소프트웨어 생명주기 SDLC: 시스템이 개발될 때부터 요구분석, 유지보수 등 생애를 마칠 때 까지의 작업 프로세스1. 요구사항분석2. 설계3. 구현4. 테스트5. 유지보수 소프트웨어 생명주기 모델 종류폭포수 모델각 단계를 확실히 마무리 짓고 다음 단계로 넘어가는 모델이며, 과거 사례가 많고 단계별 정의와 산출물이 명확순차적 접근이기 때문에 관리가 편리하지만 요구사항 변경이 어렵다는 단점프로토타이핑 모델고객 요구사항을 프로토타입으로 구현하고 피드백을 반영해서 소프트웨어 개발요구분석이 용이하고 타당성 검증이 가능하나, 프로토타입 폐기에 따른 비용 증가가 단점나선형 모델위험성 분석으로 인한 위험감소, 반복개발로 유연한 대처가 강점단계를 반복하기 때문에 관리가 어려움반복적 모델증분반식으로 병행 개발을 해서 일..

시나리오 보안 관제 업무를 하면서, 브라우저 취약점을 공격하는 익스플로잇 파일 전송 기능의 악성코드를 알게되었음브라우저에 유입되는 악성파일은 공통적으로 특정 패턴이 있어서 IPS에 적용해 탐지 차단해야 함MALSIG1그리고 악성코드의 변종 버전이 유포되고 있는데 이의 패턴은 MALSIG2 이다.이 두개의 패턴을 보안솔루션 정책의 추가해야 하는 상황 할일을 정리하면OPNSense 내에 설치된 suricata IPS, IDS에 악성코드 차단 정책 등록악성코드가 브라우저에 전송되면 로그 남기기 일단 OPNSense에 suricata 플러그인이 추가로 설치된 것을 확인해보자Services -> Intrusion Detection 에 있고 서비스는 enabled 상태이며 정책에 따라서 트래픽을 차단하는 IPS 모..

시나리오 보안관제 포지션에 있으면서 고객사의 웹 사이트가 악성코드를 유포한다는 소식을 들음. 악성코드는 브라우저의 취약점을 공격하는 기능이고, 사내 업무망을 보호하기 위해 사내 업무망과 악성코드 유포 사이트 연결을 차단해야 함.하지만 사내 업무망에서 원인 분석과 정상화를 위해서 원격 SSH 쉘 접속은 허용해야 함 악성코드 유포사이트: 192.168.10.20 할일:윈도우 데스크탑에서 악성코드 유포 사이트로의 접속은 차단윈도우 데스크탑에서 악성코드 유포 사이트로 SSH 클라이언트 프로그램으로 원격 쉘 접속은 허용OPNSense 방화벽에서 차단 로그 확인이 가능해야 함 방화벽 정책 적용 전사내 네트워크인 192.168.20.2/24에서 악성 웹사이트로 접속을 시도해서 차단 여부를 확인해보자바로 접근이 가능함..

시나리오 회사의 정보보안 담당자로 일하고 있는데, 윈도우 취약점을 공격하는 맬웨어가 특정 웹사이트에서 유포되고 있다는 메일을 받음. 유포되는 사이트 링크 두개가 있고, 이를 사내 업무망으로 부터 접근이 불가능하도록 조치해야 한다. 그리고 고객사 웹 사이트는 감염여부 확인을 위해 사내 업무망에서 접속이 가능해야 한다유포 사이트: 192.168.10.30, 192.168.10.40사내 업무망: 192.168.10.0/24고객사 웹사이트: 192.168.10.20그리고 조치해야 할 사항은 다음과 같음OPNSense 방화벽으로 사내 업무망과 악성코드 유포 사이트의 접근을 차단OPNSense 방화벽으로 사내 업무망과 고객사 웹 사이트의 접속 허용악성코드 유포 사이트에 접근시도 차단 이력은 방화벽에서 차단로그 로깅..

외부 네트워크(192.168.10.0/24), 내부 네트워크(192.168.20.0/24) 으로 구성되어 있고방화벽 OPNSense는 두 네트워크 카드로 양쪽에 연결되어 있는 상황이다공격자는 Attacker_Kali, WAS01~03은 웹 서버 공격자 Kali 머신에 접속해서 ip 주소를 확인해보기 사용자 데스크탑은 방화벽 관리용인데 ip 설정이 잘 되어 있는지 확인해보기 방화벽 OPNSense가 있는 시스템에 ping 을 보내면 방화벽이 블락하고 있기 때문에 응답을 받지 못하고 파캣이 100퍼센트 유실되는것을 확인할 수 있다 ARP 캐시 테이블을 확인하면 네트워크 카드 주소가 동작하고 있음 데스크탑에서 방화벽, 공격자 Kali, 다른 웹서버들에 ping 메시지를 보내면 전부 응답이 돌아온다내부..

방화벽이란?네트워크 사이에서 위치해 미허가 접근으로 부터 내부 인프라, 네트워크 등 보호하는 도구, 방화벽 없이 외부 네트워크와 직접 연결하는 것은 위험 방화벽의 발전 흐름1세대: 네트워크 계층에서 IP 주소, 포트 같은 기본적 정보 기반으로 트래픽 제어2세대: 더 정교하게 연결 상태에 따라서 활성 세션에 속한 패킷만 허용하고 무작위 패킷 차단3세대: 네트워크 계층 뿐만 아니라 응용 계층까지 검사해 응용 프로토콜 취약점도 차단 가능4세대: IPS, threat intelligence 등 연동 기능까지 갖춤 방화벽의 종류: 주로 3가지로 분류가 된다. HW/SW/Cloud 방화벽하드웨어 방화벽네트워크 트래픽 많고 가용성이 필요한 큰 기업에서 주로 사용하는 전용 어플라이언스 서버의 형태(Cisco, For..