리턴

184p~

NAT 이중화

/ VRRP
- Virtual Router Redundancy Protocol
- 가상의 라우터에 IP를 할당한다.
- 가상의 각각의 라우터에 우선순위 할당 우선순위가 높은 라우터가 Active라우터가 되어 통신에 사용된다.
- 나머지 라우터는 stanby 라우터가 되어 Active 라우터를 주시하고 있다가 네트워크에 문제가 생길경우 자신이 Active 라우터가 된다.

/ HSRP
- Hot Standby Redundancy Protocol
- 네트워크간 2개 이상의 게이트웨이를 사용할 때 한개의 경로에 문제가 생기면 다른 경로에서 게이트웨이 역활을 해 줄 수 있도록 장비-장비 간 Virtual Gateway를 설정하는 기술이다.
- 시스코에서 개발한 게이트웨이 이중화 프로톨이다.
- Active/Standby 라우터가 존재하고, Active라우터가 프레임을 처리하고 Standby라우터는 Active를 감시하여 Active라우터가 다운 되었을때 Standby라우터가 그 역활을 이어받게 된다.

/ 인터페이스 상태
- Active
    > 라우터가 가상 MAC 주소로 보내진 패킷을 포워딩 한다.
    > 정기적으로 Hello 메시지를 보낸다.
    > 선출 과정이 끝나면 그룹내에서 Active상태인 라우터가 하나만 존재해야 한다.
- Standby
    > 라우터는 활성 라우터의 후보로 선출되며 Hello메시지를 정기적으로 보낸다.
    > 선출 과정이 끝나면 그룹내에서 Standby상태인 라우터가 하나만 존재해야 한다.
- Speak and Listening
    > 라우터는 Hello메시지를 정기적으로 보내며 다른 HSRP라우터가 보내는 Hello메시지를 받는다.
- Listening
    > 라우터는 다른 HSRP라우터가 보내는 Hello메시지를 받는다.

참고 링크 : https://m.blog.naver.com/nackji80/220998936085

참고 링크2 : https://iprize.tistory.com/548

/ 실습

UBUNTU

SNORT

/ 방화벽 잠시 끄기
# iptables -F
# service iptables save
# systemctl stop firewalld
#systemctl disable firewalld

/ 버전확인
# snort -V

/ rule 파일 만들기
# cd /etc/snort/rules
# vi local.rules
- 방향은 '->' 이것이 기본이고 '<->'양방향도 된다고 한다.
- msg : 메시지
- sid : 시스템 메시지 snort는 100000까지 쓰기때문에 1000001부터 부여한다.
- content : 컨텐츠 안에 있는 16비트(헥사코드)값을 검출해라.

alert icmp any any -> 192.168.111.101 any (msg: "ICMP TEST"; sid: 1000001;)
alert tcp any any -> 192.168.111.101 80 (msg: "HTTP TEST"; sid: 1000002;)

/ Rule Action

/ 구동해보기
# snort  -i eno16777728 -c /etc/snort/etc/snort.conf -l /var/log/snort
- 마지막에 'Commencing packet processing'문구가 나와야한다.
- rule파일이나 conf파일에 문제가 있거나 하면 나오지 않는다.

/ 구동시킨 상황에서 로그 확인
# tail -f /var/log/snort/alert
- 호스트 pc에서 ping을 던져본다.
- 리퀘스트니까 type이 8인것을 확인할 수 있다.
- sid와 룰파일에 설정한 메시지를 확인할 수 있다.

- tcping으로 80포트를 확인해보면 이것도 올라오는것을 확인해볼 수 있다.

/ 21번 포트는 검출안됨
- snort는 지식기반이기 때문에 룰을 넣지 않으면 검출이 안된다.

/ 룰 추가
# vi /etc/snort/rules/local.rules

#-------------
# LOCAL RULES
#-------------
alert icmp any any -> 192.168.111.101 any (msg: "ICMP TEST"; sid: 1000001;)
alert tcp any any -> 192.168.111.101 80 (msg: "HTTP TEST"; sid: 1000002;)
alert tcp any any -> 192.168.111.101 21 (msg: "FTP TEST"; sid: 1000003;)

- 다시 호스트pc에서 21번으로 tcping을 보내본다.
- 바로 'tail -f /var/log/snort/alert'을 하면 확인이 안되고 snort를 중지시켰다가 재실행 해줘야 한다.
# snort  -i eno16777728 -c /etc/snort/etc/snort.conf -l /var/log/snort
- 이제 확인이 되는것을 볼 수 있다.

/ 기출문제
- IDS의 동작순서
ㄱ. 데이터 가공 및 축약
ㄴ. 데이터 수집
ㄷ. 분석 및 침입탐지 단계
ㄹ. 보고 및 대응
답 : ㄴ-ㄱ-ㄷ-ㄹ

- 다음과 같은 기능을 수행하는 보안도구는?
- 사용자 시스템 행동의 모니터링 및 분석
- 시스템 설정 및 취약점에 대한 감시기록
- 알려진 공격에 대한 행위 패턴 인식
- 비정상 행위 패턴에 대한 통계적 분석
답 : 침입탐지시스템(IDS)

- 침입탐지 시스템의 특징으로 보기 어려운것은?
1. 외부로부터 공격뿐만 아니라 내부자의 오용행위도 탐지한다.
2. 접속하는 IP주소에 상관없이 비정상적인 접근을 탐지할 수 있다.
3. 지식기반 침입탐지는 새로운 패턴을 탐지 가능한 반면 오탐률은 낮다.
4. 행위기반 침입탐지는 비정상 행위 탐지(Anomaly Detection)라고도 한다.

