반응형

Security Group (보안 그룹) 설정을 내 IP로 하면

당연히 EC2 인스턴트에 무리없이 연결 될 줄 알았는데...

 

웹 상에서 인스턴스에 연결은 안되었다....

 

친절한 오류메시지 내역

We were unable to connect to your instance. Make sure that your instance’s network settings are configured correctly for EC2 Instance Connect. For more information, see Task 1: Configure network access to an instance.

 

당연하게도

 

Security Group에서 22(SSH)를 0.0.0.0/0 으로 설정하면 된다...

 

하지만 이것은 치명적인 보안 문제가 있기 때문에 권장하지 않습니다.

 

해결방법

 

1. 우선 보안 그룹(Security Group)에서 22포트에 대해 0.0.0.0/0으로 설정 뒤 웹으로 연결 한다.

2. 다음 명령어를 사용하여 내가 접속하는 웹의 접근 IP 대역을 체크한다. (서울 리전 기준!)
  curl -s https://ip-ranges.amazonaws.com/ip-ranges.json| jq -r '.prefixes[] | select(.region=="ap-northeast-2") | select(.service=="EC2_INSTANCE_CONNECT") | .ip_prefix'

13.209.1.56/29

 

  ※ Amazone Linux 2 AMI 설치 내역임 

  ※ 설치된 명령어(curl, jd )

      * 없을 경우 #> yum install jd 와 같은 명령어로 설치함.

 

3. 위의 설정 값을 기준으로 다시 보안 그룹 (Security Group)을 재 설정한다.

   * xxx.xxx.xxx.130 은 내 IP로 설정한 고정 IP 주소

   * 위의 웹 접근시 나온 정보 (13.209.1.26/29)를 SSH 접근하도록 설정하면 EC2를 웹에서 연결 가능함.

 

   

 

참고 URL : https://stackoverflow.com/questions/66884055/elastic-beanstalk-ec2-instance-connect-cant-connect

 

Elastic Beanstalk & EC2 Instance Connect: Can't connect

I created an Elastic Beanstalk environment from Visual Studio and need to login to service the underlying ec2 vm. I don't have an credentials for the server, so I wanted to use EC2 Instance Connect...

stackoverflow.com

참고 URL : https://aws.amazon.com/ko/premiumsupport/knowledge-center/ec2-instance-connect-troubleshooting/

 

EC2 Instance Connect를 사용한 연결 문제 해결

Amazon EC2 Instance Connect를 사용하여 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스에 연결하려고 할 때 다음 오류가 표시됩니다. “ 인스턴스 연결을 설정하는 동안 문제가 발생했습니다. 로그인하지 못

aws.amazon.com

 

반응형
반응형

참고 사이트 : 
1. 설정값 들 정보
   https://www.lesstif.com/pages/viewpage.action?pageId=43843899
2. Centos 7 설치 관련
   https://idchowto.com/?p=43787

불러오는 중입니다...

 

Centos 7에 아무생각없이... (난 보안 담당자는 아님....)

 

서비스를 오픈하고 나니

 

불특정 다수에게 서비스를 제공해야 하는 상황이 발생하였습니다...

 

우리만 접근하면 참 좋은데

 

너무 많은 불법 접근 및 접속 요청이 있는 것을 알았고

 

이것을 능동적으로 대응하기 위해

 

fail2ban 패키지가 있다는 사실을 알게되어 글을 씁니다.

 

ssh, mariadb, http 불법 접근시 자동으로 ip ban이 되도록 하였습니다.

 



1. fail2ban 설치

 

다음 명령어를 통해 저장소를 설치할 수 있습니다.

 

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 

# yum install -y fail2ban fail2ban-systemd 


redhat 계열에서 접근로그파일은 /var/log/secure 입니다.  

centos 7 이전에는 secure 로그파일에 의존하여 동작했으나 centos 7 부터는 systemd에서 통합적으로 관리합니다.

※ 이 설정과 관련하여 별도의 파일로 설정할 때는 2가지 옵션을 추가해야 합니다.

 ( backend = polling
   banaction = iptables-multiport )

로그파일이 없으면 fail2ban동작불가하기 때문에 fail2ban-systemd를 같이 설치진행합니다

 

centos 시작시 fail2ban이 자동으로 시작하도록 설정

# systemctl enable fail2ban  

fail2ban 서비스 시작

# systemctl start fail2ban 




2. 설정

fail2ban 의 기본 설정은 /etc/fail2ban/jail.conf 에 있지만 설정을 수정할 필요가 있을 경우 

기본 설정 파일은 놔두고 개인화 설정 파일인 /etc/fail2ban/jail.local 을 사용하는 것이 좋습니다.

