지밍이 블로그

##### UTM

- advanced Firewall

- IDS, Intrusion Detection System

- IPS, Intrusion Prevention System

- UTM, Unified Threat Management

- F/W과 VPN기능을 기반으로 여러 보안기능을 통합해 사용 가능

- F/W은 port 기반이므로, SSL 암호화 트래픽은 확인할 수 없음

- 차세대 방화벽에서는 웹애플리케이션의 가시화와 제어가 가능

- 하나의 port를 공유 사용하는 애플리케이션의 식별과 제어가 가능

- 기능 : 식별, 분류, 제어

- IP, 사용자별, 그룹별 식별가능

- Port, Protocols, Applications별 식별 가능    

- 실시간 감지/방어 가능

- Application의 우선순위 가능

##### VoIP

: VoIP, Voice over Internel Protocols. IP 네트워크 상에서 음성 통화를 실현하는 기술. 음성을 IP 패킷화.

### IP 전화

: VoIP 기술을 이용한 전화 서비스 및 그 네트워크 안에 존재하는 IP 기능을 가진 전화기

# IP 전화 이용

1. 인터넷 망 : ISP와 계약

2. 음성이 통과하는 사내 인터라넷 구축

: 최근 VoIP 서비스를 회사에서 구축해 사용

WAN 회선만 통신 사업자에게 대여, QoS 정책을 회사내에서 설계해 구현할 수 있음

3. 통신 사업자기 제공하는 서비스를 이용

: 통신 사업자의 데이터센터에 VoIP 서비스를 구축하며, 통신 사업자의 설비를 사용하고 사내에서는 라우터나 IP 전화만 설치되는 구조

# IP전화의 구성요소

- 중/대규모 거점의 IP전화는 서버룸에 설치된 음성서버를 거쳐서 통화가 이루어짐

- 소규모 거점의 IP전화는 음성서버가 없으므로 대/중규모의 음성서버가지 가서 경유되어 통화가 이루어짐

- VoIP G/W : 아날로그 전화기를 위한 장치

- 소프트 풀 : PC에서 SW를 설치하여 PC를 IP전화기로 사용

- IP 네트워크 망 : IP네트워크로 이루어진 네트워크 인프라 망. 음성패킷 우선순위 제어 및 대역폼 확보로 음성품질 담당

- VoIP 서버 : 음성의 호 제어나 단말 정보등을 가지는 음성서버

[서버/인프라를 지탱하는 기술]

### 보안 전체의 관점

1. 하드웨어 : 각종 서버 및 플랫폼

2. 소프트웨어 : 서버에 등록되어있는 인증정보나 노트북에 들어있는 기밀정보 등

- 내부범행

- 외부범행 : 부정칩입, 정보도청, spoofing, DoS, 컴퓨터바이러스

### DMS

: 공개 서버를 설치하는 전용공간으로 내부네트워크와 외부네트워크에서도 격리된 장소를 설치하여 외부/내부 범행의 피해를 막기위한 공간

1. 방화벽 사용(세가지 영역의 경계를 가짐)

- 방화벽타입 : S/W 제품, H/W 일체형

- 주요기능

a. 액세스제어(필터링)

사내 Network -> 외부 Network (허락된 applications packet만 통과)

외부 -> 사내 (허가된 applications, 사내에서 외부로 나갔다가 다시 돌아오는 패킷)

외부 -> DMZ (공개서버의 applications 패킷 허가)

DMZ -> 외부 (공개서버의 applications에 송신되었다가 돌아오는 패킷만 허가)

b. 주소변환기능으로 사내IP 감추기(사설<-공인)

c. 로그수집

* DB서버는 DMZ에 설치하면 안됨. Trusted Zone에 설치해야 함

2. 백신주입(보안 어플라이언스 도입 등)

: 방화벽 만으로는 컴퓨터 바이러스 등의 문제를 해결할 수 없음

### 내부 공격

: 방화벽은 자신을 거치지 않는 통신에 대해서는 수행되지 않음

- 부정침임

- 정보도청

- spoofing

- birus

- 정보유출

### 정보데이터의 암호화

: 데이터에 직접 암호화 및 액세스 컨트롤

### 물리보안

- 통합접속

- 플랩게이터

- 카드리더

- 각 구역별 카드리더

- Rock 열쇠

[서버/인프라를 지탱하는 기술]

### 로드밸런싱 서버

1. reverse proxy와 AP서버를 항상 1:1로 구성

2. mod-proxy_balancer

3. reverse proxy와 AP사이에 LVS(LVS + keepalived) 놓기

ex) mod_proxy_balancer 예

1. mod_proxy_balancer loading

2. Balancer Member Directive로 분산할 호스트 목록 정의

3, RewriteRule로 리버스 프록시 설정

<Proxy balancer://backend>

BalanceMember    http://192.168.0.100    loadfactor=10

</Proxy>

### 캐시서버

a. http 캐시

: HTTP Header로 갱신문서의 갱신 일시를 교환(FireFox: If-Modified-Since)

b. Squid 캐시서버

- HTTP, HTTPS, FTP 등에 이용되는 오픈소스 캐시서버

- squid를 이용한 리버스 프록싱 : 서버측의 문서를 시스템 측에서 squid로 캐시 가능

- squid는 주로 정적문서(css, js, HTML, ...)을 캐싱

- 동적문서도 가능 함

- HTTP 프로토콜 기반으로 URL을 키로 사용해 문서를 캐싱

- 사용자 정보를 갖는 문서는 cookie에 의한 세션 관리를 통해 동작함 => "state-less"함. "state-full"한 정보는 캐시하지 않음

페이지 전체를 캐시하는 경우 사용되며, 해당 단위의 크기에 맞게 캐시하는 예는 "memcached"가 수행

 * 두 대의 squid 분배는 mod_proxy나 LVS로 수행

- squid.conf

c. memcached에 의한 캐시

<개요>

- squid는 HTTP 프로토콜 레벨에서 캐시를 수행하므로 state-less하고 scalable 하여 애플리케이션의 구성 등에는 거의 의존하지 않음

- but, HTTP 레벨의 캐시가 절실하지 않은 상황에는 애플리케이션 내부에서 이용하는 데이터단위 크기로 캐시를 관리하는 캐시 서버 사용

<내용>

- C로 작성된 분산 캐시 서버

- 스토리지로 OS의 메모리 사용

- 클라이언트 라이브러리를 이용해 서버와 통신하여 객체를 사용할 수 있음

(C, C++, Java , Perl, Ruby, PHP, Python 등 다수의 언어 지원)

- 프로그램 내부에서 이용 (특정 데이터를 파일로 캐싱 하거나, 로컬 메모리상에 캐싱하는 경우)

- <Key, Value> 구조의 데이터

- 장애감지, 복구, ...

[서버/인프라를 지탱하는 기술]