- 방화벽과 침입탐지시스템(IDS)의 설명으로 부적합한 것은?
1. 방화벽의 종류에는 스크리닝 라우터, 베스쳔호스트, 프락시 서버 게이트웨이, 듀얼 홈 게이트웨이 등이 있다.
2. 서킷 게이트웨이 방식 방화벽은 3계층에서 동작한다.  
3. 오용탐지 IDS는 알려진 공격에 대한 Signature의 유지를 통해서만 탐지가 가능하다. 
4. IDS에서 공격인데도 공격이라고 판단하지 않는 경우를 False Negative 라고 한다. 

- IDS와 IPS의 실행방식에 대해 설명하시오.
답 : IDS 침입탐지시스템은 패킷 수집을 위해 미러링 방식을 사용하고
IPS 침입방지시스템은 패킷이 모든 장비를 거쳐 전달되는 인라인 방식을 사용하여 직접 차단한다.

- 문제
1) 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지하는 방법이다. 오탐률이 낮지만 새로운 공격 패턴은 탐지가 어렵다.  답 : 오용탐지
2) 패턴을 미리 등록해두진 않지만 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분하는 방법이다.  답 : 이상탐지
3) 비정상적인 접근을 정상적인 접근이라고 잘못 판단하는 오류   답 : 미탐

SNORT 

NFS

/ 서버에 있는지 찾기
# rpm -qa nfs-utils
# rpm -qa | grep nfs
- 이미 있는것을 확인할 수 있다.

- 버전이 새로 나온것이 있는지 확인하고 설치한다.
# yum list nfs-utils
# yum -y install nfs-utils

/ 시작 및 활성화
# systemctl start nfs-server
# systemctl enable nfs-server
# systemctl status nfs-server

# ps -ef | grep nfs
- 보통 ps -ef를 하면 경로가 보이는데 경로가 보이지 않는다.. 특이함

/ 설정파일
- 설정을 묻는것이 자격증 시험에 잘 나온다.
# rpm -qc nfs-utils
- 이것일까..?

- cat으로 찍어본다.
- 모두 주석처리가 되어있다.
- 이것은 설정파일은 아니다.

- /etc/nfsmount.conf도 있는데 이것도 아니다.
- 이 파일을 보면 포트를 2049를 쓰고 있는데 이것은 기억하자.

- nfs의 공유를 위한 설정파일 아래의 경로에 있다.
# vi /etc/exports
- 아직 내용이 없는데 새로 적어준다.
- 위치 접근할수있는아이피대역(권한, sync)

- /share 폴더를 아직 만들지 않았기 때문에 재시작시 에러메시지가 나올 수 있다.
- 지금은 버전을 올렸더니 재시작해도 에러메시지가 나오지 않았다.

/ 디렉토리 생성
# mkdir /share
# chmod 757 /share

- 폴더안에 nfs서버라는것을 알 수 있도록 NFS_SERVER를 만들어준다.
# touch NFS_SERVER

/ 설정파일을 확인하는 명령어
- 이것도 시험에 잘 나온다.
# exportfs -v

/ root_squash, no_root_squash
- root_squash : NFS서버에서 클라이언트가 root계정으로 들어와도 root권한을 행사하지 못하는 것이다.
- no_root_squash : NFS서버에서 클라이언트가 root계정으로 접속했을때 root권한을 행사할 수 있다.
- no_all_squash : root계정을 제외한 다른 계정들은 각 계정의 권한을 행사할 수 있다.

/ exportfs
# exportfs -r : 리로드. 다시 인식
# exportfs -a : 그냥 읽기만 하는것
# exportfs -ra : 내용을 읽기으면서 다시 인식
# exportfs -u IP:/share  : ip에서 공유한 디렉토리를 공유목록에서 제외시키는 옵션

/ 방화벽 내리기
- 방화벽을 안쓰고 접속이 어떻게 되는지 본다.
# systemctl stop firewalld
# systemctl disable firewalld
- 또는 iptables 내리기
# iptables -F
# service iptables save

/ 포트를 rpcinfo, netstat으로 확인해본다.
# rpcinfo -p 192.168.111.101

# netstat -antup | grep 111
- 이름이 rpcbind로 보이는것을 확인할 수 있다.

# netstat -antup | grep mountd

# netstat -antup | grep 20048

# netstat -antup | grep 2049

- 이제 클라이언트 서버로 넘어간다.

/ 설치 확인
# rpm -qa nfs-utils

/ 서버에 ping이 가는지 확인
# ping 192.168.111.101

/ NFS에서 접근할 수 있는 폴더 확인
# showmount -e 192.168.111.101

/ rpcinfo 확인
# rpcinfo -p 192.168.111.101

/ 폴더 생성 및 마운트
- NFS로 접속할 폴더를 하나 만들어서 마운트 시킨다.
- 경로는 '/'하위에 만드는것이 관리하는데 편하다.
- 마운트 시 똑 떨어지면 잘 된것이다.
# mkdir /tdir
# mount -t nfs 192.168.111.101:/share /tdir

- 마운트된 정보 확인
# mount -l | grep /tdir

/ 서버쪽에서 접속되는것 확인
# netstat -antup | grep 2049

- 다시 서버로 온다.

/ fstab 등록
# vi /etc/fstab
# 아이피:경로    위치       nfs      defaults,nofail     0 0

# NFS
192.168.111.101:/share                            /tdir           nfs     defaults,nofail       0 0

- 이후에는 'mount -a'를 하면 적용이 되거나 재부팅을 하면 된다.

/ client
- 삼바와 차이점
[삼바]
- 계정이 필요했다.
# smbclient -L 192.168.111.101 -U centos
[NFS]
# showmount -e 192.168.111.101
# rpminfo -p 192.168.111.101

/ 강제로 umount
- cd로 tdir안에 들어가있는 경우 umount가 안된다.
# umount -f /tdir   또는
- 위에것으로 안될때
# fuser -cu /tdir   해당 디렉토리를 사용하는 사용자 또는 프로세스 확인하고
# fuser -ck /tdir    k(kill)로 죽인다.

