Devsecops

Snort란?​ 오픈 소스 네트워크 침입 차단 시스템이자, 네트워크 침입 탐지 시스템​ 시간 트래픽 분석과 IP에서의 패킷 로깅을 수행하는 능력 ​ 프로토콜 분석, 내용 검색 그리고 매칭을 수행 룰 설정​ Header/Body 부분으로 구성되어 있다​ Header는 처리방식, 프로토콜, IP, Port 등으로 패킷 판단 기준을 명시한다​ Body는 패킷을 탐지하기 위한 규칙을 명시한다 헤더 설정 형식​ Action : alert, log, pass, activate, dynamic, drop, reject, sdrop ​ Protocol : Tcp, UDP, ICMP, IP​ IP : src/dst IP​ Port : src/dst Port​ 방향 지시자 : ->, Action 유형 Alert : ale..

정적분석 Bintext, String BinText는 이진 파일에서 문자열을 추출하는 데 사용할 수 있는 CLI 도구​ 파일에서 일반 텍스트, 유니코드 텍스트 및 ANSI 텍스트 추출​ 아이콘, 비트맵 및 대화 상자와 같은 리소스를 추출​ Malware에 대한 파일을 분석할 때 BinText를 사용하여 파일의 목적 또는 기능에 대한 정보를 포함할 수 있는 파일에서 문자열을 추출할 수 있고, 이곳에는 파일 경로, 네트워크 주소, CLI 인수 및 파일 동작을 식별하는 데 사용할 수 있는 기타 데이터와 같은 정보가 포함된다 PEview​ PEview는 PE(Portable Executable) 파일의 구조와 리소스를 보는 데 사용할 수 있는 도구 ​ 헤더, 섹션, 가져오기, 내보내기 및 기타 데이터를 포함하여..

Shodan Shodan은 구글과 같은 검색엔진과 달리 포트를 검색한 후 배너 정보로부터 메타데이터를 자져와 인터넷과 연결된 다양한 장비의 정보를 수집하고 결과를 보여준다. 작동 순서​ 사용자 검색 포트조사 결과 배너 캡쳐​ 배너 : 요청이 들어왔을 때 그에 대한 답으로 되돌려지는 정보​ 캡쳐된 배너 색인화 결과 출력 AbuseIPDB​ AbuseIPDB는 인터넷상에서 해커, 스패머 및 악의적인 활동의 확산을 방지하기 위한 프로젝트 ​ 웹마스터, 시스템 관리자 및 기타 이해 당사자가 온라인에서 악의적인 활동과 관련된 IP 주소를 보고하고 찾을 수 있도록 중앙 블랙리스트를 제공한다. GrayHatWarefare 클라우드 저장 서비스 검색

보안관제란? 전자문서·전자기록물 또는 정보통신망을 대상으로 하는 사이버공격 정보를 실시간 수집·분석·전파하는 일련의 활동 보안관제 원칙 무중단의 원칙 보안관제센터를 운영하는 기관의 장은 보안관제 업무를 24시간 중단 없이 수행하여야 하며 이를 위한 교대근무 체계를 구축·운영하여야 한다. 다만, 침해사고대응센터의 경우 보안관제 대상기관의 범위와 중요성 및 보안관제센터의 규모 등을 고려하여 당해 기관의 장이 인정하는 경우에는 그러하지 아니할 수 있다. 전문성의 원칙 ① 교육(행정)기관의 장은 보안관제 업무를 수행하기 위하여 필요한 전문 인력과 시설을 갖추어야 한다. ② 교육(행정)기관의 장이 제1항의 규정에 따라 외부기관 또는 업체의 전문 인력을 활용할 경우에는 보안관제 업무의 책임 있는 수행과 보안관리 등..

