리턴

백업관리

/ 백업
- 실행창 > wbadmin.msc
- 메뉴는 있는데 기능이 없어서 설치를 해야한다.

- 윈도우 로고 > 서버 관리자 > 역활 및 기능 추가
- 서버 역활에서 다음을 누르고 기능에서 'Windows Server Backup'체크하여 설치한다.

- 서버관리자 도구에 서 '윈도우 서버 백업'메뉴를 클릭할 수 있다.

- 한번백업, 예약백업을 실습할것이다.

/ 한 번 백업
- 오른쪽 메뉴 상단의 '한 번 백업' 클릭

- c 드라이브 확장 > 프로그램 파일즈 확장 > Common Files 확장 > Services 밑에 verisign.bmp 선택

- 어제 실습할때 생성한 Raid5 디스크를 선택한다.

- 내 컴퓨터에서 백업을 했던 폴더를 한번 보자

- 파일이 직접 있는게 아니라 파일에 대한 정보만 있다.
- vhdx가 파일 백업본이다.
- xml에는 백업에 대한 내용을 xml로 정리되어 있다.

/ 복원
- 파일을 잃어버린 상황을 만들어보자.
- 'C:\Program Files\Common Files\Services'의 이미지 파일을 삭제한다.

- 백업관리자에서 복구를 클릭한다.

- 복구작업을 실행하면 cpu사용량이 일시적으로 올라간것을 확인할 수 있다.

- 복구가 된것을 확인할 수 있다.

/ 예약백업
- 윈도우 백업의 오른쪽 상단의 '백업 일정'을 선택한다.

- c 하위 > 프로그래 파일즈 > vmware > vmware 툴즈 선택

- 여기서는 시간을 선택할 수 있다.

- 디스크를 선택하면 디스크가 포맷된다는 메시지가 뜬다.
- 포멧해도 괜찮으면 예를 누른다.

- 예옉 백업을 위해 날짜를 변경해보자.
- 우측 하단의 날짜를 눌러서 날짜 및 시간 설정에 들어간다.
- 자동으로 시간 설정은 끄고 날짜 및 시간 변경에서 백업 시간의 1~2분 전으로 설정해본다.

- 내 컴퓨터에서 백업 디스크가 사라져있다.

- 디스크 관리에서는 이렇게 보인다.

- 보이게 하려면 우클릭 > 드라이브 문자 및 경로 변경에 들어가 문자를 할당해주면 내 컴퓨터에서 확인할 수 있다.

/ 백업 종류
- 전체백업(Full) :
- 증분백업(Incremental) :
- 차등백업(Differential) : 
- 합성백업(synthetic) : 전체백업 + 증분백업 -> 새로운 전체백업을 만드는 작업
- 중복제거백업(Deduplication) : 

/ 사이트
- 미러 사이트 : 실시간, 주전산센터가 다운되어도 바로 복구
- 핫 파이트 : 주 전산센터와 동일한 수준의 인력, 데이터 대기, full, 증분, 차등, 반나절, 하루
- 웜 사이트 : 장비의 일부 마련, 데이터도 일부분만 가져다 놓는다. , 복구하는데 1~7일 정도 소요된다.
- 콜드 사이트 : 공간, 장비, 이중화 세모, 복구 용이

- 오늘 배운 내용은 재해복구(DR : Disaster Recovery), BCP를 하는데 필요하다.

TCP DUMP

/ tcp dump
- 리눅스에서 기본적으로 제공하고 있다.
- 항상 띄워져 있는것이 아니기때문에 ps에는 보이지 않는다.
- tcp dump는 인터페이스에 대한 패킷을 잡아준다.

- 하지만 'yum list tcpdump'로 새 버전을 사용할수도 있다.

/ tcp dump 문법
# tcpdump -i 인터페이스 port 포트,포트,포트 -w 저장이름
- w : 덤프파일 저장
- i : 인터페이스
- port : 포트
# tcpdump -i 인터페이스 (tcp|udp|icmp) and host (src|dst) 아이피
- tcp, udp, icmp : 특정 프로토콜을 지정할 수 있다.
- src, dst : src 또는 dst를 쓸 수 있다.
# tcpdump -D : 인터페이스 목록을 확인한다.
# tcpdump -e -i eno16777728 tcp port 21 and host 192.168.111.1
- e : mac어드레스를 노출시키는 옵션이다.
# tcpdump -c 4 -i eno16777728 tcp port 21 and host 192.168.111.1
- c : 원하는 덤프의 갯수를 지정할 수 있다.
# tcpdump -i eno16777728 -nn -vvv -A -G 3600  -w /경로/파일명_%Y%m%d_%H%M%S.pcap -Z root host naver.com and port 443
- nn : 80은 http로 21은 ftp로 자동으로 변환하는데 그러지 마라. xx포트를 변환없이 그대로 출력해라
- vvv : 그냥 v는 verbose라고 해서 내용을 자세하게 보여주는 옵션인데, vvv는 패킷의 모든 정보를 디테일하게 보여줘라는 옵션이다.
- A : 패킷의 내용을 ASCII형태로 보여줘
- G : 패킷정보를 저장하는 파일을 일정 주기로 갱신. 초로 표시한다.
- %Y%m%d , %H%M%S : 년 월 일 시 분 초
- Z : tcpdump를 실행시킬 권한을 설정한다.

- icmp tcpdump 실습
# tcpdump -i eno16777728 icmp
- pc에서 서버로 ping을 날려본다.
- 리퀘스트(8)와 reply가 번갈아 있는것을 볼 수 있다.
- 시퀀스 번호도 1씩 증가한다.

- src or dst 실습
# tcpdump -i eno16777728 icmp and src 192.168.111.1
# tcpdump -i eno16777728 icmp and dst 192.168.111.1
- 소스만 보이게 하거나 목적지만 보이게 할 수 있다.
- src나 dst를 적지 않을때에는 host라고 적어준다.
# tcpdump -i eno16777728 icmp and dst host 192.168.111.1 도 가능하다.

