Security. unlimited possibilities

이베이코리아 구축사례...물리적·논리적 망분리, SOC·VPN 활용

[보안뉴스 호애진] 8월 18일 개정 정보통신망법이 시행되면서 망분리 조치가 의무 적용됐다. 적용 사업자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등으로 법 시행 후 6개월간의 계도기간을 거쳐 내년 2월 18일까지 이를 완료해야 한다.

이에 망분리를 구축하고자 하는 사업자들을 위해 이베이코리아는 자사의 성공적인 망분리 구축사례를 소개하고, 물리적 망분리를 비롯한 논리적 망분리, SOC 활용 등을 비교·분석하는 한편, 구축 시 고려사항 등을 설명했다.

박의원 이베이코리아 팀장은 “망분리는 APT 공격으로 인한 피해를 예방하기 위한 최후의 수단으로 선택했다”면서 “권한이 있는 직원 PC가 해킹돼 시스템 파괴 또는 데이터 삭제 시 사업 자체가 심각한 위협에 노출될 수 있고, DB 조회 권한이 있는 직원 PC를 해킹해 개인정보가 대량 유출되는 경우 역시 문제가 크다”고 구축배경을 밝혔다.

이에 이베이코리아는 9개월간의 기간을 거쳐 업무 중요도에 따라 물리적 망분리, 논리적 망분리, SOC 또는 VPN을 활용해 구축했다. 물리적 망분리를 적용한 경우, 임직원에게 인터넷이 불가능한 망분리 PC를 추가로 지급했으며, 인터넷이 가능한 업무용 PC에서는 운영 시스템(DB, Server 등) 접속을 차단했고, 망분리 PC에서만 운영 시스템에 접속할 수 있도록 했다. 이를 위해 별도의 망분리 네트워크도 구축했다.

논리적 망분리의 경우, 가상화 솔루션을 이용한 망분리 방법으로 다양한 방법이 존재한다. 크게 서버 가상화를 이용하는 방법과 PC가상화를 이용하는 방법이 있으며, PC가상화도 OS 공유 방식과 OS 별도 구축 방식이 있기 때문에 이를 모두 검토해 적용했다.

또한, 이베이코리아는 SOC(Security Operation Center)를 활용했는데, 이는 인터넷이 불가능한 별도의 공간을 마련하고 해당 공간에서만 운영 시스템에 접속할 수 있도록 환경을 구축하는 것이다. 그밖에 VPN을 활용해 VPN 접속 시 인터넷 연결을 강제로 끊고 VPN만 접속하도록 하고, 인터넷 연결시에는 VPN이 끊어지게 설정하는 방법도 이용했다.

특히, 박의원 팀장은 “망분리의 핵심 중 하나는 커뮤니케이션이다. 대상자들과의 많은 커뮤니케이션을 통해 망분리의 목적과 방안을 충분히 고려하는 것이 가장 중요하다”며, “각 회사에 맞는 망분리 방안을 대상자들과의 협의를 통해 정하는 것이 좋다”고 조언했다.

이어 “네트워크 구성과 방화벽 정책 또한 중요하다. 네트워크의 복잡성으로 인해 구멍은 언제나 생길 수 있고, 이를 충분히 통제할 수 있는 방안을 마련해야 한다”며, “또한 초기 구축비용이 아닌 장기간 운영에 초점을 맞춰야 한다. 운영 시 잦은 문제 발생은 임직원의 신뢰를 약화시킬 뿐만 아니라 강력한 정책은 대부분 6개월 이후부터 약화되기 시작한다는 것을 잊어서는 안된다”고 당부했다.

[호애진 기자(boan5@boannews.com)]

Modsecurity의 IIS 설치 msi파일을 통해 Microsoft IIS에서도 Modsecurity 웹서버 보안강화도구를 사용할 수 있다.

아래는 IIS에서 Modsecurity를 설치, 설정하는 방법이다. 만약, IIS에서 Modsecurity를 사용하고자 한다면, 참고가 되시길..

