인터넷진흥원에서 개인정보보호를 위한 서비스를 제공합니다.

천천히 읽어보니 확인만 해주는것이지 탈퇴를 대행해주는 서비스는 아닙니다.
저는 확인해보니 탈퇴할곳이 많아서, 하루꼬박 걸렸네요.

http://clean.kisa.or.kr/


탈퇴를 진행하다보니 아예 탈퇴하기를 메뉴로 제공하지 않는 곳도 있습니다.
서비스를 운영자는 가입자의 입장에서 재가입하고 싶은 마음이 들도록 해야겠네요.~

그런데 우리나라에서는 왜 이렇게 주민등록번호를 많이 받는 걸까요?
반드시 받아야 하는 서비스라면 이해가 가지만, 별로 상관없는 서비스에는 좀 완화하는게 필요하겠네요.



'개발도 하냐?' 카테고리의 다른 글

HTML5  (0) 2010.08.03
요구사항 관리도구의 비교  (0) 2010.08.02
QR코드  (0) 2010.07.26
소스코드만으로 부족함이 느껴질때-RAD  (0) 2010.07.14
Social Network, Social Media  (0) 2010.07.14



한국인터넷진흥원(http://www.kida.or.kr) 웹사이트의
자료실 > KISA 라이브러리 > 기타 에서 찾으실 수 있습니다




IT서비스를 운용하는 기업의 입장에서는
새로운 IT 기술과 서비스에 알맞는 발빠른 대응이 필요하겠습니다.

직접다운로드 하시려면 http://j.mp/bgfngc 에서 가능합니다.




SW개발자에게 웹어플리케이션의 보안부분은 항상 머리가 아픈 부분입니다.
웹어플리케이션의 보안이슈를 웹서버에서 차단가능한 방법이 있으면, SW개발자는 개발에 집중할 수 있겠죠.

오늘 취약점 점검툴을 이용해서 배포하려는 사이트를 분석해보니, 해결해야 하는 취약점의 숫자가 좀 많습니다. ㅡ.ㅡ
서버측에서 접근하는 패킷에 대한 룰셋을 적용하는 방법과,  개발한 소스코드를 보정하는 방법 중, 해당 서버의 전체 어플리케이션에 대해서 웹방화벽을 설치하기로 결정하고 ModSecurity 를 적용하기로 했습니다..

ModSecurity의 설치법에 대해서는 KISA 홈페이지 를 방문해보시면. 한글로 된 가이드가 있습니다.
소스코드 설치를 원하시면 위 링크에서 컴파일에 대한 과정을 설명한 내용을 참고하시기 바랍니다.

저는 최근에는 부득이한 경우를 제외하고는 소스컴파일을 하지 않고, 설치한 패키지에 대한 운영상의 편리함을 생각해서 가능하면 apt, yum, rpm 등의 설치방식을 사용합니다. ModSecurity를 설치할 수 있는 repository를 구글링해서 Yum repository를 찾아냈습니다. (원문 url : http://portugalcode.com/index.php?topic=2850.0;wap2)

How to install mod_security by yum(Redhat-Centos 5)

(1/1)

@Scroll:
1.Download the EPEL repo :

Código
GeSHi (bash):
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
Created by GeSHI 1.0.7.20

2.Then type the following command :

Código
GeSHi (bash):
yum install mod_security
Created by GeSHI 1.0.7.20

Note : Mod_security require liblua-5.1.so, If you don’t have this , it will throw an error while installing by yum.