설정 파일은 Windows 의 ini 파일처럼 [항목명] 밑에 key=value 형식으로 기술하면 되며 

# 은 주석이며 주요 설정은 [DEFAULT] 항목 밑에 기술하며 여러 기능중에 주요 설정 항목을 알아 봅시다.

 

2019.04.30일 기준으로 기본 설치하면 /etc/fail2ban/jail.conf 파일만 존재하며 jail.local은 보이지 않습니다.

                  복사하여 사용하는 방식으로 보이나 아래 설정들은 그냥 사용하였습니다. (jail.conf은 백업 받아둠)

                  



2.1 ignoreip

ignoreip 에 설정된 IP 는 로그인을 실패해도 차단하지 않으며 기본 설정은 localhost 입니다. 

IP를 추가할 경우 jail.local 파일 의 [DEFAULT] 항목에 기술해 주면 되며 여러개를 기술할 경우 

공백이나 , 로 구분해 주면 되며 아래는 로컬호스트와 192.168.10.x 대역은 차단하지 않는 설정입니다.

ignoreip = 127.0.0.1/8 192.168.10.0/24 



2.2 bantime 

bantime 은 지정된 조건(아래에서 설명할 findtime, maxretry)에 따라 인증에 실패한 클라이언트를 차단할 

시간을 초 단위로 지정하며 기본 설정은 600초(10분)입니다.


2.3 findtime, maxretry

findtime 과 maxretry 는 클라이언트를 차단하기 위한 조건을 지정하며 findtime 에 

지정한 시간(초 단위)내에 maxretry 에 설정한 횟수만큼 인증을 실패하면 차단하게 됩니다.

즉 위 설정은 600초(10분) 내에 5번을 인증 실패할 경우 bantime 만큼 차단합니다.

특정 IP에서 차단후에도 지속적으로 인증을 시도할 경우 bantime 을 점점 길게 해서 

시도 횟수를 줄이는 게 필요하지만 이 기능은 개발 버전(0.10.x)에만 반영되어 있고 0.9 버전에는 구현되어 있지 않습니다.

실제 운영 환경에서는 bantime 을 몇 시간 정도로 길게 주는 것이 보안상 유리합니다.



2.4 mail 알림

 

# 1 
destemail = sysadmin@example.com 
  
  
# 2 
sender = fail2ban@my-server.com 
  
# 3 
mta = sendmail 
  
# 4 
action = %(action_mw)s 


fail2ban 으로 차단한 정보를 메일로 전송할 경우 destemail 에 수신자 이메일 주소를  설정하고 sender 에는  "보낸 사람"의 정보를 설정합니다.

보낸 사람 이름은 전자 메일의 "보낸 사람"필드의 값을 설정하며 mta 매개 변수는 메일을 보내는 데 사용할 메일 서비스를 설정하며 기본은 sendmail 입니다.

중요한 부분은 action 항목으로 차단했을 때 실행할 액션을 의미하며 기본 설정은 아무 일도 안 하는 설정인 "action = %(action_)s" 입니다.

기본 설정으로는 차단 내용을 메일로 전송하지 않으므로 action_ 을 action_mw 나 action_mwl 로 지정해야 메일을 전송하며 차이는 아래와 같습니다.

action_mw : 메일을 전송하고 whois 로 IP 정보를 조회한 결과를 첨부
action_mwl : 메일을 전송하고 whois 로 IP 정보를 조회한 결과와 관련된 로그를 첨부


권장 설정은 다음과 같이 메일을 전송하고 whois 와 log 를 첨부하는 설정입니다.

action = %(action_mwl)s 

※ 위 설정으로 하는 경우 메일 송신시 해당 IP의 정보를 검색한 결과도 같이 송부됩니다.

 

   따라서 whois 명령을 통해 정보가 조회될 수 있어야 합니다.


whois 가 설치되지 않은 경우 

 

$ sudo yum install whois 를 실행합니다.


2.5 개별 jail 설정

기본적으로 fail2ban 은 차단하지 않으므로 차단할 서비스를 [sshd] 처럼 항목명에 서비스를 등록하고 enabled = true 를 추가해 주면 차단됩니다.

2.6 포트 번호 변경

ssh 를 다른 포트로 사용할 경우 port 항목에 해당 포트를 기술해 주면 됩니다. 만약 ssh 가 여러 포트를 사용한다면 

, 를 구분자로 해서 포트를 모두 기술하며 아래는 ssh 기본 포트와 10022 를 사용할 경우 설정입니다.

 

[sshd] 
enabled = true 
port = ssh,10022 
sshd jail 설정 


3. 최종 설정값

 이제 ssh 를 위한 최종 /etc/fail2ban/jail.local 파일을 완성해 보면 아래와 같습니다.

