전체 글 62

1/12

#송신자IP에서 접속한 메소드 종류별 개수 index=httplog sourcetype=httplog | stats count(method) by src #OPTIONS 요청 횟수가 10개 이상인 IP 주소만 필터링 index=httplog sourcetype=httplog | stats count(eval(method="OPTIONS")) AS option_count by src | where option_count > 10 | sort option_count desc >> OPTIONS 많은 사용은 공격으로 구분할 수 있음 #get, post, - 가 아닌 메소드 출력 index=httplog sourcetype=httplog | where NOT match(method, "(GET|POST|-)")..

수업 2024.01.11

1/11: Splunk 명령어

Splunk DNS 로그 실습환경 구성 - 로그들의 필드 지정 - 데이터 추가 - URL Tool 설치 splunk에서 index - 업로드 되는 로그들의 저장소 인덱스 추가 DNS log - 구성: tcp/ip 헤더 + query 헤더 + dns response header 필드 추가 - source type에서 필드명 지정 데이터 추가 - 지정한 소스타입 지정 분석 툴 설치 - 앱 관리에서 URL Toolbox 설치 *dns 설치구간 - DMZ구간, 인트라넷 사내망에 설치 가능 - 사내망 직원들의 로그 분석은 DNS로그 분석으로 가장 좋은 데이터 소스 - 악성코드에 감염된 내부망PC 활동 분석 가능 > 공격자 찾아내는 용도로 사용가능 1, Top10 도메인 현황 - 10분 동안 60번씩 요청할 경우 ..

수업 2024.01.11

1/10

DNS text 주소 => A record IP 주소 => PTR record \DNS서버는 다른 망에 있는 서버 사용 가능 DNS 는 텍스트기반으로 IP 찾아줌 ( 역으로 가능 ) - 정방향 조회: 텍스트 기반으로 IP - 역방향 조회: IP기반으로 텍스트 *조회(look up) 영역 생성 - 정방향 영역 - 역방향 영역 질의 방법 - 재귀적 질의: DNS client --> local dns server - 반복적 질의: dns server --> dns server Auth NS: 사내망 서버 주소 등록 Cache NS: 외부망 서버들의 주소 등록 slave name server: Master name server 백업 용도 쿼리 - 헤더 - 질의섹션 response - 헤더 - 질의섹션 - 응답섹..

수업 2024.01.10

1/9

HTTP - 클라이언트와 서버사이에서 연결해주는 프로토콜 proxy server - 트래픽 부하, 캐시, 보안, 등 여러가지 목적으로 사용 forward proxy - client ip는 오픈되지 않아서 클라이언트의 안정성 보장을 목적으로 함 Reverse Proxy - 내부 서버 안정성 보장 목적 - 클라이언트는 서비스 제공 서버의 IP주소를 알수없음 HTTP 구조 파악 - 텍스트: 전송속도 빠름 - 이미지: 전송속도 느림 request 메시지 - 요청 라인 - 요청 헤더 - 공백 라인 - 메시지 본문 HTTP Request - GET: 일방적으로 데이터 요청 - POST: 데이터를 주고 받는 형식 (ID / PW, 로그인 페이지) - PUT: - HEAD: 서버의 상태(종류와 버전)를 알려줌, bod..

수업 2024.01.09

1/8

암호화 인가된 자만이 데이터를 열람함으로써 기밀성을 보장함 비대칭키 암호화 방식 - 인가자란 개인키를 보유한 자 공개키로 암호화하고 개인키로 복호화 => 기밀성 개인키로 암호화하고 공개키로 복호화 => 신뢰성(인증) 개인키로 암호화 => 전자서명 무결성이란 변조가 없음을 나타냄 - 송신측에서 원본과 백업본을 보냄 - 수신측에서는 원본과 백업본의 동일성을 점검한다. 암호화 알고리즘과 해시알고리즘 차이 - 암호화 알고리즘은 양방향성으로 원문에서 암호문으로, 암호문에서 원문으로 변환이 가능하다. - 해시 알고리즘은 단방향성으로 원문에서 해시값으로만 가능 * 공백 또한 문자열로 보기 때문에 해시값이 달라진다. 전자서명 - 개인키로 암호화 - 무결성은 원본데이터로 검증하는게 아니라 Digest(해시값)로 검증한다..