/ 서버쪽 NFS 서버 설정파일
- /etc/exports

/ 예제 문제
- 문제1) NFS서버의 /n_share디렉토리에 클라이언트ip 192.168.111.20~192.168.111.25에서 읽기전용으로 접속하도록 설정하시오.
# /n_share 192.168.111.2[0-5](ro,sync)
- 문제2) NFS서버의 /share디렉토리에 클라이언트ip 192.168.111.128이 읽기전용으로 접속하도록 하여라 (단 sync필요없음)
# /share 192.168.111.128(ro)
- 문제3) NFS서버의 /share디렉토리에 john.com도메인 아래의 모든 호스트에서 읽기,쓰기가 가능하도록 공유설정을 하시오.
# /share *.john.com(rw, sync)
- 문제4) NFS서버의 /nfs_readonly 디렉토리에 클라이언트 ip 192.168.111.33~192.168.111.66까지 읽기 전용으로 접속을 하도록 NFS를 구성하고 재부팅시 자동으로 적용되도록 하시오.
# /nfs_readonly 192.168.111.33~192.168.111.66(ro)

- 서버에서 저번에 만들었던 /iptab.sh를 실행한다.

/ iptab.sh 실행
# /root/iptab.sh
# iptables -nvL

- 클라이언트에서 ping이 가지 않으므로 /root/iptab.sh에 내용을 추가해준다.
- 클라이언트에서 rpcinfo도, showmount도 가지 않으므로 /root/iptab.sh에 내용을 추가해준다.

iptables -A INPUT -p icmp -s 192.168.111.129 -j ACCEPT   # client ping
iptables -A INPUT -p tcp -m multiport --dport 111,2049,20048 -j ACCEPT # client rpcinfo
iptables -A INPUT -p udp -m multiport --dport 111,2049,20048 -j ACCEPT # client rpcinfo

- 클라이언트에서 확인한다.
# ping -c 4 192.168.111.101
# showmount -e 192.168.111.101
# rpcinfo -p 192.168.111.101
# df -h

/ sudo 설정하기
# vi /etc/sudoers
- 98번째 줄의 내용을 복사하여 사용자 계정에 준다.

IPTABLES와 SNMP 통신허용 추가

/ snmp 설치
# yum -y install net-snmp net-snmp-utils

/ snmpd.conf 설정

####
# First, map the community name "public" into a "security name"

#       sec.name  source          community
com2sec notConfigUser  default       public
com2sec snmpsec         192.168.111.0/24        kdchrd

####
# Second, map the security name into a group name:

#       groupName      securityModel securityName
group   notConfigGroup v1           notConfigUser
group   notConfigGroup v2c           notConfigUser
group   snmpsecGroup    v2c             snmpsec

####
# Third, create a view for us to let the group have rights to:

# Make at least  snmpwalk -v 1 localhost -c public system fast again.
#       name           incl/excl     subtree         mask(optional)
view    systemview    included   .1.3.6.1.2.1.1
view    systemview    included   .1.3.6.1.2.1.25.1.1
view    all           included   .1 80

####
# Finally, grant the group read-only access to the systemview view.

#       group          context sec.model sec.level prefix read   write  notif
access  notConfigGroup ""      any       noauth    exact  systemview none none
access  snmpsecGroup   ""      any       noauth    exact  all none none

/ iptables 설정

iptables -F
iptables -P INPUT ACCEPT

iptables -A INPUT -s 192.168.111.1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.111.1 -p tcp -m multiport --dport 21,23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s 192.168.111.1 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.111.1 -p udp --dport 161 -j ACCEPT
iptables -A INPUT -s 192.168.111.129 -p udp --dport 161 -j ACCEPT
iptables -A INPUT  -m stat -state RELATED,ESTABLEISHED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP

iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT

service iptables save

iptables -nvL --line-n

/ snmpwalk를 확인한다.
- 서버
# snmpwalk -v 2c -c kdchrd 192.168.111.101 system

- 호스트pc

- 클라이언트 서버
- snmpwalk가 돌아가지 않으면 'yum -y install net-snmp-utils'로 유틸을 설치하고 진행한다.
# snmpwalk -v 2c -c kdchrd 192.168.111.101 system

iptables 체인생성

/ chain 생성/추가
- Flooding (ICMP, TCP, UDP)
- DDoS 분산된 서비스거부공격, DoS 서비스거부공격
- DRDoS (Denial Of Service)

/ ICMP Flooding 대비
# iptables -N ICMP
# iptables -A INPUT -p icmp -j ICMP
# iptables -A ICMP -p icmp --icmp-type echo-request -j DROP

/ ICMP 응답 차단 설정방법
- vi /proc/sys/net/ipv4/icmp_echo_ignore_all    1값을 넣거나
- echo 1> /proc/sys/net/ipv4/icmp_echo_ignore_all

/ mdstat
- 레이드 설정값

/ UDP Flooding 대비
# iptables -N UDP
# iptables -A INPUT -p udp -j UDP
- 조건) 같은 IP주소에서 1초에 10개이상 UDP패킷이 들어오면..
# iptables -A UDP -p udp --dport 161 -m recent --update --seconds 1 --hitcount 10 -j DROP
- 로그를 남기겠다.
# iptables -A UDP -j LOG --log-prefix "UDP FLOOD"

/ 초 당 허용되는 접속 개수 제한 (100/s)
# iptables -A INPUT -p udp --dport 161 --syn -m limit --limit 100/s -j ACCEPT

/ 허용되는 접속 개수 오버되면 제한 (30)
# iptables -A INPUT -p udp --dport 161 --syn -m connlimit --connlimit-above 30 -j DROP
- 허용되는 접속 개수 오버되면 제한 (3)
# iptables -A INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 3 -j DROP
- 로그를 남기겠다.
# iptables -A UDP -j LOG --log-prefix "[Im Attacking]"