[DEFAULT] 
  
## 차단하지 않을 IP 
ignoreip = 127.0.0.1/8 192.168.10.0/24 
  
# 1시간 차단 (-1로 설정할 경우 영구 차단) 
bantime  = 3600 
  
# 아래 시간동안 maxretry 만큼 실패시 차단 
findtime  = 300 
  
# 최대 허용 횟수 
maxretry = 5 
  
# 메일 수신자, 다중 수신자는 지원 안 함 
destemail = sysadmin@example.com 
  
# 메일 보낸 사람 
sender = fail2ban@my-server.com 
  
# 메일 전송 프로그램 
mta = sendmail 
  
  
# 차단시 whois 정보와 관련 로그를 첨부하여 메일 전송 
action = %(action_mwl)s 
  
# sshd 서비스 차단 
[sshd] 
enabled = true 
port     = ssh, 10022 



4. 서비스 적용

설정을 마쳤으면 서비스를 재시작하여 변경 사항을 반영합니다. 

$ sudo systemctl restart fail2ban 


fail2ban 동작 로그는 /var/log/fail2ban.log 에 기록되므로 tail -f /var/log/fail2ban.log 명령어로 확인해 볼 수 있습니다.


5. firewall-cmd 커널 방화벽 설정 규칙 확인

이제 firewall-cmd 로 커널 방화벽 설정 규칙을 확인해 보겠습니다.

$ sudo firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable
fail2ban이 추가한 firewall 설정 규칙
결과에 보이는 "--match-set fail2ban-sshd src" 는 ipset 그룹명이 fail2ban-sshd 인 source 에서 ssh 서비스로 전송한 패킷은 REJECT 하라는 의미입니다.


6. 차단 설정된 정보 조회

설정된 ipset 의 정보는 --list 옵션으로 확인할 수 있습니다.

 

$ sudo ipset --list    

  
Name: fail2ban-sshd 
Type: hash:ip 
Revision: 1 
Header: family inet hashsize 1024 maxelem 65536 timeout 10800 
Size in memory: 16592 
References: 1 
Members: 
192.168.58.1 timeout 89 

ipset 정책 목록
이제 fail2ban-sshd 규칙의 Header 항목에 있는 "timeout 3600"  에 따라 인증에 실패한 IP 는 1시간 동안 차단됩니다.


7. 전체 차단 정보 조회

이제 fail2ban-sshd 규칙의 Header 항목에 있는 "timeout 10800"  에 따라 인증에 실패한 IP 는 3시간 동안 차단됩니다.

전체 차단 정보는 fail2ban 의 클라이언트 유틸리티인 fail2ban-client 명령어를 통해서 확인해 볼 수 있습니다.

$ sudo fail2ban-client status sshd 

Status for the jail: sshd 
|- Filter 
|  |- Currently failed: 1 
|  |- Total failed:     8 
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd 
`- Actions 
   |- Currently banned: 2 
   |- Total banned:     2 
   `- Banned IP list: 103.114.106.xxx 58.242.83.xxx 

 

8. mariadb 10 로그 파일 설정

8.1 로그 경로 생성

 

# mkdir /var/log/mariadb 

# chown mysql:mysql /var/log/mariadb 


8.2  로그 출력 경로 추가

/etc/my.cnf 파일에 다음 내역 추가

[mysqld] 항목 아래에

[mysqld]
log-error=/var/log/mariadb/mariadb.log 


8.3. mariadb 재시작

 

# systemctl restart mariadb 


9. fail2ban 에서 mariadb 설정

위의 8번 항목에 mairadb 설정 로그 출력까지 정상적으로 확인되면

다음 작업을 수행합니다.

/etc/fail2ban/jail.conf 파일

[mysqld-auth] 
# 설정 활성화 
enabled = true 

# 3306 포트 
port     = 3306 

# 로그 경로 
logpath  = /var/log/mariadb/mariadb.log 

# 최대 5회 실패시 적용 
maxretry = 5 

# 사용 필터 
filter   = mysqld-auth 
  
# 폴링 방식 적용 
backend = polling 

# ban 적용 
banaction = iptables-multiport 



9.1 재시작

위의 세팅 정보를 모두 설정하고

아래 명령을 통해 재시작 합니다.

 

# systemctl restart fail2ban 


10. apache tomcat 404 error 설정 추가 하기

10.1 tomcat 필터 파일 생성


404 에 대한 block 처리 방식입니다.

다만, 사전에 소스에 404 Not Found가 발생하는지 여부를 정확하게 확인이 필요합니다.
(아니면 모두 block 처리됨)

아래의 위치에 적용할 필터 명에 파일을 생성합니다.

- 위치 : /etc/fail2ban/filter.d
- 파일명 : tomcat.conf

[INCLUDES] 
before = common.conf 

[Definition] 
failregex =  ^.*\/.*\/.*404 
ignoreregex = 



10.2. jail.conf 정보 추가.

