Security. unlimited possibilities

이 도구는 Windows에 기본 방화벽을 사용하는 사용자에게 꽤나(?) 유용한 도구이다. 방화벽의 복잡한 로그를 간편한 GUI를 통해 점검&확인할 수 있게 지원해 준다.

만약 이 도구를 사용하고자 한다면, 기본 방화벽의 로깅 기능을 활성화하는 것을 잊지 말아야 한다.

기본 방화벽의 로깅 설정은, 아래의 경로에서 설정/확인 가능하다.

제어판 > windows 방화벽 > 고급 설정 > Windwos 방화벽 속성 > 도메인 프로필 > 로깅 > 사용자 지정

참고로, 방화벽 로그파일의 기본 Path는 아래와 같다.

▷ %SYSTEMROOT%\system32\logfies\firewall\pfirewall.log

<시스템 요구사양>

Windwos XP / Vista / Windows 7 - 32bit/64bit

다운로드:

WinFWLogAnalyser.zip

보안업무와 관련된 로그를 점검&분석할 때 가장 많이 혼란스러워 하는 이유는 어떤 로그를 점검&분석해야 하는지를 목록화하는 것이다. 이는 상당한 경험이 있는 사람일지라도 마찬가지가 아닐까 생각한다.

아래의 보안 점검 체크리스트가 이와같은 혼란을 감소시킬 수 있을지는 모르지만, 참고하여 로그 점검&분석을 일상화하는데에는 좋은 자료가 될 수 있을 것이라는 생각이든다.

security-incident-log-review-checklist.docx

위 문서는 아래와 같은 구성으로 되어있다. ( 분석 대상에 맞는 타입의 체크리스트를 활용할 것 )

□ General Approach

□ Potential Security Log Sources

□ Typical Log Locations

□ What to Look for on Linux

□ What to Look for on Windows

□ What to Look for on Network Devices

□ What to Look for on Web Servers

□ Other Resources

또한, 위 체크리스트와 함께 윈도우 관련된 로그 점검&분석 때 항상 검색하게되는 이벤트ID가 잘 정리된 사이트 정보를 이 글에 함께 기록한다.

http://eventopedia.cloudapp.net/Events/?/Operating+System/Microsoft+Windows/Built-in+logs/Windows+2000-2003/Security+Log

The open source log management tools are:

1. OSSEC (ossec.net) an open source tool for analysis of real-time log data from Unix systems, Windows servers and network devices. It includes a set of useful default alerting rules as well as a web-based graphical user interface. This is THE tool to use, if you are starting up your log review program. It even has a book written about it.
   
2. Snare agent (intersectalliance.com/projects/index.html) and ProjectLasso remote collector (sourceforge.net/projects/lassolog) are used to convert Windows Event Logs into syslog, a key component of any log management infrastructure today (at least until Visa/W7 log aggregation tools become mainstream).
   
3. syslog-ng (balabit.com/network-security/syslog-ng/) is a replacement and improvement of classic syslog service - it also has a Windows version that can be used the same way as Snare
   
4. rsyslog (rsyslog.com) is another notable replacement and improvement of syslog service that uses traditional (rather than ng-style) format for syslog.conf configuration files. No Windows version, but it has an associated front-end called phpLogCon
5. Among the somewhat dated tools, Logwatch (logwatch.org), Lire (logreport.org) and LogSurfer (crypt.gen.nz/logsurfer) can all be used to summarize logs into readable reports.
   
6. sec (simple-evcorr.sourceforge.net) can be used for correlating logs, even though most people will likely find OSSEC correlation a bit easier to use
7. LogHound (ristov.users.sourceforge.net/loghound) and slct (ristov.users.sourceforge.net/slct) are more "research-grade" tools, that are still very useful for going thru a large pool of barely-structured log data.
8. Log2timeline (log2timeline.net/) is a useful tool for investigative review of logs; it can create a timeline view out of raw log data.
   
9. LogZilla (aka php-syslog-ng) (code.google.com/p/php-syslog-ng) is a simple PHP-based visual front-end for a syslog server to do searches, reports, etc

[책소개]

시스템을 운영함에 있어서 부수적으로 생성되던 각 기능별 로그의 기능을 설명하고 있다는 점과 해당 로그들을 제대로 분석할 수 있는 실질적인 방법을 제시하고 있다. 또한 관련 로그를 통하여 얻어낼 수 있는 정보의 메시지를 파악하여 시스템의 운영 실무에 바로 바로 적용하거나 문제점을 유추해낼 수 있도록 한다.

주력하고자 한 내용의 핵심은 현장에서 문제가 발생하였을 때의 답만 제공해 주기보다는 문제를 스스로 해결할 수 있는 방법을 제시함으로써 사용자 스스로의 능력을 배양시킬 수 있도록 하였다. 아울러 예제로 준비한 시스템은 다양한 UNIX 계열(SunOS, HP-UX, Solaris, Linux)의 시스템과 WINDOWS 시스템을 기준으로 하였고, 이러한 시스템들을 중심으로 사용되는 로그(LOG)에 대해 중점을 두었다.

