파일 첨부

081107_윈도우 환경에 ModSecurity 설치하기.pdf

한국 IP 에서만 접속 가능하며, 그 이외의 IP (해외IP)에서는 접속이 불가능합니다.

IP대역은 수시로 바뀌기 때문에 갱신도 자주 해야 합니다.

서버가 클라이언트가 되어 외부로 요청 가능한 포트는 아래 리스트만 오픈 하였습니다.

80 tcp

443 tcp

53 tcp / udp

21 tcp

20 tcp / udp

25 tcp

1433 tcp

한국 IP대역 적용일 : 2013년 8월 22일

* 파일을 첨부했습니다.

World_IP_Block.zip

보안관리자로써 경력이 3-4년 된 분들이라면 침입차단시스템과 침입탐지시스템과 같은 기본적인 보안장비 자체에 대한 지식과 운영경험은 아주 뛰어나리라 생각된다. 하지만 그런 중급 보안관리자라 하더라도 쉽게 접근하기 어렵다고 느끼는 분야가 있다면

 "침해사고 분석(Forensic)"이 아닌가 한다. 

본 문서에는 Windows 2000 서버를 대상으로 보안관리자는 물론 일반 IT관리자들도 손쉽게 접근할 수 있는

"침해사고 분석" 절차에 대해서 알아보겠다. 


비정상 네트워크 확인 

1. 비정상 네트워크 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스를 확인하고 불필요한 서비스가 동작 중인지의 여부를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 netstat 실행 

③ -na 옵션을 통해서 열려있거나 연결된 TCP/UDP 포트 확인 가능 
④ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 TCP 포트 확인 

⑤ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 UDP 포트 확인 

2. 비정상 네트워크와 매핑된 프로세스 확인 

1) 목적 
- 공개 툴인 fport를 이용하여 TCP/UDP 포트와 매핑된 프로그램(프로세스)를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 fport 실행 

③ 다운로드 사이트 
- http://www.foundstone.com/resources/freetools.htm 


3. 비정상 NetBIOS 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스 중에서 비정상적인 NetBIOS 연결을 확인한다. 

2) 점검 방법 

① 시작] a [실행] a cmd 입력 후 엔터 
② cmd창에서 net share 실행 a 공유된 자원 확인 

③ cmd창에서 net view 실행 a 공유된 자원 확인 

④ cmd창에서 net session 실행 a 연결되어 있는 세션 확인 

⑤ cmd창에서 net use 실행 a 연결되어 있는 네트워크 자원 확인 

비정상 프로세스 확인 

1. 비정상 프로세스 확인 

1) 목적 
- 대상 시스템에서 실행중인 프로세스를 점검하여 트로이안목마/백도어 등 관리자가 실행하지 않았거나 인지하고 있지 못하는 의심스러운 프로세스를 점검한다. 

2) 점검 방법 
- Windows 리소스 KIT에서 제공하고 있는 프로세스, 서비스 관련 툴을 사용한다. 

네이트온 메신저   - 5004:5010

                                - 1863

야후 메신저           - 5050

지니 메신저           - 10000:10010

ICQ 메신저            - 5190

버디버디 메신저   - 941

천리안                    - 1421

세이타키 메신저   - 6699

                                - 25

IPsec으로 막는 방법은

1. 이동 : 시작 -> 프로그램 -> 관리도구 -> 로컬보안정책

2. 선택 : 왼쪽 메뉴에서 로컬컴퓨터의 IP 보안정책

3. 선택 : 오른쪽 창에서 마우스 오른쪽 버튼
3. 선택 : IP필터 목록 및 필터 동작 관리

4. 선택 : IP필터 목록 관리에서 추가

5. 입력 및 선택 : 이름에 아무거나, "nateon막기ㅋㅋㅋ" 그리고 추가선택

6. 선택 : 다음 -> 원본주소:내 IP주소 -> 다음 ->

7. 대상주소 
   - 이것이 가장 중요함
     nate.com : 203.226.253.11
     nateon.nate.com : 211.234.239.58 (웹사이트 주소)
     nateon메신져 서버 IP : 211.234.239.172 (현재 제 컴퓨터의 확인결과)
     nateon메신져 서버 접속 포트 : 5004
    
