TechLabs

1) 프록시 서버에서 blacklist의 브라우저에 경고창 뜨는 과정 1) 먼저 경고창이 뜨기 위하여 tcp 3-way handshaking 과정 필요 2) SYN → SYN/ACK가 순차적으로 진행되고, 서버 입장에서는 ACK를 기다림 3) 하지만, 프록시 서버에서 http Request (ACK)를 보자마자 src를 서버로 변경 후 클라이언트에게 패킷 전송 4) 클라이언트 입장에서 경고창이 뜨고, 서버 입장에서는 ACK가 오지 않아 tcp 3-way handshaking이 끊어짐 2) 키를 이용한 암호화 공통키 공개키, 비밀키 - 단순한 계산 - 키를 잃어 버릴 가능성 有 - 순서 관계 없이 동일한 결과 - 복잡한 계산 - 비밀키로 암호화 한 후, 공개키 제공하여 상대방이 풀 수 있도록 진행 - ma..

1) audio 표현하는 속도 보다 보내는 속도가 빨라야 한다. 2) video 표현하는 속도 보다 보내는 속도가 빨라야 한다. 3) Youtube 1) 클라이언트가 유튜브 서버에 HTTP Request 요청 2) Youtube가 클라이언트 근처에 있는 CDN 서버 알려줌 3) 클라이언트는 CDN 서버에게 요청하고, CDN 서버가 Manifast file (url) 전달 * CDN 서버는 ISP 근처에 존재 (hops가 적기 때문에, 빠르게 전달 가능) 4) 네트워크 속도 괜찮으면, version 높여서 전달 4) Netflix 1) 서버에서는 계정만 관리 2) 다른 CDN 서버에서 Manifast file (url) 클라이언트에게 넘기고 3) 네트워크 속도 괜찮으면 version 높임

## 네트워크 구성 ## 1) Network Core 2) Network Edge 3) Link ## 정보 전달 방식 ## 1) Circuit Switching 2) Packet Switching ## TCP 특징 ## 1) 신뢰성 2) 순서 (/w Seq Num) 3) Flow Control : 의미 없는 Segment 보내서 ack로 응답 받음 4) Congestion Control : 공용 네트워크이기 때문에, 조심스럽게 이용 5) Fast Retransmission (1 + 3 DUP = 4) OSI 7계층 TCP/IP 4계층 데이터 및 장비 핵심 개념 Application Application Message (/w WAF, IPS) - Socket - HTTP, SMTP, SSH, telnet ..

1) 헤더 검사합의 취약성 임의의 패킷 생성 가능 패킷이 목적지에 도달하지 못 하도록, 패킷 변경하여 공격 방법 1) 공격자가 송신자 IP를 제 3자의 IP로 변경 2) 공격자가 헤더 검사합을 맞춤 (맞추지 않으면 에러가 뜸) 3) 목적지에 패킷 도달, 목적지에서 제 3자의 IP에게 패킷 전송 4) 패킷 입장에서는 목적지가 없기 때문에, 네트워크에서 순환하다가 도달하지 못 하고 없어짐 2) 서비스 거부 공격 (DoS, Denial of Service) cf) DDoS : Distributed + DoS 공격자가 시스템 자원을 모두 파괴하여, 다른 사용자들이 해당 시스템 서비스를 사용하지 못 하도록 하는 공격 방법 1) 공격자가 좀비 pc에 수 많은 트래픽을 해당 서비스에 보내라고 지시 2) 좀비 pc는 ..

