1. 패스 트래버설(Path Travaersal) 공격 탐지- Msg / Content / Rev / Sid 옵션 활용- 다음 공격을 탐지 하는 룰을 작성하도록 한다.- 공격명 : Path Traversal- 공격 패턴 : ../../../../../../../../../etc/passwd  vim /etc/nsm/rules/local.rulessudo rule-updatesudo nsm --sensor--restart --only-snort-alert  2. 디렉터리 리스팅 공격 탐지- 웹 서버에서 외부로 가는 패킷- 메시지 : Directory Browsing Vuln- 탐지 문자열 : index of /- 대소문자 무시- 클래스 타입 : web-application-attack   3. 크로스 사이..

1. 네트워크 구성도 2. securityonion 설치가상 시스템 이름securityonion-16.04.6.6호환성ESXi 6.7 가상 시스템게스트 운영체제 제품군Linux게스트 운영체제 버전Ubuntu(64bit)ISO 파일securityonion-16.04.6.6.iso CPU2메모리4GB하드디스크200GB (씬 프로비저닝)네트워크 어댑터intra-netdmz-net IP10.0.200.200managerment interfaceens160subnet mask255.255.255.0gateway10.0.200.1DNS8.8.8.8domain souser.comIDS EngineSuricataHome_NET10.0.10.0/2410.0.100.0/2410.0.150.0/2410.0.200.0/24 ..

1. Snort(Pfsense) 설치와 기본 설정      2. 공격 IP 차단 실습* Legacy Mode복사한 데이터를 검사하는 방법일단 들어오는 트래픽을 통과시킴성능은 좋지만, 공격을 나중에 탐지할 수 있음* Inline Mode검사에 통과한 트래픽만 통과 시킴

1. 네트워크 구성도 2. ESXi 가상 스위치 및 포트 그룹 설정  3. VyOS 라우터를 이용한 네트워크 설정가상 시스템 이름vyos-1.1.8OVA 파일vyos-1.1.8-amd64.ova CPU1메모리512MB하드디스크1OGB (씬 프로비저닝)네트워크 어댑터VM Network(Internet)route-fw-netroute-att-net초기 계정ID : vyosPASS : vyos eth0 : 외부(업링크) 네트워크eth1 : 방화벽 네트워크eth2 : attacker 네트워크configshow interfaces set interfaces ethernet eth0 address dhcpset interfaces ethernet eth1 address 10.0.0.1/24set interfaces..

● 가상 근거리 통신망, Virtual Local Area Network● 컴퓨터 네트워크에서 여러 개의 구별되는 브로드캐스트 도메인을 만드는 방법● 단일 2계층 네트워크로 분리되면 패킷들은 하나 이상의 라우터를 통해서만 이동● 일반적으로 스위치나 라우터 장비에서 수행

1. PHP Wrapper란?PHP Wrapper에 대한 설명 추천 : https://php.365ok.co.kr/wrappers.php PHP 설명서php.net 한글메뉴얼php.365ok.co.kr ● PHP는 fopen(), copy(), file_exists() 및 filesize()와 같은 파일 시스템 함수와 함께 사용하기 위한 다양한 URL 스타일 프로토콜을 위한 많은 내장 래퍼와 함께 제공됨●  이러한 래퍼 외에도 stream_wrapper_register() 함수를 사용하여 사용자 정의 래퍼를 등록할 수 있음종류설명file://가장 기본적인 파일 시스템에 대한 Wrapper로, 파일을 읽고 쓸 수 있다.http://HTTP 프로토콜을 이용하여 원격 서버의 파일을 가져올 수 있는 Wrappe..

항목설정정의-  웹 애플리케이션 보안에 특화된 방화벽 솔루션일반 방화벽과의 차이-  TCP/IP 레벨이 아닌 OSI 7계층의 애플리케이션 계층에 특화암호화 통신 지원-  HTTPS(SSL/TLS) 기반의 암호화 통신을 지원, 종단 간 암호화로 보안 강화차단 대상-  SQL Injection, Cross-Site Scripting(XSS) 등 주요 웹 공격 탐지 및 차단활용-  정보유출 방지, 부정 로그인 방지, 웹 사이트 위변조 방지 등- 다양한 보안 솔루션으로 활용 가능기능-  웹 애플리케이션 보안 -  HTTP 트래픽 분석 및 필터링 -  다양한 웹 공격 방어보안 계층-  OSI 7계층(애플리케이션 계층)에 특화-  IDS/IPS 및 네트워크 방화벽이 탐지하지 못하는 공격 탐지 가능암호화된 트래픽 처..

1. Snort- Snort는 유연하고 매우 강력한 단순하고 가벼운 설명 언어 사용- Snort 규칙을 개발할 떄 기억해야 할 간단한 지침이 상당히 많음- Snort는 규첵 헤더와 규칙 옵션 섹션이라는 두 개의 논리적 섹션으로 나뉨섹션설명규칙 헤더규칙의 작업, 프로토콜, 소스 및 대상 IP 주소와 넷마스크, 소스 및 대상 포트 정보 포함규칙 옵션규칙 작업을 수행해야 하는지 결정하기 위해 패킷의 어느 부분을 검사해야 하는지에 대한 정보와 경고 메시지가 포함되어 있음 (예시) 규칙 헤더규칙 옵션alert tcp any any -> 192.168.1.0/24 111(content: "|00 01 86 a5|"; msg: "mountd access";)  2. 규칙 헤더- 가장 첫 번째 항목은 동작에 대한 규칙..

항목설명Sguil이란네트워크 보안 모니터링 도구로, 보안 이벤트, 경고, 패킷 분석, 로그 등을 실시간으로 확인하고 상호작용할 수 있는 강력한 인터페이스를 제공함. 주로 Security Onion 플랫폼에서 사용됨.기능경고를 시각화하고, 이벤트 로그와 관련된 데이터를 신속하게 탐색할 수 있는 사용자 인터페이스 제공.데이터베이스 상호작용Sguil은 MySQL과 같은 데이터베이스와 직접 상호작용하며 보안 데이터를 저장, 쿼리 및 관리할 수 있음.저장 구조보안 이벤트는 securityonion_db의 event 테이블에 저장되며, 사용자 지정 쿼리를 통해 접근 가능.접근 명령어MySQL 데이터베이스에 접근하려면 다음 명령어 사용: sudo mysql --defaults-file=/etc/mysql/debian..

특징설명운영체제 Linux Ubuntu 기반 배포판기능IDS, NSM 및 로그 관리 기능 제공설치 소프트웨어Snort, Suricata, Bro, OSSEC, Sguil, Squert, ELSA, Xplico, NetworkMiner 등 포함설치 용이성간편한 설치 마법사 제공으로 빠른 배포 가능라이센스모든 소프트웨어 및 운영체제는 무료, 오픈 소스용도교육용 침입 탐지 테스트 또는 소규모 네트워크 감시