또한, Modsecurity를 설치하기 위해 사전에 설치해야 하는 목록에 추가적으로 .NET Framework이 필요하다.(참고하세요)

Installation for Microsoft IIS

The source code of ModSecurity’s IIS components is fully published and the binary building process is described (see mod_security/iis/winbuild/howto.txt). For quick installation it is highly recommended to use standard MSI installer available from SourceForge files repository of ModSecurity project or use binary package and follow the manual installation steps.

Manually Installing and Troubleshooting Setup of ModSecurity Module on IIS

Prerequisites

Before installing ModSecurity one has to install Visual Studio 2010 Runtime:

• 32-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=5555
• 64-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=14632

Installation Steps

Download binary package and unzip the content to a separate folder:

• http://sourceforge.net/projects/mod-security/files/modsecurity-iis/2.7.0-rc2/ModSecurityIIS_2.7.0-rc2_debug.zip/download

The installation process of ModSecurity module on IIS consists of three parts:

1. Copying of binaries: copyfiles.bat

The following binary files are required by ModSecurity module and by default should be copied to %windir%\system32\ (32-bit binaries) and/or %windir%\SysWOW64\ (64-bit binaries):

• libapr-1.dll
• libapriconv-1.dll
• libaprutil-1.dll
• libxml2.dll
• lua5.1.dll
• ModSecurityIIS.dll
• pcre.dll
• zlib1.dll

The mlogc tool can be copied to any place, together with libcurl.dll:

• libcurl.dll
• mlogc.exe

2. Registering of the module: register.bat

An IIS module must be properly registered before it can be used by web applications. The following command, executed in %windir%\system32\inetsrv, performs the registration:

appcmd.exe install module /name:ModSecurityIIS /image:%windir%\system32\inetsrv\modsecurityiis.dll

The registration process itself is described with details in the following articles:

• http://technet.microsoft.com/en-us/library/cc771133(v=ws.10)
• http://learn.iis.net/page.aspx/121/iis-modules-overview/

3. Extending of the configuration schema.

The last step extends IIS configuration schema with ModSecurity entities, using ModSecurity.xml file provided in the binary:

iisschema.exe /install ModSecurity.xml

and iisschema.exe tool. More information about the tool and this step is available here:

• http://mvolo.com/iisschemaexe-a-tool-to-register-iis7-configuration-sections

Configuration

After the installation the module will be running in all websites by default. To remove it from a website add to web.config:

<modules>
    <remove name="ModSecurityIIS" />
</modules>

To configure module in a website add to web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <ModSecurity enabled="true" configFile="c:\inetpub\wwwroot\xss.conf" />
    </system.webServer>
</configuration>

where configFile is standard ModSecurity config file.

Events from the module will show up in "Application" Windows log.

Common Problems

If after installation protected website responds with HTTP 503 error and event ID 2280 keeps getting logged in the application event log:

Log Name:      Application
Source:        Microsoft-Windows-IIS-W3SVC-WP
Event ID:      2280
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Description:
The Module DLL C:\Windows\system32\inetsrv\modsecurityiis.dll failed to load.  The data is the error.

most likely it means that the installation process has failed and the ModSecurityIIS.dll module is missing one or more libraries that it depends on. Repeating installation of the prerequisites and the module files should fix the problem. The dependency walker tool:

• http://www.dependencywalker.com/

can be used to figure out which library is missing or cannot be loaded.

위 내용에 더불어 아래와 같은 msi 설치파일도 있네요..;; 갠히 고생했네;;

아래 파일을 통한 설치도 해보시면 좋겠네요.

ModSecurityIIS_2.7.0-rc3.zip

설치 후, 설정은 아래 사이트를 참조하세요,,

http://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx

<Modsecurity>

[Modsecurity]는 웹서버 Apache의 모듈로 동작하는 공개 SW 웹애플리케이션 방화벽(?)정도의 웹서버 보안강화도구이다. Modsecurity는 서버측에서 접근하는 요청(Request) 트래픽or패킷에 대한 Ruleset을 통해 정의된 트래픽or패킷을 자동으로 차단하는 식으로 동작한다.

[Modsecurity의 출현배경]

□ 웹 애플리케이션 취약점 보안을 위한 대대적인 소스 코드 수정이 필요하게 됨.

