메일 관련
·
통합 인프라 보안
Mail.kiwontech.com = 도메인 Set type=ptr 역방향조회 포인터라는 레코드 값을 조회 183.111.97.23 23.97.111.183.in-addr.arpa 역도메인 주소 역도메인은 발신할 때 필요하기 때문이다. 역도메인이 없으면 발신했을떄 수신을 안할수 있다. 역도메인 실패는 저 값이 존재하지 않는 것 전달로그 smtp오류코드를 검색하면 그거에 대한 내용이 나온다. 200,300,400,500번대 421 Server is too busy 수신서버의 일시적인 응답지연 잠시 후 메일 재 발송 421 4.3.2 Your IP is filtered by (RBL) (RBL)에 등록된 IP로 스팸인식 수신메일서버 관리자에게 스팸 해제 요청 441 4.4.1 No Answer From Ho..
보안구축 전체적인 구성 총정리
·
통합 인프라 보안
방화벽, vlan ,vpn ids ips 보안을 구축하는데 방화벽 로그따로 vlan 로그 따로 vpn 로그 따로 ids 로그 따로 ips 로그 따로 ESM(관리적측면) Enterprise Security Management 하나로 합쳐서 관리적측면 UTM(구축) Unified Threat Management 구축으로 보면된다 utm---- vmware workstation -> vmware esxi에 pfsense를 올렷고-> management (관리용 centos 내부망에서 접속해야되서 만든것 )-> esxi에 vlan 10 webserver vlan 20 office -> vlan 30 intranet vlan 40 DB server vmware에 bridge로 esxi를 걸었고 브릿지로 받았기 때..
scurity onion xplico 네트워크 포렌식
·
통합 인프라 보안
xplico 9876포트를 쓰고있다 id xplico passwd xplico xplico는 네트워크 포렌식을 위한곳 네트워크 포렌식을 위해서는 pcap파일을 이용한다 New case 누르기! CREATE case1 빨간글씨를 누르기 New Session create session1 빨간글씨 누르기 눌렀을때 나오는 이곳이 네트워크 포렌식의 이제 시작이다 자료가없으니 pcap파일을 부른다 choose File /nsm/sensor_data/tak~~~eh1/dailylogs/2020-12-16 upload 그리고 upload를 누르게되면 이제 빙글빙글돈다 decoding completed 가 뜬다 여러가지 정말많이 분석이된 것을 알수가있다. post,get방식등 여러가지 분류를 해주고 볼수가있습니다 pca..
security onion 악성코드가 아니지만 악성코드처럼 보여서 룰에 탐지되는 것에 대하여 룰 수정
·
통합 인프라 보안
---해보지는말고 이런게 있으니까 다음에 써먹자 악성코드가 아닌데 악성코드처럼 보며서(룰에 위반되서 탐지된 패킷) 트래픽한번보기 악성코드는 구하기가힘들어서 하는방법만이라도 알아보자 대표적으로 이렇게 룰에 걸려서 할수있던것이 공인인증서 inis60 이게 보안프로그램이지만 악성코드로 출력이되서 해보려했지만 리눅스에서는 지원을하지않아 테스트를 해볼수가없다. 하지만 확인이라도해보자. efamily.scourt.go.kr 주소 security onion squert 접속 이걸탐지하는 룰은 =====없으면 하면된다. sudo apt-get update sudo apt-get install gedit (gedit 다운) ==== cd /etc/nsm/rules gedit downloaded.rules User-age..
security onion extract.bro 수정
·
통합 인프라 보안
pfsense 방화벽/vlan/프록시 보안양파 snort/elsa 로그들을 통합적으로 묶어서 관리하기 편하게 하나로 묶는게최종 목표이다 ESM 우리가 설치한 pfsense centos(vlan20_office) security onion 3개를 일단킨다 elsa를 들어간다 bro에서 다양한 파일들을 추출해 내는 것을 한다. cd /opt/bro/share/bro/site (teminal 창에 들어간뒤에 security onion 에서) sudo vi local.bro 내리다보면 # File Extraction @load file-extraction (두개의 의미는 = File Extraction 폴더에 존재하는 모든것을 불러온다) cd /opt/bro/share/bro (이 파일의 위치는 여기와 연결되있..
