다음에는 상위 수준에서 어떻게 기업의 보안 프로그램을 구현할 수 있는지에 대해서 정리해 볼 생각이다. 더보기
정보 보안 전략 기업에서 정보화를 위한 단계는 패턴이 있다 : 비전, 미션, 목표, 계획기업의 정보 보호의 구현도 같은 패턴을 따른다. 아래 내용들은 (ISC)2에서 말하는 정호 보호 전략 요약이다. 1. 비전과 그 비전을 이루기 위해서 필요한 미션2. 미션을 달성하기 위한 비즈니스 목표(objectives/goals)3. 그런 다음 목표를 구현하기 위한 계획 계획에는 다시 3 레벨로 나뉜다. 하위 레벨은 상위 레벨의 계획(how)이면서 동시에 하위 레벨의 목표(goal)이 된다. ■전략적 계획 . 앞에서 정의된 비즈니스의 목표와 기술적 목표에 일치된 계획. 무엇을 할 것인지(What), 즉 전략적인 목표 목록을 결정한다.예) ☞보안 정책과 절차를 수립한다.☞다운타임을 줄이기 위해서 서버, 워크스테이션, 네트워크 디바이.. 더보기
04. Windows 접근제어 요약 앞에서 윈도우 접근 제어에 대해서 설명했다. 2016/06/09 - 01. Windows 보안(접근제어 개념) 2016/05/27 - 02. Windows 보안(접근제어 모델) 2016/06/21 - 03.Windows 보안(접근제어 확장) 이미 앞 포스트에서 모두 언급된 내용이지만 별도로 간략히 정리해 볼 필요가 있을 것 같다는 생각을 했다. 윈도우의 접근제어 구현은 크게 다음 두 개념을 바탕으로 하고 있다 : RBAC 기반의 접근 제어, 보안 레벨 위주의 보안 모델 ■ RBAC 기반의 접근 제어 Role-based Access Control. 기업 시스템 개발에 자주 사용되는 개념이다. 역할에 대한 권한을 정의하고 사용자에게 역할을 할당하는 개념이다. 사용자 - 역할 - 권한 UPDATE 2016.0.. 더보기
시스템 보안 아키텍처, 그게 뭐고 왜 필요하나요? "APT 공격 또는 랜섬웨어가 내부에서 발견되었다". 그럼 어떻게 대응해야 할까? 보통 실무자들은 해당 보안 공격이 뭔지를 공부한다. 그런 다음 해당 공격을 방어할 수 있는 솔루션을 검색해서 구매한다. 심플! 이것이 보통의 기업에서 하는 절차이다. 현재 달봉이가 근무하는 곳에서도 보안이 이슈다. 이곳에서도 이것과 유사한 절차로 외부 보안 공격, 위협에 대응하고 있다. 보안 담당자들이 여러명 있다. 근데 모두는 솔루션별로 지정되어 있다. 바이러스 공격 솔루션 담당자, 네트워크 접근 제어 솔루션 담당자, 노트북 제어 솔루션 담당자 등. 보안을 전체적으로 통제하고 관리할 수 있는 소위 큰 그림을 만들어야 하는 역할이 없다. 대증 치료적인 관점에서의 대응만이 이뤄지고 있다. 좀만 더 생각해보면 이런 방법의 헛점.. 더보기
03.Windows 보안(접근제어 확장) UAC, MIC를 기반으로 확장된 보안 기술과 IE 보안 기술을 요약한다. Windows의 백신 프로그램-Windows DefenderSmart Screen Filter 등 그리고 IE-PM, EPM 등이 포함되어 있다. 03.windows 보안(접근제어 확장) 2015.06.13 from InGuen Hwang 더보기
01. Windows 보안(접근제어 개념) Windows 접근 제어 개념을 간단한 그림으로 그려봤다. 접근제어에 익숙하지 않은 경우, 도움이 될 것 같다. 00.windows 보안(접근제어 개념) 2016.06.09 from InGuen Hwang 더보기
02. Windows 보안(접근제어 모델) 달봉이가 일하는 곳에서 단말기 보안이 이슈가 되면서, 기존에 "관리자 계정"으로 실행되던 클라이언트 프로그램들에 대한 수정이 예상되고 있다. 예전부터 정리를 해 놔야 겠다 싶었던 내용들이다. 그러나 실제로 정리 작업에 들어가보니 보안 전문가가 아닌 관계로 시간이 꽤 걸린다. 역시 개념이해와 용어를 사용한 정리 작업은 다르다. 01.windows 보안(접근제어모델 리뷰) 2016.05.25 from InGuen Hwang 더보기
웹 서버 정보 노출 방지- UrlScan 필터링 구조 포함 어제 오늘 심한 삽질이 있었다. ■ 사건 개요 어떤 시스템에서 대용량 파일 업로드가 되지 않는다는 것이었다. 오류 코드도 이상했다 : 404 ! 용량이 적은 파일을 올리면 정상인데, 30MB 이상을 올리면 필요한 파일이 사라진다는 건가? 당연히 표준적인 체크포인트들 즉 IIS, ASP.NET 버전별 설정을 확인하고, 상용 업로드 컨트롤(DextUpload)의 설정을 확인했다. 아무리 설정을 체크했는데도 알 수 없었다.ASP.NET의 어플리케이션 풀 설정까지 샅샅히 뒤졌다. 알 수 없었다. ■ 추리과정 다음날. 내가 뭘 놓치고 있는지 조용히 생각해봤다.파일 용량 체크 포인트 IIS --> ASP.NET --> DextUpload 아마 이런 순으로 용량 체크를 할텐데, 이런 설정이 작동을 하지 않는다면 이보.. 더보기
SHA 인증서 업데이트 이해 본 문서는 기업의 IT 시스템 운영자의 “SHA-1 인증서 업그레이드의 실제 작업을 위한 관련 기술 및 절차 정리를 목적으로 하고 있다. “인증서 기반 구조” 및 “SSL 보안 통신”은 개념적으로 설명하고 있지만, 인증서 업그레이드 작업 진행에 필요한 사전 지식으로는 충분할 것으로 예상한다. Sha 2 기반 인증서 업그레이드 이해 from InGuen Hwang EDIT : 아래 지난번 정리는 부족함 더보기
Windows OS 권한 객체 메모 항상 잊어버려서 처음부터 매번 다시 정리해야 한다.이제는 메모해둬야 한다. Windows security context from InGuen Hwang Windows security context from InGuen Hwang 더보기
웹 서버 예외 정보 노출 방지 모의해킹에서 웹 서버 정보가 HTTP 응답의 헤더에 포함되어 외부로 노출되고 있다는 지적이 있어서, HTTP 응답에서 해당 헤더들을 없애는 작업을 했다. IIS7.x 클래식 모드 이하에서는 약간의 수고가 필요했다. .net 웹어플리케이션 예외정보 노출 방지 from InGuen Hwang 더보기
05. 클레임 기반 보안 아키텍처 어떤 사이트에 들어가면 요즘에는 페이스북이나 트위터같은 SNS 사이트 등의 로그인창으로 리다이렉트되는 경우가 많다. 다른 사이트의 통해서 인증과 권한을 처리해서 전달받는 구조이다. 경험은 많이 하고 있지만, 이번에 그 아키텍처를 정리해보고자 한다. 더보기

티스토리툴바