30일차(3.27) 로그워치 fail2ban

apt -y install logwatch

tab키를 눌러 ok

다 ok를 눌러 설정을 끝내준다. 

 

nano -c /usr/share/logwatch/default.conf/logwatch.conf 

 

root를 centos123456@mailinator.com으로 바꿔줬다.

 

44번째 줄의 있는 MailTo = root → MailTo = centos123456@mailinator.com로 변경해서 이벤트 발생시 로그를 이메일로 받을 수 있게 하였다.

 

sudo logwatch --service all --detail high --mailto centos123456@mailinator.com --range today

 

센토스에서 우분투 ssh 연결을 해줬다. 

 

---

  보안설정의 기본원칙에는 Fail Safe와 Safe Failure가 있다. 
  Fail Safe는 시스템에 오류가 있어도 사용자나 시스템에 피해가 없게 하는 것으로, 예를 들어 네트워크의 인증을 인증 서버로 하게 되어 있을 때 이 인증 서버에 문제가 있어도 정규 사용자는 다른 방법으로 로그온이 되게 하는 것이다. Fail Safe 설정에서는 예를 들어 '인증을 받지 못하면 httpd 서비스는 거부된다'라는 기본원칙은 있을 때 이 기본원칙에 명시하지 않은 vsftpd와 같은 서비스는 인증을 허용된다는 이면의 뜻이 있을 수 있어서 위험할 수 있고, 수많은 서버 서비스의 인증을 일일이 모두 지정하기에는 쉽지 않다는 문제가 있다.
  Safe Failure는 시스템에 오류가 있어도 시스템은 안전해야 한다는 것으로, 예를 들어 철문은 전기 자물쇠가 망가져도 사람이 안에 갇히지 않도록 설계되어야 한다는 것이다. Safe Failure 설정에서는 예를 들어 스니핑 하기 위해서 스위치 장비에 ARP Poisoning을 시도하는 macof 공격으로 가짜 MAC 주소를 스위치 장비에 퍼부어서 스위치 포트의 MAC 주소를 저장하는 공간(CAM)을 채워버리면 스위치가 제 기능을 하지 못하고 허브처럼 작동되게 되지만 네트워크는 여전히 작동되게 해준다는 개념이다. 이럴 때 스위치가 허브처럼 작동해서 네트워크 속도는 느려지고, 허브는 매우 보안에 취약해서 위험하다는 문제가 있다. 보통 이런 도구들은 시그니처 기반과 이상 행동 기반으로 구성되어 패킷을 검출한다. 

 

이 두 가지는 네트워크 장비의 특성과 보안 방침에 따라 결정되는데 방화벽(FW)이나 침입감지 시스템(IDS), 침입예방 시스템(IPS)은 일반적으로 Fail Safe 원칙을 따른다. 

  네트워크상의 특정 호스트에 보안 도구를 설치하고 보안 침해를 설정해서 모니터링과 보안을 적용시키는 도구로 
∎ 외부에서 내부의 특정 호스트의 서비스나 포트로 침입하는 것을 감지해서 막는 Firewall(방화벽) <=Web Firewall(.htaccess)
∎ 내부 네트워크에 proxy나 mail relay 등을 통해서 내부 네트워크에서 바이러스 전파를  막아주며 라우터 아래 스위치 장비 밖에 두는 내부 FireWall의 일종인  VirusWall(바이러스 월)
∎ 네트워크상의 침입을 알려주는 침입감지 시스템 IDS(Intrusion Detection System)    <=침입이 있을 때 알리기만 함
∎ 네트워크상의 침입을 막아주는 침입예방 시스템 IPS(Intrusion Prevention System)    <=침입이 있을 때 방어 조치를 취함 
∎ 종합적인 보안관리 시스템인 통합 보안관리 ESM(Enterprise Security Management), 
∎ 위협관리 도구들을 묶어놓은 통합 위협관리 UTM(Unified Threat Management) 
∎ 네트워크상의 노드 추가 등을 관리하는 접근관리 NAC(Network Access Control) 등을 알아본다. 
  현장에서 매우 중시하는 도구들이므로 잘 알아두면 좋을 것이다.  

