Rsyslog 설치 및 설정

Rsyslog 설치 및 설정 SplunkServer가 rsyslog server가 되고, 나머지는 로그를 전송하는 rsyslog client로 설정 => 각 시스템에서 생긴 로그들을 서버에게 전송 => 여기서 ZeekIDS나 WebServer는 리눅스 기반이기 때문에 Syslog가 돌아가고 있지만, Sysmon의 경우는 운영체제가 완전히 달라서 Agent를 설치해서 로그를 전송해야함 1. (Ubuntu : SplunkServer) rsyslog server 설치 0) 관리자로 들어가기 $ sudo su - root 1234 1) apt 업데이트 및 rsyslog 설치 # apt update # apt-get install -y rsyslog # rsyslog 서버 설치 2) 환경설정(포트 활성화 : 51..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 5.
• textsms

NTP 설치 및 설정

NTP 설치 및 설정 NTP는 Network Time Protocol로, 네트워크 장비들의 시간을 동기화 시키기 위해서 Time Server와 장비들 간에 통신하는 프로토콜 입니다. 우리 컴퓨터에서 수집한 로그파일들을 중앙관제 서버에게 넘길 것! 방법은 2가지! 1) Agent를 설치해서 전달(SNMP) 2) Agent 없이 그냥 전달(Syslog) [시간 동기화 목적] => 로그를 전송할 때, A,B,C가 보내는 로그의 시간이 일치해야 신뢰성이 있음 백업이나 패치 등 예약한 작업들이 실행되지 않는 것을 방지 로그에 대한 신뢰도 : 언제 어떤 작업을 했는지 보여주는 로그의 시간은 정확해야함 보안·암호화 인증 프로토콜 과정시 timestamp 및 lifetime이 추가 : 이때 서버와 클라이언트의 시간이 ..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 5.
• textsms

실습을 위한 환경 구성 : VMware, Ubuntu, Cent OS7, Windows10

실습을 위한 환경 구성 VMware는 허브라고 생각! 허브 이름은 NAT08 192.168.10.0/24 GW : 192.168.10.2 DNS : 192.168.10.2 Splunk Ubuntu 192.168.10.10 | 255.255.255.0 중앙관제서버 ZeepIDS Ubuntu 192.168.10.20 | 255.255.255.0 NMS 로그 전송 WebServer Cent OS 7 192.168.10.30 | 255.255.255.0 SMS 로그 전송 Sysmon Windows 10 192.168.10.40 | 255.255.255.0 엔드포인트 로그 전송 => 중앙서버에게 로그를 넘기면, 중앙서버는 로그를 수집하고 분석하고, 관리자에게 알리고, 보고서 작성하는 일을 함 VMware 설치 및..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 4.
• textsms

Management Solution : NMS, SMS, ESM, SIEM + TAP

[참고]NMS 관리대상 : Router, Switch, 방화벽, VPN, IPSSMS 관리대상 : WAS, DNS, Mail, Web, DB(1,2,보안), Storage, 업무서버(1,2), AP, PCESM = (NMS + SMS)NMS(Network Management System, 네트워크 관리시스템)기관이 정한 요구사항을 만족하기 위해 네트워크 장비를 관리하는 시스템- L3 Switch, L2 Switch, VPN, FW ...을 관리- 네트워크 장비로부터 로그를 받아서 로그를 분석하고 우리망에 무슨 일이 있었지 확인해주는 시스템- 장비들도 하드웨어가 있고, 그위에 OS+환경설정이 들어감- NMS는 각각의 장비에 대한 환경구성, 장애처리, 성능체크, 보안설정, 계정관리 기능..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 4.
• textsms

Switch(스위치), NAT, PAT, Port Forwarding, 망 구성도

주소● 2계층주소(물리적주소) : ethernet card ==> MAC address(12자리로 구성; 제조회사번호+일련번호)● 3계층주소(논리적주소) : IP address(NetworkID+HostID) *서브넷팅● 4계층주소 : 포트번호(1~65535), 애플리케이션 번호(server:Well-Known Port, client:Dynamic Port. app:Registered Port)● 7계층 주소(문자주소) : 호스트명+도메인명(www.test.com) 장비● 1계층 : 허브 / 경로 DB 없음● 2계층 : 스위치 / 경로 DB: Mac Address Table(Mac addr : 출구번호) / 전송모드: 포워딩,플러딩*포워딩 : MAT에 목적지 주소가 있는 경우*플러딩 :..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 3.
• textsms

소스코드 진단 예제

이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/취약점] - 소스코드 진단 소스코드 진단 소스코드 진단 웹애플리케이션 취약점 진단은 크게 동적진단과 정적진단(소스코드진단)으로 나뉩니다. 두 진단의 가장 큰 차이는 "소스코드(정답지) 보고 진단하느냐?" 입니다. 동적진단 장점: psjin230.tistory.com 정오탐 판별 #1 String fileName = request.getParameter ("P"); BufferedInputStream bis = null; BufferedOutputStream bos = null; FileInputStream fis = null; try { response.setHeader("Content-Disposition", "attachment;fil..

• format_list_bulleted 보안 취약점 진단 및 대응/취약점
• · 2023. 12. 26.
• textsms

소스코드 진단

소스코드 진단 웹애플리케이션 취약점 진단은 크게 동적진단과 정적진단(소스코드진단)으로 나뉩니다. 두 진단의 가장 큰 차이는 "소스코드(정답지) 보고 진단하느냐?" 입니다. 동적진단 장점: 상대적으로 진단 소요기간이 적다.(1 url 2~3day | 1주~2주) 단점: 누락의 가능성이 상대적으로 높다. 정적진단 장점: 보다 깊이 있고 상세한 진단이 가능하다. 단점: 시간이 오래 걸린다.(1서비스 1url 최소 2주~수개월) 진단자 역량에 따라 결과 산출물의 품질이 달라진다.(편차가 상대적으로 크다) 소스코드 진단 목적 소스코드를 활용하여 애플리케이션 내 모든 입/출력 값에 대한 Data Tracing을 통해 취약점 누락 최소화 및 상세 취약점 점검을 수행하여 보안 수준을 향상시키는데 목적을 둡니다. 소스코..

• format_list_bulleted 보안 취약점 진단 및 대응/취약점
• · 2023. 12. 24.
• textsms

WebGoat(웹고트) LAB: Role Based Access Control Stage4

WebGoat(웹고트) LAB: Role Based Access Control Stage 4 : Add Data Layer Access Control 이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/WebGoat] - WebGoat(웹고트) LAB: Role Based Access Control Stage3 WebGoat(웹고트) LAB: Role Based Access Control Stage3 WebGoat(웹고트) LAB: Role Based Access Control Stage 3 : Breaking Data Layer Access Control 이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/WebGoat] - WebGoat(웹고트) LAB: Role Base..

• format_list_bulleted 보안 취약점 진단 및 대응/WebGoat
• · 2023. 12. 23.
• textsms