58일차 - 정보시스템 진단

웹 방화벽

/ 윈도우
- WebKnight (구버전은 배포판, 최신버전은 유료)
- 캐슬

/ 리눅스
- Modsecutity (리눅스 배포판)

/ WebKnight 설치
- 선생님께서 주신 파일을 압축을 푼다.
- 아래 경로에 있는 msi파일을 실행하여 설치한다.

- 설치하다보면 이런 에러메시지가 뜬다.
- IIS가 설치되어 있어서 뜨는 메시지이다.
- 일단 ok누르고 설치한다.

 

- 이후 서버관리자에서 역활관리자에 들어가서 다음다음 누르다가 역활부분을 본다.
- Web Server > Web Server > Application Development를 펼친다.

- ISAPI Extensions, ISAPI Filters를 선택하고 다음다음 눌러서 설치한다.
- IIS설치 시 WebKnight를 염두하고 있다면 이 기능들을 같이 설치하면 된다.

 

- 다시 msi파일을 실행하여 설치한다.

 

/ 설정파일
- 설정파일들은 C드라이브 밑에 있다.
- Config.exe : 설정파일을 실행할 수 있는 파일
- LogAnalysis.exe : Webknight나이트의 로그를 분석해주는 프로그램
- robots.asp, robots.txt : 웹서버의 루트디렉토리에 갖다놓고 크롤링을 허용하거나 차단한다.

 

/ 인터넷 접근
- 아이피로 접근해보면 웹나이트에서 차단이 되어 웹나이트 페이지가 뜬다.
- 이 페이지가 떳다는건 로그가 쌓였다는 것이다.

 

/ 로그확인
- 로그는 LogFiles폴더에 쌓이지만 로그확인은 'LogAnalysis.exe'로 할 수 있다.

- 웹나이트 로그에 찍히는 시간은 세계표준시라 한국시간으로 하려면 9시간을 더해줘야 한다.

 

- 항목을 눌러보면 blocked된 내용을 확인해볼 수 있다.

 

/ 웹나이트 설정하기
- 설치폴더와 위치를 헷갈리면 안된다.

- 화면을 띄워서 'Response Log Only'를 체크한다. (Logging위에 있다.)
- 저장은 File > Save를 하면 된다.
- Response Log Only는 로그는 남기지만 차단은 되지 않게 하는것이다.

- 차단은 안되고 로그만 쌓이는 경우 ALERT으로 메시지가 나오는것을 확인할 수 있다.

 

/ 로그에 현재시간 적용하기
- 설정의 Logging부분의 Use GMT를 체크해제한다.
- 그리고 웹 서비스를 재시작 해야 한다.

- 서비스를 띄워서 재시작한다.

- 재시작하고 다시 로그를 확인해보면 시간이 한국시간으로 표시되는것을 확인할 수 있다.

 

---

PRTG

/ PRTG
- 유료
- SNMP 사용
- SNMP를 이용한 모니터링 프로그램

/ MRTG
- 무료 배포판, 오픈소스
- SNMP 사용
- Multi Router Traffic Grapher

 

/ PRTG 설치
- 설치되어 있는지 확인
- 나의 경우 설치가 되어 있었다.
# rpm -qa | grep net-snmp
# yum list net-snmp net-snmp-utils

/ snmpd.conf 파일 수정
- 파일 내용을 아래와 같이 수정했다.

- 수정 후 시스템을 재시작한다.
# systemctl restart snmpd

/ snmpwalk로 확인한다.
# snmpwalk -v 2c -c kdchrd 192.168.111.101 system

 

/ snmp Tester에서도 확인해본다.

 

/ VMware에 만든 윈도우서버에서도 Tester를 돌려본다.

 

/ 윈도우 서버에 PRTG 설치
- 링크 : https://www.paessler.com/

Paessler - The Monitoring Experts

- 위 링크에 접속하여 아래 이미지부분을 클릭하면 파일을 다운받을 수 있다.

- 이 프로그램은 트라이얼 기간(한달)이 지나면 센서가 100개로 줄어든다.
- 하지만 공부하는데에는 크게 상관이 없다.
- 윈도우에서 돌아가는 프로그램이라 살짝 무겁다.
- 파일 이름에 키값이 들어있는데 만약 실수로 지웠다면 설치프로그램을 다운로드했던 페이지에 키값이 적혀있다.

/ 충돌 문제 
- IIS를 중지시켜놓아 80가 없는 상태에서 설치해야 한다.

 

/ 설치
- 일단 다음다음 누른다.
- 이메일 부분은 실제 이메일을 적어도 좋고 이메일 형식만 맞춰서 입력하면 된다.
- Express버전으로 설치한다.

/ 실행
- 바탕화면의 아이콘을 더블클릭하여 들어가면 아래와 같은 화면이 나온다.

- 로그인은 기본으로 들어가있는 'prtgadmin'으로 진행하면 된다.
- 로그인버튼을 클릭하면 아래와 같은 화면이 나온다.

 

/ 추가
- Devices > All > 'Linux/macOs/Unix'에 'Add Device'를 클릭한다.

 

- 이름과 아이피 등 정보를 적당히 넣는다.

- 아래로 스크롤를 내려보면 SNMP를 설정하는 부분이있는데 여기가 제일 중요하다.

 

/ 센서 추가
- 방금 추가한것의 아래에 보면 'Add Sensor'를 클릭해 센서를 추가한다.

- CPU Usage와 Linux/macOS를 선택한다.
- 그 후 먼저 CPU쪽에 들어가 'Create'버튼을 클릭하려 생성한다.

 

/ 메모리 센서 추가

 

/ 디스크 센서 추가

 

/ 네트워크 센서 추가

 

/ 핑 센서 추가

 

/ 포트 센서 추가
- 포트는 검색창에 'port'를 검색해서 찾는다.
- 22번 포트를 찾도록 설정해준다.

 

/ 모두 추가한 화면

- 위 표에서 'SNMP CPU Load'항목의 그래프를 확인해보기위해 맨 오른쪽으로 스크롤하면 클릭할 수 있다.
- 클릭하면 아래와 같은 화면이 나온다.

 

 

/ 트래픽 센서 확인

- 경보 단계를 설정했다.

/ WinSCP로 트래픽을 유발해본다.
- 파일은 유틸 폴더에 있어서 실행파일을 실행시킨다.
- 접속 정보는 아래와 같다.

- 설정하고 접속하면 아래와 같은 화면이 뜬다.

 

- 용량이 큰 파일을 업로드 해본다.
- 업로드해서 화면을 캡쳐하고 싶은데 WinSCP가 계속 뻑이나서 업로드를 못했다..