/ -w 옵션 덤프파일 저장 실습
# tcpdump -i eno16777728 icmp and host 192.168.111.1 -w icmp.dmp

- 파일을 읽을때는 -r옵션을 사용한다. (cat으로는 읽을 수 없다.)
# tcpdump -r icmp.dmp

/ tcp 프로토콜 확인 실습
# tcpdump -i eno16777728 tcp
- SYN, SYN+ACK, ACK가 되고 FIN, PUSH, RESET으로 마무리가 되는것을 확인할 수 있다.

- 포트를 사용하고 있지 않은 쪽으로 신호를 보내보자
- SYN을 보냈는데 응답이 없으니까 계속 SYN을 보내는것을 확인할 수 있다.

/ TCP header 구조
- TCP Flags : control 필드 6bit
- CWR : Congestion Windows Reduced 혼잡윈도우 크기 감소
- ECN : Explicit congestion Notification 혼잡 알림
- tcpdump에서는 보이지 않는데 와이어 샤크에서는 같이 보인다.

/ TCP 헤더 플래그
- 우압알스프
- U : URG urgent
- A : ACK 확인응답메시지
- P :PSH push 데이터를 포함해서 보낸다.
- R : RST reset 수신거부, 신호를 끊을때
- S : SYN syschronize 신호 동기화
- F : FIN finish 신호 연결을 종료

/
- 방화벽을 잠시 중단하고
- 21번 서버를 nc로 띄운다.
# systemctl stop firewalld
# nc -lk 21
- 특정 pc에서 보내는 21번 신호를 잡아보자.
# tcpdump -i eno16777728 tcp port 21 and host 192.168.111.1
- pc에서는 tcping을 던진다.

- SYN, SYN+ACK, ACK가 진행되고 FIN, FIN, ACK 2번으로 마무리가 되는것을 확인할 수 있다.
- 마지막의 ACK는 FIN에 대한 응답이다.

/ 윈도우 서버에서 nmap 사용해보기

/ 설치
- 링크 : https://nmap.org/download.html

/ 설치
- 그냥 다음 다음 눌러서 설치한다.

- 무섭게 생긴 nmap 아이콘이 생겼다..

/ 실행
- 바탕화면에 생긴 아이콘을 더블클릭 한다.

- Scan > New Window를 눌러서 새창을 띄워야 타켓에 입력이 가능해진다.
- target에 localhost를 입력해보면 밑에 Command에 명령어가 자동으로 들어간다.
- 오른쪽의 Scan버튼을 클릭하면 스캔을 시작한다.

- 타켓을 현재 컴퓨터의 ip로 스캐닝 해보니 안보였던 포트도 보인다.

- 이번엔 리눅스 서버쪽에 한번 돌려보자.
- 리눅스 서버에서 nc로 80포트를 임시로 열고 방화벽도 잠시 중지처리를 한다.
# nc -lk 80
# systemctl stop firewalld

- tcp덤프도 한다.
# tcpdump -D (인터페이스 확인)
# tcpdump -i eno16777728 host 192.168.111.10

- 이제 윈도우 서버에서 128번 client서버로 nmap스캔을 해본다.

- 리눅스 서버에서 덤프를 잘 뜨고 있는지 확인한다.

/ tcp덤프를 쓸때
- -w옵션과 함께 파일 이름을 명시하면 파일로 덤프파일을 저장할 수 있다.
# tcpdump -i 인터페이스명 -w 파일명
- ex) tcpdump -i eno1677728 -w fild.dmp

- 덤프파일을 읽을때에는 -ㄱ옵션을 사용한다.
# tcpdump -r fild.dmp

/ 리눅스 클라이언트 서버에 httpd서버를 설치한다.
# yum list httpd
# yum -y install httpd
# systemctl start httpd
# systemctl enable httpd
# ls /var/log/httpd (로그 디렉토리확인)
# cat /var/log/httpd/access_log (httpd의 로그 확인)

/ 포트 스캔을 할때 실시간으로 쌓이는 로그를 확인해보자.
# tail -f /var/log/httpd/access_log
- 하지만 컨텐츠를 건드리는것이 아니라 포트의 여부만 확인하기 때문에 로그가 쌓이지 않는다.

윈도우 디스크 관리

/ 디스크 관리 창 띄우는 법
- 윈도우 로고 왼쪽 클릭 > Windows 관리 도구 > 컴퓨터 관리 > 디스크 관리

/ 디스크 관리 창 띄우는 법2
- 윈도우 버튼 우클릭 > 디스크 관리

/ 디스크 임의 추가
- vmware에서 서버 우클릭 > 셋팅 > add

- 마지막에 꼭 ok를 눌러야 한다.

/ 온라인 설정 & 디스크 초기화

- 용량이 크면 GPT인데 우리는 용량이 그리 크지 않으므로 MBR로 선택한다.

- 온라인으로 올라왔다.

- '할당되지 않음'의 까만 부분에서 우클릭 후 '새 단순 볼륨'을 클릭한다.

/ 단순 볼륨 만들기 마법사 시작

- 50G 잡아주기

/ 다른것도 쪼개본다.

- 파티션이 몇개나 만들어지나, 확장파티션이 언제 나타나나 확인하기 위해서 계속 만들어본다.

- 4번째에서는 쪼개지지 않고 확장 파티션이 된것을 확인할 수 있다.

/ 디스크
- 기본 : 기본만 하는 애
    > 최대 4개 주파티션을 만들거나
    > 또는 3개의 주파티션과 단일 확장 파티션으로 구성이 가능하다.
- 동적 : 파티션을 동적으로 무제한으로 만들 수 있는것
    > 무제한으로 파티션을 나눌 수 있다.
    > RAID 구성 가능

/ 파티션 삭제
- RAID 실습을 위해 기존에 나눴던 파티션들을 모두 삭제한다.

/ 동적 디스크로 변환
- 디스크1에서 우클릭 후 '동적 디스크로 변환'을 클릭한다.

/ 파티션
- 까만 부분에서 또 우클릭 해서 단순 볼륨을 만든다.

- 만들어진 색상이 아까와 조금 다르다.

- 이번에는 30G, 10G로 만들어본다.

- 이번에는 5G로 만들어본다.

