겉바속촉

[보안] 보안장비 로그 분석 본문

IT 일기 (상반기)/네트워크 및 시스템 보안

[보안] 보안장비 로그 분석

겉바속촉 2021. 2. 8. 01:05
728x90
반응형

 

 

 

 

 

오픈 소스 pfSense

 

  • 방화벽과 라우터로 사용하기 위해 만들어진 FreeBSD(UNIX OS) 기반 오픈소스 방화벽
  • 강력하고 유연한 방화벽 및 라우팅 플랫폼으로 구성
  • 추가적인 기능과 잠재적인 보안 취약점이 발생하면 확장 패키지 시스템 적용이 가능
  • 임베디드 장비 또는 일반서버, PC에 설치하여 사용
  • 2.4.1 Release까지 제공 (현재는 더 높은 버전까지 출시)

  • 지원기능 -> 방화벽/ 라우터/ VPN/ Load Balancer/ DHCP Server/ 기타

  • 설치 -> vm이라면 ISO파일 활용해서 실행

 

 

 

 

와이어샤크

 

  • Wireshark
  • 제널드 콤즈에 의해 Ethereal버전으로 탄생 --> 상표권 분쟁으로 Wireshark로 재탄생
  • 현재 Riverbed에서 지원 및 펀딩
  • 가장 많은 프로토콜 분석 지원 --> Sniffer보다 훨씬 더 多
  • 윈도우에서 패킷 캡쳐시 Npcap 사용

 

 

 

 

 

패킷 수집 기법

 

 

1. HUB 방식

  • 요새 사용율이 少
  • 가장 큰 단점은 콜리전이라는 것이 발생하여 사용시 재전송이 증가됨
  • 일반적으로 10Mbps 장비들이 가장 많고 간혹 100Mbps 지원 장비도 존재

 

2. Switch 방식

  • 벤더마다 명령어가 다름 --> 매뉴얼에 미러링 또는 SPAN이 있다면 지원 가능
  • Full-Duplex 지원이 가능 --> 이에 따른 트래픽 초과 발생 가능
  • 네트워크 장비에서 지원가능해야됨 --> TX, RX 합쳐서 2개 지원 가능
  • L2에 에러가 발생하면 패킷을 전달하지 않고 인터페이스에서 그냥 버려버리는 것이 단점

 

3. TAP(Test-Access-Port) 방식

  • 회선 중간에 물리적으로 삽입하는 방식
  • 설치시 네트워크 다운타임 발생
  • Network TAP(일대일), Aggregations, regeneration 등으로 구분
  • SSL Descryption 기능이 지원가능한 장비도 출시

 

** 가끔 보는 경우라면 --> Switch 방식

** 상시 모니터링한다면 --> TAP 방식

 

 

 

 

 

 

728x90
반응형