Study/침입탐지와차단시스템10 [침입탐지와차단시스템] Snort 실습 Snort 설치 snort가 설치 되었는지 확인하고 설치를 진행한다. 설치 시 네트워크 인터페이스는 ens33으로 입력하고, 네트워크 범위는 192.168.100.0/24로 입력한다. 설치가 정상적으로 되었는지 버전을 확인한다. Snort 실행 #include $RULE_PATH/local.rules를 제외하고 735줄까지 #include 전부 주석 처리한다. ftp 우클릭 > Follow > TCP Stream 아이디랑 패스워드 그대로 노출... ftp 보안 취약! 그래서 snort로 막아줘야 함! 2023. 5. 19. [침입탐지와차단시스템] SSH 차단, 무차별 대입 공격 차단 세팅 확인 logout해서 접속이 잘 되고 있었다는 걸 확인 128로 설정해야 됨 캡처랑 다름 이렇게 하면 Kali에서 접속 안 됨 왜 되지 seconds 10 추가 차단 성공 ~ 2023. 5. 12. [침입탐지와차단시스템] ICMP 차단 3 Xubuntu에서 iptables 룰을 추가한다. Xubuntu에서 iptables 차단 실시간 로그를 진행한다. Kali에서 공격을 시도한다. * 위 명령어의 ICMP 크기는 1023 바이트이므로 1024 바이트가 넘지 않아서 IPS 로그가 1번 기록된다. -> 28 headers + 995 Data = 1023 bytes Xubuntu에서 iptables 차단 실시간 로그를 확인한다. Kali에서 다시 공격을 시도한다. * 위 명령어의 ICMP 크기는 1024 바이트이므로 IPS 로그가 2번 기록된다. -> 28 headers + 996 Data = 1024 bytes Xubuntu에서 로그를 확인한다. * ICMP 전체 크기가 1024 바이트 이상이므로, 로그는 2개만 기록된다. 2023. 4. 28. [침입탐지와차단시스템] ICMP 차단 2 Xubuntu에서 루트 계정으로 전환한다. Xubuntu에서 iptables 룰을 추가한다. 현재 Kali IP가 192.168.100.128이다. Xubuntu에서 와이어샤크를 실행한다. Kali에서 ping을 발생한다. 192.168.100.xxx → 192.168.10.20 으로 reply 패킷이 없다. Xubuntu에서 iptables 차단 실시간 로그를 확인한다. Kali에서 ping 상태를 확인한다. 2023. 4. 28. [침입탐지와차단시스템] ICMP 차단 1 ICMP 차단 Kali에서 직접 ping을 보내서 연결된 것을 확인할 수 있다. Xubuntu에서 와이어샤크를 실행한다. ICMP 패킷이 보이면 Xubuntu에서 네트워크 연결이 되어 있다는 것을 공격자(ping을 보낸 Kali)는 파악할 수 있다. 따라서 ICMP를 막는 것이 보안 관점에서 좋다. Xubuntu에서 iptables 방화벽 설치를 확인한다. * iptables는 기본적으로 설치되어 있으며, OS 버전에 따라 iptables의 버전이 다를 수 있다. root 계정으로 접속하여 iptables 방화벽 설정상태를 확인한다. 문제는 Xubuntu 입장에선 패킷 캡처 현황을 보지 않는 이상 ping이 오고 있는지 아닌지 알 수가 없다. 따라서 방화벽으로 차단이 필요하다. iptables 방화벽 기.. 2023. 4. 14. [침입탐지와차단시스템] SSH, Putty, Telnet 실습 은밀하게 통신하는 SSH SSH(Secure Shell)는 원격지 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜로 원격지에서 해당하는 서버의 터미널로 접속할 수 있는 도구라고 생각하면 된다! Kali에서 SSH 접속 ssh xubuntu@(Xubuntu IP 주소)를 입력하여 Xubuntu 환경으로 들어간다. Xubuntu에 있는 터미널에 접속했기 때문에 192.168.100.20이 보인다. 