[목차]

Part 01 시스템 로그 분석을 위한 준비
Section 01 로그 분석의 필요성
Section 02 침입자 탐지 체크 리스트 10
Section 03 로그 분석의 자세
Section 04 로그 관리 방법과 로그 파일 관리 지침
Section 05 시스템 관리자를 위한 기초 명령어 활용법

Part 02 로그의 종류와 시스템 별 현황
Section 01 사용자 로그
Section 02 시스템 로그
Section 03 시스템 별 로그 현황

Part 03 운영체제 별 로그의 종류와 분석 방법
Section 01 유닉스 계열 로그
Section 02 윈도우 계열 로그

Part 04 침해사고 발생 처리 시뮬레이션과 추가 정보
Section 01 해킹 피해 시스템 분석 절차
Section 02 Windows 시스템 침해사고 분석
Section 03 Windows IIS 웹 로그를 DB에 넣기
Section 04 리눅스에서 명령어 재설치하기

Part 05 아파치를 기반으로 한 웹 로그 분석
Section 01 웹 로그 분석의 개요
Section 02 접속 로그 분석 방법
Section 03 에러 로그 분석 방법

부록
Snort 설치와 운영
MRTG 설치와 운영
LSOF 설치와 운영

<개요>

[System Center 2012 Configuration Manager]는 Microsoft 플랫폼을 위한 포괄적인 구성 관리를 제공함으로써 IT 조직에서 사용자가 장치 및 응용 프로그램을 효율적으로 사용하여 생산성을 늘리면서 회사의 규정 준수 및 제어 기능을 유지 관리할 수 있도록 지원한다.

SCCM은 물리, 가상, 분산 및 모바일 환경에서도 다양한 클라이언트 컴퓨터, 서버, 장치를 종합적으로 평가, 배포, 업데이트할 수 있기 때문에 매우 매력적인 제품이며, 또한 Windwos에 최적화 되어 있기 때문에 국내 IT시스템 분석/제어에 효과적일 수 있겠다.

<주요이점>

- 물리, 가상 및 모바일 환경의 종합적인 클라이언트 관리가 가능

- Windows 최적화 지원

- 기존 인프라의 투자 극대화

- 관리자가 원하는 구성 상태에 대한 시스템 준수

<기능>

- 자산관리: IT인프라 및 자산에 대한 제어 기능이 뛰어나기 때문에 관리자에 의한 자산 인텔리전스 기술을 통해 하드웨어 및 소프트웨어 자산 보유 현황 및 관련 위치와 자산 사용자에 대해 지속적인 파악이 가능

- 소프트웨어 업그레이드 관리: 전사적인 IT 시스템 업데이트를 구현하고 관리하는데 용이

- 구성관리: 소프트웨어 상태 및 보안설정의 규정 준수 여부확인 가능

- 소프트웨어 배포: 복잡한 소프트웨어 배포과정을 간소화

- 클라이언트 전력 관리 ( 전력소모량을 줄여 재정적이득을 갖게한다네요;;;; )

- 원격 PC 진단 및 수리: AMTv3 통합되어 전원이 꺼져있거나 시작 전 상태에서도 데스크톱 시스템을 원격으로 액세스, 진단 및 수리

위와 같이 SCCM은 Windwos로 구성된 기업이라면 매우 효율적인 기능을 포함하고 있지만, 유지보수 비용이 시스템 소유비용의 70%에 육박하는 수준인 Configuration Manager는 부담이 아니될 수 없다는게 안타까울 뿐이다. (ㅜㅜ)

현재 SCCM은 2012 RC 평가판(베타버전?)이 출시되어 있으니, 자산관리 및 종합적인 클라이언트 관리를 하려는 분들은 베타버전을 사용해보고 판단해보길 바란다.

좀 더 상세한 정보를 확인하고자 하는 경우에는 아래의 페이지를 통해 확인하길 바란다.

http://technet.microsoft.com/en-us/systemcenter/hh880681

아래는, 가이드 페이지이다.

http://social.technet.microsoft.com/wiki/contents/articles/7075.system-center-2012-configuration-manager-survival-guide-en-us.aspx

여기서는, 일반적으로 사용하는 Ollydbg 파일을 다운로드 받고 설정하는 전반적인 내용을 다루지 않겠다. 왜냐하면, 그와같은 내용은 다른 사이트&블로그에서 많이 다루고 있기 때문이다.

만약, 전체적인 OllyDbg 설치와 설정의 내용을 알고 싶다면 아래 두 사이트를 참조하길 권장하겠다.

