Plummmm♪

https://plummmm.tistory.com/453 EVE-NG 설치 및 기본 세팅 네트워크는 이론으로만 공부할 수가 없다.. 직접 장비를 연결하고 커맨드 두들겨 봐야 알 수 있지 근데 장비를 하나하나 사서 실습해볼 수 없으니, 네트워크 시뮬레이션 도구가 필요하다. 그 중 plummmm.tistory.com EVE-NG 설치는 상기 링크 참고하시고.. 이제 설치가 끝났으면 네트워크 실습을 위해 이미지를 올려야 한다. 지원되는 벤더 및 장비 이미지 종류는 아래 링크에서 확인이 가능하고, 목록에서 확인 후에 설치하도록 함 https://www.eve-ng.net/index.php/documentation/howtos/ 영어 잘하면 그냥 위에 링크에 설치방법도 있으니까,, 보고 하면 되구, 영어 잘 못하..

네트워크는 이론으로만 공부할 수가 없다.. 직접 장비를 연결하고 커맨드 두들겨 봐야 알 수 있지 근데 장비를 하나하나 사서 실습해볼 수 없으니, 네트워크 시뮬레이션 도구가 필요하다. 그 중 하나인 EVE-NG (구 UnetLab) 설치와 기본 세팅에 대해 알아보자. 먼저 eve-ng 공홈(https://www.eve-ng.net/) 들어가서 다운부터 받는다. 우린 무료 학습용 Community 버전으로 받고 vmware로 구동할 예정이다. 그래서 OVF 파일로 받아준다. VMware 에서 [File] - [Open] 메뉴 선택하여 다운받은 ovf파일을 import 해줌 처음 가상머신을 구동하면 디폴트 패스워드로 로그인해준다. root / eve 계정, DNS 도메인 설정 등은 손대지말고 아래 창이 나올 ..

블로그 이사도 했고, Cloud Network, 특히 AWS에 대해서 포스팅을 하려 합니다. (3, 4년 전 블로그 작성을 멈춘 뒤로 자기개발을 거의 중단했는데 다시 함 해보려고 해요. 힘힘@@) 1. 개요 클라우드 서비스는 이제 선택의 영역에서 필수불가결한 영역으로 넘어가고 있다. 클라우드 환경의 서비스 운영은 너무나도 유연하고 가격면에서 합리적이기 때문에, 사용 안하는게 이상할 정도임 SOC 업무를 하고 있는 현재 나도 다수의 클라우드 환경 고객사에 대한 보안장비 운영과 기술지원을 하고 있다. 환경적인 면에서 기존 On-premise 와 다른 점이 많아, 공부를 반드시 해야겠다는 필요성을 느끼고 있었지만 이제서야 시작하네 조금 늦은 감이 있긴하지만, 이론적인 부분은 부족해도.. 그 동안 업무 중에 습..

디도스 공격을 방어하는 DDoS 방어 솔루션 (Anti-DDoS)에 대해 알아보자. 이름 그대로 DDOS를 방어하는 장비다. 보통 방화벽을 기준으로 외부망/내부망을 구분하는데, Anti-DDoS 장비는 방화벽 외부에 위치한다. DDOS막는 거니까 당연히 외부망에서 트래픽 차단함 Anti-DDoS 장비 외부에 있는 엄한 장비가 부하를 받아 가용성 특이사항이 생길 수 있으므로 보통 DDOS 장비는 기본적으로 임계치를 기반으로 하여 DDOS를 방어한다. 임계치가 넘으면 현재 맺고 있는 세션 사용자 외에 추가로 들어오는 패킷들은 전부 NULL Routing 한다. 이벤트 행사 등으로 DDOS가 아닌데 트래픽이 임계치를 초과할 경우는 탐지모드로 바꾸어 운영한다. DOS는 출발지 기준으로 판별한다. 통상적으로 출발..

1. APT Solution 개념 이번에는 APT 공격에 대비하여 만들어진 APT Solution에 대해 알아보자. APT 공격을 막을 수 있는 솔루션이라서 이름이 저런건 아니다. 작정하고 몇 일. 몇 달을 정보수집하여 들어오는 APT공격은 사실 방어하기 어렵다. 보통 APT공격을 할 때는 알려지지 않은 악성코드, 제로데이 취약점 등을 이용해서 들어온다. 즉, 기존에 시그니쳐가 존재하지 않는 생전 처음보는 방법으로 공격이 들어온다는 말인데.. APT Solution 이라는 말이 여기에 입각하여 나온 것이다. 완전 처음보는 수상한 놈들을 탐지하고 분석하는 솔루션 정도로 이해하면 쉬울 것 같다. 로컬에서 위협을 탐지하는게 안티바이러스라면, 네트워크 라인 가운데서 안티바이러스 역할을 하는? 것이라고 보면 될 ..