/etc/fail2ban/jail.conf 파일

[tomcat] 
# 설정 활성화 
enabled  = true 

# 적용 서비스 및 포트 
port     = http,https,80,443 

# block 설정 하지 않을 IP  대역대 
ignoreip = 127.0.0.1/8 192.168.10.0/24 

# ban (초) 시간 
bantime  = 3600 

# 최근 10분 동안 
findtime = 600 

# 설정 filter tomcat 
filter   = tomcat 

# 톰켓 로그 폴더 
logpath  = /var/log/tomcat8/localhost_access_log.*.txt 

# 재시도 회수 
maxretry = 5 

# 폴링 방식 적용 
backend = polling 

# ban 적용 
banaction = iptables-multiport 


10.3 재시작

위의 세팅 정보를 모두 설정하고

아래 명령을 통해 재시작 합니다.

# systemctl restart fail2ban 


11. php 파일 관련 설정 추가

11.1 필터 파일 생성

구축 사이트는 PHP 파일이 존재하지 않으므로

모든 php 파일의 404 not found의 경우에는 block 처리 함.


- 위치 : /etc/fail2ban/filter.d
- 파일명 : tomcat-php-404.conf

 

[INCLUDES] 
before = common.conf 

[Definition] 

failregex = ^ - - \[.*\] ".*\.php HTTP/1.1" 404 \d+$ 
            ^ - - \[.*\] ".*\.PHP HTTP/1.1" 404 \d+$ 

ignoreregex = 

 

11.2 필터 설정 적용

/etc/fail2ban/jail.conf 파일

[tomcat-php-404] 
# 설정 활성화 
enabled  = true 

# 적용 서비스 및 포트 
port     = http,https,80,443 

# block 설정 하지 않을 IP  대역대 
ignoreip = 127.0.0.1/8 192.168.10.0/24 

# ban (초) 시간 
bantime  = 3600 

# 최근 10분 동안 
findtime = 600 

# 설정 filter tomcat-php-404 
filter   = tomcat-php-404 

# 톰켓 로그 폴더 
logpath  = /var/log/tomcat8/localhost_access_log.*.txt 

# 재시도 회수 
maxretry = 5 

# 폴링 방식 적용 
backend = polling 

# ban 적용 
banaction = iptables-multiport 


11.3 재시작

위의 세팅 정보를 모두 설정하고

아래 명령을 통해 재시작 합니다.

 

# systemctl restart fail2ban 

============= 기타 ==========

1. jail.conf 설정 파일들에서 옵션들의 의미

ignoreip :이 매개 변수는 금지 시스템에서 무시해야하는 IP 주소를 식별합니다. 
          기본적으로 이것은 기계 자체에서 오는 트래픽을 무시하도록 설정되어 있습니다. 이는 꽤 좋은 설정입니다.
bantime :이 매개 변수는 금지의 길이를 초 단위로 설정합니다. 기본값은 600 초 또는 10 분입니다.
findtime :이 매개 변수는 fail2ban이 반복적으로 실패한 인증 시도를 찾을 때주의 할 창을 설정합니다. 
          기본값은 600 초 (다시 10 분)로 설정됩니다. 즉, 소프트웨어는 지난 10 분 동안 실패한 시도 횟수를 계산합니다.
maxretry : findtime금지가 설정되기 전에 창 에서 허용되는 실패한 시도 횟수를 설정합니다 .
backend :이 항목은 fail2ban이 로그 파일을 모니터하는 방법을 지정합니다. 
         이 설정은 autofail2ban이 시도한 pyinotify다음 gamin사용할 수있는 것을 
         기반으로 폴링 알고리즘을 시도한다는 것을 의미합니다 .
usedns : 역방향 DNS가 금지 구현을 돕는 데 사용되는지 여부를 정의합니다. 
         이것을 "no"로 설정하면 호스트 이름 대신 IP 자체가 금지됩니다. 
         "warn"설정은 역방향 DNS를 사용하여 호스트 이름을 검색하고 그런 식으로 금지하려고 시도하지만 검토를 위해 활동을 기록합니다.
destemail :이 주소는 메일 알리미로 작업을 구성한 경우 알림 메일로 전송됩니다.
           보낸 사람 이름 : 생성 된 알림 전자 메일의 보낸 사람 전자 메일 필드에 사용됩니다.
banaction : 임계 값에 도달 할 때 사용할 조치를 설정합니다. 실제로 /etc/fail2ban/action.d/호출 된 
            파일의 이름이 있습니다 iptables-multiport.conf. 
            이것은 iptablesIP 주소를 금지하기위한 실제 조작을 처리합니다 .          
mta : 알림 이메일을 보내는 데 사용할 메일 전송 에이전트입니다.
protocol : IP 금지가 구현 될 때 삭제 될 트래픽 유형입니다. 
           이것은 새로운 iptables 체인으로 전송되는 트래픽 유형이기도합니다.
chain : 이것은 fail2ban 깔때기로 트래픽을 보내기위한 점프 규칙으로 구성되는 체인입니다.