 

  그리고 다음의 용어도 보안에서 중요하므로 알아두자.
￭ 위험(risk)은
① 예상되는 위협(threat)에 의하여 자산(asset)에 발생할 가능성이 있는 손실의 기대치
② 자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책의 효과 등에 의해 영향을 받음
￭ 위협(threat)은 
① 자산에 손실을 발생시키는 직/간접적인 원인이나 행위
② 보안에 해를 끼칠 수 있는 행동이나 사건
￭ 취약점(vulnerability)은 
① 위협에 의하여 손실이 발생하게 되는 자산의 약점(weakpoint)
② 기능의 설계 또는 구현 단계에서의 오류나 동작, 설치 또는 운용상의 문제점으로 인하여 정보 시스템이 가지게 되는 보안상 취약점
=>취약점이 중복되는 지점이 위험하다고 하고, 실제 해킹 등으로 침투하는 행위를 위협이라고 하면 위협을 통해서 조직의 자산에 해가 있을 수 있다.

  전문적인 모니터링 도구들 중에는 단순한 모니터링뿐만 아니라 네트워크 트래픽 감시와 네트워크나 호스트로 들어오는 패킷을 분석해서 일반적이지 않거나(출발지나 목적지 IP 주소가 없거나, 자신에게 반송되는 IP_주소, 너무 길거나 짧은 패킷, 목적지 등의 포트가 없거나, 변형된 헤더, 사설 IP를 사용하는 패킷 등), 악성 코드 데이터베이스에서 발견되는 패턴과 유사한 형태(변종 포함) 등의 패킷을 걸러 내거나 침입자의 작업을 유추해주기도 한다.
  또 패킷이 들어와서 어느 작업을 하는지 활동을 감시하는 시스템도 있는데 이들은 미리 정의된 규칙(rule)에 따라서 작동되며 여러 지점에서 들어온 정보를 분석해서 실제 침입 유무를 판단하기도 한다. 

 

  침입예방 시스템은 침입감지 시스템과 설정이 유사하다. 예를 들어 침입 감지를 알리는 warn 설정을 drop 설정으로 바꿔두면 침입이 되지 못하므로 침입 예방(차단) 시스템이 된다.  

 

  Firewall과 IDS, IPS 도구들에 대해서 알아본다. 
  이들에 대해서 몇 가지 구별 방법이 있을 수 있지만 일반적인 분류로는 네트워크 카드(NIC)가 하나인 In-Line 방식(노드의 네트워크 주소와 방화벽 주소가 동일함)과 NIC가 두 개인 Out-of-Path 방식(노드의 네트워크 주소가 방화벽의 주소와 다름)이 있다.
∎ In-Line으로 Snort, Fail2Ban, Suricata, OSSEC, ModSecurity, PacketFence와 ELK (ElasticSearch+Logstash+Kibana)를 알아보고,
∎ Out-of-Path로 Linux FW, ASG(Astaro Security Gate), Untangle, Security Onion, FortiGate와 Endian을 알아보며, 
∎ Cloud Network Monitoring으로 Zabbix, MRTG(Multi Router Traffic Grapher), Cacti, Nagios와 Ganglia를 알아본다. 

 

 

  Snort
  Snort는 침입감지를 수행하는 IDS를 주로 하지만 IPS 역할도 해서 외부로부터의 침입여부를 빠르게 알려준다. Snort는 sniffer mode, logger mode, 그리고 IDS/IPS mode로 작동될 수 있는데 Snort가 제대로 작동되려면 AV에서의 악성코드에 대한 데이터베이스가 있어야 하듯이 유효한 침투에 대한 룰세트(Signature based) 데이터베이스가 잘 유지되어야 하므로 rule.conf 파일 설정이 중요하다. 

Promiscuous mode는 네트워크 인터페이스가 다른 모든 패킷을 수신하도록 설정되는 네트워크 인터페이스의 모드입니다. 이 모드에서 인터페이스는 자신에게 전송된 패킷 뿐만 아니라 다른 모든 패킷도 수신하게 됩니다.
보통 네트워크 인터페이스는 자신에게 전송된 패킷만 수신하고, 이외의 패킷은 거부합니다. 그러나 promiscuous mode로 설정되면 인터페이스는 네트워크 상에서 발생하는 모든 패킷을 수신할 수 있으므로, 네트워크 패킷 분석 및 네트워크 해킹 등의 용도로 사용됩니다.
네트워크 관리자나 보안 전문가는 이 모드를 사용하여 네트워크 문제를 진단하고 보안 취약점을 탐지할 수 있습니다. 하지만 이 모드를 악용하면 다른 사용자들의 개인정보 등을 유출할 수 있으므로, 합법적인 용도로만 사용해야 합니다.

따봉 챗지피티야 고마워~!