Código
GeSHi (bash):
--> Processing Dependency: liblua-5.1.so for package: mod_security
--> Finished Dependency Resolution
mod_security-2.5.9-1.el5.i386 from epel has depsolving problems
--> Missing Dependency: liblua-5.1.so is needed by package mod_security-2.5.9- 1.el5.i386 (epel)
Error: Missing Dependency: liblua-5.1.so is needed by package mod_security-2.5.9 -1.el5.i386 (epel)
Created by GeSHI 1.0.7.20

Solution: You can download the rpm from this website

http://rpm.pbone.net/index.php3/stat/4/idpl/12580541/com/lua-5.1.4-1.i386.rpm.html

If your server complain you have installed already newer version then you can reinstall the installed version by using

Código
GeSHi (bash):
-bash-3.2# rpm -qa | grep lua
lua-5.1.4-1.el5.rf
-bash-3.2# rpm -e lua-5.1.4-1.el5.rf
-bash-3.2# rpm -Uvh lua-5.1.4-1.i386.rpm
Preparing… ########################################### [100%]
1:lua ########################################### [100%]
 
Created by GeSHI 1.0.7.20

Now type

Código
GeSHi (bash):
-bash-3.2# updatedb
 
-bash-3.2# locate liblua-5.1.so
/usr/lib/liblua-5.1.so
 
Created by GeSHI 1.0.7.20

So it shows that your server has the required file for it to install mod_security

Now run

Código
GeSHi (bash):
yum install mod_security
Created by GeSHI 1.0.7.20

It should installed now mod_security configuration files

/etc/httpd/conf.d/mod_security.conf – main configuration file for the mod_security Apache module.
/etc/httpd/modsecurity.d/ – all other configuration files for the mod_security Apache.
/etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf – Configuration contained in this file should be customized for your specific requirements before deployment.
/var/log/httpd/modsec_debug.log – Use debug messages for debugging mod_security rules and other problems.
/var/log/httpd/modsec_audit.log – All requests that trigger a ModSecurity events (as detected) or a serer error are logged (”RelevantOnly”) are logged into this file.
After installing mod_security , Edit modsecurity_crs_10_config.conf file and make sure bellow line is enabled.

SecRuleEngine On

Now restart the httpd server by

Código
GeSHi (bash):
service httpd restart
Created by GeSHI 1.0.7.20

Check the /var/log/httpd/error_log for this lines
[Fri Aug 28 10:48:24 2009] [notice] ModSecurity for Apache/2.5.9 (http://www.mod security.org/) configured.

영문사이트는 아니지만 중요한 정보는 다 들어있으니 그대로 설치하기로 했습니다.

1) mod_security 설치
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
위 명령으로 epel repository가 잘 설치되었다면

yum install mod_security
를 실행합니다.

두어번 의존패키지 설치를 묻는데 y를 눌러주면 설치는  끝납니다.(너무쉽죠?)


2) 방화벽에서 사용할 룰셋의 생성
설치를 마쳣으면 아파치 환경설정 디렉토리안의 mod_security.conf 파일을 확인합니다..



방화벽에서 적용할 룰셋은 자신이 직접 만들어서 사용가능하지만, 일단은 KISA에서 배포하는 룰셋을 다운로드 받아서 사용하자.
룰셋 다운로드 : http://toolbox.krcert.or.kr/ > ModSecurity 자료실 > 차단샘플 룰 을 찾아서 다운로드.

다운받은 룰셋을 yum 설치시 생성된 디렉토리에 복사하자.
아래의 modsecurity_kisa.conf 파일이 다운로드 받은 룰셋이다.
룰셋의 설정에 대한 자세한설명은 KISA홈페이지를 이용하거나 파일내의 주석을 참고하자.







룰셋파일의 내용중(modsecurity_kisa.conf)
# 웹서버의 헤더 정보 변경
# Apache 설정의 ServerTokens값이 Full로 설정되 있어야 함.
SecServerSignature "Microsoft-IIS/5.0"

# 아규먼트 구분자
SecArgumentSeparator "&"

# 다음의 메소드 이외에는 허용하지 않음.
SecRule REQUEST_METHOD "(PUT|DELETE|TRACE)" "deny, log"

SecRequestBodyAccess Off
SecResponseBodyAccess Off
SecResponseBodyMimeType (null) text/html text/plain
SecResponseBodyLimit 524288

