본문 바로가기

정보보안/침해사고 분석 및 대응

 (5)
[침해사고분석] 유형별 침해사고 시나리오 1 리버스 쉘(Reverse Shell) 침해 사고① 개념원격에서 서버에 명령을 실행할 수 있는 쉘을 획득하는 방법바인드 쉘(Bind Shell) : 클라이언트/공격자가 타겟 서버에 접속하여 타켓 서버의 쉘을 획득하는 방식리버스 쉘(Reverse Shell) : 역으로 타겟 서버가 클라이언트/공격자로 접속해서 클라이언트가 타겟 서버의 쉘을 획득하는방식방화벽을 우회해 쉘을 획득 가능방화벽 인바운드 정책은 엄격하게 공개 서비스에 대해서만 제한적으로 허용해주지만 아웃바운드 정책은 느슨하게 허용해주기 때문에 내부->외부로 접속하는 리버스 쉘 획득이 용이netcat(nc) : 다양한 네트워크 프로그램을 시뮬레이션 하기 위한 목적으로 만들어진 프로그램이며 리버스쉘 테스트에 많이 사용nc [목적지 IP] -e [지정 프..
[시스템 점검 도구] 상황별 점검도구 취약점(Vulnerabiliity) 점검도구nessus/nikto① 개념특정 시스템, 네트워크 및 애플리케이션 등에 존재할 수 있는 보안 취약점을 사전에 점검해 보안을 강화하기 위한 도구네트워크 보안 취약점 : 네트워크 장비나 기기들의 취약점부터 네트워크 구조에 대한 취약점시스템 보안 취약점 : 시스템과 관련된 계정, 권한, 파일관리, 서비스 등의 취약점웹 보안 취약점 : 웹브라우저,웹서버,웹프로그램 취약점② 대표적인 취약점 점검 도구네서스(nessus) : 미국 테너블사가 개발/배포하는 취약점 점검도구. 로컬 또는 원격지에서 다양한 방법을 통해 시스템,네트워크,웹애플리케이션 등의 알려진 취약점에 대한 점금을 수행하며 점검을 통해 취약점의 내용과 해결 방법을 상세하게 제공 (8834/tcp)특징클라이언트..
[보안장비 운영] 보안 솔루션/장비 종류 및 특징 네트워크 보안더보기⊕ 물리적 네트워크 구간 (접근 통제 관점의 구분)인터넷 구간 : 인터넷으로부터 직접 접근이 가능한 구간DMZ 구간 : 인터넷과 내부망 사이에 위치한 중간지점. 침입통제시스템 등으로 접근통제를 수행하면서 인터넷구간으로부터의 접근과 내부망 접근을 허용하는 구간내부망: 물리적으로 인터넷으로부터 분리된 망이거나 접근통제시스템을 통해 인터넷으로부터의 직접 접근을 차단/통제하는구간 ⊕ 네트워크 보안장비 설치 모드인라인 모드물리적 네트워크 경로상에 설치되어 연결된 네트워크를 통과하는 모든 트래픽(실제패킷)이 거쳐가도록 하는 모드 일반적으로 패킷 차단 목적의 장비(Anti-DDoS System, Firewall, IPS 등)에 적용하는 모드(장점) 실제 패킷을 탐지하고 차단까지 한다.(단점) 장비에..
[보안장비 운영] 침입차단시스템 침입차단시스템iptables① 개념패킷 필터링(Packet Filtering) 기능이 있는 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 도구. (패킷필터링) rule 기반의 패킷 필터링 기능 제공상태추적(Connection Tracking / Statueful Inspection)기능 제공(상태추적 기능) 방화벽을 통과하는 모든 패킷에 대한 연결 상태를 추적(tracking)하여 메모리에 기억하고 있다가 기존 연결을 가장해 접근할 경우, 메모리의 저장상태목록과 비교해 적합하면 통과, 부적합이면 거부(상태추적 테이블) 방화벽의 메모리상에 생성된 연결 정보를 가지고 있는 모든 송수신 패킷을 기록하고 검사하는 테이블(보안상 장점) 연결된 상태의 패킷인 것처럼 위조한 패킷의 접근 차단(성능상 장..
[보안장비 운영] 침입탐지시스템 침입탐지시스템(Snort: SNiffer and mORe)① 개념개발년도: 1998년개발자 : 마틴 로시네트워크 트래픽을 더 많이 감시하고 분석한다는 의미주요기능패킷 스니퍼(sniffer) : 네트워크상의 패킷을 스니핑하여 보여주는 기능패킷 로거(logger) : 모니터링한 패킷을 저장하고 로그에 남기는 기능네트워크 IDS/IPS : 네트워크 트래픽을 분석해 공격을 탐치/차단하는 기능② Snort Rule 설정룰 헤더(header) 설정형식 :[action] [protocol] [ip address] [port] [direction] [ip address2] [port2] Rule Actions : 패킷 탐지 시(룰에 매칭 시), 처리방식ACTION설명alertgenerate an alert using..

티스토리툴바