시나리오 보안관제 포지션에 있으면서 고객사의 웹 사이트가 악성코드를 유포한다는 소식을 들음. 악성코드는 브라우저의 취약점을 공격하는 기능이고, 사내 업무망을 보호하기 위해 사내 업무망과 악성코드 유포 사이트 연결을 차단해야 함.하지만 사내 업무망에서 원인 분석과 정상화를 위해서 원격 SSH 쉘 접속은 허용해야 함 악성코드 유포사이트: 192.168.10.20 할일:윈도우 데스크탑에서 악성코드 유포 사이트로의 접속은 차단윈도우 데스크탑에서 악성코드 유포 사이트로 SSH 클라이언트 프로그램으로 원격 쉘 접속은 허용OPNSense 방화벽에서 차단 로그 확인이 가능해야 함 방화벽 정책 적용 전사내 네트워크인 192.168.20.2/24에서 악성 웹사이트로 접속을 시도해서 차단 여부를 확인해보자바로 접근이 가능함..

시나리오 회사의 정보보안 담당자로 일하고 있는데, 윈도우 취약점을 공격하는 맬웨어가 특정 웹사이트에서 유포되고 있다는 메일을 받음. 유포되는 사이트 링크 두개가 있고, 이를 사내 업무망으로 부터 접근이 불가능하도록 조치해야 한다. 그리고 고객사 웹 사이트는 감염여부 확인을 위해 사내 업무망에서 접속이 가능해야 한다유포 사이트: 192.168.10.30, 192.168.10.40사내 업무망: 192.168.10.0/24고객사 웹사이트: 192.168.10.20그리고 조치해야 할 사항은 다음과 같음OPNSense 방화벽으로 사내 업무망과 악성코드 유포 사이트의 접근을 차단OPNSense 방화벽으로 사내 업무망과 고객사 웹 사이트의 접속 허용악성코드 유포 사이트에 접근시도 차단 이력은 방화벽에서 차단로그 로깅..

외부 네트워크(192.168.10.0/24), 내부 네트워크(192.168.20.0/24) 으로 구성되어 있고방화벽 OPNSense는 두 네트워크 카드로 양쪽에 연결되어 있는 상황이다공격자는 Attacker_Kali, WAS01~03은 웹 서버 공격자 Kali 머신에 접속해서 ip 주소를 확인해보기 사용자 데스크탑은 방화벽 관리용인데 ip 설정이 잘 되어 있는지 확인해보기 방화벽 OPNSense가 있는 시스템에 ping 을 보내면 방화벽이 블락하고 있기 때문에 응답을 받지 못하고 파캣이 100퍼센트 유실되는것을 확인할 수 있다 ARP 캐시 테이블을 확인하면 네트워크 카드 주소가 동작하고 있음 데스크탑에서 방화벽, 공격자 Kali, 다른 웹서버들에 ping 메시지를 보내면 전부 응답이 돌아온다내부..

방화벽이란?네트워크 사이에서 위치해 미허가 접근으로 부터 내부 인프라, 네트워크 등 보호하는 도구, 방화벽 없이 외부 네트워크와 직접 연결하는 것은 위험 방화벽의 발전 흐름1세대: 네트워크 계층에서 IP 주소, 포트 같은 기본적 정보 기반으로 트래픽 제어2세대: 더 정교하게 연결 상태에 따라서 활성 세션에 속한 패킷만 허용하고 무작위 패킷 차단3세대: 네트워크 계층 뿐만 아니라 응용 계층까지 검사해 응용 프로토콜 취약점도 차단 가능4세대: IPS, threat intelligence 등 연동 기능까지 갖춤 방화벽의 종류: 주로 3가지로 분류가 된다. HW/SW/Cloud 방화벽하드웨어 방화벽네트워크 트래픽 많고 가용성이 필요한 큰 기업에서 주로 사용하는 전용 어플라이언스 서버의 형태(Cisco, For..

실습 튜토리얼 일단 vpn연결한 다음 vm을 키면 윈도우 가상환경이 준비되어 있다 CSIRT팀은 시스템 내에서 필요한 로그를 수집하고 정책들을 설정하는 역할을 한다고 한다.윈도우 운영체제에서는 Active Directory 시스템을 통해서 설정이 가능한데Active Directory는 내용이 너무 많아서 지금은 그냥 언급만 하고 다음에 다뤄보겠음 로그온 세션을 위한 정책 설정을 살펴보자시작 메뉴에서 Local Security Policy에 들어간다여기서 Security Settings -> Local Policies -> Security Options -> Interactive logon: Display user information when the session is locked. 위의 경로로 들어가..

침해사고 대응의 핵심은공격에 대응해서 영향, 회복 시간, 구동 비용을 최소화하는 것이다. 필요한 절차에서는 맬웨어 감염을 분리하고 취약점을 분석 및 조치하는 것 역시 필요하다. 이벤트Event와 침해사고Incident의 구분이벤트는 시스템이나 네트워크에서 발생하는 일반적인 사건들이다. 예를 들면 파일 서버에 접근하고 안티 바이러스 프로그램이 감염을 차단하는 것이 그 예시임.반면에 침해사고는 보안 규정을 위반함으로서 내부 시스템에 악영향을 끼치는 사건들을 말한다. 랜섬웨어를 통해 데이터를 암호화하던가, 서비스 거부 공격(dos) 등이 그 예시 침해사고 대응 Incident Response 프로세스1. Preparation: 사고가 발생하지 않게, 혹은 적절히 대응할 수 있도록 사전 준비가 필요2. Ide..