security onion Bro ELSA -네트워크포렌식
·
통합 인프라 보안
Bro ELSA를 가지고 하나씩 뜯어보면서 프로토콜등을 분석하여 판단 (네트워크 포렌식) ex ) HTTP 프로토콜을 가지고 분석을 한다고 하면서 어떤 사이트 접근을 했고 어떤 페이지 순서로 열었고 DNS 어떤 도메인을 조회를 하고 이런 정보들 elsa 접속하기 여러가지 프로토콜도있고 여러가지가 있다. Top DST IPS -> 열어보자 8.8.8.8 goole dns 주소 만약에 dns조회를했는데 내가 쓰던게아니라 이상한 dns가있으면 의심을해볼수가잇고 이렇게 찾아도 볼수가있다. 공인 아이피이면 의심을 덜수있지만 사설 아이피 대역들이라면 살짝 dns spoofing으로 의심을 해볼수가있습니다. pcap 파일로 보내서 받을수있다 원하는 것의 info를 누르게되면 pcap 파일로 받을수가있다. 이런식으로 ..
security onion custom rule 만들기(제로데이 공격 악성코드 탐지)
·
통합 인프라 보안
제로데이 (Zero-day) 알려지지 않은 취약점들을 전부 제로데이 취약점에 대해 탐지를 할떄 기본적으로 해당 멀웨어 - 시그니처 코드 여러가지 패턴 시그니처 코드, 페이로드(내용)를 가지고 cve-2015-4852 payload 취약점 http 프로토콜로 통신을 하니까 tcp 이바이러스에 대한 burpsuite 의 intercept내용이다 해더를 넣고 (옵션) (meg content1[범위]content2[범위]content3[범위]{sid 또는 nocase 또는 classtype) 이런식으로 스노트 룰을 만들어본다. vi /etc/nsm/rules/local.rules alert tcp any any -> any 1880 (msg:"Apache commons collection library WebS..
security onion squert에서 커스텀을 만들어서 로그확인
·
통합 인프라 보안
sudo vi /etc/nsm/tak-virtual-machine-eth1/threshold.conf 맨밑으로가서 i suppress gen_id 1, sig_id 3000001, track by_src, ip 10.20.1.0/24 esc :wq! sudo vi /etc/nsm/rules/local.rules i alert icmp any any -> any any (msg:"test ICMP"; sid:3000001;) esc :wq! sudo rule-update 바탕화면 squert 누르고 로그인한뒤에 centos vlan20_office에서 핑보내봤을떄 test ICMP 가 쌓이는것을 알수있다. 혹시안되면 SETUP 한번해서네트워크하고 다시 SETUP 누르시면됩니다 데스트는 성공하였지만 그리고 ..
security onion 오류에 의해 리셋하고 다시설치
·
통합 인프라 보안
리눅스 우분투기반 nic 2개 무조건 english로 설치 한국어로하면 오류가 많이뜬다 -> continue-> install -> continue -> 기다린다 reboot enter 로그인 setup 누르고 패스워드넣고 다시 setup 평가판 다 진행 yes continue 하면 된다~그냥 이상한것만 변경해주면된다 ok 다누르면 생겻다 terminal 을켜서 sudo reboot 한번만해주자 스냅샷해주자
security onion threshhold,최소화
·
통합 인프라 보안
pfsense를 켜주고 onion 을키고 centos (vlan20_office) 도 켜준다 ============================== onion 의 일단 squert를 켜준다. 일단 테스트로 핑을 테스트를 해보고 용량이많아 저 Test icmp 로그를 삭제해야한다 sudo vi /etc/nsm/rules/local.rules dd 눌러서 지우고 :wq! sudo rule-update 스레드홀드(실무에가서 스노트를가지고 보안구축을했을떄 규칙이많기떄문에 알림을 가지고 최소화하는것이다. 탐지도하면서 룰도 최소화시는것) 위치 cd /etc/nsm/tak-virtual-machine-eth1/ ls -al tak이건 자기 처음에 설정한 이름에 따라만들어진다 sudo vi threshhold.conf..
