겉바속촉
[보안] 보안장비 로그 분석 본문
728x90
반응형
오픈 소스 pfSense
- 방화벽과 라우터로 사용하기 위해 만들어진 FreeBSD(UNIX OS) 기반 오픈소스 방화벽
- 강력하고 유연한 방화벽 및 라우팅 플랫폼으로 구성
- 추가적인 기능과 잠재적인 보안 취약점이 발생하면 확장 패키지 시스템 적용이 가능
- 임베디드 장비 또는 일반서버, PC에 설치하여 사용
- 2.4.1 Release까지 제공 (현재는 더 높은 버전까지 출시)
- 지원기능 -> 방화벽/ 라우터/ VPN/ Load Balancer/ DHCP Server/ 기타
- 설치 -> vm이라면 ISO파일 활용해서 실행
와이어샤크
- Wireshark
- 제널드 콤즈에 의해 Ethereal버전으로 탄생 --> 상표권 분쟁으로 Wireshark로 재탄생
- 현재 Riverbed에서 지원 및 펀딩
- 가장 많은 프로토콜 분석 지원 --> Sniffer보다 훨씬 더 多
- 윈도우에서 패킷 캡쳐시 Npcap 사용
패킷 수집 기법
1. HUB 방식
- 요새 사용율이 少
- 가장 큰 단점은 콜리전이라는 것이 발생하여 사용시 재전송이 증가됨
- 일반적으로 10Mbps 장비들이 가장 많고 간혹 100Mbps 지원 장비도 존재
2. Switch 방식
- 벤더마다 명령어가 다름 --> 매뉴얼에 미러링 또는 SPAN이 있다면 지원 가능
- Full-Duplex 지원이 가능 --> 이에 따른 트래픽 초과 발생 가능
- 네트워크 장비에서 지원가능해야됨 --> TX, RX 합쳐서 2개 지원 가능
- L2에 에러가 발생하면 패킷을 전달하지 않고 인터페이스에서 그냥 버려버리는 것이 단점
3. TAP(Test-Access-Port) 방식
- 회선 중간에 물리적으로 삽입하는 방식
- 설치시 네트워크 다운타임 발생
- Network TAP(일대일), Aggregations, regeneration 등으로 구분
- SSL Descryption 기능이 지원가능한 장비도 출시
** 가끔 보는 경우라면 --> Switch 방식
** 상시 모니터링한다면 --> TAP 방식
728x90
반응형
'IT 일기 (상반기) > 네트워크 및 시스템 보안' 카테고리의 다른 글
[보안] Bee-Box 설치 및 실행 (0) | 2021.02.08 |
---|---|
[보안] 와이어샤크 파헤치기 (2) | 2021.02.08 |
[보안] 시스템 로그 분석 4 (feat. Linux) (0) | 2021.02.07 |
[보안] 시스템 로그분석 3 (0) | 2021.02.05 |
[보안] 자동화 도구 (0) | 2021.02.05 |