- 아까 기본이었을때는 4번째 만들었을때 논리가 만들어졌었는데 지금 동적일대는 계속 만들 수 있는것을 확인할 수 있다.

- 이번에는 4000으로, 2000으로, 남은 용량으로 만들어본다.

- 이렇게 동적 디스크에서는 파티션을 거의 무한대로 만들 수 있다.
- 기술적으로는 138개의 제한이 있다고는 한다.

- 만들었던 볼륨을 모두 삭제했더니 다시 기본 디스크로 돌아갔다.

/ 디스크를 2개 더 추가해보자.
- vmware 세팅 > add > hard 디스크 추가 > 2G 싱글, 1G 싱글

- 바로 인식이 된다.
- 온라인 처리, 디스크 초기화를 진행한다. (mbr로 진행)

/ raid 세팅
- 2G 우클릭 > 새 RAID-5 볼륨을 하여 디스크1,2,3을 모두 오른쪽으로 옮겨보면 2기가에 맞춰서 세팅된다.

/ 드라이브 문자 변경
- CD롬 우클릭 < 드라이드 문자 및 경로 변경

/ 스펜 볼륨 만들기
- 2G 우클릭 > 새 스팬 볼륨을 하여 1G짜리를 오른쪽으로 옮긴다.

- 파일도 잘 만들어진다.

/ RAID 볼륨 만들기

- 1G 싱글 4개를 추가한다.

- 보이는 디스크는 온라인, 디스크 초기화(MBR) 처리를 해준다.

/ RAID0 생성
- 디스크4우클릭 > 스트라이프 생성 

/ RAID1 만들기
- 디스크3 우클릭 > 새 미러 볼륨 선택

/ RAID5 생성
- 세팅에서 1G 싱글 3개를 추가한다.

- 보이는 디스크는 온라인, 디스크 초기화(MBR) 처리를 해준다.

- 디스크8 우클릭 > 새 RAID-5 볼륨 선택

- 결과

/ RAID
- RAID5 용량 : 사용된 디스크 개수 -1
- RAID6 용량  : 사용된 디스크 개수 -2
- RAID10 용량  : (디스크 수 X 디스크 용량) / 2

135~

ZFW

NAT

NMAP

/ nmap
- 리눅스용 nmap
- 윈도우용 nmap -> zenmap
- 고든 라이온 이라는 사람이 만든었다.
- 스캐닝
- 방화벽에 막혀서 못하는 경우도 있다.
- '-f' 옵션을 쓰면 방화벽을 뚫고 들어갈 수도 있다.
- nmap 스캔 결과로 운영체제도 알 수 있고, 구동 서비스(포트로 추정), 버전 등도 알 수 있다.
- 네트워크 카드도 확인 가능 하다.

/ 스텔스 스캔
- 상대방을 스캐닝 했는데 상대방은 모르는 것
- 종류 알아보기
- 상대방의 포트가 opened 되어 있을 때의 결과와 closed되어 있을 때의 결과가 다르다.
- 그 결과를 메시지로 받아보거나 패킷 분석(tcpdump, wireshark)을 할 수 있다.
- 세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아낸다.

/ 설치 전 확인
# rpm -qa nmap
# rpm -qa | grep nmap
# yum list nmap

/ 설치
# yum -y install nmap
- 실행할 때만 실행하는 애라서 ps -ef나 netstat으로 확인하지는 않는다.

/ 실행
# nmap localhost

- localhost로 보는거랑 컴퓨터 아이피로 보는것이랑 결과가 조금 다른것을 볼 수 있다. 

- 이번엔 클라이언트 리눅스를 확인해본다.
# nmap 192.168.111.128

- 이번에는 클라이언트 리눅스의 방화벽을 내리고 다시 nmap을 던져본다.
클라이언트 # systemctl stop firewalld
서버 # nmap 192.168.111.128

- 이번에는 클라이언트에서 80 포트를 nc서버로 띄워본다.
클라이언트 # nc -lk 80
서버 # nmap 192.168.111.128

/ 포트 스캐닝
- 능동 공격에 해당 된다. (Active Attack)
- 수동 공격(Passive attack)은 nslookup, whois등이 있다.
- 공격 전에 도둑님이 이런저런 정보를 모으는것을 '풋프린팅'이라고 한다.
- 도둑님이 들어가서 데이터를 유출하거나 가져오는것을 '핑거프린팅'이라고 한다.
- 포트 스캐닝은 풋프린팅과 핑거프린팅 사이에 있다.

/ nmap 사용방법
# nmap 옵션 대상

/ 스캔 종류
- 오픈 스캔(일반)
    > nmap -sT 상대방ip
    > 포트가 열려있으면 정보가 확인된다. (open)
    > 포트가 닫혀있으면 'RST+ACK'가 확인된다.
    > 닫혀있으면 목적지에서 '리셋+ACK'가 날라오기 때문이다.(3-way-핸드쉐이킹에서)

- 하프 오픈 스캔(Half-open scan)
    > TCP SYN open scan
    > nmap -sS 상대방ip
    > 3-way-핸드쉐이킹에서 마지막에 ack를 보내지 않는다. 목적지에서는 마지막에 ack가 오지 않아서 포트가 열리지 않는다.
    > 목적지의 가용성을 떨어트린다. (목적지가 ack를 기다려서..)
    > 악의적의 의도로 사용하게 되면 디도스의 공격으로 사용되게 된다.
    > 포트가 열려있으면 SYN+ACK응답이 온다.
    > 포트가 닫혀있으면 'RST+ACK'가 확인된다.
    > 닫혀있으면 목적지에서 '리셋+ACK'가 날라오기 때문이다.(3-way-핸드쉐이킹에서)

- 스텔스 스캔
    > 상대방에게 정체를 들키지 않고 스캔하는 것
    > 하프 오픈도 범위를 크게 가져가면 스텔스에 들어간다.
    > 스텔스 스캔 중 열려있을때 응답이 오는 것은 '하프 오픈 스캔'밖에 없다.