정의 1) 프로토콜 : 네트워크에 연결된 시스템들의 통신 목적 미리 정의된 규칙 2) 인터넷 : TCP/IP 프로토콜 이용하여 정보를 주고 받는 컴퓨터 통신망 3) 인터넷의 응용 서비스 처음에는 "보안"을 고려하지 않고, 프로토콜 생성함. 그러다가 응용 서비스들이 생성되고, 보안의 필요성이 대두되자 그에 맞게 "보안 프로토콜" 개발 인터넷의 역사 단말끼리 연결 → 네트워크끼리 연결 (TCP/IP 프로토콜 이용) → OSI 7계층 모델 정의 → 현재는 TCP/IP 프로토콜 이용 현재 목표는 네트워크끼리 연결 (IP, Router, L3 Switch) /w Dumb Core → Flow Control (window), Congestion Control, Error Control (SYN, ACK) IP 특징..

인프라 구축 과정 (중간 점검) 클라이언트 및 공격자 PC 생성 (/w linux-mint, kali-linux) 라우터 생성 (/w vyos) 가상 스위치 및 포트 그룹 생성 (/w tab switch) 방화벽 생성 (/w pfsense) DMZ 생성 (/w beebox) 각각의 단말에 네트워크 인터페이스 변경 후 고정 설정 진행 (IP, GW, netmask) 가상 머신 생성하는 방법 3가지 iso 파일로 설치 ovf 파일과 디스크로 설치 1) vmx 실행 2) 호환성 맞추기 3) export 4) esxi에서 새 가상 머신 만들 때 업로드 ova 파일로 설치

내가 구성한 구조는 reverse proxy 구조이다. 내부망 밖에 프록시 서버를 구축하였는데, 이런 경우는 프록시 서버가 뚫려도 내부망에 접근하기 위하여 방화벽을 거쳐야하기 때문에, 보안 강화에 도움이 된다. pfsense에서 업데이트 목록 확인하려고 하니, 목록이 보이지 않는 문제 발생 unable to retrieve package information 위와 같은 오류 메세지가 뜸 1. 외부 통신이 되지 않는 경우, 위와 같은 오류 메세지가 뜸 확인해본 결과, dns 설정도 제대로 되어 있었고, 외부 통신도 잘 되는 것을 확인 (ping 8.8.8.8) 2. 검색해 본 결과, 많은 사람들이 업데이트 목록이 뜨지 않는 경우 업데이트 시도를 많이 하여 업데이트 진행 (2.7.0 에서 2.7.2로 업그레..

3가지 구축 환경 1) VMware Workstation 위에 VMware Esxi 올리고, 웹에서 새로운 가상 머신 생성 2) VMware Esxi (Bare Metal) 이용 (부팅 USB 이용하여 설치, 컴퓨터 2대인 사람들에게 유리) 3) VMware Workstation만 이용 (컴퓨터 성능 좋지 않은 사람들에게 추천) 0) vCenter 구축 개요 Hypervisor가 VMware Esxi이다. Esxi는 하드웨어 위에 직접 설치할 수 있는 독립적인 운영체제이며, Esxi 위에 새로운 가상 서버를 설치할 수 있다. (Bare-Metal : OS가 없다, 즉 Esxi는 Bare-Metal Hypervisor이다.) 기존의 구성은 Application - OS - 하드웨어로 이루어져 있는데, 복구..

구축 요소 1) 방화벽 포트와 아이피 기반으로 룰 생성하여 접근 허용 및 제어 주로 3, 4계층 장비이며, 용도에 따라 달라질 수 있음 whitelist blacklist 기본적으로 모두 차단 허용하고자 하는 대상만 추가 기본적으로 모두 허용 차단하고자 하는 대상만 추가 장점) 로그 존재, 데이터 암호화 가능 단점) 새로운 규칙에 취약, 방화벽 안에서 해킹 발생 시 막을 방법이 없음 cf) IPS vs Firewall IPS (7계층) Firewall 능동적인 차단 시스템 인가자의 비정상적인 행위 검출하여 접근 제어 수동적인 차단 시스템 비인가자의 접근 제어 2) 망 분리 물리적 망 분리 (각각 다른 스위치 사용하여 물리적으로 망 분리) 논리적 망 분리 (VLAN, 게스트망과 업무망을 분리, Hyperv..