Run The Bridge

2020 07. 09침해사고(1) 본문

정보보안산업기사/침해사고 분석 및 대응

2020 07. 09침해사고(1)

anfrhrl5555 2020. 7. 9. 22:00
728x90

Snort - IDS


Snort Rule의 기본 구조

alert tcp 10.1.1.1 any -> 10.1.1.2 80    (msg:"foo"; content:"bar";) 

                                  <-- head     body-->

 --> //10.1.1.1에 port번호 any에 10.1.1.2에 port 80번으로 가는 TCP패킷을 잡음



1.Action : 패킷의 처리방법을 지정
alert : Alert 발생시킴, 패킷 기록
log : 패킷 기록
pass : 패킷 무시
drop : 패킷을 차단하고 로그로 기록. IPS 모드에서만 사용가능.
sdrop: 패킷을 차단만 하고 로그는 기록하지 않도록 함.

Reject : tcp패킷인 경우 차단 후 reset패킷을 보냄. UDP 패킷인 경우는 차단 후 destination unreachable 패킷보냄


2. Protocol: TCP, UDP, IP, ICMP


3. 송신자IP: 임의의 주소는 any로 지정, ip/mask의 형태로 지정

[10.1.0.0/24,10.2.0.0/24]: 여러개의 IP설정 가능


4. 송신자 PORT번호

 - 80 =  80번포트

 - 1:1023 = 1부터 1023번

 - 10: = 10이상

 - :1024 = 1024이하

 - !53 = 53제외


5. 패킷의 방향

->: 왼쪽이 손신자, 오른쪽이 수신자

<>: 모든 방향을 의미


6. 수신자 IP


7. 수신자 PORT번호


Snort Rule의 Meta-type옵션

msg: 탐지된 rule에 대한 alert나 로그를 기록할 때 사용한 메시지를 정의

사용법: msg:"<message text>";


sid: snort의 rule를 식별하기 위한 번호로 rev와 함께사용

 - 100이하는 미래의 사용을 위해 예약

 - 100 ~ 999,999는 snort가 배포하는 rule

 - 100만이상은 local rule에서 사용한다.

ex) alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)


content: 패킷의 payload에서 패턴을 검사하는 기능을 수행

content:[!]"<content string>";


ex) alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00";)

ex) alert tcp any any -> any 80 (content:!"GET";)


nocase: 대소문자 구별하지않음


offset: payload에서 패턴매칭을 시작할 위치 지정


depth: payload에서 패턴 매칭을 종료할 위치 지정


distance: 이전 content에 매칭된 경우, 다음번 패턴 매칭을 시작할 상대 위치 지정


within: 이전 content에 매칭된 경우, 패턴 매칭을 끝낼 상대 위치 지정


아 ~~snort어렵다~~



iptables


iptables [-t <table-name>] [command] [chain-name] [matching options]


chain-name: INPUT, OUTPUT, FORWARD, 사용자가 정의한 체인


command:

-A: 지정된 체인의 마지막에 룰을 추가

-D: 체인 삭제

-N: 새로운 체인 생성

-P: 기본 정책을 accept|drop 설정

-X: 사용자가 만든 chain삭제

-L: 테이블의 내용 출력

-I: 특정 체인에 룰 특정 번호에 삽입

-R: 특정 체인의 룰 변경

-F: 모든 룰들을 삭제

-Z: 패킷의 통계를 0으로 변경


-s: 출발지 IP

-d: 목적지 IP

-i: 인터페이스 지정

-o: 나가는 인터페이스

-j: 매칭될 시 accept, drop, reject, 등 사용

-p: protocol


--dport: 목적지 포트

--sport: 출발지 포트


--syn: 처음 전송되는 패킷

--tcp-flags: 검사할 때 TCP flag정의

ex) --tcp-flags SYN,ACK,FIN,RST SYN

--> SYN이 들어가있으면 매칭시켜라



보안 솔루션 종류(보안장비의 특징숙지, 506)

네트워크 보안 

 - NAC(네트워크접근제어)

 - UTM(통합보안시스템) = Ossim(오픈소스)


시스템(단말) 보안

 - EDR(Endpoint and Detection Response): 



컨텐츠/정보유출방지 보안

 - DRM(디지털 저작권 관리)

 - DLP(네트워크/단말 정보유출방지)


보안관리 솔루션

 - ESM

 - TMS

 - SIEM

 - PMS


인증 및 암호

 -SSO(싱글사인온)


보안 장비 취약점

베스천호스트를 생성하고 보안시스템을 올린다.


※ 베스천호스트: 취약점이 없는 시스템

728x90
저작자표시 비영리

'정보보안산업기사 > 침해사고 분석 및 대응' 카테고리의 다른 글

2020. 07. 09침해사고(2)  (0) 2020.07.10
'정보보안산업기사/침해사고 분석 및 대응' Related Articles more
Comments