/ 스텔스 스캔
- FIN Scan
    > 다짜고짜 FIN를 보내는 것
    > opened 상태에서는 응답이 없다.
    > closed 상태에서는 RST+ACK를 응답한다.
    > 000001을 보낸다. 그럼 010100(RST+ACK)이 온다.
    > nmap -sF 상대방ip
- Xmas Scan
    > 스캔을 보낼때 헤더에 데이터를 넣는데 6개의 항목중에 어디에는 넣고 어디에는 안 넣고 하는 것
    > opened 상태에서는 응답이 없다.
    > closed 상태에서는 RST+ACK를 응답한다.
    > 보낼때 101001(반짝반짝)을 보낸다. 그럼 010100(RST+ACK)이 온다.
    > nmap -sX 상대방ip
- Null Scan
    > 신호가 아무것도 없는 상태로 스캐닝을 보낸다.
    > opened 상태에서는 응답이 없다.
    > closed 상태에서는 RST+ACK를 응답한다.
    > 000000을 보낸다. 그럼 010100(RST+ACK)이 온다.
    > nmap -sN 상대방ip

/ TCP ACK 스캔
- nmap -sA 상대방ip
- 상대방 포트를 스캐닝 하는것이 아니라 방화벽 필터링 정책을 스캐닝하는것이 목적이다.
- 상태기반 방화벽인지, 포트필터링(패킷필터링)
- ACK와 목표로 하는 포트번호를 계속 보낸다.
- 만약 방화벽 필터링이 살아있을 경우 응답없음이나 ICMP 에러메시지가 발생된다.
- 필터링이 닫혀있으면 RST+ACK가 확인된다.

/ UDP 포트 스캔(udp 신호를 보내서 udp포트 오픈/닫힘)
- nmap -sU 상대방ip
- opened : udp 응답 또는 응답없음
- Closed : icmp 에러 메시지

/ Decoy 스캔
- nmap -sS 목적지ip -D
- 공격자가 누군지 모르게 스캔

/ TCP 헤더 6개
- '우압알스프'로 외우자..ㅋㅋ 우와 배고프다 알스프가 먹고싶다.
- Urgent : 
- Ack : 
- Push : 
- Reset : 
- Syn : 맨처음에 syn을 보내야 하니까 여기에 플래그가 꽂힌다.
- Fin : 여기에만 신호가 들어가 있으면 finish신호이다.

ex ) 000001 이후에 010100이면 무엇일까? Fin scan이다.

/ 그 외 스캔
- 상대방 os를 파악하는 것 : nmap -O 상대방ip
- 지정된 포트를 스캔할대 : nmap -p 포트번호 상대방ip
    ex) nmap -p 22,80,8080 상대방ip
- UDP 포트 스캔 : nmap -sU 상대방ip
- 방화벽 통과 시도시에는 -f 옵션을 사용  : nmap -f -sS 상대방ip
- 스캔 결과에 대한 자세한 세부사항을 보고 싶을때는 -v 옵션을 사용(verbose) : nmap -v -sS 상대방ip

SAMBA

/ SAMBA
- 리눅스 운용체제간 파일, 자원 공유 : nfs (rpc)
- 리눅스 - Windows 자원 공유 : samba, smb(cifs)
- Servr Message Block
- 근거리네트워크에서 자원을 공유하게 하는 서비스
- cifs : Common Internet Files System (윈도우가 끼게 될때)
- nfs와 smb의 차이점을 검색해보자.
- 공유되는 자원이 리눅스 환경일 경우 삼바를 많이 쓴다.

/ 전체적인 실습플로우
- 리눅스 서버에 삼바서버 설치
- 삼바서버에 특정 공간 공유
- 리눅스 클라이언트에서 삼바 영역에 접근할 수 있도록 설정
- 호스트pc에서도 삼바 영역을 접근할 수 있도록 설정

/ 설치
- 설치 전 확인
# rpm -qa | grep samba
- yum에 설치할 수 있는 패키지가 있는지 확인
- 아래 명령줄을 확인해보면 samba는 확인가능하지만 'system-config-samba'는 보이지 않는다.
- 'system-config-samba'는 wget으로 가져와야 한다.
# yum list samba system-config-samba

- samba 설치
# yum -y install samba
# yum -y localinstall system-config-samba*

* system-config-samba는 그래픽컬하게 해주는 패키지라 cli환경에서는 안될 수 있다.

/ samba 서비스 포트
- 139/tcp : Netbios 세션 서비스
- 445/tcp : SMB     ; 랜섬웨어(워너크라이)
- 137/udp : Netbios 이름 확인
- 138/udp : Netbios 데이터그램 서비스

* Netbios : Network basic input output service

/ 설치 확인 및 활성화
# rpm -qa | grep smb
# systemctl start smb
# systemctl enable smb
# systemctl status smb

/ ps -ef 및 netstat확인
# ps -ef | grep smb
# netstat -antup | grep smbd

/ 설정파일 찾기
- rpm qc로 보이지 않아서 find로 찾아야 한다.
# find / -name smb*

/ testparm
- 설정파일 수정 후 유효성 확인할때 쓰이는 명령어

/ gui환경이므로 'system-config-samba'를 이용해 설정을 할것이다.
# system-config-samba

- 그 전에 설정할것이 있다.
- 공유시킬 디렉토리가 필요하다.
# mkdir /share

- 권한 확인
# ls -ld /share

- other유저가 파일을 업로드 할 수 있어야 하기때문에 권한이 7이어야 한다.
# chmod o+w /share
# chmod 757 /share

- 다시 'system-config-samba'를 실행하고 '서버 설정'에 들어간다.

- 작업그룹은 나중에 뭐가 잘 안되면 윈도우랑 맞춰야할 경우가 생길 수 있다.
- 미등록된 사용자 계정을 centos로 설정한다.

- 이번에는 Samba사용자를 설정한다.

- Unix사용자명은 centos로 선택한다.
- Windows 사용자명과 비밀번호를 적당히 넣는다.

/ 공유할 폴더 지정
- 파일 > 공유 추가를 클릭한다.

- 아까 만든 '/share'를 지정한다.