2. fail2ban 자주 사용하는 명령목록

fail2ban-client status : ban 목록확인
cat /var/log/fail2ban.log : fail2ban 로그확인
cat /var/log/fail2ban.log | grep Ban : Ban 내역만 뽑아서 보기
* ban된 ip 해제하기
fail2ban-client set sshd unbanip 192.111.1.101 (해제IP)

위에 명령어의 sshd 체인네임이며 ftp 등 ban 내역의 해제정보를 적으면된다.

3. filter 적용 테스트

모든 필터는 작성한 후 정상 동작하는지 필터 체크를 해야 합니다.

아래는 예제...

# fail2ban-regex   

예)

# fail2ban-regex /var/log/tomcat8/localhost_access_log.*.txt  /etc/fail2ban/filter.d/tomcat-php-404.conf

 
예2 ) 변수로 정의하는 방식

$ line='0.0.0.0 - - [06/Apr/2017:07:45:42 +0000] "POST /xmlrpc.php'

$ ./fail2ban-regex "$line"  ' - - \[.*\].*POST /xmlrpc' |grep ^Lines
Lines: 1 lines, 0 ignored, 1 matched, 0 missed


4. 설정된 fail2ban 상태 확인

# fail2ban-client status sshd

정상 상태이면 Journal matches 정보나 file 정보가 보이나

비정상 상태이면 안보임... ㅜㅜ


Status for the jail: mysqld-auth
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:
[root@localhost fail2ban]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     13
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 27
   |- Total banned:     27
   `- Banned IP list:   198.211

 

# fail2ban-client status mysqld-auth
Status for the jail: mysqld-auth
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     1
|  `- File list:        /var/log/mariadb/mariadb.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

 

 


 

윈도우즈 용도 존재함 (시간나면 정리를 할 예정)

Wail2Ban

관련 : http://cloudjoon.blogspot.com/2017/08/rdp-security-wail2ban.html

 

Beyond Cloud "IBM Cloud"

RDP( 원격데스크탑 ) 무차별 대입공격 관련 보안스크립트 적용 가이드 1. Wail2ban 소개 - Wail2ban 은 Windows 운영체제 대상으로 RDP( 원격데스크탑 ) 에 대하여 Brute-forc...

cloudjoon.blogspot.com

https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/

 

RDP(원격데스크탑) 무차별 대입공격 관련 보안스크립트 적용 가이드 - IBM Developer

1. Wail2ban 소개 – Wail2ban 은 Windows 운영체제 대상으로 RDP(원격데스크탑)에 대하여 Brute-force Attack(패스워드 무차별 대입공격) 에 대한 방어를 위한 자동 보안설정 스크립트입니다. – 해당 스크립트는 파워쉘(PowerShell)로 작성되었으며, 원작자는 “Katie McLaughlin” 로써 해당 코드에 대한 재배포시에는 반드시 하기URL 의 “Copy Right Notice” 를 명시해야 됩니다.    htt

developer.ibm.com

 

https://github.com/glasnt/wail2ban

 

glasnt/wail2ban

fail2ban, for windows. . Contribute to glasnt/wail2ban development by creating an account on GitHub.

github.com

 

 

반응형
반응형

갑자기 개발자분이 특정 IP 대역에서

 

무차별 웹 페이지 검색이 일어난다고 알려주셨네요

 

응?

 

Tomcat 상에서는 server.xml 파일 내역을 통해

 

특정 여러 IP들을 막을수 있습니다.

 

아래 예제는 111.222.111.222 IP와 111.222.111.223 IP를 웹 접속시 403 에러를 발생시켜 접근 금지시키는 설정입니다.

(IP 사이에 . 앞에 \를 붙이지 않아도 동작 하기는 합니다만, 정식 설정 페이지에서는 \를 붙이는 것을 가이드함)

 

관련 Apache 페이지 : http://tomcat.apache.org/tomcat-9.0-doc/config/valve.html

 

<Context path="" docBase="/" reloadable="true">

   <Valve className="org.apache.catalina.valves.RemoteAddrValve" deny="111\.222\.111\.222|111\.222\.111\.223" />

</Context>

 

하는 김에 서버 자체에 대한 접근을 막는것도 추가를 하였습니다.

 

우리 서버는 소중하니까요!

 

다만, 유동 IP에는 위험할 수는 있습니다.

