kkamagi.story

1. 개요 suricata란? Suricata를 알기전에 알아봐야 하는것이 Snort 입니다. Snort는 1998년에 개발되어 Suricata가 나오기 전까지는 오픈소스 IDS/IPS의 시장의 최강자였습니다 하지만 단점이있었는데 바로 단일 스레드 방식이 그 문제점이였습니다. 1998년쯤에는 인터넷이란 개념이 생소한단계여서 데이터가 적었지만 최근에는 기가비트 인터넷등으로 인터넷으로 다니는 데이터가 많아지면서 점점 처리속도가 느려짐에 따라 Snort를 사용한다고하면 조금 생각해보고 사용해야하는 경우가 생겼고 2009년에 OISF(Open Information Security Foundation)이라는 단체에서 Suricata를 발표함으로서 오픈소스 IDS/IPS시장의 판도가 바뀌었습니다. OISF는 미국 ..

로그 분석 및 시각화를 위해 ELK Stack(Elasticsearch, Logstash, Kibana + Filebeat)를 구성해보았다. Elastic Stack이란 사용자가 서버로부터 원하는 모든 유형의 데이터를 수집하여 실시간으로 데이터 검색, 분석 및 시각화하여 업무에 활용할 수 있는 Elastic의 오픈소스 서비스이다. ex) Elastic Stack = Elastic Search + Logstash + Kibana + Beats → influxDB + Grafana와도 비슷한 느낌의 서비스. * Beats란? - 데이터 수집기이다. ex) Filebeat / Metricbeat, Packetbeat, Winlogbeat 등 지원 - Fabric 네트워크의 로그는 파일 형태로 저장되기 때문에 ..

802.1X NAC(Network Access Control)란? 802.1X NAC(Network Access Control)는 유선 및 무선 네트워크 전반에 걸쳐 관리자가 일관된 액세스 제어를 제공하도록 지원합니다. 캠퍼스 및 브랜치 엔터프라이즈 네트워크에 광범위하게 구축되어 있으며 다음과 같은 두 가지 주요 요소로 구성됩니다. 802.1X 프로토콜—유무선 액세스 포인트의 PNAC(포트 기반 네트워크 액세스 제어)를 위한 IEEE 표준입니다. 802.1X는 LAN 또는 WLAN에 액세스를 시도하는 모든 사용자나 디바이스에 대한 인증 제어를 정의합니다. NAC—네트워크에 대한 액세스 제어를 통해 사용자 및 디바이스를 식별하는 입증된 네트워킹 개념을 말합니다. NAC는 인증 및 정책 적용을 사용하여 엔터..

TMS는 요즘 효율적인 통합 보안관리를 위한 대안으로 각종 위협으로부터 내부 정보자산을 보호하기 위하여 글로벌 위협정보를 실시간으로 분석해서 내부 정보 인프라에 능동적으로 적용함으로써 조기에 위협을 제거하고 관리 할 수 있는 통합된 정보보호 기술 체계를 가리키며 전사적이고 능동적인 보안 솔루션으로 자리 잡고 있다. TMS(Threat Management System) 솔루션은 전사적 IT인프라의 위협정보 들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로 부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 알려지지 않은 공격들에 대한 조기 대응을 유도하는 시스템이다. 각종 위협..

Prepared statement 환경에서의 취약점 진단 * 개요 https://sas-study.tistory.com/160 사용자 입력 값을 받은 뒤에, 즉 From 절 from board where tbname=' board라는 게시판 테이블 하나를 사용 하나의 테이블로 관리 -> 반드시 tbname 같은 이름으로 사용한다고 해서 반드시 테이블로 사용하는 것은 아님 -> from 절에 들어간다는 가정하에 테스트 시 where 절 사용, 데이터 사전을 건드는 방법 ex) jsp 사용 oracle 127.0.0.1:8888/security/example.jsp?tbname=all_tables example.jsp?tbname=ex_member%20where@201=2 where 절이 있을 경우 위 구문..

-웹 취약점 근거 제공 사이트 (1) CWE (Common Weakness Enumeration) - http ://cwe.mitre.org -미국 국토보안부내 국가사이버보안국의 지원으로 mitre에서 소프트웨어 취약점을 다양한 관점에서 분류 (2) CVE(Common Vulneralilities and Exposures ) -http://cve.mitre.org -시간에 따라 감지된 보안 취약점을 정리해 둔 목록 -보안 취약점의 히스토리 기록 (3) SANS Top 25-CWE/SANS Top 25 -MITRE와 SANS 협회에서 매면 가장 위험한 프로그래밍 오류라는 부재로 발표하는 소프트웨어 취약점 (4) OWASP Top 10-http://www.owasp.org-Open Web Applicatio..

rule DAON_DOCEXE_IN_ALZ { meta: author = "DaonTech" comment = "To detect .doc.exe file" weight=100 strings: $local_file = { 41 4c 5a 01 } $ext_doc = ".doc" nocase $ext_exe = ".exe" nocase condition: uint32(0) == 0x015a4c41 and $ext_doc and $ext_exe in (@local_file+32..@local_file+32+uint16(@local_file+26)) } meta는 기본적으로 Rule 에 영향을 미치지 않는다. • Strings나 condition에 사용할 수 없다. • meta는 추가정보를 입력하는 것으로 룰..

Archery 취약점 진단 솔루션 소개 * 진단 도구 소개 Archery는 개발자와 침투테스터가 스캔을 수행하고 취약점을 관리하는 오픈 소스 취약점 진단 및 관리 도구이다. Archery는 잘 알려진 오픈 소스 도구를 사용하여 웹 응용 프로그램과 네트워크를 포괄적으로 검사한다. 해당 툴을 이용하면 스마트하고 자동화 된 방식으로 시스템의 취약점을 탐지하고 이를 통합된 방식으로 관리할 수 있다. 공식홈페이지 https://archerysec.info/index.html 참고페이지 https://m.blog.naver.com/PostView.nhn?blogId=chogar&logNo=221291008897&categoryNo=13&proxyReferer=&proxyReferer=https%3A%2F%2Fwww..

개인정보보호법이 시행되면서 개인정보보호의 기술적 보호대책을 위해 내부망, DMZ구간, 외부망이라는 말이 많이 언급되고 있습니다. 내부관리계획을 세우다보면, 내부망을 단순히 사내조직원들끼리 사용하는 시스템 정도(인터넷으로 접근)로 아는 분들도 생각보다 많고, DMZ구간을 인터넷구간으로 혼동하시는 분들도 있고 해서, 부족한 지식이지만 아는 것들은 모두 뽑아내어 포스팅을 하게 되었습니다. 개인정보보호법에서 말하는 내부망, DMZ구간, 외부망이란? 내부망은 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는 근거리 통신망(LAN, Local Area Network)을 말합니다. 군대에 다녀오신 분들이라면, 인트라넷으로 이해하시는게 가장 쉬울 ..

※ Kali linux 64bit 환경에서 테스트 ※ 기존 포스팅 한 버전(6.4.1)에서 최신버전(8.9.0)으로 재설치 ※ 최신 버전 다운로드 www.tenable.com/downloads/nessus Download Nessus Download Nessus and Nessus Manager. www.tenable.com 1. nessus.org 에서 해당 패키지 다운로드 및 설치 # sudo dpkg -i Nessus-8.9.0-debian6_amd64.deb 2. nessus 데몬 시작 및 확인 → 아래 명령어로 데몬 enable 및 start # sudo systemctl enable nessud # sudo systemctl start nessud # systemctl status nessud..