- 접근탭에서는 디렉토리에 접근할 수 있는 권한을 설정할 수 있다.
- 실습이므로 모든 사용자에게 부여한다.

- 모두 확인하고 나오면 결과를 목록에서 확인할 수 있다.

/ 서비스 재시작
- 설정파일을 건드렸으므로 서비스를 재시작한다.
# systemctl restart smb

/ /etc/samba 디렉토리 확인
# cd /etc/samba
# ls -al

- 없었던 smbusers가 생겼다. 확인해보자

- 이제 설정파일을 확인한다.
- 설정을 하기전 파일과 비교해보자.
# vi smb.conf

/ testparm명령어를 한번 써보기
# testparm
- share부분이 conf파일에서는 4줄이었는데 testparm으로 확인하면 2줄만 나온다.

/ smb 계정에 대해 패스워드를 설정하기
# smbpasswd -a centos

/ smb 계정 생성
- 일단 일반 계정 생성
# useradd testuser
# cat /etc/passwd | grep testuser
# passwd testuser
# cat /etc/shadow | grep testuser

- smb 사용자 패스워드 설정
# smbpasswd -a testuser

- gui화면에서 확인가능하다.

/ 방화벽 설정
- config에서 설정하거나

- cli로도 등록할 수 있다.
# firewall-cmd --permanent --add-service=samba
# firewall-cmd --permanent --add-port=139/tcp
# firewall-cmd --permanent --add-port=445/tcp
# firewall-cmd --permanent --add-port=138/udp
# firewall-cmd --permanent --add-port=137/udp
# firewall-cmd --reload
# firewall-cmd --list-all

/ 삼바서버 상태 확인
# smbstatus

/ 자체적으로 smb서버 접속 확인
- '-L'옵션은 실제로 접속하는 것이 아니라 정보만 확인할 수 있는 옵션이다.
- 접속하기 전에 먼저 정보를 확인한다.
# smbclient -L 192.168.111.101 -U centos

/ 리눅스 클라이언트에서 접속확인을 해본다.

/ smb 서버에 파일하나 만들어주기
- 서버에 들어오면 여기가 로컬인지 서버인지 헷갈릴 수 있어서 확인용 파일을 하나 만들어준다.

/ smb서버 접속하기
- 서버에서 자체적으로 접속해본다.
# smbclient //localhost/share -U centos

- 서버 상태를 확인한다.

- 이번엔 리눅스 클라이언트에서 접속해본다.
# smbclient //localhost/share -U testuser

- 서버 상태를 확인해본다.

/ 윈도우에서 smb서버 접속
- cmd창에서 'start \\192.168.111.101\share'로 접근하면 계정정보를 입력하고 접속할 수 있다.

- 서버 상태 확인

- netstat확인
# netstat -antup | grep smbd

- 포트로 확인하는 법
# netstat -ant | egrep "139|445"

/ smbclient
- 리눅스
    > smbclient -L 서버IP|이름 -U 계정이름
    > smbclient //서버IP|공유이름 -U 계정이름
- 윈도우
    > \\서버IP|공유이름
    > 입력창이 뜨면 id와 pw입력

/ 클라이언트쪽에 smb서버와 연결되는 디렉토리 생성
- 계속 접속하고 끊고 그러면 귀찮으니깐 생성한다.
- 클라이언트에 만드는 디렉토리에는 권한작업을 따로 하지 않아도 된다.
# mkdir /smbshare
# mount -t cifs //192.168.111.101/share /smbshare -o username=testuser

- 마운트 명령으로 확인해본다.
# mount -l | grep smbshare
# mount -l | grep ^//192

- 서버에서 smbstatus를 확인해본다.

/ fstab등록
- 클라이언트가 접속을 끊으면 정보가 사라지는데 이것을 방지한다.
- 클라이언트가 접속하는 정보를 유지하는 방법이다.
# vi /etc/fstab

- 이때 컴퓨터를 부팅할때 계정정보를 묻게 된다.
- 해서 계정정보를 아래와같이 적어놓을 수 있다.

- 근데 위 방법도 비밀번호가 노출이 된다.
- 더 보완을 하는 방법은 아래와 같다.
# touch .smbcredentials
# vi .smbcredentials

- 이 파일을 fstab에 적용한다.

 - 윈도우에서는 홈>빠른연결 >네트워크 드라이브 연결에 설정한다.

- '마침'을 누르면 계정정보를 입력하는 창이 나타나고 계정정보를 입력하면 컴퓨터를 껏다켜도 계속 연결되게 된다.

* 크리덴셜 스터핑 (Credential stuffing) : 확보한 정보로 다른 인증시스템들에게 다 대입해보는 것

/ umount 시키기
- 클라이언트 서버에서 언마운트해본다.
# umount /smbshare

/ samba서버를 특정 이름으로 접속하고 싶은 경우
# vi /etc/hosts

- 호스트이름에 지정한 이름으로 접속을 확인해본다.
# smbclient -L linuxsamba -U testuser

/ 로그 확인
- 별로그가 안남아서 따로 설정을 해줘야 한다.

# vi /etc/samba/smb.conf

log file = /var/log/samba/log.%m
log level = 3
vfs objects = full_audit

# Audit settings
full_audit: prefix = %u|%I|%m|%S
full_audit:failure = connect
full_audit:success = connect mkdir rmdir open read pread write pwrite rename unlink
full_audit:facility = local5
full_audit: priority = notice

- 서비스를 재시작한다.
# systemctl restart smb

-
#vi /etc/rsyslog.conf
- rsyslog.conf의 RULES쪽에도 추가해준다.

- rsyslog 재시작
# systemctl restart rsyslog

- 로그 폴더에 다시 가서 확인해본다.
# cd /var/log/samba
# cat log.192.168.111.128 

/ 윈도우 net use
- 한번에 여러 접속을 하고 있으면 에러가 나는 경우가 있다.
- 이 경우 net use의 정보를 삭제하면 된다.
# net use
# net use \\192.168.111.101\share /d

웹 방화벽

/ 윈도우
- WebKnight (구버전은 배포판, 최신버전은 유료)
- 캐슬

/ 리눅스
- Modsecutity (리눅스 배포판)

/ WebKnight 설치
- 선생님께서 주신 파일을 압축을 푼다.
- 아래 경로에 있는 msi파일을 실행하여 설치한다.