SQL Slammer Worm 이란?​ PC 웜의 일종으로 한국 2003년도 1/25 인터넷 대란을 일으킨 범인​ 감염 경로​ SQL Server 2000의 MS DB 패키지를 통해 침투​ 전파 경로​ PC에서 자체 실행되어 감염시킬 다른 PC를 찾고 무작위로 선정된 다른 PC는 감염된 PC에 의해 UDP 공격을 받음​ 위와 같은 방식으로 취약한 SQL Server 2000 패키지를 사용하던 PC끼리 서로 감염시키며 확산됨 공격 분석 헤더를 포함한 404 byte로 구성됨 UDP 패킷 생성, 무작위 IP 주소로 1초에 1MB 크기의 패킷을 보내는 방식의 DOS 공격을 KT 혜화전화국 DNS Server에 보내 전국 인터넷을 마비시킴​ 이 패킷은 한 번 보내면 무한 루프를 돌아 Server가 종료될 때까지..

누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 프로그램(악의적은 목적을 가진 소프트웨어) 유형 바이러스​ 프로그램을 통해 감염되는 악성 소프트웨어 숙주가 없으면 다른 곳으로 퍼지지 않음, 오래된(구식) 악성코드로 분류됨 웜 ​ PC의 취약점을 찾아 네트워크를 통해 스스로 감염되는 악성 소프트웨어 ​ 트로이목마 ​ 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성코드로 동작 자가 복제능력이 없는 악성 소프트웨어 애드웨어​ PC 사용시 자동적으로 광고가 표시되게 하는 악성 소프트웨어(광고가 주 목적) 특정 백신에서는 악성코드로 인식하지 않는 경우도 많다​ 스파이웨어​ 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전..

DOS Attack 서비스 거부 공격(Denial of Service)​ 공격 대상 시스템이 정상적인 서비스를 할 수 없는 상태로 만드는 공격​ 파괴 공격, 시스템 자원공격, 네트워크 자원 소진 공격 DOS Attack 종류 Ping of Death​ ​ping 의 크기를 매우 크게 설정하여 피해자 장비로 보내는 공격 패킷을 보낼때 일정크기로( EX)MTU ) 쪼개서 내므로 트래픽 도착시 재조합을 해야한다. 이 때 과도한 자원소모로 DOS 상태에 빠질 수 있다. Land Attack​ ​출발지와 목적지를 동일하게 설정하여 트래픽을 자기자신에게 보내면서 자원을 소모시키는 공격 Smurf Attack​ ​피해자 장비로 출발지를 조작하여 ICMP echo Request를 브로드 캐스트하여 피해자 장비로과도한 ..

외부 Network로부터 내부 Network로 침입하는 Network 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어​ IPS(Intrusion Prevention System)​ 7계층 장비

시스템에 대한 원치 않는 조작을 탐지​ IDS(Intrusion Detection System)​ 7계층 장비 위치에 따른 탐지 네트워크 기반 탐지​ 악의적 트래픽 탐지를 위해 모든 네트워크 트래픽의 흐름을 캡처하여 각각의 패킷 내용을 분석​ 호스트 기반 탐지​ 호스트에서 시스템 콜, 애플리케이션 로그, 파일 시스템의 수정사항, 호스트의 동작과 상태 등을 분석하여 침입을 식별하는 에이전트로 구성 탐지 방식 오용 탐지​ 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 감시하여 침입을 식별​ 이상 탐지​ 일반적인 동작과 다른 것으로 추정되는 트래픽 또는 애플리케이션 컨텐트를 시스템 운영자에게 알리는 것으로 침입을 식별

방화벽 미리 정의된 보안 규칙에 기반하여 들어오고 나가는 Network 트래픽을 모니터링하고 제어하는 Network 보안 시스템​ 4계층 장비​ 기본적으로 IP + Port 기반으로 트래픽 제어​ 확장 모듈을 통한 기능 제공 EX)상태추적기능​ NAT 확장 모듈 상태 추적 기능 방화벽을 통과하는 모든 패킷에 대한 연결 상태를 추적하여 저장 후 이후에 들어온 상태 목록과 비교하여 통과, 차단하는 기능​ 연결된 상태의 패킷인 것처럼 위조한 패킷의 접근을 차단할 수 있어 보안적으로 큰 장점을 가진다​ 연결상태의 패킷에 대해서는 더 이상 패턴 매칭 검사를 수행하지 않으므로 성능상 장점을 가진다 Connlimit​ 동일한 IP(대역)의 동시 연결 개수에 대한 제한을 할 수 있는 모듈​ 디도스 공격에 효과적​ Li..

