SYSADMIN'S CELLAR

MAC 계층에서 사용할 수 있는 보안 기능으로는 포트별 접근 제어 표준 IEEE 802.1X MACSec으로 불리는 암호화 통신 표준 IEEE 802.1AE가 있습니다. 조직 LAN에서 사용하는 스위치가 위 표준들을 지원한다면 이더넷 탭을 통한 도청 무력화, 인가되지 않은 장비의 연결 차단 및 리포팅 등 조직의 보안 목표를 달성하는 데 활용할 수 있습니다. 802.1X 먼저 IEEE 802.1X는 포트별 접근 제어를 위한 표준입니다. 802.1X에서는 인증 대상 호스트를 supplicant, 스위치를 authenticator라는 용어로 부릅니다. 그리고 RADIUS 등의 authentication server가 있다고 가정합니다. 스위치에서 802.1X가 활성화된 포트를 controlled port, 그..

네트워크 공격 유형 수동적 공격 Switch Jamming(MAC Address Flooding): 스니핑을 위해 스위치의 MAC 테이블을 채워 스위치가 허브처럼 동작하도록 함 TCP Full Open Scan(Connect Scan): 포트가 열린 경우 SYN+ACK가 돌아옴을 이용한 스캔 TCP Half Open Scan(SYN Scan): Full Open Scan 중 SYN+ACK 수신 후 바로 RST를 전송하여 추적 회피 TCP NULL/FIN/XMAS Scan: 포트가 열린 경우 응답이 없음을 이용한 스캔 TCP ACK Scan: 대상 방화벽이 stateful한지, 대상 포트가 방화벽에 의해 필터링 되는지 여부를 파악 능동적 공격 ARP Redirect: 공격자가 게이트웨이 MAC을 위조하여 ..

대칭키 암호 알고리즘 Feistel Network 구조 DES, RC5, RC6 Blowfish, Twofish CAST, LOKI, MARS, MISTY IDEA (Feistel의 변형인 Lai-Massey Scheme 구조, PGP 채택) SEED (국내) SPN (Substitution-Permutation Network) 구조 AES (Rijndael) SAFER, SHARK, Square, Serpent CRYPTON, PRESENT ARIA (국내, Involutional SPN 구조) 비대칭키 암호 알고리즘 공개키(비대칭키) 암호 알고리즘을 사용하면 대칭키 암호에서의 키 교환 문제를 해결할 수 있다. 소인수분해 문제 기반 RSA, Rabin 이산대수 문제 기반 ElGamal ECC (Elli..

하이퍼컨버지드 인프라란? IT 인프라에 대한 접근 방식으로 컴퓨팅, 스토리지 및 네트워킹 리소스를 통합된 시스템으로 통합합니다. 하이퍼컨버지드 인프라는 하이퍼바이저, 소프트웨어 정의 스토리지및 소프트웨어 정의 네트워킹으로 관리되는 컴퓨팅 리소스(가상 머신)로 구성됩니다. 가상화된 리소스의 하이퍼컨버전스를 통해 단일 통합 인터페이스에서 리소스를 관리할 수 있습니다. 요약: 컴퓨팅, 스토리지, 네트워킹 리소스를 추상화된 간결한 방식으로 관리/운영할 수 있는 IT 인프라 몇 년 전부터 보이던 SDx(Software-defined X)솔루션이 실제로 어떤 것인지 감이 잘 안왔는데, 실제 사례를 보고 나니 한번에 이해가 됐습니다. 그 사례는 Dell EMC 하드웨어에 VMware Cloud(VMware SDDC ..

개요 VXLAN으로 인해 가능한 것 VXLAN은 가상 머신들이 여러 L3 네트워크에 걸쳐서 동일한 논리적 네트워크상에 있게 만들 수 있게 해줍니다. 따라서 L3 네트워크 상에서(IP/UDP 기반) L2 세그먼트를 구성할 수 있게 됩니다. 또한 기존 VLAN 기반의 네트워크보다 훨씬 많은 L2 세그먼트를 유지할 수 있게 됩니다. *VTEP(VXLAN Tunnel Endpoint)는 가상 머신이 통신할 때 발생하는 트래픽(L2)을 VXLAN 헤더로 캡슐화/역캡슐화하는 기능을 합니다. *리눅스에서는 기본값으로 UDP/8472를 VXLAN용으로 사용하는데, IANA 표준은 UDP/4789입니다. VXLAN 동작 A. MAC=111인 VM은 2.2.2.2와 통신하고 싶지만 ARP 테이블에 주소가 없다. 따라서 A..