- 설치하다보면 이런 에러메시지가 뜬다.
- IIS가 설치되어 있어서 뜨는 메시지이다.
- 일단 ok누르고 설치한다.

- 이후 서버관리자에서 역활관리자에 들어가서 다음다음 누르다가 역활부분을 본다.
- Web Server > Web Server > Application Development를 펼친다.

- ISAPI Extensions, ISAPI Filters를 선택하고 다음다음 눌러서 설치한다.
- IIS설치 시 WebKnight를 염두하고 있다면 이 기능들을 같이 설치하면 된다.

- 다시 msi파일을 실행하여 설치한다.

/ 설정파일
- 설정파일들은 C드라이브 밑에 있다.
- Config.exe : 설정파일을 실행할 수 있는 파일
- LogAnalysis.exe : Webknight나이트의 로그를 분석해주는 프로그램
- robots.asp, robots.txt : 웹서버의 루트디렉토리에 갖다놓고 크롤링을 허용하거나 차단한다.

/ 인터넷 접근
- 아이피로 접근해보면 웹나이트에서 차단이 되어 웹나이트 페이지가 뜬다.
- 이 페이지가 떳다는건 로그가 쌓였다는 것이다.

/ 로그확인
- 로그는 LogFiles폴더에 쌓이지만 로그확인은 'LogAnalysis.exe'로 할 수 있다.

- 웹나이트 로그에 찍히는 시간은 세계표준시라 한국시간으로 하려면 9시간을 더해줘야 한다.

- 항목을 눌러보면 blocked된 내용을 확인해볼 수 있다.

/ 웹나이트 설정하기
- 설치폴더와 위치를 헷갈리면 안된다.

- 화면을 띄워서 'Response Log Only'를 체크한다. (Logging위에 있다.)
- 저장은 File > Save를 하면 된다.
- Response Log Only는 로그는 남기지만 차단은 되지 않게 하는것이다.

- 차단은 안되고 로그만 쌓이는 경우 ALERT으로 메시지가 나오는것을 확인할 수 있다.

/ 로그에 현재시간 적용하기
- 설정의 Logging부분의 Use GMT를 체크해제한다.
- 그리고 웹 서비스를 재시작 해야 한다.

- 서비스를 띄워서 재시작한다.

- 재시작하고 다시 로그를 확인해보면 시간이 한국시간으로 표시되는것을 확인할 수 있다.

PRTG

/ PRTG
- 유료
- SNMP 사용
- SNMP를 이용한 모니터링 프로그램

/ MRTG
- 무료 배포판, 오픈소스
- SNMP 사용
- Multi Router Traffic Grapher

/ PRTG 설치
- 설치되어 있는지 확인
- 나의 경우 설치가 되어 있었다.
# rpm -qa | grep net-snmp
# yum list net-snmp net-snmp-utils

/ snmpd.conf 파일 수정
- 파일 내용을 아래와 같이 수정했다.

- 수정 후 시스템을 재시작한다.
# systemctl restart snmpd

/ snmpwalk로 확인한다.
# snmpwalk -v 2c -c kdchrd 192.168.111.101 system

/ snmp Tester에서도 확인해본다.

/ VMware에 만든 윈도우서버에서도 Tester를 돌려본다.

/ 윈도우 서버에 PRTG 설치
- 링크 : https://www.paessler.com/

- 위 링크에 접속하여 아래 이미지부분을 클릭하면 파일을 다운받을 수 있다.

- 이 프로그램은 트라이얼 기간(한달)이 지나면 센서가 100개로 줄어든다.
- 하지만 공부하는데에는 크게 상관이 없다.
- 윈도우에서 돌아가는 프로그램이라 살짝 무겁다.
- 파일 이름에 키값이 들어있는데 만약 실수로 지웠다면 설치프로그램을 다운로드했던 페이지에 키값이 적혀있다.

/ 충돌 문제 
- IIS를 중지시켜놓아 80가 없는 상태에서 설치해야 한다.

/ 설치
- 일단 다음다음 누른다.
- 이메일 부분은 실제 이메일을 적어도 좋고 이메일 형식만 맞춰서 입력하면 된다.
- Express버전으로 설치한다.

/ 실행
- 바탕화면의 아이콘을 더블클릭하여 들어가면 아래와 같은 화면이 나온다.

- 로그인은 기본으로 들어가있는 'prtgadmin'으로 진행하면 된다.
- 로그인버튼을 클릭하면 아래와 같은 화면이 나온다.

/ 추가
- Devices > All > 'Linux/macOs/Unix'에 'Add Device'를 클릭한다.

- 이름과 아이피 등 정보를 적당히 넣는다.

- 아래로 스크롤를 내려보면 SNMP를 설정하는 부분이있는데 여기가 제일 중요하다.

/ 센서 추가
- 방금 추가한것의 아래에 보면 'Add Sensor'를 클릭해 센서를 추가한다.

- CPU Usage와 Linux/macOS를 선택한다.
- 그 후 먼저 CPU쪽에 들어가 'Create'버튼을 클릭하려 생성한다.

/ 메모리 센서 추가

/ 디스크 센서 추가

/ 네트워크 센서 추가

/ 핑 센서 추가

/ 포트 센서 추가
- 포트는 검색창에 'port'를 검색해서 찾는다.
- 22번 포트를 찾도록 설정해준다.

/ 모두 추가한 화면

- 위 표에서 'SNMP CPU Load'항목의 그래프를 확인해보기위해 맨 오른쪽으로 스크롤하면 클릭할 수 있다.
- 클릭하면 아래와 같은 화면이 나온다.

/ 트래픽 센서 확인

- 경보 단계를 설정했다.

/ WinSCP로 트래픽을 유발해본다.
- 파일은 유틸 폴더에 있어서 실행파일을 실행시킨다.
- 접속 정보는 아래와 같다.

- 설정하고 접속하면 아래와 같은 화면이 뜬다.

