Information of IT

A. 인증 개요1. 인증이 필요한 이유방화벽 인증을 위해서는 사용자가 네트워크에 액세스 하기 전에 FortiGate에 대한 신원을 확인해야 합니다. 인증하려면 사용자는 사용자 이름 및 비밀번호와 같은 자격 증명을 입력해야 합니다. 방화벽 인증이 없으면 FortiGate가 트래픽을 발생시키는 사용자에 대해 알고 있는 유일한 정보는 소스 IP 주소뿐이며 FortiGate는 이를 사용하여 사용자의 신원을 확인할 수 없습니다.2. 인증의 작동원리방화벽 인증을 구성하려면 소스 사용자 또는 사용자 그룹을 방화벽 정책에 추가합니다. 이를 위해서는 사용자가 세션 시작 시 자격 증명을 입력해야 합니다. 그런 다음 FortiGate는 방화벽 정책의 다른 규칙과 함께 사용자의 ID를 사용하여 트래픽을 허용할지 거부할지 결정..

A. 방화벽 정책1. 개요방화벽 정책은 네트워크의 트래픽이 FortiGate에서 허용되는지 여부와 허용되는 경우 FortiGate가 이를 처리하는 방법을 제어하는 데 사용하는 규칙 집합입니다.2. 작동 방식방화벽 정책은 일치하는 트래픽과 트래픽이 일치할 때 FortiGate가 수행하는 작업을 정의합니다. 각 정책에는 다음 개체를 사용하여 정의할 수 있는 일치 기준이 있습니다.- 들어오고 나가는 인터페이스- 출발지 주소- 목적지 주소- 서비스 포트- 일정5가지의 요소를 확인 후 트래픽이 방화벽 정책과 일치하면 FortiGate는 해당 방화벽 정책에 구성된 작업을 적용합니다.작업이 DENY 로 설정 되면 FortiGate는 세션을 삭제합니다. 작업이 ACCEPT으로 설정되면 세션을 수락합니다.방화벽 정책의 ..

A. 네트워킹 인터페이스1. 구성요소FortiGate 인터페이스에서 다음을 포함하여 다양한 설정을 구성할 수 있습니다.- 별칭(Alias) : 참조용 인터페이스를 식별하는 이름- IP 주소(IP Address) : 인터페이스에 연결하는데 사용되는 공용 또는 개인 IP 주소입니다.- 관리 액세스(Administrative access) : HTTPS, PING, SSH등 관리 목적으로 인터페이스에 연결하는데 사용할 수 있는 프로토콜입니다.- DHCP 서버(DHCP Servers) : 인터페이스에 연결된 네트워크의 호스트에 IP주소를 동적으로 할당하는 서버입니다. B. FortiGate DHCP 서버1. DHCP 서버 개요DHCP 서버는 인터페이스에 연결된 네트워크의 장치에 IP 주소를 동적으로 할당합니다...

A. 퍼블릭 서브넷 VPC 생성1. VPC 생성 이번에 실습 시간에 구성할 최종 구성도입니다. 참고 바랍니다. 서비스 -> 네트워킹 및 서비스 -> VPC -> VPC 생성  VPC 설정 창으로 이동하면 하기와 같이 옵션을 선택해 줍니다.생성할 리소스 : VPC 만이름태그 : 원하는 대로IPv4 CIDR 블록 : IPv4 CIDR 수동 입력IPv4 CIDR : 100.0.0.0/16옵션 선택 후 스크롤을 내리면 VPC 생성이란 버튼이 보이실 텐데요. 클릭하여 VPC 설정을 마무리합니다.  상기와 같이 VPC 생성이 된 것을 확인할 수 있습니다.참고 : 이름이 - 로 되어 있는 VPC는 리전별로 기본적으로 있는 VPC 인프라입니다. 현재 상기와 같은 단계까지 완료된 것입니다. 2. 퍼블릭 서브넷 생성  V..

A. VPC 개요1. VPC란?Virtual Private Cloud의 약자로 AWS 클라우드 내 논리적으로 독립된 섹션을 제공합니다. 사용자가 정의한 가상 네트워크상에서 다양한 AWS 리소스를 실행할 수 있게 지원합니다.2. VPC 종류AWS에서 VPC는 크게 2가지로 나뉘며 이는 기본 VPC(Default VPC)와 사용자 VPC(Custom VPB)로 불립니다. 기본 VPC는 리전별로 1개씩 기본으로 생성이 되어 있으며 기본 VPC 내엣 AWS 리소스가 미리 정해져 있습니다. 반면에 사용자 VPC는 사용자 정의에 의해 수동으로 AWS 리소스를 생성하고 제어할 수 있습니다.기본 VPC사용자 VPCAWS가 생성함사용자가 생성함정해진 리소스 미리 생성사용자가 원하는 리소스 수동으로 생성리전당 1개리전당 ..

