Network Security19 [침탐] 9장, 스노트 기본 문법 스노트를 장착한 주분투 운영체제에 에제와 같이 TCP 덤프라는 도구를 설치한다. TCP 덤프는 커맨드 라인에서 사용할 수 있는 와이어샤크와 같은 도구이다. ICMP 요청을 보낸다. tcpdump -e icmp[icmptype] == 0 -v 명령어를 입력하면 주분투 운영 체제에서 백박스 운영체제로 ICMP 응답을 보내는 패킷만 출력해볼 수 있다. 그런데 TCP 덤프가 아닌 스노트를 이용하면 상대방으로부터 ICMP 요청이 들어오는 상황을 보다 정교하게 탐지할 수 있다. 이것은 마치 바이러스 백신에서 악성 코드가 들어오면 서명 방식에 기반해 탐지하는 이치와 같다. /etc/snort/rules 위치에 local.rules라는 탐지 규칙을 생성한다. 먼저 alert 부분은 스노트의 동작을 명시한 부분이다. 스.. 2021. 5. 6. [침탐] 8장, 스노트 설치와 설정 스노트는 대표적인 호스트 기반의 IDS 방식이다. 마틴 로시가 시스코 시스템즈의 임원으로 재직하면서 시스템즈가 스노트의 권리를 소유 중이다. 스노트는 서명 기반 방식으로 동작한다. 따라서 스노트를 구동하기 전에 공격 내용을 반영한 일정한 탐지 규칙을 설정해야 한다. 현존하는 모든 상용 IDS 장비는 스노트에 기반해 구현한 만큼 보안 장비를 운영하는 입장에서라면 스노트의 기본 문법 숙지는 필수적이다. 위와 같이 'apt-get install snort' 명령어를 이용하여 다운로드 받을 수 있다. 스노트 설치에 필요한 부가적인 요소 등도 스노트를 설치할 때 같이 설치했음을 알 수 있다. 테스트 모드로 동작하면서 스노트를 초기화한 뒤 실행을 마치는 모습을 볼 수 있다. 스노트에서 기본적으로 제공하는 기본 탐지.. 2021. 5. 6. [Cloud] AWS 클라우드 기반 나의 첫 웹 애플리케이션 만들기 ASW를 통해 손쉽게 첫번째 애플리케이션 배포하기 위한 3가지 방법 1. 정적 웹 사이트 및 프론트엔드 앱 2. 가상 서버 기반 백엔드 앱 3. 완전 관리형 서버 및 DB 기반 앱 1. 정적 웹 사이트 및 프론트엔드 앱 AWS에서는 기본적으로 아마존 S3라고 하는 스토리지 서비스가 있다. 여기에 XML 파일을 올리면 정적 웹 사이트 기능을 통해서 세팅을 할 수 있다. 권한 설정을 하려고 할 때는 별도의 세팅이 필요하다. 전세계로 컨텐츠 배포 네트워크를 사용하려면 아마존 클라우드 프론트라고 하는 서비스를 사용해야 한다. 도메인 명을 갖고 세팅을 하려고 할 때는 아마존 라우터53이라고 하는 서비스를 사용하여 my websit.com과 같이 세팅해야 한다. https 서비스를 제공하려고 할 때는 앱에서 AWS.. 2021. 5. 2. [침탐] 7장, 랜 카드 인터페이스 명칭 변경 우분투가 데미안을 모태로 태동한 운영체제이긴 하지만 우분투는 데미안과 비교할 때 독자적이고 개별적인 특징이 많다. 랜 카드 인터페이스 명칭도 그러한 특징 중 한가지라고 할 수 있다. 데미안 운영체제 8.9 버전에서는 랜 카드 인터페이스 명칭이 etho0과 같다. 반면 주분투 20.04 버전에서 랜 카드 인터페이스 명칭을 확인해 보면 아래와 같다. 랜카드 인터페이스 명칭이 ens33과 같다. 데비안과는 다른 명칭을 사용한다. 주분투에 기반해 구현한 백박스도 살펴보자. 백박스 운영체제 20.04 버전 역시도 주분투 운영체제 20.04 버전과 마찬가지로 랜 카드 인터페이스 명칭이 ens33와 같이 나온다. 주분투 20.04 버전과 백박스 20.04 버전의 코드네임이 똑같다는 점도 알 수 있다. 대부분의 문서 .. 2021. 4. 10. [침탐] 6장, IDS와 IPS 이해 보안 장비의 핵심은 침입 탐지 장비(IDS)와 침입 방지 장비(IPS)다. IDS와 IPS 특징을 설명하기에 앞서 두 가지 내용을 고려할 필요가 있다. 먼저 IDS와 IPS는 독립적으로 사용할 수 있는 장비가 아니다. 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치라고 할 수 있다. 이렇게 각각의 기능을 별도의 방식으로 구현하면 모든 전산 자원을 오직 탐지 또는 방지에 집중할 수 있기 떄문에 보안의 효과를 극대화할 수 있는 장점이 있다. IDS 이해 IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자 우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만 방화벽과 달리 접근 권한 제어 또는 .. 2021. 4. 4. [침탐] 5장, 전송 계층 기반의 주요 공격 유형 포트 스캔이란 원격지 호스트를 대상으로 어떤 포트 번호를 사용 중인가를 확인하는 기법이다. 엔맵(Nmap)은 포트 스캐너의 대명사로 오늘날 가장 많이 사용하는 도구이기도 하다. 엔맵은 와이어샤크(WireShark)와 마찬가지로 데비안/우분투 운영 체제에서 관리자 권한을 이용해 apt-get install nmap 명령어를 통해 쉼게 설치할 수 있다. 엔맵을 이용한 대표적인 포트 스캔에는 TCP 오픈(TCP Open) 스캔 기법과 TCP 할프 오픈(TCP Half Open) 스캔 기법과 TCP FIN 스캔 기법 등이 있다. TCP 오픈 스캔 기법은 nmap 127.0.0.1 -p 22 -st 명령어와 같이 설정한다. 127.0.0.1번 IP 주소 다시 말해 자기 자신을 대상으로 SSH 서비스 동작 여부를 .. 2021. 4. 4. 이전 1 2 3 4 다음