 

gedit /etc/snort/snort.conf

네트워크 주소의 비트 수를 24로 표시

홈넷에 192.168.100.0부터 2의 8승인 256-1인 255까지 다 보겠다. 

 

덧. var HOME_NET 192.168.100.128이라고 딱 한 개를 짱 박으면 이 서버 하나만 집중적으로 보겠다. 

 

192.168.100.0~255 이외에 모든 네트워크를 외부 네트워크로 만들겠다. 

ssh rules를 추가

 

ls /etc/snort/rules

ls /etc/snort/rules |wc -l

 

cat -n /etc/snort/rules/icmp.rules

 

 

alert tcp any(내부든 외부든) any -> $HOME_NET 22(port로 짱박기)  (msg:"SSH Login Attempts"; sid:0000001;) 로그인 시도가 있어 하고 경고를 함

 

cat >> /etc/snort/rules/icmp.rules

alert icmp any any -> $HOME_NET any (msg:"ICMP Testing detected"; sid:100002;)

 

cat >> /etc/snort/rules/scan.rules

alert tcp any any -> $HOME_NET any (msg:"PORT SCANNING detected"; sid:100003;)

 

/etc/init.d/snort restart (very legacy)
=systemctl restart snort (modernized)
=service snort restart(a little bit legacy)와 같은 명령어이다.

 

지옥같았던 오류잡기에서 탈출... (원인은 오타...띄어쓰기)

 

snort -h 하면 사용법이 나옴

 

snort -q -A console -i eth0 /etc/snort/snort.conf

 

우분투에 nmap을 apt -y 로 설치해주고, 

 

ssh로 centos 로그인을 해주니 BT에서 snort로 모니터링을 했다. 

 

---

IPS에 강한 - fail2ban 
  이 fail2ban은 IPS로 사용되는데 서버 서비스를 실행중인 서버에 fail2ban을 설치해두면 외부에서의 의심스런 침투가 있을 때 이를 미리 막아서 서버의 보안을 강화시켜주는 도구이다. fail2ban-client는 fail2 ban-server의 jail 설정 등을 확인시키는 콘솔 명령어로써 일반적인 서버-클라이언트 개념과 무관하므로 주의한다. fail2ban의 jail 설정에 따라 서버 머신의 로그 파일을 모니터링해서 서버에 의심스런 호스트 접근을 감지한 뒤 해당 IP들을 추려서 차단해준다. SNORT가 IDS 도구라면 FAIL2BAN은 IPS 도구인데 서버나 방화벽에 설정해서 사용하는 로그기반 도구이다. 

 

  설정은 /etc/fail2ban/fail2ban.conf 파일에서 해줄 수 있지만 기본설정을 그대로 놔두고 사용해도 문제는 없다. 의심스런 행동이 몇 번 탐지되면 어떤 액션을 취해야할지 이 파일에서 '필터.액션' 구문으로 jail을 정의해준다. 

 

yum -y install epel-release

yum update && yum -y install fail2ban

이걸로 설치해준다. 

 

gedit /etc/fail2ban/jail.conf

gedit /etc/fail2ban/fail2ban.conf

 

 

service fail2ban start

fail2ban-client set sshd addignoreip 192.168.100.134 192.168.100.133

chkconfig fail2ban --level 35 on

 

현재 갇혀 있는 애는 없다. 

이제 사고를 치겠다. 

 

 

백트랙에서 로그인 오류를 세 번 냈더니 감옥에 걸렸다. 

 

---

yum -y install sendmail

 

firefox http://www.ruu.kr 

---

  DenyHosts 
  이 도구도 Fail2Ban처럼 IPS로 사용된다. 원격에서 여러 IP로 무차별 연결을 시도하는 DDoS 공격의 해커를 막는 기법 중 하나이다. 서버가 DDoS 공격에서와 같이 사설 IP나 알 수 없는 무수한 악성 IP 주소들을 모두 막을 수 없으므로 연결을 허용할 IP 주소만 지정해두고 서버의 Messages나 Secure 로그를 읽어서 이런 이상한 IP 주소나 네트워크들의 연결을 TCPwrapper의 /etc/hosts.deny 파일에 넣어서 막는 기법이다. 
  TCPwrapper는 일반적으로 /etc/hosts.allow 파일을 먼저 보고 /etc/hosts.deny 파일을 나중에 보므로 설정은 먼저 /etc/hosts.deny 파일에서 모두 거부로 해두고, /etc/hosts. allow 파일에서 필요한 것들만 허용해주면 허용할 것 이외에는 모두 거부된다.