A. AWS 글로벌 인프라 AWS 글로벌 인프라는 리전(엣지), 가용 영역, 데이터 센터로 이루어져 있습니다. 각각의 리전은 이중화된 100GbE 케이블로 연결되어 있으며 암호화되어 전달되고 있습니다. 1. 데이터 센터(Data Center)AWS 데이터 센터는 크게 3가지의 영역으로 나뉩니다.물리영역보안요원, 출입문 등 물리적인 보안과 건물을 운영하는 설비와 시스템을 말합니다.IT인프라영역서버,네트워크 등 일반적인 IT 인프라 장비를 말합니다.운영 영역데이터 센터를 운영 및 유지하는 인원을 말합니다. 2. 가용 영역(AZ, Availability Zone) 가용 영역은 한 개 이상의 데이터 센터들의 모음을 의미합니다.각 데이터 센터는 물리적으로 분산되어 있으며, 전용망으로 서로 연결되어 있습니다. 3...

1. 클라우드 인증 정보01. AWS 자격증명IAM- AWS 리소스에 대한 액세스를 제어할 수 있는 서비스- 인증 및 권한 부여된 대상을 제어액세스 키(Access Key)- IAM 사용자, Root 사용자에 대한 자격 증명- CLI 또는 API에 대한 요청 및 서명- 액세스 키 ID(AWS_ACCESS_KEY)와 보안 액세스 키(AWS_SECRET_KEY)로 구성IAM 임시 보안 자격 증명(SESSION TOKEN)- STS(Security Token Service)- 리소스에 대한 액세스를 제어할 수 있는 임시 보안 자격 증명- 지정 기간 후에 만료됨IAM - Access Key- Access key는 사용자 별 최대 2개- 발급 시에만 Secret 키 쌍 제공- 사용하지 않는 key는 비활성화, 삭..

1. 인증 및 인가 서비스 Cognito01 개요AWS Cognito - 웹 및 모바일 앱에 대해 인증, 권한 부여 및 사용자 관리 제공- 사용자는 로그인하기 위해 아이디/비밀번호 또는 Google, Facebook 등의 권한 부여자를 통해 로그인02. 취약점 발생 원리비밀번호 오류 횟수 제한- 비밀번호 오류 횟수 제한 로직이 존재하지 않아 무작위대입 공격을 통해 타 사용자 비밀번호 획득 가능한 취약점- 금융위원고시 전자금융감독규정 - 비밀번호 5회 실패 시 계정을 잠그고 비밀번호 재부여 또는 초기화 지시- Cognito는 임시 잠금 기능을 통해 일부 대응참 고로그인 시도의 실패는 5회까지 허용되며 그 후의 각 실패에 대해서는 1초부터 시작하여 약 15분까지 두 배씩 기하급수적으로 증가한 시간만큼 임시 ..

1. 불필요한 Public 설정01 개요공개 설정을 하는 이유- S3 정적 웹 호스팅- 민감도가 낮은 데이터- 공유가 필요한 데이터S3에 포함될 수 있는 정보- AWS CloudTrail 로그- 코드 형상관리 ( CodeCommit ) - 코드 배포 (Pipeline, Elastic Beanstalk)- S3 백업 파일 (S3 Versioning)02. 시나리오공개 설정된 S3- S3는 REST 웹 서비스 인터페이스를 통해 파일 전송- 공격자는 S3 버킷 주소를 통해 접속하여 파일 목록 읽기, 파일 다운로드 가능 발생할 수 있는 위협- 리소스에 대한 권한 나열 -> 계정에 따른 AWS 리소스 사용 권한 획득-> 최소 권한 부여 원칙이 적용되지 않은 경우 획득한 권한을 이용하여 인스턴스 제어 가능 - 로그..

6. XXE01. XXE 개요 - XML 타입의 데이터를 웹 요청을 통해 전송, 서버에서 XML 외부 엔티티 처리가 가능할 때 발생 - 사용자가 웹 애플리케이션으로 전달되는 XML 데이터를 직접 업로드/수정 가능 -> 파일과 같은 서버 내부의 정보 탈취/SSRF 등 공격 수행 - XML 외부 엔티티 선언 형태- 사용자가 브라우저를 통해 XML 데이터를 입력 후 서버(lambda)로 전송 - 서버의 함수는 XML 데이터를 파싱하며, XXE 공격 발생 - XML 구문 분석기의 입력 값 검증 누락으로 발생02. 시나리오진단방안 - 전제 조건 -> 서버 요청 시 DTD(Document Type Definiton)를 선언할 수 있어야 함  03. 진단방법XXE 파서 취약성 - XML 구문 분석에 사용되는 pyth..

