겉바속촉

지난 포스팅 참고 2021/02/04 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 시스템 로그 분석 1 [보안] 시스템 로그 분석 1 시스템 로그 분석 감사로그분석 시스템 보안뿐만 아니라 프로세스 및 규정 준수를 위한 보안의 중요 부분 로그 검사는 시스템이나 응용 프로그램에서 발생하는 문제를 찾고 문제를 해결하기 위 2-juhyun-2.tistory.com 2021/02/04 - [IT 일기 (상반기)/네트워크 및 시스템 보안] - [보안] 시스템 로그 분석 2 (feat. Powershell) [보안] 시스템 로그 분석 2 (feat. Powershell) Windows PowerShell 관리자를 위해 특별히 설계된 windows 명령 쉘 -> cmd보다 많은 기능 보유, 시스템..

다음 사이트로 이동 https://code.google.com/archive/p/triage-ir/downloads Google Code Archive - Long-term storage for Google Code Project Hosting. code.google.com TriageIR V.851.zip 설치해주기 압축해제하면 다음과 같이 뜰거에요 우리가 필요한 파일을 다루기 위해 백신은 잠시 내리고 다시 압축 해제시켜줄게요 저는 v3를 사용중이기 때문에 다음 버튼을 off로 해주도록 하겠습니다. 그럼 다음과 같이 못보던 exe파일이 생깁니다!! Triage --> sysinternals suite update 눌러주셔야합니다 그래야 파일들을 다운받아 기능들을 수행할 수 있습니다:) 정상적으로 수행하..

1. Sysinternals Utilites 설치 https://docs.microsoft.com/en-us/sysinternals/downloads/ Sysinternals Utilities - Windows Sysinternals Evaluate and find out how to install, deploy, and maintain Windows with Sysinternals utilities. docs.microsoft.com 2. Nirsoft 설치 https://launcher.nirsoft.net/downloads/index.html NirLauncher - Download the latest package Download NirLauncher Package This zip file is ..

Windows PowerShell 관리자를 위해 특별히 설계된 windows 명령 쉘 -> cmd보다 많은 기능 보유, 시스템 자동화 관리에도 사용 -> 자동화 관리는 bash 또는 powershell을 이용 로그 검색 시 windows 이벤트 뷰어 보다 많은 이점 있음 windows + R 조합으로 실행 메뉴 -> powershell 입력 사용 가능한 로그 위치 목록 가져오기 PS C:\Users\A0501660> get-eventlog -list Max(K) Retain OverflowAction Entries Log ------ ------ -------------- ------- --- 20,480 0 OverwriteAsNeeded 8,219 Application 20,480 0 Overwrit..

시스템 로그 분석 감사로그분석 시스템 보안뿐만 아니라 프로세스 및 규정 준수를 위한 보안의 중요 부분 로그 검사는 시스템이나 응용 프로그램에서 발생하는 문제를 찾고 문제를 해결하기 위해 가장 효과적인 방법 윈도우에도 여러가지 로그가 있습니다. 이벤트 뷰어를 열어보면 다음과 같이 확인 가능합니다:) 특히 Windows 로그를 늘려보시면 응용 프로그램, 보안, 시스템이 기본 로그입니다. 수준, 날짜 및 시간, 성능 관련, 에러, 보안에 대한 로그까지 확인이 가능하쥬!! 장치간에 시간 동기화 NTP (Network Time Protocol) 에 의해 동기화시킴 패킷을 1초 간격으로 보내고 패킷 내부에 타임 스탬프 찍어서 보내줌 거의 1000분의 1초까지 맞게 됨. 로그 분석의 경우 시스템 및 네트워크 장비, ..

NAC 1. 개념 네트워크 액세스 제어 Network Access Control 컴퓨터 접근에 대한 엔드 포인트 보안 및 시스템 인증 및 네트워크 보안 적용을 수행하는 장비 네트워크 연결을 허용 또는 거부할 수 있음 엔드 포인트의 보안 정책 확인 및 네트워크 액세스 제어 802.1X : 네트워크 인증 수행 (접근제어에 대한 표준) --> ARP보다 더 고급 방식 그럼 NAC에서 어떻게 사용될까요? 차단 방법 1) ARP 차단 방법 2) 802.1X 직접 활용 : 각 스위치 장비에서 지원해야 가능 비허가된 단말기의 접속시도가 있을 경우 -> 장비 자체에서 셧다운 ARP MITM 어떠한 포트가 있을 때 공격자가 포트에 연결하는 경우 1. 공격자 실제 MAC이 등록됨 2. 공격자가 MAC주소에 대해 내것이 G..

방화벽 가. 기본 개념 Firewall Intruder(내부공격자)로부터 Private Network을 보호하기 위한 수단 우선 L3인지 L7인지 알아야 함 --> L3를 주로 탐지하는 ACL기반의 방화벽 --> L7컨텐츠를 식별하는 DPI형태의 방화벽 네트워크를 외부망과 내부망으로 분리시키고 그 사이에 방화벽이 배치되는 것 --> 정보의 악의적인 흐름, 침투 등을 방지하는 시스템 비인가자, 불법침입자, 해커로 인한 정보 손실, 변조, 파괴 등으로부터 최소화시키는 것이 가능 나. 주요 기능 접근통제 : Access Control 주소변환 : Network Address Traslation 인증 : Authentication 감사기록, 추적기능 : Logging, Auditing VPN : Virtual ..

침해 대응 구성 1. 관제 시스템 예방 --> 탐지 --> 분석 --> 대응 --> 공유 위의 사이클이 잘 수행될 수 있도록 효과적으로 구성 로그 및 데이터 수집 대상 서버, 어플리케이션, 데이터베이스, PC, 네트워크, 보안장비 2. 보안 제품 설치할 경우 (1) PL : Prevention Layer 예방관점 서버/웹/모의해킹 소스 감사 (2) DL : Detection Layer 탐지관점 NIDS/Flow/Log (3) RL : Response Layer 대응 관점 분석 프로세스/ 이력 관리 (1) Asset System 정보 보호 자산 관리 ip, domain 관리 (2) Manage System 업무티켓 관리 -> 사건발생 시 사건번호가 붙고 끝낼 때까지 IP가 따라다님 보안장비운영 (3) De..

암호 종류는 두가지 입니다. 대칭형과 비대칭형으로 나뉘게되는 데요!! 대칭 비대칭 암호화_key = 복호화_key 암호화_key != 복호화_key 교환하는 사람이 많아질 수록 KEY가 기하급수적으로 증가 공개키와 개인키를 구분 PKI --> 공인 CA라고 부르는 것이 중요!! 아무나 키를 만드는 것이 아니라 국내에서는 정해져있는데요. 이를 기반으로 공인인증서라는 것이 생깁니다. 처음에 PKI를 기반으로 만들었지만 사용자가 이것 저것 보안 프로그램을 설치~ 또 설치~ 6개 정도를 설치해야합니다. 그래서 요새는 자유롭게 선택사항이 되었죠?! 공인인증을 할 수 있는 방법이 유일하게 공인인증서 뿐이었지만 요새는 그렇지 않습니다. 전자정부법에서 공인인증서가 사려져버렸쥬~~ 국내 암호화 방식 SEED ( 경량 )..