#############################
# 3. PHP 인젝션 취약 공격 방지(공개 게시판 솔루션 대상 공격 포함)
SecRule REQUEST_URI "\.php" "chain, msg:'PHP Injection Attacks'"
# dir|page 가 들어가 있으면서 https가 요청되는 경우가 fckeditor 에서 발생하기 때문에 수정
SecRule REQUEST_URI "(dir|page|)" chain
#SecRule REQUEST_URI "=(http|https|ftp)\:/"
SecRule REQUEST_URI "=(https|ftp)\:/"
SecRule REQUEST_URI "shell_exec\(" "msg:'PHP Injection Attacks'"


참고) 저의 경우 RPM 패키지에서 제공되는 설정을 그대로 사용해서 kisa에서 배포하는 설정을 복사한 후 , 바로 룰셋을 적용하니 웹사이트가 열리지 않았습니다. 로그를 보면서 확인해본 결과
/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_50_outbound.conf 파일의 설정이 문제를 일으켰고.
이 파일을 제거하고 서비스에 적용했을때 이상없는 서비스가 가능했습니다.


3) 설치 후 적용 확인

설치 및 룰셋의 설정이 완료되었으면 제대로 동작하는지 확인합니다.

modsecurity 로그파일에 아래와 같은 로그가 남는경우
ModSecurity: Failed to access DBM file "E:/tmp/resource": The system cannot find the path specified

로그를 확인하니 오류메세지가 보여서 구글링한 결과
기본설치시 제공되는 modsecurity_crs_10.config.conf 의 설정에 아래의 내용을 추가해야 한다는것을 알았습니다.
웹서버가 접근가능한 경로를 하나 생성해서 아래와 같은 내용을 추가해주어야 한다.
vi /etc/httpd/modsecurity.d/modsecurity_crs_10_config.conf

SecUploadDir /var/www/tmp
SecDataDir /var/www/tmp
SecTmpDir /var/www/tmp

웹서버를 재시작하면 이제 방화벽이 작동하게 됩니다.

룰셋이 작동하는 상태를 확인하려면 환경설정파일에서 지정한 로그파일을 확인하면 됩니다.
다운받은 룰셋을 아무수정없이 사용하는경우라면 로그파일은 아파치설치디렉토리/logs/modsec_audit.log 에 남게 되고,
파일의 내용을 확인하면 아래처럼 룰셋이 작동되고 있는 상태가 보여집니다.
















지금까지는 룰셋이 작동되기는 하지만, 차단시키지 않고 있는 상태입니다.
정상적인 작동여부를 확인하고, 자신이 원하는 형태로 룰셋이 적용되는것을 확인한 후, 반드시 환경설정파일에서 pass 부분을 deny 로 변경해야 차단이 시작됩니다.

방화벽을 적용했더니 작동안되는 부분이 있다면 항의가 많겠죠? 실 서버에 적용시에는 당연히 방화벽으로 인한 서비스의 중단이 없도록 정상적인 서비스를 방해하는 룰셋이 있다면 반드시 확인하고 사용해야 합니다.

변경 전
SecDefaultAction "pass,log,auditlog,phase:2,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase"

변경 후
SecDefaultAction "deny,log,phase:2,status:406,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase"

여기까지 하면 방화벽의 설치는 끝났습니다.

4) 기타
로그파일의 비대해지는 것을 방지하기 위해서 로그를 날짜별로 나누어서 보관하는것이 좋겠죠.
KISA에서 제공하는 FAQ를 보니 잘 설명되어있어서 그대로 적용했습니다. 아래 링크에서 상세내용을 확인할 수 있습니다
http://toolbox.krcert.or.kr > ModSecurity FAQ > 로그파일의 사이즈가 너무 큰데 이를 날짜나 시간별로 분할할 수 없나요?






KISA에서 제공하는 룰셋의 주요 점검 항목

PHP 인젝션 취약 공격 방지(공개 게시판 솔루션 대상 공격 포함)
명령어 실행 방지
XSS 공격 방지
SSI 인젝션 관련 공격 차단
악성 프로그램 봇, User-Agent
검색엔진 Recon/Google 이용한 해킹 방지
PHPMyAdmin 관련 공격 취약점 적용
SQL Injection 공격 차단
WebShell 공격 방지
Tomcat 취약점 이용한 공격 방지


기타) 적용 후 추가한 내용
# dir|page 가 들어가 있으면서 https가 요청되는 경우가 fckeditor 에서 발생하기 때문에 수정
SecRule REQUEST_URI "(dir|page|)" chain
#SecRule REQUEST_URI "=(http|https|ftp)\:/"
SecRule REQUEST_URI "=(https|ftp)\:/"
SecRule REQUEST_URI "shell_exec\(" "msg:'PHP Injection Attacks'"

공개SW 웹방화벽 mod_security를 이용해서  여러분의 어플리케이션을 보호해보시는 것이 어떨까요?

