ModSecurity 란? 오픈 소스 웹 응용프로그램 방화벽(WAF)입니다. 원래는 아파치 모듈로 개발되었지만, Apache 뿐만아니라 Microsoft IIS 및 NGINX를 비롯하여 다양한 플랫폼 전반에 걸쳐 다양한 보안기능과 함께 Hypertext Transfer Protocol 요청 및 응답 필터링 기능을 제공합니다. ModSecurity는 웹 공격에 대한 침임탐지 및 침입방지 기능을 추가해주는 하나의 모듈로 동작하며, 웹 클라이언트와 웹 서버 사이에 ModSecurity가 존재하여 클라이언트로부터
X-Forwarded-For(XFF) 란? XFF는 HTTP Header 중 하나로 HTTP Server에 요청한 Client의 IP를 식별하기 위한 표준입니다. 웹 서버나 WAS 앞에 L4 같은 Load balancers 나 Proxy server, caching server 등의 장비가 있을 경우 웹서버는 Proxy server 나 장비IP에서 접속한 것으로 인식합니다. 그렇기 때문에 웹서버는 실제 클라이언트 IP가 아닌 앞단에 있는 Proxy서버 IP를 요청한 IP로 인식하고, Proxy장비
윈도우를 위한 관리, 진단, 트러블슈팅 툴인 Sysinternal utilities는 2006년 마이크로소프트로 흡수된 이후 누구나 무료로 TechNet을 통해 다운받아 사용할 수 있도록 제공되고 있습니다. Sysinternal을 구성하는 많은 유틸리티 중 Sysmon은 시스템 내에서 일어나는 여러 행위들을 기록하며 이를 통해 잠재적인 위협을 예방할 단서들을 얻을 수 있습니다. PLURA는 Sysmon에서 기록하는 로그를 통합관리할 수 있도록 준비해두고 있습니다. (PLURA에서 Sysmon 사용하기)
ff02::1:3 or fe80:: ...? (Event ID 5156, 5157...) ◈ 이벤트 로그를 살펴보다보면 Xml 문서에서 아래의 알수 없는 문자들을 보게 됩니다. ◈ 결론부터 말하자면 IPv4(Internet Protocol version 4)와 IPv6(Internet Protocol version 6)의 차이때문입니다. IPv4는 32비트의 주소공간을 제공함에 반해, IPv6는 128비트의 주소공간을 제공합니다. IPv4주소는 10진수 형태로 A.B.C.D 와 같이 4개의 점으로 구분되어 표현되지만 IPv6주소표현 형태는 16진수 형태로
로그온 실패 코드(Event ID 4625) 상태 코드 실패 이유 설명 0xC0000064 사용자 이름이 존재하지 않습니다. 0xC000006A 사용자 이름이 올바르지만 암호가 잘못되었습니다. 0xC000006C 암호 정책을 충족하지 않습니다. 0xC000006D 시도한 로그온은 사용자 이름이 잘못되었습니다. 0xC000006E 사용자 계정 제한으로 로그온 할 수 없습니다. 0xC000006F 사용자 계정에 시간 제한이 있으며 지금은 로그온 할 수 없습니다. 0xC0000070 사용자가 제한되었으며 원본
로그온 유형(Event ID 4624) 유형 제목 설명 2 대화형 사용자가 이 컴퓨터에 로그온했습니다.(키보드 로그온) 3 네트워크 사용자 또는 컴퓨터가 네트워크상의 컴퓨터에 로그온했습니다. (다른?네트워크를 통한 액세스, 파일 공유, IIS접속 등) 4 배치 (자동실행) 사용자가 직접 개입하지 않고 배치 서버에 의한 프로세스 실행으로 로그온했습니다. 5 서비스 서비스 제어 관리자에 의해 서비스가 시작되었습니다. 7 잠금해제 화면보호기 잠금 해제시
PLURA 서비스는 운영체제별 심각도를 모두 기록하고 있습니다. ◈ 윈도우 심각도(LEVEL) 이벤트 로그의 심각도 분류 시스템 및 응용프로그램 로그에서 다음 이벤트 심각도 수준이 나타날 수 있습니다. 정보 : 작업이 완료되었거나 리소스가 만들어졌거나 서비스가 시작되는 등 응용 프로그램 또는 구성 요소에 변경 내용이 발생했음을 나타냅니다. (Level 4) 경고:서비스에 영향을 줄 수 있거나 조치를 취하지 않을 경우 더
PLURA 서비스는 정보보안을 목적으로 보안에 관한한 직접적이고 디테일한 접근을 시도 하고 있습니다. ◈ 감사 정책 이란 감사 정책은 컴퓨터의 보안에 영향을 미치는 보안 설정을 조합한 것입니다. 로컬 보안 정책을 사용하여 로컬 컴퓨터의 정책들을 편집할 수 있습니다. 로컬 보안 정책을 사용하여 다음을 제어 할 수 있습니다. ( ▼ 윈도우키+R > secpol.msc > 로컬 정책 > 감사
PLURA 서비스는 정보보안을 목적으로 보안에 관한한 직접적이고 디테일한 접근을 시도 하고 있습니다. ◈ SYSLOG 정책 이란 리눅스는 기본적으로 Syslog를 통해 기능별로 로그를 기록합니다. /etc/rsyslog.conf 의 내용입니다. #### RULES ##### Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or
1. 탐지된 파일 삭제 PLURA에서 웹쉘로 탐지한 파일이 시스템 개선, 유지 또는 보수를 위한 파일이 아닌 경우 격리하거나 삭제를 권고합니다. 2. 업로드 확장자 체크 White list방식으로 허용된 확장자(ex> .png, .gif, .pdf)만 업로드 할 수 있도록 Server측에서 체크합니다. 3. 업로드 파일 이름 변경, 이동 및 실행권한 제거 1) 업로드 파일이 저장되는 경로에 실행권한을 제거 합니다. 2)
