외부 네트워크(192.168.10.0/24), 내부 네트워크(192.168.20.0/24) 으로 구성되어 있고방화벽 OPNSense는 두 네트워크 카드로 양쪽에 연결되어 있는 상황이다공격자는 Attacker_Kali, WAS01~03은 웹 서버 공격자 Kali 머신에 접속해서 ip 주소를 확인해보기 사용자 데스크탑은 방화벽 관리용인데 ip 설정이 잘 되어 있는지 확인해보기 방화벽 OPNSense가 있는 시스템에 ping 을 보내면 방화벽이 블락하고 있기 때문에 응답을 받지 못하고 파캣이 100퍼센트 유실되는것을 확인할 수 있다 ARP 캐시 테이블을 확인하면 네트워크 카드 주소가 동작하고 있음 데스크탑에서 방화벽, 공격자 Kali, 다른 웹서버들에 ping 메시지를 보내면 전부 응답이 돌아온다내부..

방화벽이란?네트워크 사이에서 위치해 미허가 접근으로 부터 내부 인프라, 네트워크 등 보호하는 도구, 방화벽 없이 외부 네트워크와 직접 연결하는 것은 위험 방화벽의 발전 흐름1세대: 네트워크 계층에서 IP 주소, 포트 같은 기본적 정보 기반으로 트래픽 제어2세대: 더 정교하게 연결 상태에 따라서 활성 세션에 속한 패킷만 허용하고 무작위 패킷 차단3세대: 네트워크 계층 뿐만 아니라 응용 계층까지 검사해 응용 프로토콜 취약점도 차단 가능4세대: IPS, threat intelligence 등 연동 기능까지 갖춤 방화벽의 종류: 주로 3가지로 분류가 된다. HW/SW/Cloud 방화벽하드웨어 방화벽네트워크 트래픽 많고 가용성이 필요한 큰 기업에서 주로 사용하는 전용 어플라이언스 서버의 형태(Cisco, For..

실습 튜토리얼 일단 vpn연결한 다음 vm을 키면 윈도우 가상환경이 준비되어 있다 CSIRT팀은 시스템 내에서 필요한 로그를 수집하고 정책들을 설정하는 역할을 한다고 한다.윈도우 운영체제에서는 Active Directory 시스템을 통해서 설정이 가능한데Active Directory는 내용이 너무 많아서 지금은 그냥 언급만 하고 다음에 다뤄보겠음 로그온 세션을 위한 정책 설정을 살펴보자시작 메뉴에서 Local Security Policy에 들어간다여기서 Security Settings -> Local Policies -> Security Options -> Interactive logon: Display user information when the session is locked. 위의 경로로 들어가..

침해사고 대응의 핵심은공격에 대응해서 영향, 회복 시간, 구동 비용을 최소화하는 것이다. 필요한 절차에서는 맬웨어 감염을 분리하고 취약점을 분석 및 조치하는 것 역시 필요하다. 이벤트Event와 침해사고Incident의 구분이벤트는 시스템이나 네트워크에서 발생하는 일반적인 사건들이다. 예를 들면 파일 서버에 접근하고 안티 바이러스 프로그램이 감염을 차단하는 것이 그 예시임.반면에 침해사고는 보안 규정을 위반함으로서 내부 시스템에 악영향을 끼치는 사건들을 말한다. 랜섬웨어를 통해 데이터를 암호화하던가, 서비스 거부 공격(dos) 등이 그 예시 침해사고 대응 Incident Response 프로세스1. Preparation: 사고가 발생하지 않게, 혹은 적절히 대응할 수 있도록 사전 준비가 필요2. Ide..

Metasploitable 2는 Rapid7에서 해커들의 실습을 위해 의도적으로 취약하게 만든 가상 머신 환경이다.내부에는 많은 취약점들이 있고 원격 액세스를 얻고 추가 익스플로잇도 가능하다.실제 환경들보다 결함, 우회, 익스플로잇이 더 가능한 취약한 테스트 환경이기 때문에 합법적으로 실습할 수 있고시스템에 문제가 생겨도 재부팅하고 다시 시작하면 됨. kali linux에 metasploitable framework가 있길래 이건 줄 알고 한참 헤맸는데iso 설치하듯이 가상환경 자체를 다운받아야 하는거였음...^^ Metasploitable 2 설치하기 여기서 다운받고 MetasploitableDownload Metasploitable for free. Metasploitable is an in..

해당 포스팅은 LetsDefend에서 무료로 제공되는 How to Investigate a SIEM Alert? 코스를 공부하며 정리한 글입니다. DetectionSIEM Alert 경고는 사전 정의된 규칙 알고리즘에 기반해서 SIEM 시스템에서 생성되는 알림이다. 조직의 특정 보안 요구 사항에 맞게 맞춤화할 수도 있는데 정의된 기준에 맞으면 경고를 발생시킨다. 모니터링 페이지부터 살펴보자 Monitoring경고 확인을 위한 대시보드이고, 세 개의 섹션으로 나뉜다main channelinvestigation channelclosed alertsMain Channel 심각도: 낮음, 중간, 높음, 위급으로 구분 날짜: 사건 발생 날짜 (UTC +0) 규칙 이름: 이벤트에 의해 트리거 된 특정 규칙 Even..