   선택하세요
   1) 네이트 메신져고 웹이고 나발이고 5004 포트 연결은 다 막아 버리겠다.(강력추천!-_-)d)
      대상주소 : 모든 IP주소

   2) 5004포트 이외에 또 연결 될 포트가 있을지 의심이 드는경우
      대상주소 : 특정 IP서브넷 (거의 대부분 서버들은 IP를 줄줄히 나열해서 사용함)
                 대상 IP주소 : 211.234.239.0
                 서브넷마스크 : 255.255.255.0

8.선택 : 다음

9.선택 : 프로토콜 : TCP

10.선택 및 입력: 모든 포트에서 이 포트로 5004 입력

11.선택 : 다음

12.선택 : 마침

이제 IP필터 목록 관리에 nateon막기라는 이름으로 한 개의 규칙이 생성 되어 있는 것을 보실 수 있습니다.
이제 이 규칙에 대한 제어를 해야죠? 위의 구성을 허용할 것인지 거부할 것인지 .. 그걸 만들어 보자구요
탭메뉴가 IP필터 목록 관리와 필터 동작 관리 이렇게 2개가 있습니다.
필터 동작 관리로 가봅시다. 여기서 컨트롤 합니다.
이 메뉴로 가보시면 거부가 없는 것을 볼 수 있습니다.그럼 거부를 만들어 봅시다.
1) 추가
2) 다음
3) 이름 : 무조건 거부( 마음대로 하세요. 설명도...)
4) 거부 선택
5) 마침

우리는 규칙도 만들었고 필터링 규칙도 만들었습니다.
이제 적용을 시키려면 룰을 IP보안 정책에 넣어 줘야 합니다.
자 넣어 봅시다.
두 가지 모두를 마치고 확인을 누르면 처음 로컬 보안정책 화면이 보입니다.
오른쪽 창에서 마우스 오른쪽 버튼을 누르셔서 IP보안정책 만들기를 선택하세요.

1) 이름 : 네이트 접근금지 ㅋㅋㅋ
2) 프로그램 설치하듯 무조건 넥스트 눌러 주세요. 경고창이 뜰 수 있습니다. 아래와 같은 내용으로요..
   경고
   "이 규칙이 도메인의 구성원인 컴퓨터에서 사용하게 될 경우에만 Kerberos가 유효합니다.
    이 컴퓨터는 도메인의 구성원이 아닙니다. 계속하여 규칙 속성을 저장하시겠습니까?"
  그래도 Y누르시고 마침을 누르면, 보안규칙 마법사라는 제목으로 선택 항목이 나옵니다.
  여기서 아까 설정해뒀던(첫번째설정했던) 이름 nateon막기를 선택 다음을 누르면
  허용, 보안요청등...있습니다. 이것도 설정했던(두번째 설정했던) 무조건 거부 선택!
그리고 확인을 누르셔서 빠져 나옵니다. 그리고..닫기~

이제 모든 설정 작업이 끝났습니다..
모든 설정은 끝났으나....적용이 되지 않고 있을 겁니다.ㅜㅜ
적용 한 번 시켜 봅시다.
오른쪽 창을 보면, 네이트 접근금지ㅋㅋ 이와 같은 것이 있습니다.
그 줄의 오른쪽을 보시면 정책 할당은 아니요로 표시 되어 있습니다.
이것이 적용이 되지 않고 있음을 나타냅니다.
네이트 접근금지 ㅋㅋ 줄을 선택하시고 마우스 오른쪽 버튼을 누르시면 할당메뉴가 보입니다.
누르는 순간 적용이 되는 것입니다...
적용하시고 잠시만 기다려 주세요..
열심히 썼지만..전달이 되지 않는 다는 걸 모르고...왜 대답을 안하냐고..독촉하며 네이트온을 
하고 있던 사람들의 네이트온이 연결이 끊겨 있는 것을 확인하실 수 있습니다.
음미하시면 됩니다.ㅋㅋ

