3. 서버 보안용 S/W 설치 및 운영
(1) 시스템 취약점 점검 도구
취약점 점검기술 | 내용 |
점검방법 | 능동적 점검, 수동적 점검 |
점검범위 | 단수항목 점검, 복수항목 점검 |
점검대상 | 로컬시스템 점검, 네트워크 점검, 어플리케이션 점검 |
레포팅방법 | 로컬 레포팅 방법, 원격 레포팅 방법 |
[취약점 점검기술 분류]
시스템 취약점 점검도구 | 네트워크 취약점 점검도구 | |
설치 |
ㆍ모든 타켓 시스템에 에이전트가 설치되어야 함 ㆍOS에 따라 제한을 받음 ㆍ슈퍼유져 권한이 필요 |
ㆍ네트워크에서 단지 하나의 시스템에 인스톨 ㆍ일반적으로 타겟 시스템의 OS에 제한적이지 않음 ㆍ타겟에 대한 특별한 시스템 권한이나 접근 권한이 필요 없음 |
점검 |
ㆍOS레벨 보안 취약점을 발견 ㆍ취약점을 상세하게 점검 및 분석 ㆍ취약점은 정확하게 탐지 |
ㆍ빠른 시간에 많은 호스트를 점검 및 추적 ㆍ시스템 취약점 점검도구에 비해 상대적으로 상세한 점검이 어려움 ㆍ오용탐지를 할 가능성이 있음 |
[시스템과 네트워크 취약성 비교]
NESSUS : 취약점 점검 도구
- NESSUS 특징
▶ 서버클라이언트 구조로 작동
▶ 사용이 자유럽고 플리그인 업데이트가 쉬움
▶ HTML 등 여러 형태로 결과를 리포트
▶ Nmap과 gtk 기반으로 동작
SARA : 유닉스 기반의 보안 분석도구
- SARA 특징
▶ SANS TOP20 취약점을 점검
▶ CVE 표준을 지원
▶ 대규모 네트워크를 점검(25,000개 이상 노드 점검 가능)
▶ SATAN 모델을 기반
- SARA 기능
▶ 유닉스, 리눅스, MAC OS/X, 윈도우 환경 지원
▶ National Vulnerability Database 지원
▶ 다양한 방화벽 환경 지원
▶ 서드파티를 위한 플러그인 제공
▶ 기업을 위한 검색 모듈 지원
▶ Standalone 또는 데몬모드 지원
▶ SATAN 라이센스 이용한 프리웨어
nikto2 : 오픈소스로 웹서버를 스캔하여 취약점을 점검
ㆍ소스 컴파일 일반적인 단계 : 소스파일 압축해제 -> ./configure -> make -> make install
(2) 무결성 점검 도구
tripwire
- /설치디렉토리/bin/tripwire : tripwire의 주된 실행파일
- /설치디렉토리/policy/tripwire/* : tripwire에 관련된 설정파일과 key 파일 및 정책파일들이 저장된 디렉토리
- /usu/local/lib/tripwire/report/ : tripwire 실행결과 보고서가 저장될 디렉토리
- /user/local/etc/tw.pol : 정책파일
- /usr/local/etc/tw.cfg : 환경설정 파일
Fcheck
- db 생성 : # ./fcheck -ac
- 무결성 검사 : # ./fcheck -a
(3) 접근통제 및 로깅도구
TCP_Wrapper : 시스템에서 기본적으로 제공하는 방화벽 이외에 접근통제에 유용한 도구
- 클라이언트 접속요청 -> xinetd -> tcp-wrapper -> 데몬 실행
- hosts.deny : 방어하고자 하는 데몬종류와 ip주소 설정
▶ 데몬종류 : 클라이언트 주소
☞ ex) ipop3d : 10.10.10.10
▶ 형식 ALL : ALL
☞ 슈퍼데몬을 이용하는 클라이언트의 서비스와 ip주소의 어떠한 것도 허용하지 않음
- hosts.allow : 허용 가능한 서비스와 ip주소 설정
▶ 서비스명 : 접근허용 ip 주소
☞ ex) pop3 : 192.168.1.100