'오픈소스SW' 카테고리의 다른 글

iptable rule  (0) 2010.06.10
CentOS 5.2.x PHP UPDATE  (0) 2010.06.09
jquery datepicker 사용  (0) 2010.06.05
php 문자열처리 관련 function  (0) 2010.06.05
JavaScript Tree Menu  (0) 2010.05.24

작년에 아이템베이등 국내 아이템 거래 사이트를 초토화 시키고 최근에 웹 사이트를 대상으로 하는 랜섬어택으로 DDoS를 많이 당하고 있는데 사용된 툴이라고 합니다,
아래 사이트에서 공격 데모를 보여주고 있습니다.
데모 화면을 보시면 중국해커 PC에 어떤 프로그램이 설치되어 있는지 그리고 주로 무슨 툴을 사용하는지도 엿볼 수 있습니다.
여기서 해커의 성향을 엿볼 수 있는데 지금 데모를 하는 중국해커는 공격성향이 강한 사람 같습니다. 데모지만 실제 서비스 사이트에 대해 주저하지 않고 공격을 해버립니다.
근데 한가지 의문은 데모에서 단지 5대의 좀비 PC로 웹 서버가 죽는게 이상합니다. 5대 좀비 PC 가지고 대량의 트래픽 발생한다는 것은 불가능한데도 웹 서버가 죽는 것 보면 뭔가 특별한 DoS 공격인 것 같습니다.
잘 보시면 DoS 공격 타입이 CC Attack 타입을 선택하고 있습니다. 이 부분이 핵심입니다.
PC 화면에 보니 syser, MS VC++, GMER, FBFD.EXE, ooBar2000.exe, Samsung PC Studio3(삼성 휴대폰 연결프로그램), 중국어로 된 각종 기능을 알 수 없는 프로그램들...   아래 화면을 보시면 NetBot Attacker에서 아이피 주소와 한국이라는 도메인이 나오는 부분이 있는데 이게 바로 자동으로 좀비 PC가 해커 PC로 리버스 커넥션한 좀비 PC 리스트입니다. 그리고 옆에다 찍으면 그 좀비 PC가 공격하는 형태입니다.

해킹은 확실히 공격하는 측보다는 막는 측이 불리합니다.
DDoS 공격툴은 확실히 가난하지만 사악한 Hacker자들이 선호하는 무기입니다.

-->
http://www.hackeroo.com/move/netbot_attacker.html

(1) NetBot Attacker 1.6 Public 버전



(2) NetBot Attacker 2.3 VIP 영문버전

좌측 상단은 좀비 PC 리스트이고 우측 하단은 원격에서 쉘로 좀비 PC에 들어가 있는 것으로 추정되고 좌축 하단은 FTP로 파일 업로드 다운로드 하는 매니저 프로그램이다.


이 툴만 있으면 반대로 국내에 좀비 PC를 찾아내는 것이 더 쉬울 듯 합니다.
그러나 일부 좀비 PC가 하나의 가치로 평가되어 Botnet정보가 거액으로 거래된다고 합니다.


(3) 국내외에 좀비 PC 리스트를 한눈에 확인할 수 있다.

