카테고리 보관물: NETWORK

Elementor #335

브루트 포스 공격 차단
fail2ban 이용

epel 저장소 설치

yum install epel-release

fail2ban 설치

yum install fail2ban

fail2ban 실행

systemctl start fail2ban

systemctl enable fail2ban

 fail2ban 을 firewalld 와 연동시키지 않고 이거말고 systemd 랑 연동시킴

 yum install fail2ban-systemd

fail2ban-firewalld를 사용하지 않도록 설정파일을 제외

mv /etc/fail2ban/jail.d/00-firewalld.conf 00-firewalld.nouse

세팅값 작성

vi /etc/fail2ban/jail.d/jail.conf

[DEFAULT]
# Common
ignoreip  = 127.0.0.1/8
bantime   = 600
findtime  = 1800
maxretry  = 3
[sshd]
enabled = true

설정값 저장후 재시작
systemctl restart fail2ban

2018-12-10

pcap 파일 분석

Wireshark Conversation 확인

ID : sneakyg33k@aol.com
passwd : 558r00lz
팔로우 해보면 id와 passwd 그리고 전송파일이 base64로 인코딩되어있는것을 확인할 수 있다.
base64로 decode하면 id, passwd 그리고 파일이 나오게 된다.

http object list에 들어가면 sdfg.jar 파일과 q.jar 파일이 있는것을 확인할 수 있다.
85번라인을 팔로우스트림해보면 sdfg.jar의 파일 시그니처를 확인할 수 있다.
98라인도 팔로우스트림 하면 q.jar의 파일 시그니처를 확인할 수 있다.
RAW로 변경후 저장
그리고 Hxd로 열어서 PK 파일 시그니처를 찾고 삭제한다.
q파일도 마찬가지로 삭제해준다.
저장 후 파일 확장자를 맞게 변경해주면 파일 내용 확인이 가능하다.

2018-10-04()

활성 시스템 조사
메모리 포렌식
쓰기 방지
regedit -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control -> 키생성 “StorageDevicePolicies” -> “DWORD 값” “WriteProtect” -> 0 or 1
FTK Imager

usbfff.001

2018-10-08(RAN)

방화벽 설치
인터페이스 설정

라우터 설정
방화벽 Host 설정
방화벽 설정

NAT 설정

2018-10-01(DHCP)

네트워크

DMZ 서버
DNS bind
WEB httpd
MAIL dovecot

방화벽 허용 -> NAT 설정
Outside -> DMZ
http

2018-09-17(…..)

기본 모형

PC  -(1)-   UTM9   -(3)-   PC

-(2)-

DMZ

(1)OUTSIDE = 172.16.0.0/24
(2)DMZ = 10.10.10.0/24
(3)INSIDE = 20.20.20.0/24

접근 항상 허용
INSIDE -> OUTSIDE
INSIDE -> DMZ
OUTSIDE -> DMZ
DMZ -> OUTSIDE

허용된 접근
OUTSIDE -> INSIDE
DMZ -> INSIDE

IP DHCP

bootp.option.value==0 = DHCPv4 Discover 메시지
bootp.option.value==04 = DHCPv4 Decline 메시지
bootp.hw.mac_addr==00:50:79:66:68:03 = MAC 주소 포함 DHCPv4 메시지
bootp.option.type==12 = 호스트이름 값(옵션 유형 12) 포함 DHCPv4 메시지
!bootp.ip.relay !=0.0.0.0 = DHCPv4 중계 에이전트 값을 포함하는 메시지
(bootp.ip.your==20.20.20.254) && (bootp.option.value==05)
IP 주소를 사용하는 클라이언트로부터의 DHCPv4 ACK 메시지
bootp.option.type==55 && bootp.option.value contains 1F
Perform Router Discover(0x1F)를 포함하는 DHCPv4 매개변수 요청 목록
dhcpv6.msgtype==9 = DHCPv6 Decline 메시지
(eth.src==21:22:23:24:25:26) && (dhcpv6.msgtype==1)
특정 하드웨어 주소에서 온 DHCPv6 Solicit 메시지