보안 발자국

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #08 학습 내용 - - Sysmon # 윈도우 운영체제에 설치되는 시스템 모니터링 툴 # 프로세스 생성/종료, 파일 생성/ 수정 시간, 네트워크 설정 정보(IP, 포트 번호)등의 정보 MS의 자회사 Sysinternal • Microsoft의 Sysinternal suite에 포함된 시스템 모니터링 툴 • 기본 윈도우 이벤트 로그로는 한계가 있는 프로세스 생성, 네트워크 연결, 파일 생성 시간 변경 등의 정보를 추출한 후 윈도우 이벤트 저장소에 저장 * 이벤트 기반 정보가 아닌 ‘행동 기반 정보’를 수집에서 이벤트 저장소에 저장 Sysmon 기능 • 실행 프로세스와 부모 프로세스의 전체..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #07-08 [ Web 구조 이해 ] 포스팅 삽입 HTTP 네트워크 현황분석과 이상징후 분석 １) HTTP Log 실습환경 구성 ２) HTTP 네트워크 현황분석 ３) HTTP 이상징후 １) HTTP Log 실습환경 구성 ❶ Index 만들기 ❷ SourceType 지정 ❸ 데이터 추가 # 검색 시작 초기 검색어 source="http.zip:*" host="ZeekHTTP" index="httplog" sourcetype="httplog" ２) HTTP 네트워크 현황 분석 • 내부 인트라넷 서비스/ 인터넷 기반 서비스도 대부분 HTTP로 동작 • HTTP를 분석 시 목적지가 인터넷인지 인..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #07 [ DNS 패킷 구조 포스팅 삽입 ] DNS 네트워크 현황분석과 이상징후 분석 １) DNS Log 실습환경 구성 ２) DNS 네트워크 현황분석 ３) DNS 이상징후 １) DNS Log 실습환경 구성 ❶ 내 pc의 인덱스 경로 확인 ❷ Index 만들기 (로그 저장소) ❸ SourceType 지정 (로그 필드명 지정) ❹ 데이터 추가 (로그 저장) ❺ URL Toolbox 설치 ❶ 내 pc의 인덱스 경로 확인 : Splunk가 로그 데이터를 처리하고 인덱싱하는 과정에서 생성된 파일들이 내 pc에도 저장된다. 이 파일들은 로그 데이터를 빠르게 검색하고 분석할 수 있도록 한다. - 인덱..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #06 학습 내용 - SIEM 복습 - Splunk Enterprise 설치 - Search & Reporting - Splunk 검색 명령어 (12.SIEM_Splunk.pdf + 01.03 필기 p8~로 내용 정리) 원활한 실습을 위해 이번에는 가상환경이 아닌 windows 환경에서 Splunk를 설치하고, 제공되는 튜토리얼 데이터를 이용해 실습을 진행해보았다 Splunk Enterprise 설치 splunk-9.0.1-...x64-release.msi Splunk Web 실행 설치 마지막에 위처럼 체크를 했다면 자동으로 진입된다 설치 시 설정한 사용자 이름과 암호로 로그인한다 여기에..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #05 Zeek • 네트워크 침입탐지시스템(NIDS) - Bro에서 zeek으로 바뀌면서 프로토콜 분석에 이용하게 되었다 - 네트워크를 모니터링 할 수 있는 오픈 소스 프로그램 • IP헤더와 TCP 헤더를 분석하여 로그를 생성한다 • 응용 프로토콜의 헤더를 분석하여 로그를 생성한다 - FTP, HTTP, SMTP, X.509 .. HIDS: 한 Host 내에서 이상 징후 탐지 Zeek 설치 방법 망의 트래픽을 zeek에 모두 넘기려면, 확장이 필요하다 - Switch의 SPAN 또는 Port Mirroring - TAP 이용 그러나, 가상 머신은 HUB를 이용하므로 확장이 필요하지 않다...

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #05 학습 내용 1) 3-Tier 웹 시스템 구조 2) Proxy Server 3) HTTP 메시지 구조 실습 사전 준비 - '03.시스템 네트워크 보안'에서 사용한 Kali, Metasploitable 가상머신 - 각각 192.168.10.50 / 192.168.10.60으로 세팅한다 [Kali] Network Connections > Wired connection 1 > IPv4 Settings Method: Manual Address: 192.168.10.50 / Netmask: 24 / Gateway: 192.168.10.2 [Metasploitable] sudo su - msf..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #04 Self-Singed Certificate HTTPS server 자체 서명 인증서를 이용해 HTTPS 서버 구성하기 1) HTTP Server 구성 2) HTTPS Server 구성 3) HTTPS Client 적용 1) HTTP Server 구성 [WebServer - CentOS] su - root Step 1. Apache 패키지 설치 확인 rpm -qa | grep httpd # 없는 경우 설치 yum install –y httpd # 패키지 버전 확인 httpd –v Step 2. OpenSSL과 mod_ssl 설치 확인 ❶ openssl 패키지 확인 rpm -qa | ..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #03-04 학습 내용 - 대칭키/비대칭키 암호화 - 암호화/해시 알고리즘 - 암호화 프로토콜 (SSL/TLS) - 암호화 실습 (대칭키/비대칭키) - 공개 키 기반 구조 (인증기관: CA, 인증서: CRT) 암호화의 역할 • 기밀성(Confidentiality): 인가된 자만 데이터 열람 가능 • 신뢰성(Authenticity): 인증, 정당한 사용자임을 확인 • 무결성(Integrity): 변조(오염)로부터 보호된다 대칭키 암호화 방식 • 암호화와 복호화 시 동일한 키를 사용 • 단일키(패스워드) 비대칭키 암호화 방식 • 암호화와 복호화 시 서로 다른 키를 사용 • 공개키, 개인키(P..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #03 학습 내용 - - 리눅스 로그 관리 rsyslog 개요 • rsyslogd 데몬이 동작하면서 로그를 기록한다. • 데몬 동작은 /etc/rc.d/init.d/rsyslog라는 스크립트를 이용 • 환경 설정은 /etc/rsyslog.conf 파일을 통해서 제어 * 데몬: 백그라운드에서 돌아가는 프로세스 syslog/rsyslog • 로그를 중앙 집중적으로 관리하는 패키지 # 네트워크와는 관련 없이, 시스템적으로 중앙 집중적인 것이다. - rsyslogd 데몬은 /etc/rsyslog.conf 설정파일을 참조하여 로그를 남김 - /etc/rsyslog.conf 파일에는“어디에서 로그가..

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합보안 과정 클라우드기반 시스템 운영 구축 실무 #02 1. VMware, 이미지 다운로드 1) VMware Workstation 17 Pro https://www.vmware.com/kr/products/workstation-pro/workstation-pro-evaluation.htm ➞ VMware-workstation-full-17.x.x-xxxx.exe 2) ubuntu-20.04-desktop-amd64.iso https://old-releases.ubuntu.com/releases/20.04/ 3) CentOS-7.0-1406-x86_64-DVD.iso https://archive.kernel.org/centos-vault..