 

'삽질로그' 카테고리의 다른 글

개정된영문이름표기법  (0) 2008.01.21
DDoS 관련 정보  (0) 2008.01.14
정보보호전문가 응시예정  (0) 2008.01.11
DDoS 공격관련 문서와 툴  (0) 2008.01.11
프리젠테이션에 도움이 되는 자료들  (1) 2007.12.27
http://www.aiitqc.com/n/_sys_sis/sys_sis01.asp




2007년 시험일정

 [ 정보보호전문가(SIS) 정기시험 ]

<SIS 1급 시험일정>

구분
제11회
제12회
필기
실기
필기
실기
시 험 일
5. 12
09:00 ~ 12:00
5. 12
13:00 ~ 16:00
9. 8
09:00 ~ 12:00
9. 8
13:00 ~ 16:00
원서 접수
4. 9 ~4. 20
4. 9 ~4. 20
8. 6 ~ 8. 17
8. 6 ~ 8. 17
합격자
발표
5. 30
5. 30
9. 28
9. 28
※ 시험 시간은 SIS 1급 필기 180분(휴식시간 20분 포함), SIS 1급 실기 180분

<SIS 2급 시험일정>

구분
제13회
제14회
필기
실기
필기
실기
시 험 일
5. 12
09:00 ~ 12:00
5. 12
13:00 ~ 15:30
9. 8
09:00 ~ 12:00
9. 8
13:00 ~ 15:30
원서 접수
4. 9 ~4. 20
4. 9 ~4. 20
8. 6 ~ 8. 17
8. 6 ~ 8. 17
합격자
발표
5. 30
5. 30
9. 28
9. 28
※ 시험 시간은 SIS 2급 필기 180분(휴식시간 20분 포함), SIS 2급 실기 150분


'삽질로그' 카테고리의 다른 글

DDoS 관련 정보  (0) 2008.01.14
DDoS 공격 툴 NetBot Attacker  (0) 2008.01.11
DDoS 공격관련 문서와 툴  (0) 2008.01.11
프리젠테이션에 도움이 되는 자료들  (1) 2007.12.27
현재폴더에서 도스창 실행  (0) 2007.10.22
http://www.krcert.or.kr/firewall2/index.jsp


  WebKnight

       AQTRONIX사에서 개발한 IIS 웹서버용 공개 웹방화벽으로 SQL Injection 공격 등 IIS 웹서버의 주요 공격 차단 가능
       홈페이지 : http://www.aqtronix.com/?PageID=99

  ModSecurity

       Ivan Ristic이 개발한 Apache 웹서버용 공개 웹방화격으로 PHP Injection 공격 등 Apache 웹서버의 주요 공격 차단 가능
       홈페이지 : http://www.modsecurity.org




http://www.boho.or.kr/index.html
http://staff.washington.edu/dittrich/misc/ddos/




  • Analyses and talks on attack tools



    Defensive Tools

  • '삽질로그' 카테고리의 다른 글

    DDoS 공격 툴 NetBot Attacker  (0) 2008.01.11
    정보보호전문가 응시예정  (0) 2008.01.11
    프리젠테이션에 도움이 되는 자료들  (1) 2007.12.27
    현재폴더에서 도스창 실행  (0) 2007.10.22
    SW품질평가-ISO9126  (2) 2007.10.18
    어떻게 보안이 취약한지 그 여부를 알 수 있는 방법을 모르기 때문이다. 또 대부분이 영어일색이다.

    무관심 때문


    크래커들은 공격할 대상을 찾기 위해 스캐닝이란 작업
    스캐닝은 특정 시스템의 보안 취약점을 확인하기 위한 보안 스캐너라는 프로그램 사용
    (프리웨어도 있고 보안 컨설팅을 위한 상용 프로그램도 있음)
    *보안 권고문 사이트
    http://www.securityfocus.com
    http://www.securityproof.net

    ....보안 스캐너를 설치하지 않고 간단하게 확인하는 방법
    노턴 안티바이러스로 알려진 시만텍에서 제공하는 보안 점검 서비스
    인터넷으로 쉽게 보안 점검을 할 수 있다는 장점
    http://security.symantec.com
    1.홈페이지 접속
    2.secutiry scan 아래 나와 있는 start 클릭
    3. activeX controls를 설치 필요가 있다가 나옴. 윈도 xp sp2가 설치되어 있는 경우에 뜬다. 설치하면 된다.
    4.클릭하면 프로그램(symantec security check utilites) 설치가 나온다.
    5.설치가 끝나면 시스템에 대한 보안 점검이 시작된다.
    6. hacker exposure check, windows vulnerability check, trojan horse check 부분이 안전한 것으로 나오면 크래커에 의한 공격을 받을 가능성이 적다는 것을 의미.
    antivirus product check는 보안 프로그램이 설치되어 있지 않을 때 at risk(:위험)표시를 한다. 프로그램이 깔려 있어도 뜬다. 자사 제품이 아닌 경우.