방화벽​ 상태추적 기능​ 확장 모듈 침입탐지시스템​ 위치에 따른 탐지​ 탐지 방식 침입차단시스템

인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜이다. RFC15를 시작으로 1969년에 개발되었으며 최초의 인터넷 표준들 가운데 하나로서 IETF STD 8로 표준화되었다.​ TCP/23 포트 사용​ 평문 통신​ 스니핑에 취약

원격지 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜​ Tcp/22 포트 사용​ 암호화 방식 사용 SSh 기능 보안 접속을 통한 Rsh, Rcp, Rlogin, Rexec, Telnet, Ftp 등을 제공한다.​ 보안 통신​ 인증, 기밀성, 압축 , 다중화​ 포트 포워딩 Rsh :리모트 셸은 컴퓨터 네트워크의 다른 컴퓨터에서 다른 사용자로 셸 명령을 실행할 수 있는 기능 Rcp : 원격지의 파일과 디렉터리를 복사해 오거나 내 시스템의 파일과 디렉터리를 복사 Rlogin : 원격 로그인 Rexec : 호스트에 지정된 리모트 시스템에서 지정된 명령을 실행 Ftp : 파일전송 Ssh 포트 포워딩(터널링) SSH 표준에 명시되어 있는 기술로 SSH 클라이언트가 SSH 서버에 접속하여 만든 연결을 다른 ..

3계층 IP 프로토콜은 신뢰할 수 없는 프로토콜, 전송상태에 대한 관리가 이루어지지 않는 단점을 보안하기 위한 프로토콜​ IP 패킷 전송 중 에러 발생 시 에러 발생 원인을 알려주거나 네트워크 상태를 진단해주는 기능을 제공해준다​ Error – Reporting Message 기능 : 전송 중 오류 발생 시 에러 메시지를 생성하여 응답​ Query Message 기능 : 네트워크 상태를 진단하기 위한 쿼리 요청 및 응답 메시지 생성 프로토콜 구조 Type : ICMP 메시지의 유형/용도​ Code : Type의 세부 내용으로 Type과 Code가 조합되어 ICMP 메시지의 목적과 용도를 나타낸다​ Checksum : ICMP 메시지 오류를 검사하기 위한 값​ Rest of the Header : Type..

Hyper Text Transfer Protocol 웹상에서 클라이언트와 서버 간 통신을 위해 개발된 프로토콜​ 비연결형 프로토콜​ 클라이언트 요청과 서버 응답으로 이루어져 있다​ 80/TCP 포트 이용 주요 메소드 GET : 요청 URL로 지정한 자원을 서버에 요청하는 메소드​ POST : 요청 URL로 지정한 자원을 서버에 요청하는 메소드, 메시지 바디 포함​ HEAD : GET과 유사하지만 서버 응답시 응답 메시지 받지를 제외하고 헤더부만 응답해주는 메소드​ OPTIONS : 서버가 지원하는 메소드 확인​ CONNECT : 클라이언트와 서버간 터널링 목적으로 사용하는 메소드 웹서버가 Proxy역할​ PUT : 요청 메시지 바디에 포함되어 있는 데이터를 요청 URL로 지정한 자원으로 저장하도록 하는 ..

SMTP 메일 전송 프로토콜​ 메일 클라이언트(MTU)와 메일서버(MTA) 또는 송 수신 메일 서버(MTA) 간에 메일 전송을 위해 사용하는 프로토콜​ 25/TCP 포트 사용 ​SMTP 메일 형식​ 봉투​ Mail From : 발신자 주소​ RCPT To : 수신자 주소​ 메시지​ 헤더​ Received : 전송 경로​ Return-Path : 반송 주소​ From : 전송자​ To : 수신자​ Subject : 제목​ Date : 날짜​ . . .​ 바디 값​ 바디 값 : 메시지 내용 POP3 메일 접근 프로토콜​ MUA에서 MTA로부터 메일을 수신할 수 있도록 해주는 프토코콜​ Client가 메일을 Server로부터 가지고 온 후 서버에서 해당 메일을 삭제 하기 때문에 다른 곳에서 메일 확인이 불가능..

