DNS 로그분석(현황분석/이상징후)

현황분석- 현재 발생하는 상황을 파악하는 작업- 우리 망에서 이런 일이 있었구나- 무조건 문제가 있는 것은 아님- 우리 직원들은 어느 사이트에 많이 접속하는구나를 파악 이상징후- 평균적인 상황을 파악하다가 이상징후가 포착이 되면 관리자/침해대응팀에게 알림- 현황분석을 해서 문제가 없을 수도 있고, 그중 이상징후를 탐지할 수도 있음DNS Log 환경구성=> ZeekIDS는 우리망에 떠돌아다니는 네트워크 로그들을 수집하여 저장, 이것을 중앙관제에 scp를 사용하여 넘겨줌시나리오 : Zeek을 통해 DNS Log를 압축하여 중앙관제서버에게 넘겨줍니다. 중앙관제서버 입장에서는 sample_log/dns/dns.zip을 넘겨받은 것입니다. 중앙관제서버는 Splunk에 해당 로그를 로딩합니다.(splunk에 로그 ..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms

Splunk 명령어

Splunk 검색 명령어데이터 나열, 변환table, rename, fields, dedup통계 계산stats, top, rare, len(x)차트 시각화timechart, chart비교분석eval, case, cidrmatch, if, like, match다중문자열과 시간mvindex, split, substr, round, ruldecode, strftime, strptime, now차트 시각화 명령어는 로그들이 텍스트로 되어 있기 때문에, visual 하게 보는 것이 로그에 대한 이해도를 높일 수 있기에 사용하는 명령어로, 보고서 쓸 때나 대시보드 구성할 때 많이 사용함 Splunk 검색 실습검색하려고 할 때, 먼저 시간을 체크(전체시간으로 설정)검색창에 필드명을 정확히 모를땐 키워드만 입력해도 충..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms

Splunk 설치(+SIEM 설명)

SIEM[이전 포스팅 참고][시스템 보안 및 실무/시스템 운영·구축 실무] - Management Solution : NMS, SMS, ESM, SIEM + TAP Management Solution : NMS, SMS, ESM, SIEM + TAPNMS(Network Management System, 네트워크 관리시스템) 기관이 정한 요구사항을 만족하기 위해 네트워크 장비를 관리하는 시스템 - L3 Switch, L2 Switch, VPN, FW ...을 관리 - 네트워크 장비로부터 로그를 받아서psjin230.tistory.com- ESM의 확장버전- 다양한 이기종 장비에서 발생하는 로그를 통합 수집하고 분석- 보고서 생성**IDS랑 뭐가 다를까? => IDS는 탐지룰을 만들어 룰에 맞는 것들만 탐지..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 11.
• textsms

DNS(Domain Name System)

DNS(Domain Name System) DNS에서 text주소 : IP주소로 이루어진 것을 A record라고 함 => 문자주소를 가지고 ip를 조회 IP주소 : text주소로 이루어진 것을 PTR record라고 함 => ip로 문자주소를 조회 => 게이트웨이는 무조건 내부를 사용해야 하지만 DNS 서버는 같은 망이 아닌 외부망 것을 사용해도 됨! => 192.168.50.10에서도 DNS Server에 있는 캐시테이블을 조회하여 사용할 수 있음 => 192.168.50.10에서 DNS Server를 192.168.10.20으로 설정) ** DNS는 문자주소를 기반으로 IP를 조회하거나 IP를 기반으로 문자주소를 조회함 ** IP를 기반으로 MAC 주소를 찾는 것을 ARP, MAC 주소 기반으로 I..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 10.
• textsms

DNS 패킷 구조

DNS 패킷 구조 192.168.0.114가 205.152.39.23에게 Query를 던짐(wireshark.org의 IP 주소를 알려줄래?) 205.152.39.23 패킷을 클릭하면 answer가 있음 DNS(Domain Name System) 기본 설정 DNS 서버와 보조 DNS 서버 => DNS서버는 1개 또는 2개를 셋팅 => 이 부분은 DNS 클라이언트가 작성 => 기본과 보조는 무슨 차이일까? 보통 기본을 Master, 보조를 Slave라고 생각하는 경우가 있는데 아님!!! 기본은 사내망에서 운영하는 DNS 서버주소 보조는 ISP(통신사업자)에서 운영하는 DNS 서버주소 => 사내망 서버가 다운될 경우를 생각해서 2개를 설정 => 이거 클라이언트가 설정하는 것! cmd 창에 명령어 입력 > n..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 9.
• textsms

Zeek 및 SCP 설치 및 설정

Zeek NIDS : 우리망에 공격자가 있는지 탐지하는 시스템 ● 네트워크 칩입탐지시스템(NIDS) - Bro 또는 프로토콜 분석 - 네트워크를 모니터링 할 수 있는 오픈 소스 프로그램 ● IP 헤더와 TCP 헤더를 분석하여 로그 생성 ● 응용 프로토콜의 헤더를 분석하여 로그 생성 - FTP, HTTP, SMTP, X.509... ● zeek은 패킷을 수집하고, 헤더를 분석하여 프로토콜별 분류를 하고, 각각의 파일에 로그를 생성 - ★ 로그에는 반드시 시간이 기록되어야함!! ★ zeek a(192.168.1.1:4043) b(192.168.1.2:80) => a가 b에 접속한 정보가 zeek으로 넘어가게 되고, a가 b로 전송한 데이터의 헤더들을 보고 zeek은 로그를 남김 이 작업을 하는 이유? 현재 ..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 9.
• textsms

HTTPS 설치 및 설정

WebServer(Cent OS 7)에 HTTPS 구성 1. HTTP Server 구성 2. 인증서 생성 3. HTTP config에 인증서 맵핑 인증기관(CA)에 인증서를 발급받는 것이 아닌 자가발급 인증서 생성 1. HTTP Server 구성 0) 관리자로 들어가기 $ su - root 1234 1) 패키지 설치 및 확인 # rpm -qa | grep httpd #패키지 설치 확인 # yum install -y httpd #패키지가 없다면 설치 # httpd -v 2) OpenSSL과 mode_ssl 설치 => 인증서 맵핑을 위한 모듈 설치 => 오픈소스 형태의 키 생성기 : open ssl # rpm -qa | grep openssl #패키지 설치 확인 # yum -y install openssl-..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 8.
• textsms

암호화 기술(기밀성,신뢰성,무결성 및 SSL/TLS, PKI)

암호화의 역할기밀성(Confidentiality) : 허용된 자(인가자)들만 데이터 열람 가능신뢰성(Authenticity) : 사용자의 진위 확인, 인증무결성 (Integrity) : 허용된 자(인가자)만 데이터 변경 가능, 데이터의 오염도(변조) 비대칭키 암호화 방식에서는 (기밀성)- 공개키로 암호화- 개인키로 복호화- 개인키를 가지고 있어야 데이터를 열람할 수 있다.- 인가자는 개인키를 가지고 있는 자- 공개키로 암호화하여 수신자 쪽에서 개인키로 복호화하는 것은 기밀성 보장 비대칭키 암호화 방식에서는 (신뢰성)- 개인키로 암호화- 공개키로 복호화- 인증!- 개인키로 암호화시키는 것을 전자서명이라고 함- 공개키로 데이터가 원문이 복호화가 되는 것은 신뢰성 보장*전자서명은 어떻게 만들어졌나?1. 원본데..

• format_list_bulleted 시스템 보안 및 실무/시스템 운영·구축 실무
• · 2024. 1. 8.
• textsms