- 용량이 큰 파일을 업로드 해본다.
- 업로드해서 화면을 캡쳐하고 싶은데 WinSCP가 계속 뻑이나서 업로드를 못했다..

/ DNS 라운드 로빈

집에서 정리하기..

dhcp

/  dhcp 포트
- 포트는 67,68번 포트를 쓴다.

/ vmware dhcp 기능을 끈다.

/ 서버 관리자에 들어가서 역확을 추가한다.
- 서버관리자 > 역활 및 기능 추가
- 다음 다음 누르면서 들어가다가 역활 부분에서 DHCP서버를 체크한다.

- 이후 계속 다음다음 눌러서 설치를 진행한다.

- 설치가 완료되면 알림창에 경고창이 떠 있다.

- 여기서 파란색 'DHCP 구성 완료'글씨를 클릭한다.
- 그러면 구성 후 마법사가 뜨는데 '커밋, 닫기'를 차례로 클릭한다.

- 이후 서버관리자의 도구에서 DHCP를 클릭하여 관리할 수 있다.
- 또는 실행창 >  'dhcpmgmt.msc'로 창을 띄울 수도 있다.

- netstat으로 67, 68포트가 떠 있는것을 확인할 수 있다.

- DHCP의 IPv4 우클릭 < 새 범위

- 설정되는 아이피 범위와 제외되는 아이피를 확인할 수 있다.

/ 방화벽을 확인해본다.
# wf.msc

/ VMware의 다른 서버가 dhcp로 아이피를 받은것을 확인할 수 있다.

/ 서버에서 확인
- 주소 임대쪽을 확인해보면 임대한 아이피를 확인할 수 있다.
- 고유ID부분은 mac address이다.

/ 통계 확인

/ 이벤트 뷰어 확인
- 윈도우 버튼 클릭 > 이벤트 뷰어

- 윈도우 로그 > 설정

- 응용프로그램 및 서비스 로그 > Microsoft > Windows > Microsoft-Windows-DHCP Server Events/Operational

- 여기서 속성을 눌러보면 이벤트는 evtx확장자로 저장이 되는것을 확인할 수 있다.

/ 속성 확인

- 고급탭을 보면 감사 로그가 어디에 저장되는지 확인할 수 있다.

/ 백업
- 백업을 하면 감사로그 위치 및에 백업이 되고 복원도 그 위치에서 불러와서 복원을 한다.
- 경로 : C:\Windows\system32\dhcp\backup

FTP 서버 구축

/ filezilla사이트에서 서버 프로그램을 다운로드 받는다.

https://filezilla-project.org/download.php?type=server 

/ 윈도우 서버에도 ftp 서버기능이 있는데 왜 파일질라 서버를 사용할까
- 계정별 디렉토리를 따로 따로 이용하는 등의 몇몇 기능은 제공하지 않기 때문
- 권한을 디테일하게 주는 기능

/ 서버를 설치하기 전 21번 포트를 사용중인지와 방화벽이 열려있는지 확인해본다.

/ 파일질라 서버 설치
- 설치 프로그램을 실행 시키고 다음다음을 누른다.
- 포트가 21번이 아니지만 일단 다음다음 누른다.

- 설치하고 나면 이런 화면이 뜬다.
- 둘다 체크해주고 ok누른다.

/ 포트 확인
- 21번 포트가 올라온것을 확인할 수 있다.

/ 사용자 만들기
- Server > Configure > Users > Add 로 admin을 만들어보자.

/ 사용자의 디렉토리별 권한
* 1.4버전으로 진행하다가 0.9버전으로 진행하였다.

/ 방화벽 열기
# wf.msc

/ tcping으로 포트가 열렸는지 확인이 가능하다.

/ 파일질라에서 접속을 해본다.

- 그냥 이렇게 접근하면 접속이 안된다.

- 능동형으로 설정하고 접속하면 접속이 된다.

/ 패시브 모드로 세팅하여 접속해보기

- 방화벽 열어주기

- 전송설정을 다시 기본으로 맞추고 접속해본다.

/ Log
- Edit > Settings > Logging에 들어가서 'Enable logging to file'을 선택하면 ftp내역을 로그파일로 남길 수 있다.
- 로그파일 위치는 'C:\Program Files (x86)\FileZilla Server\Logs'이다.

/ FTP의 능동모드, 수동모드 
- 자세히 한번 알아보기

/ 라우팅 테이블
- 동적 라우터만 라우팅 테이블을 가진다.
- 정적 라우터는 'show ip route'에서 라우팅 테이블을 확인할 수 없고, 'S'라는 문자열로 정적 라우팅이 되어있다는것만 확인할 수 있다.
- 보안적인 측면에서는 좋을 수 있다.

/ 관리거리 값
- 정적 : 1
- 동적 EIGRP : 90
- 동적 OSPF : 110
- 동적 RIP : 120

/ access-list 시퀀스 번호 재정렬
# ip access-list resequence 이름 10 10

ZFW

/ zone
- 말 그대로 그냥 구역이다.

/ zone-member
- 특정 인터페이스를 존에 할당하는 것이다.

/ zone-pair
- 존과 존 사이의 트래픽은 존 페어(zone-pair)를 통해 제어한다.
- 출발지 및 목적지 존을 지정하여 트래픽의 방향을 지정한다.
- 반대 방향의 트래픽에는 방화벽 정책이 적용되지 않는다.
- 돌아오는 리턴 트래픽(return traffic)은 자동으로 허용되므로 항상 두개의 존 페어를 만들 필요는 없다.

/ class-map
- 트래픽을 분류한다.
- ACL을 이용해서 미리 트래픽을 지정할 수도 있다.

/ policy-map
- 클래스맵의 정책을 설정한다.
- inspect명령어를 사용하면 패킷을 통과시키면서 돌아오는 패킷을 허용한다.

/ service-policy
- 존 페어에 보안정책(폴리시 맵)을 적용할때 사용하는 명령어이다.

- 오늘 배운 내용은 104p~158p부분의 분량이다.