□ 대 다수의 중소기업이 개발인력 미비로 지속적인 침해사고에 대응 못함.

□ 기존 애플리케이션에 수정 없이 이미 존재하는 취약점에 대하여 능동적인 대응이 필요하게 됨.

[Modsecurity의 특징]

□ 웹페이지 주요 취약점 해결을 위해 아파치 모듈로 개발/공개된 웹보안 강화도구

□ 웹에서의 요청(Request)을 웹서버 또는 다른 모듈들이 처리하기 전에 분석/필터링

□ 우회 공격용 스트링("//","\/",".." 등)을 제거하고 인코딩된 URL을 디코딩하는 우회방지기술 적용

□ HTTP 프로토콜을 이해 가능한 엔진을 적용하여 정밀한 필터링 수행

□ GET/POST 메소드 요청분석

□ 모든 요청에 대한 상세 로깅가능이 가능하며, 차단 기능 비활성을 통해 침입탐지 역활수행

□ HTTPS를 통한 공격 필터링 가능

[Windows Modsecurity 설치방법]

<설치방법>

1. Modsecurity 설치에 필요한 파일(libxml2.dll, mod_security2.so)을 Apache "Modules" 폴더내에 복사

2. Ruleset파일을 Apache conf 폴더에 복사

<설치 전 주의사항>

※ 윈도우 계열에서 modsecurity를 설치하기 위해서는 Apache 2.2.x 이상 버전에서만 설치 가능

※ VC 2008 Redistributable Package를 설치해야 정상적으로 동작 (윈도우용 modsecurity는 visual studio 2008에서 개발되었기 때문)

※ VC 2008 Redistributable Package 다운로드: http://www.microsoft.com/en-us/download/details.aspx?id=29

<설치 후 주의사항>

※ Apache는 기본저긍로 mod_unique_id.so 모듈이 Disable 되어 있기 때문에 이 모듈을 Enable로 설정변경. (unique_id 모듈은 유닉스 환경과 마찬가지로 modsecurity의 정상적인 필터링을 가능하게 해주는 모듈이다.)

[Linux Modsecurity 설치방법]

<설치방법>

1. yum을 통한 설치: yum install mod_security ( or source build )

2. 방화벽에서 사용할 Ruleset 추가/생성

3. 서비스 시작

아래 URL은 Modsecurity wiki 페이지이다. 상세한 내용은 아래에서 참고하시길 ...

<sqlmap>

[sqlmap]은 파이썬으로 개발된 Commend 라인 기반의 sql 취약성 점검도구이다.

당연하게도 이 도구는 윈도우/리눅스 모두에서 동작하며(단, 파이썬이 설치된 시스템에서..) Mysql, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB등을 대상으로 한 점검에 매우 강력한 도구이다.

아래와 같은 단점이 있는 듯 보이지만 다양한 DB 점검이 가능하다는 점과, Command 기반의 도구를 잘 활용하면 얻을 수 있는 이점들을 충분히 얻을 수 있을 것같다.

□ 타 도구에 비해 점검시간이 오래걸림.

□ 다양한 DB구성 시, 검사내용의 신뢰도 떨어짐.

<sqlmap injection technic>

□ Boolean-based blind

□ Time-based blind

□ Error-based Union query

□ Stacked queries

□ Out-of-band

아래는 sqlmap 홈사이트이며, 좀 더 자세한 내용은 홈사이트의 내용을 참조하길 바란다. (물론 아래 위치에서 다운로드도 가능하다. )

★ http://sqlmap.org/

<Usage>

<bsqlbf>

Python으로 작성된 Blind SQL Injection 도구

Usage:

다운로드:

bsqlbf.zip

첨부된 파일은 암호로 보호됩니다.

작업을 하다보면, 꼭 ~ Linux Command 라던지... 환경 ... 등등.. Linux 시스템환경이 필요한 경우들이 많이 있다. 왜냐.. 아직까지 다수의 해킹도구들.. 분석도구들..이 Linux환경여하에서 동작하는 것들이 있기 때문이다. ㅜㅜ

하지만, 그렇다고 늘 Virtual 형태의 솔루션을 쓰기 지친나는.. 새로운 방법을 찾아봤다.. 그러다 나온 솔루션이 [Cygwin]이다.

