Information of IT

IT보안에서 화이트리스트와 블랙리스트는 시스템에 접근해도 되는 사용자와 접근하면 안 되는 사용자를 구분하기 위해 사용되는 목록입니다. 조직은 보안을 위해 액세스 제한 방식으로 화이트리스와 블랙리스트를 사용하빈다 허용/거부는 반드시 사람을 대상으로 하는 것만은 아니며, 제한 대상은 특정 IP를 가진 PC가 될 수도 있지만, 실행 파일, 프로세스, 웹 사이트 등이 되기도 합니다.1. 화이트리스트(Whitelist) 화이트리스트는 액세스 허용 목록입니다.기본적으로 모든 접근을 막아놓고 접근 허용 대상만 따로 등록하는 방식입니다.조직 내에서 신뢰할 수 있는 실행 파일, 응용 프로그램, 웹 사이트만 실행 가능하도록 허용하는 식입니다.장점- 좀 더 엄격한 보안 체계를 구축할 수 있는 것입니다. 모든 걸 막아놓고 허..

Stateful- 요청 정보를 저장하여 응답하는 트래픽 제어를 하지 않는다Stateless- 요청 정보를 따로 저장하지 않아 응답하는 트래픽도 제어를 해줘야 한다. 방화벽에서의 stateful- 일반적인 라우터 기반의 방화벽은 tcp 패킷의 syn 또는 syn-ack로서 처리를 하는데 방화벽 내부에 위치한 네트워크로 들어오는 패킷을 차단하려면 라우터의 프로세서가 패킷의 tcp 헤더를 열어서 tcp 헤더 정보가 syn인것은 차단 / syn-ack는 통과하므로 상당한 부하가 발생합니다.-> 따라서 방화벽에서는 stateful 필터링을 사용내부 네트워크에서 외부로 접속하는 접속정보(syn)를 기록하고 외부에서 내부로의 응답(syn-ack)이 오게 되면 방화벽의 프로세서는 응답을 기록된 정보(syn)와 비교해서..

NACL(Network ACL)- 규칙 번호가 낮은 순으로 우선 적용- 서브넷 단위로 적용(하나의 NACL만 적용)- NACL이 설정된 서브넷 안의 모든 인스턴스에 적용- 1개의 VPC에 최대 200개의 NACL까지 생성 가능- 1개의 NACL Inboud 20개, Outbound 20개 등록 가능- 여러개의 서브넷에 NACL 적용 가능- Stateless 성질(요청 정보를 따로 저장하지 않기 때문에, 응답하는 트래픽에 대한 필터링 설정 필요)@주의- 규칙 번호는 낮을수록 더 높은 우선순위를 가지며, 운영 도중 규칙을 삽입해야하는 경우가 분명 생기므로, 처음에 10,100 단위로 만들어야한다.Security Group (보안그룹)- 인스턴스(서버) 단위로 적용- 특정 그룹을 지정시에만 인스턴스에 적용-..

- Schedule 생성#config vdom #edit Vdom명 #config firewall schedule onetime#edit Schedule_Name - 날짜명으로 생성#set start hh:mm yyyy/mm/dd - 시:분 년/월/일#set end hh:mm yyyy/mm/dd #set expiraion-days Number - 스케줄 만료 전에 이벤트 로그 메시지 일정 #next / end - 연속된 저장은 next, 저장/상단나가기 end* schedule/set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall schedule onetimeFW(onetime)#edit 20241230F..

- Service Group 생성 및 멤버 추가 #config vdom #edit Vdom명 #config firewall service group#edit Group_Name - Policy 생성 시, 해당 정책과 관련된 명칭으로 설정#set member Port_Name #append member Port_Name #end -저장하면서 상단으로 빠져나가기는 end* set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall service groupFW(group)#edit TEST_Port_GroupFW(TEST_Port_Group)#set member tcp_12344FW(TEST_Port_Group)#ap..

- Service Port 생성 #config vdom #edit Vdom명 #config firewall service custom#edit Port_Name - 생성시 포트 종류와 포트번호를 같이 맵핑하는 것을 추천#set category General - 일반적인 포트는 General 카테고리에 넣어서 사용(당연히 카테고리도 개별 생성 가능)#set tcp-portrange Port -포트 한개만 설정 시, range가 아닌 최소값 하나만 설정해도 가능(범위 설정은 최소값 - 최대값 )#next / end - 연속된 저장은 next, 저장하면서 상단으로 빠져나가기는 end#set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#c..

- Address Group 생성 및 멤버 설정#config vdom #edit Vdom명 #config firewall addrgrp#edit Address그룹명 - Address그룹 이름 생성 시 자세한 설명 같이 사용#set member Address명 - IP주소가 아닌 Address명을 멤버로 설정#append member Address명 - 최초 멤버는 set 사용, 추가 member 등록은 append 사용#end - 저장하면서 상단으로 빠져나가기는 end예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall addrgrpFW(addrgrp)#edit AddressGroup_test_1FW(AddressGroup_test_..

- Address 생성#config vdom #edit Vdom명 #config firewall address#edit Address명 - Address 이름 생성 시 주석을 같이 써주는 것이 좋다.#set subnet IP주소/subnet - subnet 생략 시 생성되지 않으므로 주의#next / #end - 연속 추가 생성은 next, 저장하면서 상단으로 빠져나가기는 end  예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall addressFW(address)#edit 100.1.1.1_testFW(100.1.1.1_test)#set subnet 100.1.1.1/32FW#end  [Fortinet] Fortigate CLI ..