/ IP주소 당 하나의 소스에서 15개 이상의 연결을 거부
# iptables -A INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
# iptables -A INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
- connlimit-mask 알아보기

/ 160개의 초 당 새로운 연결 제한이 적용되기 전에 160개의 새로운 연결을 허용
- 연결제한 적용전에 새 연결을 허용하기
- 연결 제한을 만들고, 제한이 꽉 차면, 기존 연결들은 cut하고 새로운 연결을 만들자.
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 160/s --limit-burst 160 -j ACCEPT

/ SSH 무차별(무작위) 대입공격 대비
# iptables -N SSH
# iptabels -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH
- 60초동안에 15번 이상 SSH접속시도시 DROP
# iptables -A SSH -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 15 -j DROP
# iptables -A SSH -j LOG --log-prefix "SSH BruteForce Attack"

IPTABLES

/ iptables
- 이런저런 시험에 잘 나온다.
- firewalld보다 디테일하게 설정이 가능하다.

/ 확인
- iptables는 기본적으로 일단 비활성화 되어있다.
# systemctl status iptables

/ firewalld 비활성화
- 방화벽을 둘 다 쓰지 않아서 firewalld를 비활성화시킨다.
# systemctl status firewalld
# systemctl disable firewalld
# systemctl status firewalld

/ iptables 상태값 확인
# iptables -nvL
- n : 포트나 주소를 숫자로 표시해라
- v : 자세하게 verbose
- L : 목록 List
- 정책이 돌아가게끔 하는것이 Chain이다.
- INPUT : 들어오는것에 대한 정책
- OUTPUT : 나가는것에 대한 정책
- FORWARD : 서버를 거쳐가는것에 대한 정책
- policy ACCEPT : 기본으로 허용된것을 확인할 수 있다.

/ firewalld를 시작시키고 'iptables -nvL'를 했을때
- iptables에 있는 정책이 아니라 firewalld의 정책을 보여주게 된다.
- 'iptables -nvL'를 했는데 이상한게 보이면 뭔가 다른게 살아있구나 하고 알면 된다.

/ 활성화 확인 및 시작
# systemctl status iptables

# systemctl start iptables
# systemctl enalbe iptables

/ ps -ef에 잡히지 않는다.
# ps -ef | grep iptables
# ps -ef | grep iptable

/ 다시 nvL을 확인해본다.
# iptables -nvL
- Chain INPUT, FORWARD, OUTPUT으로 이루어 진것을 확인할 수 있다.
- 현재 들어오는것은 6개있고, FORWARD는 한개있고, 나가는것은 정책이 없는것이다.
- pkts : 정책에서 걸러낸 패킷수, 갯수
- bytes : 용량
- target : ACCEPT, REJECT 정책 유형
- prot : 프로토콜. all, icmp, tcp 등등
- in : input. 모든 인터페이스가 들어오는것
- out : output. 모든 인터페이스가 나가는것
- sourc : 서버의 입장에서 출발지
- destination : 서버의 입장에서 도착지. INPUT에서는 지금 이 서버가 된다.
- 그 뒤에 : 정책을 자세하게 나타낸다. 

/ iptables 초기 설정의 위치
- 찾아보기 : cat /etc/sysconfig/iptables

/ config 파일 위치
- iptable자체의 설정파일
- 근데 iptable의 설정파일을 건드릴일은 없고 정책만 건드리게 될것이다.
# rpm -qc iptables

/ iptables 실행파일 위치
# cd /usr/sbin/
# ls

/ 저장하는 명령어 설정
# /usr/sbin/iptables-save > /etc/sysconfig/iptables 또는
# iptables-save > /etc/sysconfig/iptables 로 명령어만으로도 할 수 있다.
# service iptables save
- 이때 명령어에 대한 데이터 저장을 임의의 경로에 저장할 수 있다.
ex) /usr/sbin/iptables-save > /root/iptables
- 그러면 복원도 그 링크에서 해줘야 한다.
ex) /usr/sbin/iptables-restore < /root/iptables

/ 복원하는 명령어 설정
# /usr/sbin/iptables-restore < /etc/sysconfig/iptables 또는
# iptables-restore < /etc/sysconfig/iptables 로 명령어만으로도 할 수 있다.

/ 구문
# iptables -(A|D|R|I|P|F)
- A : Append 추가
- D : delete 정책을 삭제
- R : replace 정책을 수정
- I : input 정책을 끼워넣기, 삽입하기
- P : policy 정책 ex) iptables -P INPUT ACCEPT (들어오는것은 모두 허용)
- p : 특정 프로토콜과의 매칭이다.
- F : flush iptables에 있는 정책을 정리할때 ex) iptalbes -F INPUT

/ 초기화하는 법
- 초기화 작업 후 저장을 해야 재시작을 해도 그대로 남는다.
# iptables -F
# /usr/sbin/iptables-save > /etc/sysconfig/iptables (저장1)
# iptables-save > /etc/sysconfig/iptables (저장2)
# service iptables save
# iptables -nvL

- 저장된 내용 확인
# cat /etc/sysconfig/iptables

/ 정책 설정
- icmp를 거절하는 정책을 설정한다.
# iptables -A INPUT -p icmp -j REJECT

- 근데 내가 하는 ping도 안된다.. 왜냐면 패킷이 나갔다가 들어오질 못하기 때문..

- 패킷수를 확인하고 다시 0으로 만들어보자.
# iptables -Z

- 근데 위에서 정책을 만든후에 저장을 안해서 restart하면 만들었던 정책이 모두 사라져있다.