[출처] 지식인 | zinclub (http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=10301&docId=68128934&qb=64Sk7J207Yq47JioIO2PrO2KuA==&enc=utf8&section=kin&rank=4&sort=0&spq=0&pid=f2o/yloi5TGssZ5YcIhsss--190416&sid=S2o-MpQ8aksAADQYCMI)

파일 첨부

윈도우즈 ipsec_설정하기.pdf

http://blog.naver.com/mybrainz?Redirect=Log&logNo=140006895152

추가사항

"네트워크 종류" 설정하는 부분에서 "모든 네트워크 연결" 지정해야 함.
특정IP만 허용하고 나머지를 다 차단할거면 허용정책 먼저 설정해야 함.

http://www.ntfaq.co.kr/3861

* 기술문서, 프로그램 첨부

WebKnight.zip

Webknight.pdf

WebKnight를 활용한 IIS 웹서버 보안_NTFAQ Korea.pdf

윈도우용 bind 다운로드 주소 : http://www.isc.org/downloads

1. 설치

다운로드받은 파일 압축을 풀고 BINDInstall.exe 를 실행합니다.

Target Directory

C:WINDOWSsystem32dns

Service Account Name

named

Service account Password

sysdocudns@

Confirm service Account Password

sysdocudns@

Install 버튼을 눌러 설치가 완료되면 Exit 버튼을 눌러 설치 화면을 빠져나옵니다.

2. 설정

윈도우 탐색기를 열고 C:WINDOWSsystem32dns 디렉토리로 이동합니다.

이곳에 zone 파일을 생성합니다.

파일명 : sysdocu.com.zone

그리고 C:WINDOWSsystem32dnsetc 디렉토리로 이동하여 named.conf 파일을 생성합니다.

파일명 : named.conf

3. 시작

[시작] - [프로그램] - [관리도구] - [서비스] 에서

'ISC BIND' 를 찾아 '시작' 버튼을 클릭합니다.

1) 백업 : DNS서비스 중지를 먼저한다.

     가) 탐색기 : %systemroot%system32dns 폴더에 있는 dns 폴더를 백업.

     나) 레지스트리에서 두개의 정보 저장

         1) 다음의 두 위치중 한곳에서 레지스트리 내보내기로 해서 파일로 저장.

       -  [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNS]과
       
        2) 다음 위치에서 레지스트리 내보내기로 해서 파일로 저장.
              - [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT

                                                                         CurrentVersionDNSServerZones]

      * DNS서비스 시작.

2)복원 : DNS서비스 중지를 먼저한다.
   - 백업한 DNS폴더를 원래의 위치에 복사한다.

   - 두개의 레지스트리 정보를 각각 병합한다.(더블클릭해도 병합됨)

   - DNS 서비스 시작후 데이터파일 업데이트를 한다.

   - DNS 서비스 재시작을 하면된다.


*추가팁:

위의 경우는 DNS에 등록한 도메인 리스트 정보를 레지스트리에서 관리하는 것으로 해당 DNS서버에서 파일로 저장하기를 하면 system32dns 에 boot 파일이 생성됩니다.
그러면, 이 boot 파일과, 각 도메인 DB파일을 다른 서버에 이동한후 DNS를 restart 하시면 됩니다. 복사전에 대상서버의 DNS 데이터 저장을 파일로 해놓아야 합니다.

[출처] 독선생의 보물섬 (http://blog.naver.com/newcomsa?Redirect=Log&logNo=30078745490)

다음 이유 때문에 원격 도메인 'sysdocu.tistory.com'에 메세지를 배달하지 못했습니다.

The remote server did not respond to a connection attempt.

위와 같은 에러 메세지가 출력된다면 아래 두가지 경우를 체크해보시기 바랍니다.

1) 네트워크 설정에 DNS가 정상적으로 셋팅 되어있는지.

2) 관리도구 > 서비스에서 'DNS Client' 가 구동 중인지.