정보보안기사&CISSP관련/보안장비 운영8 [Day 253] WAF(Web Application Firewall) WAF(Web Application Firewall) 웹 애플리케이션 보안에 특화된 방화벽 SQL Injection, XSS 등과 같은 웹 공격을 탐지하고 차단 직접적인 웹 공격 대응 외에 정보유출방지, 부정로그인방지,웹사이트위변조방지솔루션으로도 활용 가능 정보유출방지 개인정보가 웹 게시판에 게시되거나 개인정보 파일이 웹을 통해 업/다운로드 되는 것을 탐지하고 대응 부정로그인방지 Bruteforce 공격 탐지 웹사이트위변조방지 디페이스 공격 탐지 및 대응 * 참고 : 웹방화벽이란?(WAF) | 펜타시큐리티시스템 (pentasecurity.co.kr) 2021. 4. 19. [Day 108] iptables (2) - 상태 추적, 확장 모듈(connlimit, limit) 상태 유형 NEW : 최초로 들어온 패킷 상태. 상태추적 테이블에 정보 없고 TCP의 경우 SYN 패킷이 해당됨 ESTABLISHED : 상태추적 테이블에 연결정보를 갖고 있는 상태. 연결된 이후 송수신 패킷은 전부 이 상태 RELATED : 상태추척 테이블에 연관된 연결정보를 가지고 있는 패킷 상태. FTP 프로토콜이 해당. Active mode는 21/tcp로 제어채널 형성 후 20/tcp로 데이터채널 형성하는데 데이터채널로 송수신되는 패킷은 모두 RELATED 상태가 됨 INVALID 상태 : 연결상태를 알 수 없거나 잘못된 헤더정보를 갖고 있어서 어떤 상태에서 해당 안되는 패킷 프로토콜별 상태 유형 TCP 프로토콜 상세 SYN이 보이면 NEW 상태가 됨 SYN+ACK가 보이면 ESTABLISHED.. 2020. 11. 26. [Day 107] iptables (1) 개요 패킷 필터링 기능을 가지고 있는 리눅스 커널에 내장된 툴 Rule 기반의 패킷 필터링 기능 제공 상태 추적(Connection Tracking 또는 Stateful Inspection) 기능 제공 방화벽을 통과하는 모든 패킷에 대한 연결 상태를 트래킹하여 이 정보를 메모리에 기억하고 있다가 기존연결을 가장하여 접근할 경우, 메모리에 저장된 정보와 비교해 적합하면 통과하고, 아니면 거부하는 기능 Stateful Inspection 방화벽은 이스라엘 체크포인트사에서 최초 개발한 방화벽 구조 위조된 패킷을 차단할 수 있어 보안상의 장점을 가지고, 연결된 상태의 패킷은 더 이상 패턴 매칭 검사를 수행하지 않으므로 성능상의 장점을 가짐 용어 Table : iptables가 제공하는 기능을 의미 Chain :.. 2020. 11. 25. [Day 106] snort rule(5) - Flooding 계열 공격 탐지 HTTP GET Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: "HTTP GET Flooding "; content:"GET / HTTP/1."; nocase; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000025;) --> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위함 --> 출발지 주소(by_src)기준으로 매 1초 동안 100번째 이벤트마다 alert 수행 TCP SYN Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: ".. 2020. 11. 24. 이전 1 2 다음