[Cygwin]이라는 프로그램은, 쉽게 말해 윈도우용 GNU 개발 툴이다. 잘만 사용하면 윈도우 환경에서도 충분히 GNU/Linux 환경을 제공받을 수 있게해준다.

<다운로드>

http://cygwin.com/install.html

<설치방법>

위 <다운로드>링크에서 setup.exe파일을 받고 실행하면, 가장 먼저 나오는 아래와 같은 질문이 있다. (가장 일반적인 방법은 첫번째 "install from internet"항목이다. 이 항목의 선택을 추천한다.)

- 세가지 설치방식

□ Install from internet: 인터넷으로부터 설치를 진행하는 방식(권장)

□ Download without installing: 다운로드만 받고, 나중에 설치를 진행하는 방식

□ Install from Local Directory: 인터넷을 통해 다운받지않고, 자신의 디렉토리에 저장된 파일을 통해 설치를 진행하는 방식

아래는 Cygwin User's Guide 이다.

더 자세한 내용을 알고싶다면 가이드를 참조하자.. ( 가이드 41페이지 참조 )

cygwin-ug-net.pdf

대체로 리눅스시스템과 같은 구조로 되어 있어 리눅스에 대해 이해도가 높을수록 다양한 응용이 가능할 것이라 생각된다.

추가로, [Cygwin]을 실행하면 윈도우 파티션은 자동으로 /cygdrive에 마운트 된다. 헤매지 말고 곧장 해당 디렉토리로 옴겨 작업을 시작하자!

<Cygwin 초기 bash 환경설정방법>

● bash 환경설정

.bashrc 수정

● 한글캐릭터 지원

.inputrc 수정

● 프롬프트 수정(리눅스화)

.bash_profile 수정

제일 아래 부분에 아래와 같은 코드를 추가(만약 있다면, 아래와 같이 수정)

export PS1='[\u@\h \w]\$'

<Cygwin 삭제방법>

1. 시작 -> 실행 -> regedit -> HKEY_CURRENT_USER -> Software ->Cygnus Solution 폴더 삭제

2. C:\Program Files\UCB 폴더 삭제

참.. 간단하네~^^

<Log Parser>

Log Parser는 마이크로소프트에서 제공하는 무료 도구로서 이벤트 로그 분석 시, 많은 양의 로그에서 원하는 정보만 추출하거나 통계를 낼 때 사용가능한 도구이다. 기본적으로 SQL문 기반으로 사용되며, 현재 배포된 최신버전은 2.2 버전이다.

http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

다만, 위 파일은 설치하여야 사용이 가능하기 때문에, 하나의 PC에서 수집된 이벤트 로그를 분석할 때만 유용하다. 즉, 이동성이 없다. 따라서, 아래에는 "포터블버전"으로 생성한 Log Parser 파일을 첨부한다. ( USB에 담아서 사용하면 꽤 괜찮다. 다만 32bit버전에서 생성된 포터블버전임을 잊지말자! )

Portable_LogParser_v2.2.zip

[ Log Parser 도구 활용 ]

□ 많은 양의 이벤트 로그를 찾고자 하는 로그의 Event ID나 프로세스 이름 등 적은 정보만을 이용하여 사용자가 원하는 로그를 추출할 수 있다.

□ 점검 시 추출해 내고자 하는 정보가 같은 경우, SQL Query문을 파일로 기록하여, 매번 Query문을 입력하는 번거로움 없이 빠르게 정보를 가져올 수 있다.

□ 통계 데이터 추출을 통해 이상징후를 알아 볼수 있다. ( 예를들어 ,로그인 접근시도의 통계를 내어 접근시도의 증가율 등을 확인하여 공격시도가 있었는지 등을 확인 )

[ 사용법 ]

'Event_Log_Fields'

(S: string type / I: Integer type / T: timestamp)

'출력형식'

CSV / CHART / NEUROVIEW / NAT / W3C / TSV / DATAGRID

2부에.. 계속..