(제 IP가 바뀌니까요!)

 

/etc/hosts.deny

 

sshd:ALL
mysqld:ALL

 

아래는 회사가 11.73.xxx.xxx 대역대에 있다는 가정하에 작성합니다.

 

(참고 : http://www.findip.kr/  사이트에 방문하면 외부에서 보여지는 (NAT 설정 등....) IP 주소를 확인 가능합니다.)

 

/etc/hosts.allow

sshd:11.73.
mysqld:11.73.

 

모두 마쳤으면

 

아래와 같이 서비스를 재시작 합니다.

 

# service mysqld restart

# service sshd restart

반응형
반응형


참고 : http://sola99.tistory.com/151



1. 시스코 네트워크 시뮬레이터


a. GNS3

- Dynamips/Dynagen 을 포함하여 그래픽 환경에서 시스코 IOS 를 배치 및 제어.

- Qemu/Pemu/VirtualBox/JunOS/VPCS 와 Cloud(Bridge/Network)를 통한 연동 기능 제공.

- 최신버전 0.8.6 (2014년 3월)

- 공식홈페이지 http://www.gns3.net/


b. 시스코 Nexus(NX-OS) 시뮬레이터

Nexus Titanium Project 는 Nexus 7000 NX-OS 를 실제 장비 없이 가상 환경(VMware)에서 시물레이션 해줍니다.

- 현재 VMware ESX, Workstation 에서 VMware image, Qemu 로 구현 가능함



2.  주니퍼 시뮬레이터


a. Olive

- 주니퍼 장비의 OS 인 Junos 를 시뮬레이터 한다.

- FreeBSD 에서 동작하며 NIC 카드 제약 등 설치가 까다로움

- 현재는 VMware 설치 된 이미지가 구글등에서 구할 수 있음.

- Qemu 1.0 부터는 Multicast 수신 issue 가 해결됨.

http://juniper.cluepon.net/index.php/Olive/


b. Junosphere

: 주니퍼에서 정식으로 출시 된 웹 브라우저를 통한 가상 환경의 Junos 테스트 환경 제공

http://www.juniper.net/kr/kr/products-services/software/junos-platform/junosphere

반응형
반응형

정보보안기사 접수완료


준비할 것이 정말 많음...


계속 업데이트 할 예정


최종 업데이트 일 : 2014.03.05



1. /etc/fstab의 옵션 및 설정 방법


2. find 명령어 옵션 (특히 setuid, setgid, stickey bit 등)


3. Linux iptables 사용방법  / 윈도우 ipsec


4. lastlog, wtmp, last, lastb(btmp)


5. nessus(www.nessus.org), SARA(www-arc.com/sara), nikto2(www.cirt.net/nikto2)


6. 리눅스 시스템 무결성 점검 도구 : tripwire(www.tripwire.org), Fcheck


7. 접근 통제 및 로깅도구 : TCP_Wrapper


8. 스캔 탐지도구 : portsentry (www.rpmfind.net)


9. syslog 서버 : syslog-ng(리눅스), Datagram SyslogAgent 3.6(Syslogserver.com/download.html)


10. webalizer(www.webalizer.org)


11. 라우팅 에뮬레이터 

      참고 사이트 : http://sola99.tistory.com/151

반응형

'자격증 > 정보보안기사' 카테고리의 다른 글

Windows IPSEC 설정 방법  (0) 2014.03.21
리눅스 방화벽 프로그램 iptables 설정  (0) 2014.03.21
find 명령어 옵션  (0) 2014.03.21
/etc/fstab 설정 및 옵션  (1) 2014.03.05
라우터 시뮬레이터 프로그램  (0) 2014.03.05
반응형


출처 : http://blog.daum.net/journeyerhum/37


윈도우XP에서 공유폴더 설정과 특정암호나 사용자 별 권한 부여방법.

1. 제어판 -> 관리도구 -> 로컬보안정책을 열고
로컬정책->보안옵션->네트워크액세스(여러 개 중 두 번째) 옵션이 두개 있다
ⓐ일반 - 로컬사용자를 그대로 인증
ⓑ게스트전용 - 로컬사용자를 게스트로 인증
여기서 일반을 선택한다
2. 내컴퓨터->도구->폴더옵션->보기
"모든 사용자에게 동일한 폴더공유권한을 지정(권장)" 체크옵션을 지운다
-> 확인
3. 해당 폴더에서 오른쪽 마우스를 클릭->"공유 및 보안"->"공유"->
"이 폴더를 공유함"->"사용 권한"-> EVERYONE 계정을 제거
-> 접근 가능하게 할 계정을 추가 등록함->등록 후 확인

----------- 추가 메모 시작 ----------------------------------
 해당 폴더에서 오른쪽 마우스를 클릭->"공유 및 보안"->"보안" 탭에서도 권한 설정을 해줘야 한다. 그렇지 않으면 3번 항목에서 아무리 모든 권한을 부여한 사용자라 할지라도 파일 접근이 읽기 전용 속성으로만 이루어진다.