    .......sygate online service
    sygate사에서 제공하는 서비스
    위와 달리 6개의 스캐닝 옵션
    http://scan.sygate.com
    여기서 제공되는 스캐닝 서비스들은 크래커들이 보통 자주 사용하는 스텔스 스캐닝 방법들도 포함되어 있음.
    권장 옵션은 Quick scan...이 옵션은 다른 옵션들을 모두 포함하고 있음.

    1.사이트에 접속
    2.메뉴에서 quick scan
    3.scan now를 클릭
    4.서버로 사용되는 컴퓨터가 아니라 일반 컴퓨터라면 status부분의 결과가 모두 "blocked"라는 결과가 나와야 한다. 만약 다른 결과가 나올 경우 보안상의 문제를 가지고 있다.


    ......바이러스/웜 탐지
    앞서 symantec security check에서도 서비스를 제공하고 있으며
    안철수 연구소 바이러스 검사 온라인 서비스도 있다.
    http://home.anlab.com
    모든 파일 검사 체크부분을 한 후 검사한다.

    시만텍의 경우도 바이러스 검색이 가능한데 이 경우 감염(infected)되었다고 나오면 직접 이 파일을 삭제하면 된다.
    바이러스 백신 프로그램의 종류에 따라 바이러스나 웜(복제)하는 것들이 다르게 잡힌다. 완벽한 백신 프로그램은 없으며 백신을 맹신하면 오히려 피해를 입을 수 있다.
    가능하다면 2개 이상의 백신프로그램 사용이 더 안전

    .........adware / spyware 탐지
    이는 사용자 모르게 사용자의 인터넷 상의 각종 활동을 탐지하여 상업적 목적을 노리는 사람에게 보내는 역할

    1.ad-aware 가장 대표적 프로그램
    lavasoft에서 만든 것
    http://www.lavasoftusa.com/support/download/ 에서 무료로 다운
    리눅스 보안에 대해서 읽어보면 참고가 되는 글.

    리눅스 보안 하우투
    http://kldp.org/HOWTO/Security-HOWTO

    --
    작성한 문서(시스템운용계획서)중
    웹보안 및 데스크톱 운용지침에 대한부분 목차

    I. 홈페이지 개발시 보안 취약점 및 대책   

    1. 접근통제 취약점   
    2. 부적절한 파라미터       
    3. 취약한 세션 관리 (Cookie Injection)        
    4. 악의적인 명령 실행(XSS)    
    5. 버퍼 오버플로우    
    6. 악의적인 명령어 주입 공격 (SQL Injection)       
    7. 업로드 취약점        
    8. 다운로드 취약점        
    9. 개발 보안 관리    
    10. 부적절한 환경설정 (서버 설정관련)    

    II. 데스크톱 보안 대책   

    1. PASSWORD 보안   
    2. 파일 허가권(File Permission)   
    3. 시스템 BIOS 및 Power-on 암호 적용   
    4. 부트로더 보안   
    5. 로그온 보안   
    6. 스크린세이버 및 임시 부재시 보안 방안   
    7. 서비스(데몬) 보안   
    8. 네트워크 보안(방화벽 관련 기능)   
    9. 로그 파일 보안   
    10. 기타 보안 방지 방안.   
    11. 리눅스 바이러스 종류   
    12. 리눅스 바이러스 대처방안   
    13. 보안 패치 업데이트 및 추가    
    ----
    네트웍 모니터링 & 스니핑 툴
    http://www.cromwell-intl.com/SECURITY/monitoring.html


    + Recent posts