발단 얼마 전에 서버의 고장난 NIC을 교체했었습니다. 그러면 당연히 해당 IPv4/6 주소에 대한 MAC 주소도 새로 설치한 NIC의 MAC 주소로 바뀌므로 다른 서버들은 자연스럽게 해당 서버의 MAC 주소를 알기 전까지는 통신할 수 없게 됩니다. 여기에 더해 L2 스위치의 Port Security 설정과 다른 호스트들의 운영체제도 고려해야 합니다. 그래서 오늘은 다시 통신이 가능해지기까지 걸리는 시간과 그 과정에 대해 정리해 보았습니다. Unsolicited Neighbor Advertisement(Gratuitous ARP Request)가 가능한 경우 ➡️ 수 초 이내에 통신이 가능합니다. 자신의 NIC에 변경사항이 생김을 인식한 OS가 NA 혹은 GARP를 보냅니다. 전자는 멀티캐스트(All-n..

얼마 전에 광 트랜시버를 설치할 일이 생겨서 찾아보았던 정보를 정리해 둡니다. 1. GBIC (GigaBit Interface Converter) 전기 신호와 광 신호 간 변환 SFP로 대체됨 2. SFP (Small Form-factor Pluggable, 일명 mini GBIC) SONET, Ethernet, FC 및 기타 프로토콜을 지원 구리선(TP)용, 광 케이블용 SFP가 존재 최대 5Gbps 지원 2.1. SFP+ (Small Form-factor Pluggable Plus) SONET, Ethernet, FC 및 기타 프로토콜을 지원 구리선(TP)용, 광 케이블용, Twinaxial(내선이 두 개인 동축 케이블) 케이블용 SFP가 존재 최대 10Gbps 지원 3. QSFP (Quad Smal..

소개 sslstrip은 클라이언트의 비보안 프로토콜(HTTP)요청을 가로채어 서버에 대신 접속하고, 클라이언트와는 비보안 연결을 유지하는 MITM 공격 도구입니다. 이걸 클라이언트에서 방지하기 위한 HSTS (HTTP Strict Transport Security)가 있으나, HSTS는 URL 기준으로 작동하기 때문에 이를 노려 HSTS를 우회하는 sslstrip+가 있습니다. Strict-Transport-Security - HTTP | MDN HTTP Strict-Transport-Security response header (종종 HSTS (en-US) 로 약칭) 는 HTTP 대신 HTTPS만을 사용하여 통신해야한다고 웹사이트가 브라우저에 알리는 보안 기능. developer.mozilla.org ..

인터넷에 연결되지 않은 네트워크(e.g. 인트라넷)에서, 외부 인증기관에서 발급받은 웹 서버 인증서를 사용하면 해당 웹페이지 접속이 많이 느려지게 됩니다. 가장 좋은 방법은 내부에 사설 인증 프로세스를 구축하는 것인데, 그런 게 가능한 경우가 아니라면 아래 GPO를 수정해서 접속 지연 시간을 줄일 수 있습니다. 접속이 지연되는 이유는 인증서의 유효성을 검사하기 위한 알고리즘이 완료되지 못하고 timeout되기 때문입니다. 자세한 내용은 아래 위키피디아에 잘 설명되어 있습니다. https://en.wikipedia.org/wiki/Certification_path_validation_algorithm Certification path validation algorithm - Wikipedia From Wi..

유용한 OpenSSL 명령어를 정리해둔 페이지입니다. 1. Self-signed 인증서 생성 # -nodes 옵션을 포함시키면 평문 개인키를 얻을 수 있습니다. # 따라서 애플리케이션을 실행할 때 복호화 패스워드가 필요 없게 됩니다. openssl req -out cert.pem -newkey rsa:2048 -keyout key.pem -x509 -days 365 -nodes 2. 인증서 요청(CSR) 생성 # nodes 옵션을 포함시키면 평문 개인키를 얻을 수 있습니다. openssl req -out request.csr -newkey rsa:2048 -keyout privkey.pem 3. 인증서 인코딩 변환 # PEM to DER openssl x509 -inform pem -outform der..