양쪽 이전 판이전 판다음 판 | 이전 판 |
vpn_security_architecture [2015/05/07 01:22] – hsshim | vpn_security_architecture [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 |
---|
| |
| |
{{wiki:vpn_security:normal_vpn.png}} \\ | {{wiki:vpn_security:normal_vpn.png?nolink}} \\ |
*위와 같은 일반적인 VPN구성은 다음과 같은 취약점에 노출될 수 있다. \\ | *위와 같은 일반적인 VPN구성은 다음과 같은 취약점에 노출될 수 있다. \\ |
| |
=== VPN 보안 아키텍처 === | === VPN 보안 아키텍처 === |
| |
{{wiki:vpn_security:safe_vpn.png}} | {{wiki:vpn_security:safe_vpn.png?nolink}} |
| |
| |
^ Site to Site VPN 보안 가이드 ^^ 완화된 보안위협 ^ | ^ Site to Site VPN 보안 가이드 ^^ 완화된 보안위협 ^ |
|인터넷단 Router의 적합한 설정|-인터넷 접점라우터를 통해 1차 필터링: 외부로부터 특정 IP주소와 프로토콜로 VPN트래픽이 제한 \\ -IDS/IPS를 통해 주변장비에 대한 접근시도 모니터링 \\ -Site간 VPN라우터는 특정 목적지 통신 IP(VPN라우터)로 제한하고 제한된 시스템 IP를 설정하여 통제함|Network Topology Discovery | | |인터넷단 Router와 VPN Router의 적합한 설정|-인터넷 접점라우터를 통해 1차 필터링: 외부로부터 특정 IP주소와 프로토콜로 VPN트래픽이 제한 \\ -IDS/IPS를 통해 주변장비에 대한 접근시도 모니터링 \\ -Site간 VPN Router는 특정 목적지 통신 IP(VPN라우터)로 제한하고 제한된 시스템 IP를 설정하여 통제함|Network Topology Discovery | |
|OTP생성기 사용|-One Time Password 사용으로 Password 인증의 보안강화 |Password Attack(패스워드 공격) | | |OTP생성기 사용|-One Time Password 사용으로 Password 인증의 보안강화 |Password Attack(패스워드 공격) | |
|내부 Firewal의 적합한 설정|-방화벽을 통해 비인가된 포트에 복호화된 패킷 트래픽 통제 | Unauthorized Access(비인가 접근) | | |내부 Firewal의 적합한 설정|-방화벽을 통해 비인가된 포트에 복호화된 패킷 트래픽 통제 | Unauthorized Access(비인가 접근) | |
| |
^ Actor ^ 보안통제 사항 ^ | ^ Actor ^ 보안통제 사항 ^ |
| {{wiki:vpn_security:man_mon.png?50|}} \\ 보안관제 | AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\ CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:man_mon.png?50&nolink|}} \\ 보안관제 | AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\ CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |
| {{wiki:vpn_security:vpn&man.png|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:vpn&man.png?nolink|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |
| {{wiki:vpn_security:vpn_router&man.png|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:vpn_router&man.png?nolink|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |
| {{wiki:vpn_security:fw&man.png|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:fw&man.png?nolink|}} \\ 장비관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |
| {{wiki:vpn_security:man_id.png?50|}} \\ 계정관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:man_id.png?50&nolink|}} \\ 계정관리자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |
| {{wiki:vpn_security:users.png?50|}} \\ 사용자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| | | {{wiki:vpn_security:users.png?50&nolink|}} \\ 사용자 |AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)| |