"내 컴퓨터" 항목상에서 마우스 우클릭 -> 시스템 도구 및의 "로컬 사용자 및 그룹"-> "그룹" 에서 새 그룹을 생성해준다. (ex. Developer Level 1, developer Level 2, … ) 그룹에 포함되는 사용자도 결정(아마도..)

해당 폴더에서 오른쪽 마우스를 클릭->"공유 및 보안"->"보안" 탭에서 해당 폴더에 접근할 수 있는 사용자 그룹을 입력하고 그 그룹의 접근 보안 권한을 설정해준다.
----------- 추가 메모 종료 ----------------------------------

4. 모두 설정 후 재부팅
(로컬보안정책은 재부팅을 하지 않으면 정책이 바로 적용돼지 않는다)
: 그 다음부터는 다른 XP에서 이PC로 네트웍 드라이브를 잡을때 
기존에는 Guest로 계정이 정해져서 나오는 것이 계정을 사용자가 넣을 수
있게 창이 바뀐다
이곳에 사용하고자 하는 계정을 넣고 Password를 넣으면 된다

반응형
반응형

크롬에서 Windows Media Player를 설치할 때


보안상의 이유로 계속 설치가 안될 때가 있다...


다운로드 받아서도 계속 설치가 안된다 -_-..


그럴때 방법


wmpChrome.crx 파일을 wmpChrome.zip 으로 변경


위의 zip 파일의 압축을 푼다


크롬의 우측 상단에 스패너 클릭 -> 설정 -> 확장 프로그램 -> 압축해제된 확장 프로그램 로드... -> 위의 압축 해제한 폴더를 등록함.

※ 주소창에 chrome://chrome/extensions/ 를 입력하면 바로 뜬다....


그러면 바로 아래의 화면과 같이 설치가 안되는 이유(매니페스트 버전1은 잠정 중단으로 설치) 안됨을 알수가 있으며,

사용 설정됨이 체크되면 해당 웹페이지에서 Windows Media Player가 정상적으로 로딩 됨을 알 수 있다.




반응형
반응형

정부통합전산센터 홈피에서 퍼왔음.

 
반응형
반응형
ssl 암호 걸린것 크랙 시키기...

openssl 을 통한 복호화...

crt는 pem 파일을 확장자만 바꾼것임...

openssl enc -d -des3 -in test.crt -out test.txt

뭐.. 암호를 알면 바로 테스트가 가능하겠지만...

bad...

쩝...

출처 : http://neophob.com/2007/10/ssh-private-key-cracker/

크랙커... ssl cracker

너무 많이 알려주면 보안 취약 -_-ㅋ





john-mmx 관련
출처 : http://www.openwall.com/john/


반응형

'Private' 카테고리의 다른 글

OPENSSL 패스워드 변경  (0) 2011.10.20
존 더 리퍼 john-mmx  (1) 2011.09.28
Aircrack-ng is an 802.11 WEP and WPA/WPA2-PSK key cracking program.  (1) 2011.09.09
퇴직 연금  (0) 2011.01.11
산모가 자신의 태반 먹는다?  (0) 2010.02.27
반응형


OS : IBM AIX 5.3 64 bit


프로젝트 홈페이지 : http://www.rootkit.nl/projects/rootkit_hunter.html
소스 다운로드 : http://sourceforge.net/projects/rkhunter/

이글을 쓰는 시점에 rootkit hunter 은 1.3.8 까지 나와있었다.

어느날 AIX 시스템내에 뭔가 불순한(?) 움직이 포착되었다...

뭐... 대부분 AIX 시스템 내부로 구축할 정도면

약간(?)의 규모 이상이라고 생각되며,

차라리 거대한 시스템이라면 방화벽, 네트워크 장비 정책등 훌륭히 갖추어 졌겠지만,

항상 문제는 아주 작지도 아주 크지도 않은 어설픈 시스템에 해당되는 사항이다.

3일동안 열심히 삽질했다...

1.3.8 버젼을 설치하고나선... 안되는것이었다 -_-ㅋ

아래와 같이

> rkhunter -c
Invalid BINDIR configuration option: Invalid directory found: .

업데이트도 해보고 갖은 것을 모두 해봤지만, 실행이 되질 않았따. -_-...

결국은 포기하고 그 이전버젼을 다운로드 받으려고 하는 순간.... 소스포지에서는 1.3.8버젼 밖에 안되는것이었다... 헉 -_-...

