| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- DSEC
- 한강
- zabbix
- Linux
- 10km
- 대전
- 유산소
- 러닝
- Run The Bridge
- 소모임
- 중식
- 건대입구역
- GitHub
- Shell
- docker
- Grafana
- 달리기
- 하체
- 뚝섬유원지
- 자전거
- Podman
- Kubernetes
- 정보처리기사
- 오답노트
- Python
- 맛집
- 대구
- 성수대교
- 2021
- 힐링
- Today
- Total
Run The Bridge
2020 07. 09침해사고(1) 본문
Snort - IDS
Snort Rule의 기본 구조
alert tcp 10.1.1.1 any -> 10.1.1.2 80 (msg:"foo"; content:"bar";)
<-- head body-->
--> //10.1.1.1에 port번호 any에 10.1.1.2에 port 80번으로 가는 TCP패킷을 잡음
2. Protocol: TCP, UDP, IP, ICMP
3. 송신자IP: 임의의 주소는 any로 지정, ip/mask의 형태로 지정
[10.1.0.0/24,10.2.0.0/24]: 여러개의 IP설정 가능
4. 송신자 PORT번호
- 80 = 80번포트
- 1:1023 = 1부터 1023번
- 10: = 10이상
- :1024 = 1024이하
- !53 = 53제외
5. 패킷의 방향
->: 왼쪽이 손신자, 오른쪽이 수신자
<>: 모든 방향을 의미
6. 수신자 IP
7. 수신자 PORT번호
Snort Rule의 Meta-type옵션
msg: 탐지된 rule에 대한 alert나 로그를 기록할 때 사용한 메시지를 정의
사용법: msg:"<message text>";
sid: snort의 rule를 식별하기 위한 번호로 rev와 함께사용
- 100이하는 미래의 사용을 위해 예약
- 100 ~ 999,999는 snort가 배포하는 rule
- 100만이상은 local rule에서 사용한다.
ex) alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)
content: 패킷의 payload에서 패턴을 검사하는 기능을 수행
content:[!]"<content string>";
ex) alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00";)
ex) alert tcp any any -> any 80 (content:!"GET";)
nocase: 대소문자 구별하지않음
offset: payload에서 패턴매칭을 시작할 위치 지정
depth: payload에서 패턴 매칭을 종료할 위치 지정
distance: 이전 content에 매칭된 경우, 다음번 패턴 매칭을 시작할 상대 위치 지정
within: 이전 content에 매칭된 경우, 패턴 매칭을 끝낼 상대 위치 지정
아 ~~snort어렵다~~
iptables
iptables [-t <table-name>] [command] [chain-name] [matching options]
chain-name: INPUT, OUTPUT, FORWARD, 사용자가 정의한 체인
command:
-A: 지정된 체인의 마지막에 룰을 추가
-D: 체인 삭제
-N: 새로운 체인 생성
-P: 기본 정책을 accept|drop 설정
-X: 사용자가 만든 chain삭제
-L: 테이블의 내용 출력
-I: 특정 체인에 룰 특정 번호에 삽입
-R: 특정 체인의 룰 변경
-F: 모든 룰들을 삭제
-Z: 패킷의 통계를 0으로 변경
-s: 출발지 IP
-d: 목적지 IP
-i: 인터페이스 지정
-o: 나가는 인터페이스
-j: 매칭될 시 accept, drop, reject, 등 사용
-p: protocol
--dport: 목적지 포트
--sport: 출발지 포트
--syn: 처음 전송되는 패킷
--tcp-flags: 검사할 때 TCP flag정의
ex) --tcp-flags SYN,ACK,FIN,RST SYN
--> SYN이 들어가있으면 매칭시켜라
보안 솔루션 종류(보안장비의 특징숙지, 506)
네트워크 보안
- NAC(네트워크접근제어)
- UTM(통합보안시스템) = Ossim(오픈소스)
시스템(단말) 보안
- EDR(Endpoint and Detection Response):
컨텐츠/정보유출방지 보안
- DRM(디지털 저작권 관리)
- DLP(네트워크/단말 정보유출방지)
보안관리 솔루션
- ESM
- TMS
- SIEM
- PMS
인증 및 암호
-SSO(싱글사인온)
보안 장비 취약점
베스천호스트를 생성하고 보안시스템을 올린다.
※ 베스천호스트: 취약점이 없는 시스템
'정보보안산업기사 > 침해사고 분석 및 대응' 카테고리의 다른 글
| 2020. 07. 09침해사고(2) (0) | 2020.07.10 |
|---|