FTP(File Transfer protocol)​ TCP/IP 기반의 원격으로 떨어져 있는 서버와 클라이언트 사이의 파일 전송을 위한 프로토콜​ 암호화가 되어 있지 않는 채로 전송되어 스니핑에 취약 전송 모드 능동 모드 FTP의 기본 모드​ Client에서 Server측 21번 포트로 접속하여 제어 채널을 생성 후 데이터는 서버에서 클라이언트로 접속하여 데이터를 보내는 방식 동작 방식 Client가 Server 21번 포트로 제어체널을 생성 사용자가 ls명령어 입력시 FTP클라이언트는 사용할 1024이상의 포트를 결정하여 FTP 서버에게 알림 Server가 해당 포트로 Client로 데이터 채널 생성 수동 모드 Client에서 Server측 21번 포트로 접속하여 제어 채널을 생성 후 데이터 채널도 클..

FTP 전송모드 능동모드 수동모드 ​이메일 프로토콜 SMTP SMTP 메일 형식​ POP3​ IMAP​ 이메일 시스템 동작방식​​ ICMP ICMP 프로토콜 구조​ ICMP Error-Reporting 메시지​ ICMP Query 메시지​ 네트워크 관리 명령어 SSH SSh 기능​ SSh 전송 과정​ SSh 포트 포워딩 Telnet HTTP 주요 메소드​ 요청 메시지 구조​ 상태 코드​ 응답 메시지 구조​ HTTPS

L7 스위치​ OSI의 7레이어 즉 애플리케이션 레이어에서 동작하는 것으로 이를테면 이메일의 제목이나 문자열을 보고 내용을 파악한다거나 HTTP의 URL 또는 FTP의 파일명, 쿠키 정보, 특정 바이러스의 패턴 등을 분석해서 보안에 더욱 유리하고 더욱 정교한 로드 밸런싱이 가능해진다. 웹방화벽에 관한 역할을 수행 하기도 한다.​

L4 스위치​ 서버 트래픽 부하분산(Load Balancing)과 장애극복 기능 제공​ 장점​ 보안성이 높고 고급 스위칭 설정이 가능하여 상황에 따른 적절한 설정을 할 수 있다. ​ 용량에 관계없이 네트워크의 성능 개선에 기여한다.(장비가 받아 들일 수 있는 트래픽은 한정적이다)​ 단점​ 프로토콜에 의존적이며, 설정이 복잡하다.​ 고가의 장비로 L2, L3 스위치와 적절한 혼합 배치가 필요하다​

라우터​ 최적의 경로를 선정해서 패킷을 포워딩하는 기능을 담당하는 장비​ 데이터링크 계층의 브로드캐스트와 멀티캐스트를 포워딩 하지 않으며 서로 다른 VLAN간 통신을 가능하게 하고 기본적인 보안기능(ACL)과 QoS(트래픽 조절)관련 기능을 지원하는 장비 L3 스위치​ 라우터 + 스위치가 제공하는 기능을 이용하여 논리적으로 LAN 환경 제공 라우팅 ​한 네트워크에서 특정 경로로 데이터를 보낼 때 사용되는 과정 최적의 경로를 설정하는 과정 ​ 라우팅 규칙​ 목적지 주소가 자신과 동일한 네트워크에 있다면 직접 전송​ 목적지 주소가 자신과 동일한 네트워크에 없다면 직접 전송이 불가능하므로 1차 경유지(Gateway) 주소를 라우팅 테이블을 참조하여 전송​ 목적지 주소와 자신의 주소가 서로 같으면 상위 계층으로..

2계층 장비의 5가지 특징 Learning 2계층 장비는출발지와 목적지에 대한 정보를 테이블에 저장하게 된다. 이를 학습이라는 과정을 통해 테이블에 저장하게 되는데 A에서 B로 보내고자 할 때 A에서 보낸 신호가 2계층 장비에 도착했을때는 브로드 캐스트 과정을 가진다(이것을 Flooding 이라고 한다) Fowarding A에서 B로 데이터를 보낼 때 테이블에 경로가 저장되어 있으면(Learning, Flooding 을 통해) Flooding 과정을 거치지 않고 바로 Fowaring을 통해 보내고 Filtering을 통해 제 3호스트 C나 D로 가지 못하도록 한다 Flooding A에서 B로 보내고자 할 때 A에서 보낸 신호가 2계층 장비에 도착했을때는 브로드 캐스트 과정을 가진다(이것을 Flooding..