웹쉘을 탐지하는 웹쉘 탐지 솔루션에 대해 알아보자. WAF를 쓰면 될 것을 굳이 또 웹셀 탐지장비를 따로 쓰는 이유는 뭘까. WAF는 OWASP top 10에 있는 모든 취약점을 탐지, 차단해야 하므로 웹쉘에 대한 탐지/차단 기능이 부족하다. 그래서 추가로 웹쉘 탐지 장비를 따로 두는 기업이 많다. 웹쉘 탐지 장비는 웹쉘을 탐지하는 기능에 추가로 개인정보 탐지, 업로드 필터링, 변경 방지 등의 기능도 제공한다. Webshell 탐지 장비는 탐지 대상 웹 서버에 설치되고 웹 어플리케이션 디렉토리 내에 존재하는 웹쉘을 탐지한다. 웹쉘에 대한 내용은 다음에 따로 정리할 것이다. 간단하게 설명하자면 웹 어플리케이션에서 쉘을 실행시키는 기능을 담은 어플리케이션 스크립트이다. 대표적으로 UMV사의 ShellMoni..

이번에 알아볼 솔루션은 SMS, TMS, TSM 보안솔루션 관리 시스템이다. 명확하게 정의된 용어(?) 공식 명칭은 없다. 작성의 편의상 SMS로 통칭하여 작성하겠다. SMS, TMS, TSM 등등 여러가지 이름으로 불린다. 하지만 솔루션의 기능과 가장 직관적인 연관을 가진 용어는 SMS이다. 1. SMS의 개념 SMS는 각 벤더들이 제공하는 자사의 보안솔루션을 통합 관리하는 솔루션이다. 쉽게 말해, 동일한 벤더사 제품군들에 대해 통합적으로 관리가 가능한 솔루션. IBM의 SiteProtector, 윈스테크넷의 iTMS, HP의 TippingPoint SMS, Ahnlab의 TSM 등이 있다. "우리 회사에서 나온 제품은 우리회사 SMS로 관리할 수 있도록 해주겠다!!" 이런 느낌이다. 아니 그럼, ES..

1. WAF의 개념 WAF라는 장비에 대해 알아봅시다. 웹 어플리케이션 방화벽이라는 뜻이다. 웹 어플리케이션 방화벽이라면서 왜 방화벽 카테고리에 안넣고 여기에 넣었는가.. IDS/IPS 장비들과 구성, 관리 방식이 거의 동일하기 때문이다. WAF는 웹에 특화된 L7 방화벽이라고 할 수 있다. 웹 서비스 취약점을 이용한 공격을 탐지/차단하는 보안시스템이다. OWASP top 10을 기반으로 적용된 차단룰을 바탕으로 방어한다. 요즘 차세대 방화벽, IPS 등에서도 충분히 웹 취약점들에 대해 탐지가 가능한데, 굳이 WAF를 사용하는 이유가 뭘까? WAF가 상대적으로 다른장비보다 가격이 저렴하면서 가장 주된 공격인 웹어플리케이션 공격을 막는 장비이기 때문이다. 또한 WAF는 SSL 통신을 탐지하는 것이 가능하다..

- IDS/IPS 장비 개념 IDS/IPS에 대해 알아보자. 이름 그대로 외부의 침입을 탐지하거나 차단하는 시스템이다. KISA에서는 IDS/IPS를 이렇게 정의한다. 사용자 및 외부침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 또는 내부사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 최소화하는 시스템. 라고 한다.. 보통은 방화벽과 함께 사용한다. 방화벽과의 가장 큰 차이점은, 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고, IPS는 특정 패턴 기반 탐지 및 차단 기능을 한다. IDS/IPS는 목적에 따라 여러가지 종류로 나뉜다. 1. 호스트 기반 IDS/IPS 각 호스트 내에서 OS 감사자료와 시스템 로그 분석, 프로세..

차세대 방화벽, New Generation Firewall = UTM (Unified Threat Management) 에 대해서 알아보자. 왜 UTM이 나오게 되었는지, 어떤 특징과 장점이 있는지 상세히 알아보도록 한다. 먼저 도입된 배경부터 보자. 1. Legacy Firewall의 한계 어플리케이션은 변화하고 진화하였지만 방화벽은 여전히 그대로였다. legacy F/W 나 Stateful inspection F/W 등은 어플리케이션을 제어하기에는 무리가 있다. Ports != Applications IP Addresses != Users Packets != Contents 방화벽은 이제 "어플리케이션 레벨에서, 유저 단위로, 컨텐츠를 제어" 해야할 필요성이 생겼다. Unified Threat Man..