• OllyDbg Home: http://www.ollydbg.de/
• OllyDbg Quick start: http://www.ollydbg.de/quickst.htm

여기서 다루는 초기설정방법은 이 글에 포함(첨부)된 파일을 대상으로 설명하며, 이 파일은 지극히 개인적인 성향에 맞추어 설정된 파일이다. ( ^^;; )

<ollydbg 첨부파일>

ollydbg.zip

<이글에 포함된 ollydbg 파일의 장점>

1. 분석에 용이한 ollydbg.ini 수정/적용

2. 다양한 plugins 추가

- ollydump

- ollyscript

<초기설정 방법>

1. 이 글에 첨부된 파일을 다운로드/압축해제한다.

2. OLLYDBG.EXE를 실행하고, options > appearance 를 아래와 같이 수정.

( 아래의 UDD/Plugin Path는 자신이 사용할 곳에서 디렉토리를 생성하고, 각각의 경로에 맞는 path로 설정해 준다. )

3. options > Debugging options 를 아래와 같이 수정.

[ OllyDbg Shortcuts ]

Frequently used global shortcuts:

Frequently used Disasembler shortcuts:

보안솔루션 구축, 법준수 기업 20% 불과...80%는 손놓고 있어

수천만명의 고객 개인정보가 누출돼 사회적 물의를 일으키는 사고가 빈번해짐에 따라 개인DB 를 암호화하도록 의무화한 개인정보보호법이 시행된지 1년이 됐음에도 불구하고, 해킹 등으로 인해 대규모 개인정보 유출사고 가능성은 여전히 높은 것으로 조사됐다.

케이사인(대표 최승락)이 ‘2012 전자정부 정보보호 솔루션 전시회’ 기간 동안 265개 업체를 대상으로 실시한 ‘개인정보보호실태 현황조사’ 설문조사 결과, 전체 응답자의 20%만이 보안솔루션을 구축했다고 응답한 것으로 나타났다.

반면, 응답자의 60.4%가 ‘아직 보안솔루션을 구축하지 않았다’고 응답했고, 응답자의 19.6%는 ‘잘 모르겠다’고 답해, 응답기업의 80%가 법을 지키고 있지 않는 등 대다수 기업들이 여전히 개인정보보호 사각지대에 놓여있는 것으로 집계됐다.

대다수 기업들은 개인정보보호법을 지키기 어려운 이유에 대해 법과 대응방법에 대해 잘 모른다는 ‘정보부재’가 34.7%로 1위로 나타났고, 이어 ‘예산부족’(32.5%), ‘뭘해야 할지 모르겠다’(12.5%) 순으로 나타났고, ‘법을 지키는 데 전혀 문제가 없다’고 응답한 기업은 14.3%에 불과한 것으로 조사됐다.

심지어 개인정보를 수집, 관리하는 기업이나 기관들이 개인정보 분실, 도난, 유출, 변조를 당할 경우, 2년이하 징역이나 1천만원이하 벌금이 부과된다는 내용의 개인정보보호법 처벌내용에 대해서는 응답자의 17.4%만이 ‘잘 알고 있다’고 응답한 반면, ‘잘 모르겠다’ 혹은 ‘어느 정도 알고 있다’고 응답한 기업이 82.6%를 차지, 아직도 개인정보보호법에 대한 기업들의 인식이 크게 낮은 것으로 나타났다.

또한, 지난해 9월말 발효된 개인정보보호법의 DB암호화에 대한 유예기간이 올해 12월말로 종료, 내년 1월 1일부터 본격적인 법 시행에 들어간다는 사실을 알고 있느냐를 묻는 질문에는 ‘알고 있다’고 응답한 기업이 26%인 반면, ‘모른다’고 응답한 비율은 74%로 압도적으로 높았다.

반면, 개인정보보호법을 알고 있냐는 질문에는 전체 응답자의 83%가 ‘알고 있다’고 응답, 법시행에 대해서는 대다수 기업이 인지하고 있는 것으로 조사됐다.

이번 조사에 응답한 기업 업종은 IT/인터넷 관련기업이 57%로 가장 많았고, 이어 공공부문(11.3%), 무역/물류(8.3%), 생산제조(6.4%), 금융(4.9%), 서비스(4.2%), 교육(3.4%), 의료(3%), 건설(0.4%) 순이었다.

케이사인 측은 “개인정보보호법이 시행된지 1년이 됐음에도 불구하고, 여전히 업무상 수집한 개인정보가 해킹되거나 외부 유출될 경우, 법적 처벌을 받는다는 인식이 부족한 상황”이라며 “문제는 대기업보다는 규모가 작은 소기업이나 자영업자 들이 여전히 사각지대에 남아있다”고 지적했다.

한편, 진선미 민주통합당 의원은 지난 17일 행정안전부로부터 제출받은 ‘개인정보 유출신고 접수현황’에 따르면, 개인정보보호법이 시행되기 시작한 작년 10월부터 올해 8월까지 7개 회사에서 총 2,659만명의 각종 개인정보가 해킹이나 직원부주의로 유출됐다고 밝힌 바 있다. 이는 우리나라 총인구(2010년말 4941만명)의 절반이 넘는 55.4%에 해당하는 수치다.

[호애진 기자(boan5@boannews.com)]