security onion 환경설정 파일들 보기, snort 새로운 룰 만들기
·
통합 인프라 보안
오늘은 15 일이지만 14일로 잡혀져있으니까 그냥 14일로 한번 이게있는지보자 cd /nsm/sensor_data/tak-virtual-machine-eth1/dailylogs/2020-12-14/ 보니까 패킷으로 되있어서 와이어샤크로 한번 가보자 wireshark 로 열어보기 로그가 패킷으로되있어서 그것을 와이어샤크로 한번본다. 또 elsa를 누르고 11번가를 오피스에서 접속하뒤 To 파란글씨 이쪽에 11번가 url을 넣으면 밑에 로그들ㅇ이 뜬다. ------------------------------------ BPF(Berkeley Packet Fileter) cd /etc/nsm/rules/ bpf.conf있는것 확인 cd /etc/nsm/tak-virtual-machine-eth1/ ls -al..
security onion gedit설치,환경설정 등 설명
·
통합 인프라 보안
(gedit 설치) sudo apt-get update sudo apt-get install gedit cd /etc/nsm 보안 양파의 기본설정파일 ls -al cd /et/nsm/tak-virtual-machine-eth1 (onion-virtual-machine-eth1) 이파일이 가장중요하다 우리가 추가했던 eth1은 span 이기때문이다 모든 트래픽의방향은 span(eth1)으로 들어온다 cd /var/log/nsm 중요한 파일위치 ,시스템 로그가 저장되는거 var 파일에는 로그기록 log 라는 메모장? 파일안에 계속 기록을하는데 log 라는 메모장파일은 사라지지 않는다 /var 과 /tmp 임시파일을 저장하는 폴더 /var 하나의 변수 int a=123; 이런것처럼 하나의변수가 저장하는곳 /t..
security onion(squert) 로그확인
·
통합 인프라 보안
vmware esxi vlan20_office, security onion pfsense를 키고 총 4개의 창을 띄운다 (왠만한 사양아니면 거의 램이나 컴퓨터가 남아나지않을것이다) display 에서 해상도변경 squert실행 poceed to localhost 로그인 우리가 설정햇던것을 진행합니다. 새로고칭 창을 하면 규칙에걸려서 나오는게 새롭게 뜬다 이렇게 그 핑을 보내본다(centos에서 게이트웨이로) 그랬을떄 새로고침에 ! 빨간색의 모양이 나타나고 새로고침을 했을떄 이렇게 로그를 확인을해볼수있다 ---혹시나 핑이안통할떄 내가설정한것중에서 여기에 icmp 가있거나 프록시설정떄문에 다막아버릴수가있다. 그걸헤제하자 -------------------------------------------------..
vmware esxi(vSphere Client)에 security onion 설정, open VPN설정
·
통합 인프라 보안
(자세한 설명은 추가되있지않지만 그나마 설정에 도움이될것이다) sudo so-allow pfsense의 lan으로 접속하여 firewall->rules->vlan20 office로 가서 +add 이런식으로 진행한후 나온다. open vpn누르기 wizard 설정 누르기 local user access -> 맨밑에 파란색버튼을 누르면다음걸로넘어간다 create new certificate 총 4번 진행하면된다 vpn만들기->vpn만들기->wan설정 -> 체크두개 새로생겼다 ---------------------- 유저만들기 user manager 들어간뒤에 -> add 버튼누르기~ vpn user 연필모양을 누른다 user certificates +add 버튼누르기 save누르기 system ->pacag..