/ mRemoteNG
- RDP, VNC, SSH 등 여러 접속을 할 수 있는 프로그램이다.
- 다운로드 링크 : https://mremoteng.org/download

- 좌측상단에 연결을 우클릭> 새연결을 클릭하여 추가한다.

- 하단 구성에 항목들을 입력하고 저장한다.

- 공유pc를 사용할때 기록이 남기때문에 좀 찝찝하다.(ex.pc방 등)
- 해서 레지스트리를 이용해 정리를 할것이다.

# regedit
- 아래 위치에서 지울것을 지워준다.

- 그리고 '탐색기>문서'에 들어간 후 '보기>숨긴 항목'을 체크해주면 'Default.rdp'가 있다.
- 이것을 삭제하고 휴지통까지 비워준다.

- 이제 내역이 보이지 않게 된다.

DNS

/ 도메인 아이피를 찾을때
- Cashe - host.ics - hosts - dns 순으로 찾는다.

/ hosts 파일 변경해보기
- 경로 : C:\Windows\System32\drivers\etc
- hosts파일을 메모장으로 연다.
- 아이피와 도메인을 마음대로 넣고 실습해본다.

/ DNS 서버 설치
- 53번 포트가 있는지 확인

- 윈도우 로고 왼쪽 클릭 > 서버 관리자 > 역활 및 기능 추가
- 다음 다음 하다가 DNS Server를 체크하고 다음을 누른다.

- 기능 에서도 그냥 다음, 다음하고 설치를 클릭한다.

- 설치가 되면 왼쪽 메뉴와 오른쪽 '도구'에 DNS메뉴가 생긴다.

- DNS를 클릭해보면 아래와 같은 창이 뜬다.

- 방화벽을 보면 tcp, udp도 추가가 되어있다.

- netstat으로도 dns 서비스가 53번 포트로 활성화 되어있는것을 확인할 수 있다.

- nslookup에서 이제 서버를 내가 세팅한 dns서버로 설정하여 조회해볼 수 있다.

- 호스트pc에서 10번 서버를 dns 서버로 지정하여 nslookup을 해볼 수 있다.

- 서비스 항목도 확인해보자.
# services.msc

- 서비스 이름이 dns이므로 dms에서 중지 시작을 할때는 아래와 같이 하면 된다.
# net stop dns (중지)
# net start dns (시작)

마스터 DNS

/ 마스터 dns
- DNS 관리자를 띄운다.
# dnsmgmt.msc
- 정방향 조회 영역 우클릭 > 새 영역 > 주 영역 > 다음 다음 해서 이름 입력 > 다음 누르다가 '동적 업데이트 허용 안 함' 선택 다음 > 마침

- 정방향을 선택하면 아래와 같은 화면이 보이고

- 방금 생성한 영역을 클릭하면 아래와 같은 화면이 보인다.

- 왼쪽의 john.com우클릭 하고 속성에 들어가본다.

- SOA(권한 시작) 탭을 열어본다.
- 리눅스에서와 크게 다를것이 없다.
- 주 서버와 책임자의 값에는 맨 끝에 .(점)이 붙어있다.

- 이름 서버 탭은 john.com.이 생략되어 있다.

- WINS탭은 잘 안쓰는 탭이다.

- 'C:\Windows\System32\dns'에 가면 'john.com.dns'파일이 있다.

- john.com.dns를 메모장으로 열어내용을 확인한다.

/ 새 호스트를 추가해보기
- 도메인에서 우클릭하여 '새 호스트'를 클릭한다.
- 완료를 누르기 전까지는 창이 닫히지 않으며 계속해서 호스트를 추가할 수 있다.

- 상위 폴더와 같음은 이름을 입력하지 않은것이다.

- 이번에는 새별칭을 만들어본다.
- FQDN의 맨 끝에는 .(점이 붙는다.) (여기서는 않넣어도 되지만 넣었다.)

- 이번에는 MX를 넣어본다.
- 메일 서버 우선 순위는 10단위로 적히고, 10이 제일 높은것이다.
- 메일 서버 우선순위가 다 똑같으면 부하 분산이 된다.(로드밸런싱)

/ 지금 까지의 결과

- C:\Windows\System32\dns의 'john.com.dns'파일도 확인해본다.
- 시리얼 넘버가 자동으로 커졌다.
- cname 끝에는 .이 붙어있다.

/ 잘 설정되었나 확인
- nslookup

- set type을 soa로 지정해본다.
- 한줄 : nslookup -type=soa john.com 192.168.111.10

/ 호스트를 따로 등록하지 않아도 hosts를 수정하면 ping을 보낼수도 있다.
- 'C:\Windows\System32\drivers\etc'의 'hosts'파일을 수정해본다.

- ping이 내가 설정한 도메인으로 가는지 확인해본다.

/ nslookup에서 server를 매번 지정하지 않게 해보기
# nspa.cpl
- 네트워크 속성의 IPv4 속성에서 dns내용을 내 서버 아이피로 해주면 nslookup에서 내 dns서버로 조회할 수 있다.

/ IIS와 DNS 
- IIS의 사이트에서 바인딩에 들어가 호스트이름을 www.john.com과 media.john.com으로 준다.

- 로컬 네트워크 설정에서 dns가 내 서버 아이피로 되어있다면 위와 같이 설정했을때,
웹 브라우저에서 'media.john.com'이나 'www.john.com'으로 접속할 수 있다.

/ FTP
- 서버 관리자 > 역활 및 기능 추가 > Web Server부분의 FTP Server를 선택해 설치한다.

- IIS 관리자에서 FTP 사이트를 추가한다.

- 이 단계에서 익명은 실제로 잘 쓰지 않지만 실습을 위해 임시로 넣은것이다.

- ftp사이트 추가 후 ping을 날려본다.

- iis에서 ftp사이트의 바인딩 편집에 들어가 호스트 이름을 빼면 웹 브라우저에서도 접근이 가능하다.

- 디렉토리에서도 가능하다.

어제 학원에 안와서 기록을 남기지 못했다..
이따 집에가서 꼭 정리할것

/ vnc 설정 및 접속

/ mstsc 접속 포트 변경

/ 단일 원격 터미널 세션 제한 풀기