IT보안타파

정의 - 위험으로부터 자산을 보고하기 위해 비용 대비 효과적인 보호대책을 마련하는 것 1. 위험의 구성 요소 - 그림으로 이해하기 2. 위험분석 방법론 1) 기준 접근법 - 체크리스트 형태로 현재 구현되어 있는 것부터 파악하여 없는 것 구현 - 소규모 조직에 적합 2) 비정형화된 접근법 - 위험 분석을 개인의 지식과 전문성 활용 - 위험 분석 실시하는 전문가는 내부 전문가 일 수도 외부 컨설턴트 일 수도 있다. - 중소규모 조직 * 장점 - 개인의 지식과 전문성을 활용하기에 빠르고 비용이 적게 든다. * 단점 - 일부 위험들은 취약한 상태로 방치될 수 있다(why? 개인의 주관적인 방법때문에) 3) 상세위험분석 - 정형화되고 구조화된 프로세스 - 조직의 자산을 파악하고, 조직의 가치 및 중요도 산출 (정..

등장배경 - 회사의 위험이 적절히 관리되는가? 1. 정보보호 거버넌스 목표 (ABC) 1) 책임성 - Who(누가) 성과를 책임 지는가? - 기업거버넌스 "책임성"과 연계 2) 비니지스 연계성 - 비지니스 목표 달성에 기여하는가? - 기업거버넌스 "효과성"과 연계 3) 준거성 - 원칙과 기준에 의해 수행되는가? - 기업거버넌스 "투명성"과 연계 2. IT 거버넌스와 정보보호 거버넌스 동일한 이념 - 위험과 수익 사이에 균형을 맞춰 가치 창출 이사회 역할경연진정책, 절차의 방향성 제공보안정책 개발자원 지원위협, 취약점 식별우선순위결정보안인식교육 3. 정보보호거버넌스 5가지 구현 1) 전략전 연계 - 비지니스, IT 목표, 정보보안 전략이 서로 연계 2) 위험관리 - 잠재적 위험을 줄이고, 수용가능한 위험수..

두번째 편에서는 보안관제를 하면서 느낀 것들이 있다. 보안관제로 일을 시작했다면, 첫 번째 글에서 말했던 것처럼 스펙을 쌓아라! 무슨 말이냐, 일하면서도 회사에 팀장님께 잘보이면, 교육도 받으러 갈 수 있다. 뭐, 미리 들어온 사람들이 말해주겠지만... 모르는 사람들을 위해서 글을 쓴다. 나도 이번에 하려고한다... 나는 추천한다 뭘?(대기업 보안업체 못갔으면..) 나중에 이력서 한줄이라도 더쓰라고 kisa아카데미에서 k-shield나 여기서 나오는 교육들어서 스펙이나 쌓으라고 http://academy.kisa.or.kr/ KISA LMS academy.kisa.or.kr 뭐가 좋으냐하면, 근무일날 같은 관제조원한테는 미안하지만, 빠질 수 있다. (악용? 안된다 왜냐 k-shield 1차,2차 시험보나..

나는 현재 경력이 3년차 보안관제로 업무를 하고있다. 다들 보안을 시작하려면, 관제부터 시작하라고 한다. 근데, 관제로 처음부터 시작안해도된다. 돈보지말고, 차라리 컨설팅이나, 모의해킹 등 관제말고 다른 업무 하는 걸 추천한다. 나는 관제만 했기에 우선 원격관제, 파견관제에 대해 말해 보겠다. 각각의 장,단점이 있다. 원격관제는 쉽게 말하면 IDC(많은 서버를 가지고 있고 그만큼 많은 고객을 유치)에서 여기에 돈을 내고 쓰는 고객들을 대상으로 보안 관제를 제공해주는 곳이다. 여러 고객들을 상대 할 수 있고, 콜센터가 되는 것을 볼 수 있다. 그러다보니, 성격 억누르기, 고객한테 조곤조곤 알기쉽게 알려주기, 겪어보지 못한 일(통신 안되면 전화부터 온다)등 솔직히 바빠도 배우는 건 있다. 파견관제는 보안기업..

