You are here:-francis

About francis

This author has not yet filled in any details.
So far francis has created 6 blog entries.

auditd 튜닝 : 고성능 Linux 감사를 위한 최적화

저희 Qubit Security는 성공적인 해킹 방어를 위해 syslog 외에도 다양한 수단들을 연구·활용하고 있습니다. Audit 로그는 리눅스 커널과 integrated 된 감사용 프레임워크로, 커널단에서 이루어지는 시스템 호출을 캡쳐해 syslog가 놓칠 수 있는 틈을 메워줍니다. Audit 로그는 ruleset 기반의 유연한 필터링을 제공하는데 이는 전문가에게 막대한 자유를 선사함과 동시에, 비전문가에게는 시작할 엄두조차 내기 어려운 높은 장벽을 만들어버립니다. 프로덕션

By | 3월 3rd, 2017|Categories: Column|0 Comments

SHA-1 충돌 공격, 현실이 되다

지난 23일, 구글은 블로그를 통해 SHA-1 충돌을 현실화 시켰다고 발표하며, 이에 대한 코드를 90일 뒤 공개하기로 했습니다.   도입된 지 20년이 넘은 SHA-1 해시 알고리즘은 수많은 곳에서 사용되어 왔습니다. 2005년에 이론적인 공격 방법이 알려졌으며 2011년에 미국국립표준기술원(NIST)에 의해 공식적으로 폐기되었습니다. 개발 당시보다 비약적으로 컴퓨팅 성능이 발달한 오늘날에는 더욱 안전한 SHA-256이나 SHA-3으로 많이 전환되었으나, 아직까지도  SHA-1 알고리즘이

By | 2월 28th, 2017|Categories: Column|0 Comments

Sysmon을 이용한 파일위변조 탐지

윈도우를 위한 관리, 진단, 트러블슈팅 툴인 Sysinternal utilities는 2006년 마이크로소프트로 흡수된 이후 누구나 무료로 TechNet을 통해 다운받아 사용할 수 있도록 제공되고 있습니다. Sysinternal을 구성하는 많은 유틸리티 중 Sysmon은 시스템 내에서 일어나는 여러 행위들을 기록하며 이를 통해 잠재적인 위협을 예방할 단서들을 얻을 수 있습니다. PLURA는 Sysmon에서 기록하는 로그를 통합관리할 수 있도록 준비해두고 있습니다. (PLURA에서 Sysmon 사용하기)

By | 2월 1st, 2017|Categories: Tech|0 Comments

리눅스 Audit 시스템이란 ?

리눅스 Audit 시스템은 해당 시스템의 보안관련 정보를 트래킹할 수 있는 방법을 제공합니다. 사전 설정된 규칙에 따라 Audit은 시스템에서 발생된 이벤트에 관해 많은 정보를 포함하는 로그를 생성하는데요, 이러한 정보는 미션 크리티컬한 환경에서 보안 정책과 위반사항을 모니터링 하는데에 효과적입니다. 이러한 Audit 시스템은 추가적인 보안을 시스템에 제공하지는 않지만 시스템 보안정책의 위반을 파악하는데 이용되며 이를 SELinux와 같은 추가적인 보안 수단과

By | 11월 29th, 2016|Categories: Column|0 Comments

Audit로그 중앙집중관리

많은 보안 가이드라인에서 Audit 시스템이 발생시키는 로그의 취합, 보관 및 분석을 권장하고 있습니다. (ISO/IEC 27001:2013 http://blog.plura.io/?p=5700 ) 하지만 audit 데몬은 따로 하위 폴더를 생성해 로그를 기록(디폴트 경로 /var/log/audit/audit.log )하는 등 audit과 syslog의 여러 차이들로 인해 기존 syslog를 취합, 관리하고 있던 시스템에서의 통합관리에 번거로움이 있습니다. 때문에 audit 로그를 syslog를 통해 중앙집중관리를 할 수 있도록 audit 시스템에서는

By | 11월 28th, 2016|Categories: Tech|0 Comments

Snort로 구축하는 IDS, IPS – (1) 소개와 설치

IT 침해는 점점 일상이 되어가고 있습니다. 비즈니스의 관점에서 보았을 때, 해커의 입장에서 해킹에 소요되는 비용은 아직 한참 낮은 반면 그로 인해 얻을 수 있는 이익은 그보다 훨씬 높습니다. 이는 앞으로도 얼마간은 바뀔 것 같지 않습니다. 이런 해킹의 홍수 속에서 IT 담당자들은 공격을 막는 것 뿐만이 아니라 공격이 현재 공격이 진행중인지 또한 반드시 알아야 합니다. 이를 위해 등장한 것이

By | 10월 26th, 2016|Categories: Column|0 Comments