- 다시 정책을 만든다.
- 이번에는 REJECT가 아니라 DROP으로 해본다.
# iptables -A INPUT -p icmp -j DROP

/ REJECT와 DROP의 차이
- REJECT는 되돌려보낸다.
- 만약 악의적인 사람이 ping을 백반번 보내면 서버는 백만번 reject해야 한다. 부하가 크다.
- 대답하느라고 시스템 퍼포먼스가 떨어지고 오픈되어있는 포트가 들키니까 취약점이 될 수 있다.
- 초보자한테는 좋다. 응답을 해주니까. 하지만 시스템 퍼포먼스와 보안 측면에서는 나쁘다. 
- DROP은 걍 드랍을 시켜버린다.
- 악의적인 공격자가 스캐닝같은것을 할때 거절도 없이 걍 뚝 떨어트려버리니까 오픈되어 있는건지 뭔지 알 수 없다.
- DROP은 노출되는 정보가 없다.
- 보안 측면도 괜찮고, 퍼포먼스 측면도 괜찮다. 초보 관리자에게는 불편하다.

/ 정책 삭제
# iptables -D INPUT -p icmp -j DROP

/ 특정 ip만 허용하는 정책 설정
- 순서가 중요하다. 허용하는 정책 먼저, 거절하는 정책은 나중에
# iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT (허용하는 정책 먼저 추가)
# iptables -A INPUT -p icmp -j DROP (거절하는 정책 추가)
- s : 소스 아이피

/ tcp 정책도 추가해보자.
- 정책을 추가하면 목록 맨 밑줄로 들어간다.
- 거절하는 정책을 추가했기 때문에 22번 포트로 접근이 안되는것을 확인할 수 있다.
# iptables -A INPUT -p tcp -j DROP

/ 정책 삭제 업그레이드 버전
- 먼저 목록의 번호를 확인해보자.
# iptables -nvL --line-n

- 세번째 부분을 삭제하려면 원래는 이렇게 했었다.
# iptables -D INPUT -p tcp -j DROP
- 근데 번호로 지우려면 그냥 이렇게 하면 된다.
# iptables -D INPUT 3

/ TCP도 특정 호스트만 허용해보자.
# iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -j DROP
- dport : --로 옵션을 줘야 한다. 데스티네이션 포트란 뜻

/ 정책 수정하기
- 'iptables -R 체인명 번호 하고 그 뒤에는 변경할 내용으로 자유롭게 쓰면 된다.
# iptables -R INPUT 2 -p icmp -s 192.168.111.129 -j ACCEPT

/ 정책을 끼워넣기
- 특정 번호로 끼워넣으면 그 번호에 있던 정책부터는 밑에 있는 정책들은  번호 숫자가 1씩 증가되게 된다.
# iptables -I INPUT 4 -p tcp -s 192.168.111.129 --dport 22 -j ACCEPT

/ 저장하기
# /usr/sbin/iptables-save > /etc/sysconfig/iptables
# iptables-save > /etc/sysconfig/iptables
# service iptables save

/ 이런 저런 이외 설정들
- 소스 아이피를 특정아이피가 아니라 대역으로 설정할수도 있다.
- 포트를 여러개 지정할수도 있다. 67,68,69,70 가능 67:70
- 포트를 여러개 지정할때는 -m 옵션으로 multiport를 선언해줘야 한다.
# iptables -A INPUT -p udp -s 192.168.111.0/24 -m multiport --dport 67:70

- 모든 모트를 허용할때는 -p 에 'all'준다.
- 아이피 범위는 -로 묶어 쓸 수 있다.
- 아이피를 범위로 묶을때에는 -m옵션에 iprange를 선언해야 한다.
# -p all -m iprange --src-range 192.168.111.50-192.168.111.100 -d 0/0 -j ACCEPT
# -p all -s 192.168.111.0/24 -m iprange --dst-range 192.168.111.50-192.168.111.100 -m multiport --dport 67:70 -j ACCEPT

/ 실수로 저장안하고 날려먹었을때 사용할 수 있는 쉘
- 파일을 만든다.
# touch iptab.sh
- 모든 사용자에게 실행 권한을 준다.
# chmod a+x iptab.sh    또는
# chmod 755 iptab.sh
- 파일을 편집한다.
# vi iptab.sh

iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -j DROP

- 실행한다.
# /root/iptab.sh  (절대경로)  또는
# ./iptab.sh      (내가 파일이 있는 경로에 있을 때)   또는
# . iptab.sh
- 실행할때마다 정책이 계속 추가된다.

- 해서 스크립트를 실행시키면 일단 초기화하도록 수정할것이다.
- 그리고 저장도 시킬것이다.

iptables -F

iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -j DROP

service iptables save

- 이제 실행시키면 초기화 하고, 정책 설정하고, iptables를 저장할것이다.
- 저장하니까 ok사인도 보여서 좋은것 같다.

/ iptab.sh 업그레이드를 살짝 해보자
# vi iptab.sh
- -P INPUT ACCEPT 정책을 선언한다. 혹시 모르니까.
- ping을 허용하는 정책을 추가한다.

iptables -F
iptables -P INPUT ACCEPT 


iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP

service iptables save

- 이제 호스트pc에서는 ping이 가는데 클라이언트 pc에서는 ping이 안 간다.

/ 다시한번 iptab.sh 업그레이드
- 다른 사람이랑 같이 관리한다고 했을때 주석을 달아 설명을 추가해보자.

# initialize & flush
iptables -F
iptables -P INPUT ACCEPT

# admin
iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT

# monitoring
iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT

# service
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# drop
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP

# save
service iptables save

# confirm
iptables -nvL

- 실행을 시키면 아래와 같은 화면이 나온다.

/ 다시 또 iptab.sh 업그레이드를 해보자.
- 21과 80포트를 한줄로 줄여보았다.

# initialize & flush
iptables -F
iptables -P INPUT ACCEPT

# admin
iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT

# monitoring
iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT

# service
iptables -A INPUT -p tcp -m multiport --dport 21,80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# drop
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP

# save
service iptables save

# confirm
iptables -nvL

- iptab.sh 실행을 시키면 아래와 같은 화면이 나온다.

