노과장의 보안 업무노트

VPN 로그 분석: role, dir, cookies, vpntunnel 필드 완벽 해설목차VPN과 IPsec 개요VPN 로그에서 중요한 필드 설명VPN 로그 분석 및 탐지 방법결론1. VPN과 IPsec 개요VPN(Virtual Private Network)은 인터넷을 통해 안전한 네트워크 연결을 제공하는 기술이다. 여러 VPN 방식 중 IPsec VPN은 강력한 암호화 및 인증 기능을 제공하여, 기업 환경에서 가장 많이 사용된다.IPsec VPN은 IKE(Internet Key Exchange) 프로토콜을 사용하여 터널을 설정하며, 이 과정에서 다양한 로그가 발생한다. IPsec VPN 로그를 정확히 분석하면 VPN 연결 문제 해결 및 보안 위협 탐지가 가능하다.VPN 로그에서 자주 등장하는 주요 필..

방화벽 로그 분석 방법방화벽 로그를 분석할 때 중요한 요소는 IP/Port/Protocol, NAT/VPN 변환 여부, 패킷 및 세션 상태, Access/Deny 여부이다.이 요소들을 차례대로 확인하면 방화벽이 트래픽을 어떻게 처리했는지 파악할 수 있다.1️⃣ IP / Port / Protocol 확인방화벽 로그에서 가장 먼저 확인해야 하는 부분은 트래픽이 어디서 어디로 이동했는지, 어떤 프로토콜을 사용했는지이다.예제 로그srcip=192.168.1.10 srcport=54321 dstip=8.8.8.8 dstport=53 proto=UDP출발지 IP: 192.168.1.10 → 목적지 IP: 8.8.8.8출발지 포트: 54321 → 목적지 포트: 53 (DNS 요청)프로토콜: UDP (DNS 요청 시 ..

1. SELinux란?SELinux는 프로세스와 파일 접근을 제어하여 내부 보안을 강화하며, 시스템 내에서 권한 상승 공격을 방지하는 데 중요한 역할을 합니다.1.1 SELinux 의 주요 개념MAC(Mandatory Access Control): 모든 파일, 프로세스, 포트에 대해 보안 정책을 적용하여 사용자의 권한을 제한함.보안 컨텍스트(Security Context): 파일과 프로세스에 부여되는 보안 속성으로, ls -Z 명령어로 확인 가능.모드(Mode):Enforcing: SELinux 정책을 강제 적용 (기본 설정)Permissive: 정책을 적용하지 않지만 로그를 기록하며, SELinux 정책 위반을 감지한 AVC(Access Vector Cache) Denials 로그를 남깁니다.Disab..

네트워크 계층 구조와 보안 존 쉽게 이해하기 서론1. 네트워크가 중요한 이유우리는 매일 인터넷을 사용합니다. 스마트폰으로 검색을 하거나, 회사에서 이메일을 보내거나, 집에서 동영상을 보는 것도 모두 네트워크 덕분입니다. 하지만, 이 네트워크가 어떻게 연결되고, 어떤 구조로 운영되는지 이해하는 사람은 많지 않습니다.네트워크는 단순한 선 연결이 아닙니다. 원활한 데이터 흐름과 보안을 유지하기 위해 여러 계층(Layer) 으로 나누어져 있고, 보안 존(Security Zone) 을 통해 안전하게 보호됩니다.이 글에서는 네트워크가 어떻게 구성되는지, 보안은 어떻게 적용되는지 쉽게 설명해 보겠습니다.본론1. 네트워크 계층이란?네트워크는 마치 도로 시스템과 같습니다.Access Layer(접속 계층) → 동네 골목..