vmware esxi(vSphere Client)에 security onion 설치 ,snort 문법
·
통합 인프라 보안
security onion 설치해야한다. 최소 100gb 램은 4기가 정도 security onion 14.04.4.2 를다운한다 vmware esxi6.0 키기 ->pfsense->네트워킹구성 오른쪽 위 네트워킹 추가 가상시스템-> 하기 (VSwitch2)속성누르기 속성에서->span누르고 편집-> ->보안 다동의하고 체크하기 ->wire shark에서-> 톱니바퀴 누르기 enable promiscuous mode on all interfaces 체크 꼭하기 (wireshark) -- 네트워크를 설정햇으니 이제 ->새가상시스템 우클릭해서 진행 -> 표준모드 진행하기 위와같은 설정들로 esc esc-> enter 누르면된다. (안되면 전원껏다가 다시키고 진행) enter후 기다리기 yes 오래동안 진행합..
vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 snort 설정 -2 용어 정리
·
통합 인프라 보안
우리가 지금 설정하는것 vmware workstion -> vmware ESXi ( vsphere 사용) -> pfsense vmware workstion 안에 ESXi 실행한걸 vsphere 접속 했고 안에 pfsense 설치및 설정 우리가 쓰고있는 ESXi는 VMware(회사이름)에서 만든 소프트웨어 쓰고있는 가상머신 프로그램(VMware Workstation) vmware workstation vmware ESXi 가상머신을 만드는데 효율적으로 가상머신위에 여러개의 가성머신들을 만드는 소프트웨어 또거기에 pfsense를 설치하는게아니라 esxi 하나만들고 그위에 pfsense 설치 다루기위해서 일반 콘솔창 vsphere ESXi 를 좀더 편하고 쉽게 다루기위해서 나온 클라이언트 소프트웨어 Esxi의..
vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 snort 설치 및 설정
·
통합 인프라 보안
pfsense 가서 system -> available packages snort install service 에서 snort가 생긴것 을 확인 하면된다. snort 들어가기 global settings 어떤 vlan을 가지고 룰을 적용할건지 snort interface +add버튼 interface 만 바꿔서 wan lan vlan전부 +add하기 (내가설정한) ->global setting 가기 rules accout 클릭 있는 메일하고 메일 주소확인해야해요~ sign IN 했으면 홈화면에 오른쪽위에 xxx@naver.com 이렇게 뜨는곳을누르면 이동이된다 오른쪽위에 메일 주소 누르면 이곳으로 이동이 되는데 그코드를 복사한뒤 Qlinkcode global setting 이런식으로 넣는다! ( 비밀이라..
vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 web_server-ACL 설정
·
통합 인프라 보안
PFSENSE가기 +add 초록버튼 save check 풀고 apply group acl가기 이름 server_access 10.10.1.0/24 10.30.1.0/24 10.40.1.0/24 save + 버튼 누르면 펼쳐진다 여기만 allow save 이제 centos 에서 해보자
vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 web proxy server 설치,설정
·
통합 인프라 보안
package manager Squid guard 설치가된다 (confirm 누르고진행하세요) 다시 -> available packages에서 squid설치 완료 내가 설치한 것이나온다 squid proxy server ->local cache save하기 acl 누르기 save general 가서 WAN loopback 뺴고 (lan 이랑 우리가설정한 vlan 들 db,intranet,office,web server) vlan 만 지정하고 나머지는 x (우리가설정한 vlan 들 db,intranet,office,web server) save ---------------------------- office(vlan20 )으로가서 네이버 띄운뒤(firefox) 옆에 pfsense 접속한것를 두고 ->Rea..
vmware esxi(vSphere Client)에 cent os 7 설치(intranet)-vlan_30
·
통합 인프라 보안
저아이피주소-> 새가상시스템 우클릭한뒤 편집누르면된다. 전원키고 콘솔시작후 안잡히면 esc esc enter치면된다! 그래도안되면 껏다키면된다 install 시작하기 한국어 설치시작 루트암호넣고 진행,. 재부팅 완료 진행 설정한 아이피 대역이 잘 적용된걸 확인할수있고 인터넷도 잘되는것을 확인할수있다. 설치성공 ----------------구글에 putty는 office에서 하도록합니다 download putty 우리가 깔았던 centos 7(office)에서 unix 그걸로 깔면된다 (3번째꺼) 열기말고 저장으로 하기!