[보안] 보안장비 로그 분석

 

 

 

 

 

오픈 소스 pfSense

 

• 방화벽과 라우터로 사용하기 위해 만들어진 FreeBSD(UNIX OS) 기반 오픈소스 방화벽
• 강력하고 유연한 방화벽 및 라우팅 플랫폼으로 구성
• 추가적인 기능과 잠재적인 보안 취약점이 발생하면 확장 패키지 시스템 적용이 가능
• 임베디드 장비 또는 일반서버, PC에 설치하여 사용
• 2.4.1 Release까지 제공 (현재는 더 높은 버전까지 출시)
  
  
• 지원기능 -> 방화벽/ 라우터/ VPN/ Load Balancer/ DHCP Server/ 기타
  
  
• 설치 -> vm이라면 ISO파일 활용해서 실행

 

 

 

 

와이어샤크

 

• Wireshark
• 제널드 콤즈에 의해 Ethereal버전으로 탄생 --> 상표권 분쟁으로 Wireshark로 재탄생
• 현재 Riverbed에서 지원 및 펀딩
• 가장 많은 프로토콜 분석 지원 --> Sniffer보다 훨씬 더 多
• 윈도우에서 패킷 캡쳐시 Npcap 사용

 

 

 

 

 

패킷 수집 기법

 

 

1. HUB 방식

• 요새 사용율이 少
• 가장 큰 단점은 콜리전이라는 것이 발생하여 사용시 재전송이 증가됨
• 일반적으로 10Mbps 장비들이 가장 많고 간혹 100Mbps 지원 장비도 존재

 

2. Switch 방식

• 벤더마다 명령어가 다름 --> 매뉴얼에 미러링 또는 SPAN이 있다면 지원 가능
• Full-Duplex 지원이 가능 --> 이에 따른 트래픽 초과 발생 가능
• 네트워크 장비에서 지원가능해야됨 --> TX, RX 합쳐서 2개 지원 가능
• L2에 에러가 발생하면 패킷을 전달하지 않고 인터페이스에서 그냥 버려버리는 것이 단점

 

3. TAP(Test-Access-Port) 방식

• 회선 중간에 물리적으로 삽입하는 방식
• 설치시 네트워크 다운타임 발생
• Network TAP(일대일), Aggregations, regeneration 등으로 구분
• SSL Descryption 기능이 지원가능한 장비도 출시

 

** 가끔 보는 경우라면 --> Switch 방식

** 상시 모니터링한다면 --> TAP 방식