SYSADMIN'S CELLAR

라우터에서 패킷 라우팅 시에 적용되는 패킷 필터링 규칙이다. uRPF에는 Strict mode와 Loose mode가 있다. Strict mode는 두 가지를 확인하고 패킷을 라우팅한다. 1. 받은 패킷의 source가 라우팅 테이블에 있는가? 예를 들어 출발지가 10.0.0.1이라면, 라우팅 테이블에 10.0.0.1이 포함되는 경로가 존재해야 한다. 2. 패킷이 들어온 인터페이스와 그 패킷의 source로 라우팅하는 인터페이스가 같은가? 예를 들어 패킷의 출발지가 10.0.0.1이고, 패킷이 G0/1로 들어왔다면, 라우터에서 10.0.0.1을 포함하는 경로의 Next Hop이 G0/1 링크 상에 존재해야 한다. Loose mode는 한 가지만 본다. 1. 받은 패킷의 source가 라우팅 테이블에 있는..

기본적으로 IKE/IPsec은 산업 표준이므로 해당 표준을 잘 구현한 구현체들은 큰 문제 없이 연동이 됩니다. 혹시나 필요할 수도 있을까봐, 오픈소스 IKE 데몬 strongSwan과 Cisco ASA간의 순수 IPsec 터널 설정을 정리해서 올려둡니다. 192.168.0.0/24 - [SWAN] - WAN - [ASA] - 192.168.1.0/24 strongSwan ipsec.conf config setup # strictcrlpolicy=yes # uniqueids = no # 연결 설정 기본값으로, 다른 connection에게 상속된다. conn %default ikelifetime=1440m# IKE Phase 1의 수명으로, 기본 1일. keylife=60m# IKE Phase 2의 수명으로..

Log4j는 자바로 작성된 애플리케이션을 위한 로그 기록용 API를 제공하는 패키지입니다. 이번에 Log4j 2.0-beta9 이후 버전의 패키지를 통한 원격 코드 실행 취약점이 공개되면서 조치가 필요하게 되었습니다. 취약점이 포함된 파일은 log4j-core-*.jar 파일입니다. 다른 파일들은 이 취약점에 영향을 받지 않습니다. Log4j Security 페이지에서 취약점 목록과 대응 방법을 찾아볼 수 있습니다. https://logging.apache.org/log4j/2.x/security.html#

원래 Apache2.0 웹 서버 모듈로 제공되었던 modsecurity가 Apache 의존성을 없앤 독립 웹 방화벽 프로젝트(ModSecurity v3)가 되었습니다. ModSecurity는 Trustwave라는 회사의 후원을 통해 개발되었는데, 24년 7월 1일을 End-of-Life로 발표하고, 이후 개발을 오픈소스 커뮤니티에 인계한다고 발표했습니다. https://www.trustwave.com/en-us/resources/security-resources/software-updates/end-of-sale-and-trustwave-support-for-modsecurity-web-application-firewall/ 그리고 아래 github에서 ModSecurity v3 소스와 문서를 확인할 수..

1. TCP 3 Way Handshake 2. 클라이언트는 서버에게 자신이 지원하는 Cipher Suite를 서버에게 알려준다. (Client Hello) 3. 서버는 클라이언트에게 자신이 지원하는 Cipher Suite를 응답해 준다. (Server Hello 시작) 4. 서버는 RSA 공개키가 포함된 서버 인증서를 클라이언트에게 전달한다. 5. 만약 서버가 클라이언트 인증서를 요구할 것이라면, 이에 대한 요청도 함께 전달한다. (Server Hello 완료) 6. 클라이언트는 인증서를 요구받은 경우 인증서를 서버에게 전송한다. 7. 클라이언트는 전송받은 서버 인증서를 검증(CN 일치요부, 해지여부, 신뢰된 CA 여부)한다. 8. 클라이언트는 대칭 암호화에 사용할 임의의 숫자(PreMasterSecre..

NGFW는 Next-Generation Firewall, UTM은 Unified Threat Management의 약어입니다. NGFW와 UTM, 비슷한 기능을 제공하는 것 같은데 왜 이 둘을 다르게 부르는지 궁금해서 포스트를 남겨봅니다. 결론은 마케팅의 결과입니다. 전통적인 방화벽은 Stateful 패킷 필터링, Port/IP 기반 필터링, NAT, VPN, URL 필터링 등 네트워크 보안 중 일부 기능을 제공하는 장비입니다. 그리고 UTM은 중소규모 조직을 대상으로 방화벽, VPN, IDS/IPS, Antivirus/Antispam, Email Security, VPN, DLP 등의 기능을 통합하여 개별 제품을 구매하지 않고 필요한 보안 기능을 사용할 수 있도록 만들어진 제품입니다. 따라서 큰 조직에..

얼마 전 오랜만에 방화벽 설정을 수정할 일이 생겼는데요, 양쪽 방화벽이 다른 벤더 제품이다 보니 서로 보안 기준에 맞는 값으로 설정값을 하나씩 맞춰가면서 작업해야 했습니다. 그래서 이런 경우에 어떤 내용들을 고려해서 설정해야 하는지 정리해 보았습니다. 터널 인터페이스 없이 site-to-site 간 통신만 되면 되었기에 순수 IPsec 터널 모드로 설정하게 됐습니다. 먼저 IKE Phase 1 Policy 설정 시 공유되어야 할 항목입니다. 이건 ISAKMP Policy 라고 써있는 장비도 있습니다. 암호화 알고리즘 (AES, 3DES 등) 무결성 검증 알고리즘 (MD5, SHA-1, SHA-256 등) 대칭키 생성 알고리즘 (16, 19 등): 16=4096bit DH, 19=256bit ECDH Ph..