/ ping 패킷이 나갔다가 돌아오지 않는 현상 해결하기
- 'iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT'를 추가해주었다.
-  RELATED, ESTABLISHED을 허용해주면 ping과 nslookup이 안되는 현상을 해결할 수 있다.
- 연관성이 있거나 한번이라도 연결이 되었던 애들은 성립을 해준다.(상태추적 inspect stateful)

# initialize & flush
iptables -F
iptables -P INPUT ACCEPT

# admin
iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT

# monitoring
iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# service
iptables -A INPUT -p tcp -m multiport --dport 21,80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# drop
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p icmp -j DROP

# save
service iptables save

# confirm
iptables -nvL

- 이제 ping과 nslookup이 되는것을 확인할 수 있다.

- 이 현상은 아래의 명령줄을 통해서도 해결할수도 있다.
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
- 하지만 state로 한큐에 처리해버렸다.

/ yum이 안되지 않을까 살펴본다.
# yum list mc
# yum -y install mc
- 다행이도 잘 된다.
- 설정이 꼬인경우 yum설치가 막히는 경우가 있다고 하니 꼭 확인해봐야 한다.

/ 또 iptab.sh업그레이드를 해보자..ㅋㅋ
- SNMP 설정을 추가할것이다.
- DROP부분 상단에 ACCEPT 항목도 추가할것이다. (현재 INPUT에 icmp를 drop해놓아서 ping localhost도 안되는 상황이다.)
- FORWARD와 OUTPUT에 대한것도 추가했다.

# initialize & flush 
iptables -F
iptables -P INPUT ACCEPT  

# admin (ssh open)
iptables -A INPUT -p tcp -s 192.168.111.1 --dport 22 -j ACCEPT

# monitoring (ping nslookup udp open)
iptables -A INPUT -p icmp -s 192.168.111.1 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# service 
iptables -A INPUT -p tcp -m multiport --dport 21,80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# drop
iptables -A INPUT -i lo -j ACCECTP 
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s 192.168.111.101 -j ACCEPT
iptables -A INPUT -p tcp -j DROP 
iptables -A INPUT -p icmp -j DROP 
# iptables -A INPUT  -p udp -j DROP 
iptables -A FORWARD -j DROP 
iptables -A OUTPUT -j ACCEPT

# save
service iptables save

# confirm 
iptables -nvL --line-n

/ 이것저것 넣어보자.
- 시간서버 정책
# iptables -A INPUT -p udp --dport 123 -j ACCEPT

- 네임서버 정책
# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# iptables -A INPUT -p udp --dport 53 -j ACCEPT

- 서버 취약점을 보완하는 내용
# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP (null 스캔 드랍)
# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP (x-mas 스캔 드랍)
# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP (SYN 플루딩 공격 드랍)
- !(느낌표)는 제외하는 것이다.
- 새롭게 들어오는 신호를 차단해서 들어왔다 나갔다 하는것을 차단하는 것이다.

- SNMP 포트 허용
# iptables -A INPUT -p udp -s 192.168.111.1 --dport 161 -j ACCEPT

백업관리

/ 백업
- 실행창 > wbadmin.msc
- 메뉴는 있는데 기능이 없어서 설치를 해야한다.

- 윈도우 로고 > 서버 관리자 > 역활 및 기능 추가
- 서버 역활에서 다음을 누르고 기능에서 'Windows Server Backup'체크하여 설치한다.

- 서버관리자 도구에 서 '윈도우 서버 백업'메뉴를 클릭할 수 있다.

- 한번백업, 예약백업을 실습할것이다.

/ 한 번 백업
- 오른쪽 메뉴 상단의 '한 번 백업' 클릭

- c 드라이브 확장 > 프로그램 파일즈 확장 > Common Files 확장 > Services 밑에 verisign.bmp 선택

- 어제 실습할때 생성한 Raid5 디스크를 선택한다.

- 내 컴퓨터에서 백업을 했던 폴더를 한번 보자

- 파일이 직접 있는게 아니라 파일에 대한 정보만 있다.
- vhdx가 파일 백업본이다.
- xml에는 백업에 대한 내용을 xml로 정리되어 있다.

/ 복원
- 파일을 잃어버린 상황을 만들어보자.
- 'C:\Program Files\Common Files\Services'의 이미지 파일을 삭제한다.

- 백업관리자에서 복구를 클릭한다.

- 복구작업을 실행하면 cpu사용량이 일시적으로 올라간것을 확인할 수 있다.

- 복구가 된것을 확인할 수 있다.

/ 예약백업
- 윈도우 백업의 오른쪽 상단의 '백업 일정'을 선택한다.

- c 하위 > 프로그래 파일즈 > vmware > vmware 툴즈 선택

- 여기서는 시간을 선택할 수 있다.

- 디스크를 선택하면 디스크가 포맷된다는 메시지가 뜬다.
- 포멧해도 괜찮으면 예를 누른다.

- 예옉 백업을 위해 날짜를 변경해보자.
- 우측 하단의 날짜를 눌러서 날짜 및 시간 설정에 들어간다.
- 자동으로 시간 설정은 끄고 날짜 및 시간 변경에서 백업 시간의 1~2분 전으로 설정해본다.

- 내 컴퓨터에서 백업 디스크가 사라져있다.

- 디스크 관리에서는 이렇게 보인다.

- 보이게 하려면 우클릭 > 드라이브 문자 및 경로 변경에 들어가 문자를 할당해주면 내 컴퓨터에서 확인할 수 있다.