리피터​ 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계 장치 불필요한 신호까지 증폭시키기 때문에 현재 단독으로 잘 사용하지 않는다 스위치, 브리지 등 장비에 기본적으로포함되어 있다 허브(Dummy Hub) ​ 들어온 신호를 모든 포트로 전달하는 중계 장치 EX) 공유​기, 사용자가 늘어날 수록 속도가 느려진다. 많은 케이블 사용시 큰 단점을 가진다 케이블 ​ 전송장치에 신호를 전달하는 통로​ TP(Twisted Pair​ UTP​ STP​ 동축케이블 ​​ 광(Fiber)​

목차 Physical Layer(물리 계층, L1)​ 리피터​ 허브​ 케이블 Data Link Layer(데이터 링크 계층, L2)​ L2 스위치​ 브릿지 ​Network Layer(네트워크 계층, L3)​ 라우터​ Routing​ L3 스위치 Transport Layer(전송 계층,L4)​ L4 스위치 Application Layer(응용 계층, L7)​ L7 스위치

UDP 프로토콜 비연결형 프로토콜​ 논리적인 연결 설정 과정이 없기 때문에 데이터그램 전송 시 마다 주소 정보를 설정해서 전송​ 순차적 전송을 보장하지 않는다​ 데이터그램 기반 전송 방식 이용(데이터를 정해진 크기로 전송하는 방식)​ 단순하고 가벼운 프로토콜로 전송속도 빠르다​ 헤더 자체에는 순서와 관련된 정보가 없기 때문에 수신 측 순서 재조립 요구​ 신뢰할 수 없는 프로토콜​ 흐름제어, 오류제어, 혼잡제어를 수행하지 않는다​ UDP를 사용하는 프로그램 쪽에서 오류제어 기능을 스스로 갖추어야 한다​ 포트 정보를 이용하여 상위 송수신 Application을 식별하는 역할 정도만 수행 구조 Source Port : 출발지 포트번호​ Destination Port : 목적지 포트번호​ Total Length..

연결 종료 과정(4 Way handshaking) 연결이 종료된다라는것은 Client와 Server 모두 종료가 되었을 때를 말한다, 비정상적으로 한쪽만 종료 되고, 일정시간이 지나면 비정상적인 종료라 간주하고 양쪽 다 종료 되겠금 TCP는 조정하는 특징을 가지고 있다 Client는 Sever와 연결 설정 종료, FIN+ACK 패킷 전송 연결 요청에 대한 확인 응답ACK전송 일단 FIN은 받았다 하지만 아직 보내야할 데이터도 있고 안정적인 종료를 위해서 조금만 기다려 라는 요청 해당 Application에서 TCP 연결 종료 할 때까지 대기 후 FIN+ACK 패킷 전송 모두 완료 되었으니 종료 하자 마지막 ACK 보낸 후 2MSL시간동안 대기 2MSL 시간 동안 대기 : 마지막 ACK 응답이 안전하게 상..

연결 설정 과정(3 Way handshake) 최초 Client는 Server와 연결 설정을 위한 연결 요청 패킷(SYN)전송​ 이 때 Seq.Num은 임의의 랜던 값을 정하는데 그 이유는 송신중에 분실이 일어날경우 TCP는 재전송을 한다. 재전송 하는 시점에 순서번호가 초기번호로 다시 셋팅 되면 TCP 순서랑 어긋나게끔 셋팅이 된다 Client의 연결 요청에 대한 수신 확인 응답(ACK)과 함께 Server에서 Client로 SYN을 보내 상호간에 연결요청​을 한다 이 때는 Seq.Num도 임의의 랜덤 값을 설정하고 Ack.Num은 Client가 보낸 Seq.Num + 1 값으로 설정한다 여기서 +1은 Client.Seq.Num에서 설정한 값까지 받았으니 그 다음부터 보내라 라는 의미이다. Server..