!!!! 무조건 새로운 vm호스트나 nat을 생성하면 컴터 본채 재부팅!! 내부 사람끼리 통신 내부에서 서로 통신이 되게 하려면 여기서 local port가 내 포트이고 상대방 포트로 가려면 Remote port 예시 - 내가 192.168.10.67(상대방ip)로 가려면 local 20000 , remote 30000 상대방이 나에게 오려면 192.168.10.28(내ip)로 local 30000, remote 20000한후 ip 대역대 맞쳐준뒤 통신 =========================================================================================================================== Wan 통신 네트워크 어탭터에 클..

먼저 옵션을 보겠다. threshold:type [limit,threshold,both], track [by_src, by_dst], count [횟수], seconds [초] 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type limit, type by_dst, count 6, second 10; sid:10000008;) 패킷을 10개를 보내도 경고와 로그는 6번만 남는 것을 알 수 있다. 자 두번째로는 threshold 옵션을 살펴 보겠다 설명과같이 나올까? 살펴보도록 하자! 옵션은 alert icmp any any -> 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type threshold. ty..

환경 구축에 필요한 내용에 대해 설명을 먼저 하겠다. 리눅스에서 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 는 밑의 그림과 같이 설명할 수 있다.두번째 예로 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 2.2.2.2:80환경 구축을 위해 설정을 정리해 보겠다. CentOS IP 대역대 Kali IP 대역대 XP IP 대역대 환경 구성도 CentOS에서 모든 통신이 되게 설정을 시작하겠다. PORTWARD에서 -o 기준은 가운데 선을 그어서 10.10.10.x와 192.168.112.x는 IP 대역대가 다르기 때문에 서로 알지 못한다. 그래서 패킷이 서로 지나가게 끔 설정을 해준다. 가운데 ..

Snort 룰 icmp 하는 법은 쉽게 할 수 있다. alert icmp any any -> $HOME_NET any (msg:"ICMP"; sid:1000001;) 이렇게만 설정을 해줘도 icmp 탐지를 할 수있다. 여기서 옵션을 하나하나 설명하겠다. "모든 IP와 모든 PORT에 대해 HOME_NET로 모든 PORT가 icmp로 패킷을 전달 할 때 icmp를 탐지" 해라는 뜻 입니다. 여기서 뒤에 msg는 ICMP 패킷이 탐지되었으면, 해당 경고 사항에 대한 이름을 ICMP로 표현을 한 것이고, sid는 룰 정의를 하는 번호입니다. 100~1,000,000는 SNORT에서 할당한 번호 1,000,000 사용자 정의 룰 할당 번호이다. ※반드시 룰 설정 시 sid를 기입해줘야 한다. 룰이 하나씩 정의 ..

Snort 준비물 위에 파일을 받아 주세요. 따로 필요한 자료는 받아 설치 해주세요CentOS 6.x 를 이용하였습니다. 밑의 모든 내용을 다 해야합니다. 1. ping 8.8.8.8 통신 확인 ping google.com 통신 확인 2. yum -y install epel-release -> Red Hat 계열 리눅스(RHEL, CentOS, Oracle Linux...) 에서 유용한 유틸리티가 많이 포함되어 있어 필수적으로 설치하는 추가 Repository 이다. 3. sed -i -e "s/enabled=1/enabled=0/g" /etc/yum.repos.d/epel.repo -> 기본 저장소와 충돌하지 않게 epel.repo 파일을 enable=0 으로 비활성화. 이 저장소를 사용하려면 yum ..

1. NEXT 2. 두번째에 cd를 넣어줘도 안넣어줘도된다. 여기서 넣지않으면 이 설정완료 후 cd넣어주면된다. 3. Version은 어떤 커널을 이용하겠는냐는 것이다. Other은 다 사용하겠다는 뜻. 4. (1)Store 과 Spilt 차이 - Store는 전체가 100GB이면 로컬PC상에서 총 하드 100GB를 사용하게 된다.즉, 고정 할당량을 뜻한다. Spilt는 전체가 100GB이지만, 먼저 25GB를 사용하다 필요하면 최대 100GB까지 용량을 늘릴 수 있다. 로컬PC상에서 확인하면 100GB가 잡히지 않을 것이다. Kali를 사용하면서 용량을 채우면 로컬PC의 용량이 증가하는 것을 알 수 있다. 5. FINISH 6. (1) Edit virual machine setting을 선택하여 설정을..