현재 Kali지만 화면은 Xubuntu에 접속한 화면인 것이다. Putty 설치 Putty는 SSH, 텔넷, raw TCP를 위한 클라이언트로 동작하는 자유 및 오픈 소스 단말 에뮬레이트 응용 프로그램 https://www.putty.org/ 위 사이트에서 Putty를 다운 받을 수 있다. 위 버전을 사용했.. 2023. 4. 14. [침입탐지와차단시스템] FTP - vsftpd 실습 FTP FTP는 파일 전송 프로토콜로 TCP/IP 프로토콜을 가지고 클라이언트와 서버 사이의 파일 전송을 한다. 20번 포트는 데이터 전송, 21번 포트는 명령과 응답 등의 제어 정보를 위해 사용된다. vsftpd는 Very Security FTPD의 약자로, 리눅스 배포판에서 기본적으로 제공하고 있다. 리눅스 및 유닉스 환경에서 보안성과 성능이 우수한 FTP 서버로 인정받았다. vsftpd 설치 $ sudo apt update $ sudo apt list --upgradeable Xubuntu에서 apt 명령 갱신 $ sudo apt search vsftpd $ sudo apt install vsftpd Xubuntu에서 vsftpd 설치 패키지 존재 확인 후 vsftpd 설치 $ sudo servic.. 2023. 4. 7. [침입탐지와차단시스템] 포트스캔(nmap) 실습 - TCP stealth 스캔, UDP 스캔 TCP stealth 실습 stealth 스캔: 공격자가 정상적인 3-way-handshake 과정이 완료되지 않게 하여 로그가 남기지 않도록 포트를 스캔하는 것 Xubuntu에서 Wireshark로 패킷 캡처를 시작한다. Kali에서 nmap을 실행한다. stealth 스캔을 할 것이기 때문에 -sS 옵션을 사용한다. * 일반적인 TCP 스캔은 -sT를 사용한다. Xubuntu의 와이어샤크에서 tcp.stream으로 필터링하여 TCP에서의 패킷 흐름을 파악한다. tcp.stream eq 0으로 필터링하면 열려 있는 패킷의 흐름을 확인할 수 있다. TCP SYN 스캔과는 달리 서버로부터 수신된 SYN-ACK 패킷에 RST 패킷으로 응답하지 않는데, 이게 로그를 남기지 않도록 포트를 스캔하는 것이다. tc.. 2023. 4. 7. [침입탐지와차단시스템] 포트스캔(nmap) 실습 - TCP SYN 스캔 실습 환경 구성 Kali IP는 192.168.100.128 (NAT) Xubuntu IP는 192.168.100.20 (NAT) 로 설정한다. 포트 스캔(nmap) 실습 nmap (Network Mapper)은 네트워크와 포트 스캐닝에 널리 사용하는 무료 소프트웨어이다. 공격자들은 포트 번호를 통해 어떤 동작을 하고 있는 지 자료를 수집한다. Kali에서 Host OS로 ping을 전달한다. -> ping은 네트워크 연결 상태는 확인할 수 있으나, 공격이 가능한 포트(예: 문)을 알기 어렵다. Kali에서 Host OS로 nmap을 사용하여 열려 있는 포트를 확인한다. 외부로 보내는 서비스가 없기 때문에 결과가 나오지 않는다. Kali에서 nmap 명령어를 사용하여 Xubutu의 열려 있는 포트를 확인.. 2023. 3. 31. [침입탐지와차단시스템] VMware 네트워크 설정을 이용한 ping 전달 1. Xubuntu에서, Network Adapter를 두 개 생성한다. • Adapter #1: NAT 192.168.100.20 • Adapter #2: Host-only 192.168.200.10 2. Kali에서 Adapter의 IP를 Xubuntu의 Host-only로 Adapter의 IP와 동일하게 변경한다. 3. Windows에서 Xubuntu로 ping을 전달한다. 내 경우에는 그냥 옵션 없이 ping을 전달하면 유효 시간이 만료되어서 사용자가 중단하기 전까지 ping 전달을 지속하는 -t 옵션을 사용해서 전달했다. 4. Xubuntu에서 Kali로 ping을 전달한다. 2023. 3. 31. 이전 1 다음