/ 백업 종류
- 전체백업(Full) :
- 증분백업(Incremental) :
- 차등백업(Differential) : 
- 합성백업(synthetic) : 전체백업 + 증분백업 -> 새로운 전체백업을 만드는 작업
- 중복제거백업(Deduplication) : 

/ 사이트
- 미러 사이트 : 실시간, 주전산센터가 다운되어도 바로 복구
- 핫 파이트 : 주 전산센터와 동일한 수준의 인력, 데이터 대기, full, 증분, 차등, 반나절, 하루
- 웜 사이트 : 장비의 일부 마련, 데이터도 일부분만 가져다 놓는다. , 복구하는데 1~7일 정도 소요된다.
- 콜드 사이트 : 공간, 장비, 이중화 세모, 복구 용이

- 오늘 배운 내용은 재해복구(DR : Disaster Recovery), BCP를 하는데 필요하다.

TCP DUMP

/ tcp dump
- 리눅스에서 기본적으로 제공하고 있다.
- 항상 띄워져 있는것이 아니기때문에 ps에는 보이지 않는다.
- tcp dump는 인터페이스에 대한 패킷을 잡아준다.

- 하지만 'yum list tcpdump'로 새 버전을 사용할수도 있다.

/ tcp dump 문법
# tcpdump -i 인터페이스 port 포트,포트,포트 -w 저장이름
- w : 덤프파일 저장
- i : 인터페이스
- port : 포트
# tcpdump -i 인터페이스 (tcp|udp|icmp) and host (src|dst) 아이피
- tcp, udp, icmp : 특정 프로토콜을 지정할 수 있다.
- src, dst : src 또는 dst를 쓸 수 있다.
# tcpdump -D : 인터페이스 목록을 확인한다.
# tcpdump -e -i eno16777728 tcp port 21 and host 192.168.111.1
- e : mac어드레스를 노출시키는 옵션이다.
# tcpdump -c 4 -i eno16777728 tcp port 21 and host 192.168.111.1
- c : 원하는 덤프의 갯수를 지정할 수 있다.
# tcpdump -i eno16777728 -nn -vvv -A -G 3600  -w /경로/파일명_%Y%m%d_%H%M%S.pcap -Z root host naver.com and port 443
- nn : 80은 http로 21은 ftp로 자동으로 변환하는데 그러지 마라. xx포트를 변환없이 그대로 출력해라
- vvv : 그냥 v는 verbose라고 해서 내용을 자세하게 보여주는 옵션인데, vvv는 패킷의 모든 정보를 디테일하게 보여줘라는 옵션이다.
- A : 패킷의 내용을 ASCII형태로 보여줘
- G : 패킷정보를 저장하는 파일을 일정 주기로 갱신. 초로 표시한다.
- %Y%m%d , %H%M%S : 년 월 일 시 분 초
- Z : tcpdump를 실행시킬 권한을 설정한다.

- icmp tcpdump 실습
# tcpdump -i eno16777728 icmp
- pc에서 서버로 ping을 날려본다.
- 리퀘스트(8)와 reply가 번갈아 있는것을 볼 수 있다.
- 시퀀스 번호도 1씩 증가한다.

- src or dst 실습
# tcpdump -i eno16777728 icmp and src 192.168.111.1
# tcpdump -i eno16777728 icmp and dst 192.168.111.1
- 소스만 보이게 하거나 목적지만 보이게 할 수 있다.
- src나 dst를 적지 않을때에는 host라고 적어준다.
# tcpdump -i eno16777728 icmp and dst host 192.168.111.1 도 가능하다.

/ -w 옵션 덤프파일 저장 실습
# tcpdump -i eno16777728 icmp and host 192.168.111.1 -w icmp.dmp

- 파일을 읽을때는 -r옵션을 사용한다. (cat으로는 읽을 수 없다.)
# tcpdump -r icmp.dmp

/ tcp 프로토콜 확인 실습
# tcpdump -i eno16777728 tcp
- SYN, SYN+ACK, ACK가 되고 FIN, PUSH, RESET으로 마무리가 되는것을 확인할 수 있다.

- 포트를 사용하고 있지 않은 쪽으로 신호를 보내보자
- SYN을 보냈는데 응답이 없으니까 계속 SYN을 보내는것을 확인할 수 있다.

/ TCP header 구조
- TCP Flags : control 필드 6bit
- CWR : Congestion Windows Reduced 혼잡윈도우 크기 감소
- ECN : Explicit congestion Notification 혼잡 알림
- tcpdump에서는 보이지 않는데 와이어 샤크에서는 같이 보인다.

/ TCP 헤더 플래그
- 우압알스프
- U : URG urgent
- A : ACK 확인응답메시지
- P :PSH push 데이터를 포함해서 보낸다.
- R : RST reset 수신거부, 신호를 끊을때
- S : SYN syschronize 신호 동기화
- F : FIN finish 신호 연결을 종료

/
- 방화벽을 잠시 중단하고
- 21번 서버를 nc로 띄운다.
# systemctl stop firewalld
# nc -lk 21
- 특정 pc에서 보내는 21번 신호를 잡아보자.
# tcpdump -i eno16777728 tcp port 21 and host 192.168.111.1
- pc에서는 tcping을 던진다.

- SYN, SYN+ACK, ACK가 진행되고 FIN, FIN, ACK 2번으로 마무리가 되는것을 확인할 수 있다.
- 마지막의 ACK는 FIN에 대한 응답이다.

/ 윈도우 서버에서 nmap 사용해보기

/ 설치
- 링크 : https://nmap.org/download.html

/ 설치
- 그냥 다음 다음 눌러서 설치한다.

- 무섭게 생긴 nmap 아이콘이 생겼다..

/ 실행
- 바탕화면에 생긴 아이콘을 더블클릭 한다.

- Scan > New Window를 눌러서 새창을 띄워야 타켓에 입력이 가능해진다.
- target에 localhost를 입력해보면 밑에 Command에 명령어가 자동으로 들어간다.
- 오른쪽의 Scan버튼을 클릭하면 스캔을 시작한다.