그래서 1.3.6을 어렵게 구해서 해보니 잘되었다.... -_-... 내 3일 ㅜㅜ

설치 방법과 절차이다.

1. 시스템 필요 요소
    - 호환되는 시스템이어야 한다.(홈페이지참조) -> 거의 리눅스 계열은 다 된다고 보면 됨..
    - BASH 쉘

2. 사전 준비
    a. BASH 쉘 설치하기
        - www.ibm.com 으로 가서 검색을 열심히 하면 찾을수 있다 -_-... 매번 헷갈린다. 이문서의 제일 위에 있는 bash-3.0-1.aix5.1.ppc.rpm 파일을 다운로드 받아 서버로 전송한다.
        - rpm 으로 되어 있기 때문에
          root로
          rpm -ivh bash-3.0-1.aix5.1.ppc.rpm 명령을 통해 설치하면 끝.... 
          $> bash 입력
          $> echo $SHELL ==> bash가 나오면 정상 설치 완료
     b. lynx or wget 등 설치하기
         - 검색 정보에 대한 데이터베이스를 웹을 통해 가지고 오는데 위의 해당 프로그램들이 설치되어 있지 않으면
           정보를 update하지 못한다.
         - rpm파일로 되어 있기 때문에 위의 a의 내용 참고
     c. rkhunter-1.3.6.tar.gz 파일을 설치하기(root로 실행)
         - 서버로 upload 로드 뒤
         - gzip 명령을 통해 압축을 푼다.
            gzip -d rkhunter-1.3.6.tar.gz
         - tar로 묶여져 있는 파일을 푼다.
            tar xvf rkhunter-1.3.6.tar
         - 설치하기
            위의 tar를 풀면 rkhunter-1.3.6 디렉토리 안에
            installer.sh 파일이 존재하며
           다음과 같이 간단히 설치할수 있다.
           $> installer.sh --install
            /usr/local/bin/rkhunter 파일이 생성된다.(기본 설치시...)
 $> installer.sh --install
Checking system for:
 Rootkit Hunter installer files: found
 A web file download command: wget found
Starting installation:
 Checking installation directory "/usr/local": it exists and is writable.
 Checking installation directories:
  Directory /usr/local/share/doc/rkhunter-1.3.6: creating: OK
  Directory /usr/local/share/man/man8: exists and is writable.
  Directory /etc: exists and is writable.
  Directory /usr/local/bin: exists and is writable.
  Directory /usr/local/lib: exists and is writable.
  Directory /var/lib: exists and is writable.
  Directory /usr/local/lib/rkhunter/scripts: creating: OK
  Directory /var/lib/rkhunter/db: creating: OK
  Directory /var/lib/rkhunter/tmp: creating: OK
  Directory /var/lib/rkhunter/db/i18n: creating: OK
 Installing check_modules.pl: OK
 Installing filehashmd5.pl: OK
 Installing filehashsha1.pl: OK
 Installing filehashsha.pl: OK
 Installing stat.pl: OK
 Installing readlink.sh: OK
 Installing backdoorports.dat: OK
 Installing mirrors.dat: OK
 Installing programs_bad.dat: OK
 Installing suspscan.dat: OK
 Installing rkhunter.8: OK
 Installing ACKNOWLEDGMENTS: OK
 Installing CHANGELOG: OK
 Installing FAQ: OK
 Installing LICENSE: OK
 Installing README: OK
 Installing language support files: OK
 Installing rkhunter: OK
 Installing rkhunter.conf: OK
Installation complete

3. 유해 사항을 검색해 보기
  $> /usr/local/bin/rkhunter -c (root로 실행) 명령을 통해 유해사항을 검색가능하며, /var/log/rkhunter.log 파일에 모든 사항이 상세하게 기재된다.

 [ Rootkit Hunter version 1.3.6 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ Warning ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ Warning ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/bash                                            [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/csh                                             [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/ed                                              [ OK ]
    /usr/bin/egrep                                           [ OK ]

생략 .............

System checks summary
=====================

File properties checks...
    Required commands check failed
    Files checked: 95
    Suspect files: 7

Rootkit checks...
    Rootkits checked : 234
    Possible rootkits: 1
    Rootkit names    : Possible rootkit component

Applications checks...
    Applications checked: 3
    Suspect applications: 2

The system checks took: 40 minutes and 18 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)



반응형

'OS > AIX' 카테고리의 다른 글

AIX 서버 시간 설정 하기  (0) 2012.08.06
AIX VNC 설정하기  (2) 2012.07.26
IBM JVM -Xloratio 옵션  (0) 2011.03.03
날짜 관련 얻기  (0) 2011.03.02
AIX 5.3 OPENSSH INSTALL  (0) 2011.02.16

+ Recent posts