수업 2024.01.08

1/5

syslog - 로그를 중앙 집중적으로 관리하는 패키지 환경 설정 파일 - /etc/syslog.conf - /etc/rsyslog.conf syslog.conf - 로그 관리 정책 => rules kern. notice - 소프트웨어, 하드웨어 등등 밑에도 포함 *. emerg - 모든 emerge 수준 이상의 문제가 발생하면 모든 사용자에게 메시지를 전달 authpriv.* 계정명 - 인증 관련 로그를 사용자에게 전송 모든 로그를 중앙관제 서버로 넘김 - Syslog/ Rsyslog rsyslog server 구성 디렉토리 구성 각각 룰 생성 반드시 받아야될 내용이면 TCP *.* @@[IP주소] 아니면 UDP "." @[IP주소] 리눅스 로그 관리 정책 ==> rsyslog.conf - rule에 ..

수업 2024.01.05

1/4 : 중앙 관제, 시간 설정

kali, meta > Security Onion(IDS) - 시그니처와 트래픽 사이에서 일치하면 경고 작업 우분투 centos win10 리눅스 로그와 윈도우 로그 Ubuntu 저장소 주소 기록 파일 위치: - /etc/apt - apt update Centos 저장소 주소 기록 파일 위치: - /etc/yum.repos.d - yum update NTP (network time protocol) - 중앙 관제에 보낼 때 로그시간을 같은 시간으로 신뢰성을 확보해야됨 즉, 시간정보가 동일 해야함 > 패치, 배포, 백업 SSL ==> 인증서 기반의 암호화 기술 1단계. 프로그램 설치 2단계. 환경설정 3단계. 해당 서비스 개발을 위해 방화벽 설정 4단계. 서비스 활성화 Stratum - 시간을 전송하는 장..

수업 2024.01.04

1/3

개요 보안관제 프로그램 - 로그분석 => Splunk => SIEM 매니지먼트 솔루션 - SIEM (33p) 보안관제 환경구성 - NTP, SNMP, Syslog, Wireshark > SIEM 구성을 위한 프로토콜 1장 (~21p) - 2계층 물리적 주소: 이더넷 카드 => 맥주소(12자리 = 제조회사번호, 일련번호로 구성) - 3계층 논리적 주소: IP address => NetID.HostID - 4계층 포트번호(1~65535), 애플리케이션 번호(서버(1~1023)/client/app) - 7계층 문자주소 = 호스트명, 도메인명 Routing : 최적 경로 탐색 Gateway: 망과 망을 연결시켜주는 중계장비 - 라우터 장비, 멀티레이어 스위치, 게이트웨이 방화벽 Load balancing : 동..

수업 2024.01.03

12/22

direct traversal - 서버로 전달 값을 바꿈 리다이렉션 - 서버와 브라우저 상호작용할 때 브라우저는 자동으로 파일을 불러옴 > 주소 검색 시에 /가 붙음 기본인증 - HTTP 프로토콜 인증방식 클라이언트와 서버 : 디렉토리 요청 > 인증정보가 없음 인지 > 사용자에게 인증정보 요구 > 서버는 검증 > 처리 후 http 상태코드 알려줌 - 기본인증은 안전한 방법이 아님 : base64 인코딩 방식을 사용해서 안전하지 않음 - 요청할 때마다 인증정보를 매번 가져가야됨. (노출 위험) > form 기반으로 바꿔야함 Stateless - cookie: Stateless http 프로토콜 상태를 유지하기 위해 도입 단, 요청 헤더와 응답헤더를 통해 전달 > 전달 과정에서 탈취 가능성 브라우저에 저장되..

수업 2023.12.22