ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • [산대특] 모니터링 도구
    [산대특]클라우드기반 빅데이터 활용 정보 시스템보안과정/Linux 2024. 9. 3. 18:38

    0902

     

     

    ** php 오직 html만 해석해주는 웹 브라우저에서 php 코드블럭을 실행한 뒤 그 결과를 html로 반환하는 프로그램이다.

    데이터베이스에 침투할 때 

    SQL 구문의 오류를 유도해서 들어가는 Error-Based Ingection 기법도 있다.

     

    A'  OR 'A'= 'A 
    거짓     참 = 거짓=>참

    select username, password from userss where username='paul' and password='paulpass';

     

      네트워크 노드를 관리하고 모니터링하는 - PacketFence

    네트워크에 접속하는 하드웨어 단말기들을 제어 => NAC(Network Access Control)

    ==> PacketFence

    NAC는

    노드 포트의 플러그인(인터페이스) 체크와 사용자 인증을 수행해서

    유/무선으로 누가, 언제, 어느 서비스에 접속하는지 통제한다. 

     

    PacketFence 사용조건

    Snort, MySQL, Apache, PHP, Perl, 그리고 Perl Modules 패키지 등이 있어함.

     

      PF(Packet Fence)는 두 가지 모드로 작동하는데

    Inline 모드는 소규모에서 작동 PF가 게이트웨이와 스위치 역할을 하고,

    VLAN Enforcement 모드는 대규모에서 작동되는데

    노드의 MAC 주소를 검사해서 인증된 노드는 Registration(등록) VLAN으로 보내고

    감염되거나 이상 행동을 보이는 머신은 Isolation(격리) VLAN에 보내서 활동을 막는다.

    관리 호스트는 Managed VLAN이 된다.

    Registered VLAN에 호스트 등록은 MAC이나 hostname, IP 주소 등으로 할 수 있다.  



     

      Out-of-path 방식

    이 방식은 모니터가 되는 머신에 2개의 NIC 을 꽂아 Multi-home machine으로 만들고

    한쪽 NIC1 은 내부 네트워크와 연결하는 Host-only 로 해주고

    다른 한쪽 NIC0 은 외부로 연결하는 Bridge로 해둔다.

    Host-only에 연결되는 각 VMs 들의 게이트웨이 주소는 NIC1 주소가 되어야한다 !!!

     

    ** 그 외에도 Untangle, Endian, ... 등의 도구가 있다. 

       이제 UTM인 Astaro Security Gateway를 실습해 본다.

    위협관리 도구들을 묶어놓은 통합 위협관리 UTM(Unified Threat Management)

     

      ASG 는 3개의 NIC을 설치한다.

    eth0는 VMnet0 (Bridged)로 설정해서 외부 WAN External로 사용
    eth1은 VMnet8 (NAT)로 설정해서 Astaro 관리를 위한 Management로 사용
    eth2는 VMnet1 (Host-only)로 설정해서 내부 LAN Internal로 사용

    https://lrl.kr/tLSn

     

     

     

      Security Onion
    snorby(네트워크 보안 모니터링 도구)+

    Barnyard(각 호스트에서 발생하는 이벤트를 받아서 처리)+

    Snort,Suricata(IDS/IPS도구)+PulledPork(Rullset 를 업데이트해줌)+

    OSSEC(그래픽) ==> 하나로 통합해서 운영하게 해주는 도구

     

    Onion이라는 이름처럼 여러 보안 도구가 겹겹이 쌓여있다.

     

     


      FortiGate(ASG 와 쌍벽)
      소프트웨어 방화벽

    FortiGate는 원래 Forti OS라는 운영체제를 탑재한 하드웨어지만 FortiGate VM이라는 소프트웨어로 실습할 수 있다. FortiGate로 구축된 네트워크를 FortiNet으로 부른다. FortiNet Analyser*.ovf 파일을 다운받아서 가상머신처럼 설치 한 뒤 이 FortiGate 가상머신과 연계하면 네트워크 트래픽 분석도구가 된다. 

     

     

     

      네트워크와 클라우드용 모니터링
    MRTG(Multi Router Traffic Grapher), Cacti(RRDtool(Round Robin Database tools) 등으로 

    네트워크를 모니터링하고 

    Zabbix, Nagios(조올라 유명) 등으로 클라우드를 모니터링 할 수 있다. 

    <= Prometheus (찐) 로 클라우드를 모니터링하기도 한다. 

     

연의 취업 도전기.