5. Command Injection01. 개요Command Injection- 취약한 애플리케이션을 통해 호스트 운영 체제에서 임의 명령을 실행-> 양식, 쿠키, HTTP 헤더 등의 인자를 조작하여 시스템 쉘에 전달- 실행되었을 때 명령은 애플리케이션 권한으로 동작- 불충분한 입력 유효성 검사가 원인02. 취약점 발생 원리Faas 환경에서 사용자 관리 범위와 서비스 제공자 관리 범위의 차이 존대- FaaS 환경에서 사용자는 호스트 운영 체제에 관여할 수 없음-> AWS에서 가상 환경을 구성하며 Amazon Linux, Amazon Liunx 2 사용- 사용자가 지정한 런타임 가상환경에서 임의 명령을 실행-> Node, Python, Ruby, Java, Go 등 런타임 가상환경 사용 가능- 실행되었을 ..

Product Life Cycle상용 H/W 및 S/W를 사용하다 보면 Life Cycle를 체크하여 공식 지원이 언제까지 지원되는지 확인할 필요가 있다.이 때, 사용되는 용어가 EOS, EOL로 일반적으로 제품의 생산 중단을 선언할 때에는 EOS이고 공식 지원 중단을 선언할 때에는 EOL을 공지한다.제품을 생산 중단한다고 해서 공식 지원까지 같이 중단해버린다면 기존에 제품을 구매했던 사용자들의 불만이 높아지기 때문에 EOS 공지 이후 일정 기간을 둔 다음에 EOL을 공지하게 됩니다.H/W Product LifeCycleEOS (End of Sale)제조사에서 공식적으로 제품 생산을 더 이상 하지 않지만 파트너사에 남은 재고 물량이 있다면 구매할 수는 있습니다. 제품 생산만 중단한 것이며, 해당 제품에 ..

공개키 기반의 인프라 구조, PKI의 개요가. PKI(Public Key Infrastructure)의 정의1) 인증기관(CA) 에서 공개키와 개인키를 포함하는 인증서(Certificate)를 발급받아 네트워크상에서 안전하게 비밀통신을 가능하게 하는 기반구조2) 공신력 있는 제3 인증기관에 의한 거래주체의 인증, 거래정보의 무결성과 기밀성, 거래의 부인방지 기능을 담당하는 공개키 기반의 인프라3) 공신력 있는 인증기관에서 사용자의 키와 인증서를 발급하고 관리함으로써 공중망에서 전자거래 시 상대방을 인증하고 데이터의 안전한 교환을 위한 공개키 기반 인프라 나. PKI의 특징특징내용부인봉쇄- 상거래 당사자가 수행한 상거래 행위를 부인할 수 없도록 하는 기능- 전자서명 기술을 사용인증- 비대면 거래의 문제를 ..

A. 프라이빗 클라우드1. 프라이빗 클라우드의 이점비용감소프라이빗 클라우드를 사용하면 워크로드의 효율성을 유지하며 IT 인프라 비용을 대폭 줄일 수 있습니다. 또한, 퍼블릭 클라우드 제공업체가 제공하지 않는 기능도 지원합니다.효율성과 제어클라우드 벤더는 기업별 환경을 생성하기 위해 온사이트 데이터 센터 또는 타사에서 임대한 데이터 센터에 프라이빗 클라우드를 호스팅합니다. 이러한 인프라를 사용할 경우 데이터와 인프라를 보다 확실히 제어하면서 필요한 경우 즉시 개입할 수 있습니다.커스텀기술 및 비즈니스 요구 사항은 각각의 상호 작용에 따라 다르며 비즈니스 목표, 회사 규모 및 산업에 좌우됩니다. 프라이빗 클라우드에서는 네트워크 특성, 특정 스토리지와 같은 인프라 요소에 초점을 맞추고 개별 요구 사항을 충족하..

A. 클라우드 개요1. 클라우드란?클라우드란 언제나, 어느곳에서나 원하는 만큼의 IT 리소스를 손쉽게 사용할 수 있게 하는 서비스입니다. 이러한 클라우드 컴퓨팅 환경이 널리 보급 되면서 기업체에서는 온프레미스 IT 솔루션 대신 aaS(as-a-Service) 형태로 제공되는 소프트웨어, 플랫폼, 컴퓨팅 인프라로 전환하기 시작했습니다. 클라우드의 서비스 종류는 IaaS, Paas, SaaS가 있습니다. 2. aaS(as-a-Service)란? 서드파티 벤더(AWS, Google, 등등)가 제공하는 클라우드 컴퓨팅 서비스를 의미합니다. 3. 클라우드의 이점클라우드를 사용하게 되면 기업은 주요 비즈니스 기능, 고객 관계 등 더 중요한 업무에 집중할 수 있습니다. 이 3가지 클라우드 컴퓨팅 모델 각각에서는 고객..