- 타켓을 현재 컴퓨터의 ip로 스캐닝 해보니 안보였던 포트도 보인다.

- 이번엔 리눅스 서버쪽에 한번 돌려보자.
- 리눅스 서버에서 nc로 80포트를 임시로 열고 방화벽도 잠시 중지처리를 한다.
# nc -lk 80
# systemctl stop firewalld

- tcp덤프도 한다.
# tcpdump -D (인터페이스 확인)
# tcpdump -i eno16777728 host 192.168.111.10

- 이제 윈도우 서버에서 128번 client서버로 nmap스캔을 해본다.

- 리눅스 서버에서 덤프를 잘 뜨고 있는지 확인한다.

/ tcp덤프를 쓸때
- -w옵션과 함께 파일 이름을 명시하면 파일로 덤프파일을 저장할 수 있다.
# tcpdump -i 인터페이스명 -w 파일명
- ex) tcpdump -i eno1677728 -w fild.dmp

- 덤프파일을 읽을때에는 -ㄱ옵션을 사용한다.
# tcpdump -r fild.dmp

/ 리눅스 클라이언트 서버에 httpd서버를 설치한다.
# yum list httpd
# yum -y install httpd
# systemctl start httpd
# systemctl enable httpd
# ls /var/log/httpd (로그 디렉토리확인)
# cat /var/log/httpd/access_log (httpd의 로그 확인)

/ 포트 스캔을 할때 실시간으로 쌓이는 로그를 확인해보자.
# tail -f /var/log/httpd/access_log
- 하지만 컨텐츠를 건드리는것이 아니라 포트의 여부만 확인하기 때문에 로그가 쌓이지 않는다.

윈도우 디스크 관리

/ 디스크 관리 창 띄우는 법
- 윈도우 로고 왼쪽 클릭 > Windows 관리 도구 > 컴퓨터 관리 > 디스크 관리

/ 디스크 관리 창 띄우는 법2
- 윈도우 버튼 우클릭 > 디스크 관리

/ 디스크 임의 추가
- vmware에서 서버 우클릭 > 셋팅 > add

- 마지막에 꼭 ok를 눌러야 한다.

/ 온라인 설정 & 디스크 초기화

- 용량이 크면 GPT인데 우리는 용량이 그리 크지 않으므로 MBR로 선택한다.

- 온라인으로 올라왔다.

- '할당되지 않음'의 까만 부분에서 우클릭 후 '새 단순 볼륨'을 클릭한다.

/ 단순 볼륨 만들기 마법사 시작

- 50G 잡아주기

/ 다른것도 쪼개본다.

- 파티션이 몇개나 만들어지나, 확장파티션이 언제 나타나나 확인하기 위해서 계속 만들어본다.

- 4번째에서는 쪼개지지 않고 확장 파티션이 된것을 확인할 수 있다.

/ 디스크
- 기본 : 기본만 하는 애
    > 최대 4개 주파티션을 만들거나
    > 또는 3개의 주파티션과 단일 확장 파티션으로 구성이 가능하다.
- 동적 : 파티션을 동적으로 무제한으로 만들 수 있는것
    > 무제한으로 파티션을 나눌 수 있다.
    > RAID 구성 가능

/ 파티션 삭제
- RAID 실습을 위해 기존에 나눴던 파티션들을 모두 삭제한다.

/ 동적 디스크로 변환
- 디스크1에서 우클릭 후 '동적 디스크로 변환'을 클릭한다.

/ 파티션
- 까만 부분에서 또 우클릭 해서 단순 볼륨을 만든다.

- 만들어진 색상이 아까와 조금 다르다.

- 이번에는 30G, 10G로 만들어본다.

- 이번에는 5G로 만들어본다.

- 아까 기본이었을때는 4번째 만들었을때 논리가 만들어졌었는데 지금 동적일대는 계속 만들 수 있는것을 확인할 수 있다.

- 이번에는 4000으로, 2000으로, 남은 용량으로 만들어본다.

- 이렇게 동적 디스크에서는 파티션을 거의 무한대로 만들 수 있다.
- 기술적으로는 138개의 제한이 있다고는 한다.

- 만들었던 볼륨을 모두 삭제했더니 다시 기본 디스크로 돌아갔다.

/ 디스크를 2개 더 추가해보자.
- vmware 세팅 > add > hard 디스크 추가 > 2G 싱글, 1G 싱글

- 바로 인식이 된다.
- 온라인 처리, 디스크 초기화를 진행한다. (mbr로 진행)

/ raid 세팅
- 2G 우클릭 > 새 RAID-5 볼륨을 하여 디스크1,2,3을 모두 오른쪽으로 옮겨보면 2기가에 맞춰서 세팅된다.

/ 드라이브 문자 변경
- CD롬 우클릭 < 드라이드 문자 및 경로 변경

/ 스펜 볼륨 만들기
- 2G 우클릭 > 새 스팬 볼륨을 하여 1G짜리를 오른쪽으로 옮긴다.

- 파일도 잘 만들어진다.

/ RAID 볼륨 만들기

- 1G 싱글 4개를 추가한다.

- 보이는 디스크는 온라인, 디스크 초기화(MBR) 처리를 해준다.

/ RAID0 생성
- 디스크4우클릭 > 스트라이프 생성 

/ RAID1 만들기
- 디스크3 우클릭 > 새 미러 볼륨 선택

/ RAID5 생성
- 세팅에서 1G 싱글 3개를 추가한다.

- 보이는 디스크는 온라인, 디스크 초기화(MBR) 처리를 해준다.

- 디스크8 우클릭 > 새 RAID-5 볼륨 선택

- 결과

/ RAID
- RAID5 용량 : 사용된 디스크 개수 -1
- RAID6 용량  : 사용된 디스크 개수 -2
- RAID10 용량  : (디스크 수 X 디스크 용량) / 2

135~

ZFW

NAT