- /etc/xinet.d/* : 슈퍼데몬을 사용하기 위한 설정
- /tcp-wrapper 활용시 로그 파일 : 로그 파일은 /var/log/secure나 /var/log/messages 파일 등에 기록됨
(4) 스캔 탐지 도구
portsentry : 포트스캔을 실시간으로 탐지하고 tcp_wrapper와 결합하여 hosts.deny 파일에 자동으로 등록
실시간 네트워크 불법 Scan 자동탐지 도구(RTSD) 공개(RealTime Sxan Detector) : 한국인터넷 진흥원에서 과거에 개발한 불법 스캔 자동탐지 도구
(5) 로깅 및 로그분석 도구
로깅 도구
- syslog : 백그라운드 프로세스로 돌면서 로그 메시지를 받아서 하나 이상 개별 파일에 기록하는 데몬
▶ /etc/syslog.cong : 각종 로그 환경 설정을 추가, 변경, 삭제 가능
▶ faclity.priority logfile-location
(1) (2) (3)
☞ (1)에 대하여 (2)의 경우가 발생하였을때 (3)에 기록을 저장한다는 의미
옵션 | 내용 |
auth | 로그인과 같이 사용자 인증에 관한 메시지 |
authpriv | 보안 및 승인이나 개인 사용자 인증에 관한 메시지 |
cron | cron, at 데몬에 의한 메시지 |
daemon | telnet, FTP에 대한 메시지 |
kern | kernel에 의한 메시지 |
lpr | 프린터 데몬인 ipd에 의한 메시지 |
sendmail 등에 의한 메시지 | |
news | 뉴스서비스에 의한 메시지 |
[syslog facility 종류]
레벨수준 | 내용 |
emerg | 시스템 다운으로 인한 서비스 불가의 가장 높은 단계 |
alert | 경고 수준 레벨로 데몬 종료 후 보안 조치 필요 |
crit | 하드웨어 장애 |
err | 에러수즌으로 지속적인 모니터링 필요 |
warn | 단순경고 메시지 |
notice | 시스템에서 발생하는 주의의 정도 |
info | 정보를 제공하는 메시지 |
debug | 세부적인 정보출력으로 도움 줌 |
none | 아무것도 로그하지 않음 |
[syslog priority의 종류]
▶ syslog 서버
☞ 리눅스 syslog : 'syslog-ng'라는 툴을 이용하여 유용하게 사용 가능
☞ 윈도우 이벤트 로그, 윈도우 방화벽 패킷로그 : 윈도우에 로그나 이벤트 기록도 원격지 로그 서버에 기록 가능
- webalizer : 아파치 웹 로그 분석을 해주는 분석도구
▶ webalizaer 환경설정 파일 수정 : /etc/webalizer.conf 파일을 수정
☞ LogFile : /var/log/httpd/access_log : 웹로그 경로 지정
☞ OutputDir : /var/www/html/webalizer : 웹디렉토리 지정
☞ HostName : localhost : 호스트네임 지정
'자격증 공부 > 정보보안기사' 카테고리의 다른 글
정보보안기사(필기) 2. 네트워크 보안 - 네트워크 일반(1) (0) | 2020.05.04 |
---|---|
정보보안기사(필기) 1. 시스템 보안 - 서버보안(2) (0) | 2020.05.04 |
정보보안기사(필기) 1. 시스템 보안 - 서버보안(1) (0) | 2020.05.04 |
정보보안기사(필기) 1. 시스템 보안 - 클라이언트 보안(2) (0) | 2020.05.03 |
정보보안기사(필기) 1. 시스템 보안 - 클라이언트 보안(1) (0) | 2020.05.03 |
댓글