이것을 어디에 넣을까 하다가 보통 불필요, 악성인 Active X를 지우실거라고 생각들어서 방어 카탈로그에 넣었습니다.

ActiveX는 마이크로 소프트사에서 COM, DCOM 기술에 인터넷 기술을 접목하여 개발한 개념으로 인터넷을 지원하는 프로그램으로, 웹사이트들은 HTML과 스크립트 언어의 한계를 뛰어넘어 사용자에게 다양한 서비스를 제공하기 위해 많은 ActiveX Control 들을 배포하고 있습니다

그런데 각종 인터넷 사이트에서 보안통신, 동영상재생 등을 위해 배포하는 ActiveX* Control 프로그램들이 PC에 한번 설치되면 자동으로 지워지지 않고 제어판에서도 삭제를 지원하지 않고, 몇몇 사이트에서는 Control의 취약점을 이용하거나 악용하여  해킹에 악용될 우려가 있습니다.
이에 일정기간(15, 30, 60일) 이상 사용되지 않고 있는 ActiveX Control을 손쉽게 삭제할 수 있는 보안프로그램 'CleanAX'를 배포합니다.

Setup_CleanAX.exe

USB Autorun 이 문제인경우가 많은데 취약점 게시판에도 USB Autorun관련 글을 적은 적이 있는것 같네요

자동 실행 원리

자동 실행은 레지스트지에서 조정할수 있는데, 탐색기는 레지스트리 키
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun를 사용하여 어느 드라이브가 AutoRun을 사용하지 못하는지 결정합니다. 비트 0은 드라이브 A:와 일치하며, 비트 1은 드라이브 B:와 일치하는 식입니다.

그리고 레지스트리 값
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun을 사용하여 AutoRun 기능을 사용할 수 있는 드라이브의 종류를 결정합니다. NoDriveTypeAutoRun는 128 (80 십육진)로 된 다음 필드에 숫자를 추가함으로써 계산되는 스위치 값입니다. 마지막 값은 어느 드라이브가 AutoRun을 사용할 수 없는지 결정하게 됩니다. AutoRun을 사용하지 못하는 드라이브는 루트 디렉터리의 AUTORUN.INF를 실행하는 기본 환경 메뉴 항목을 가지고 있지 않답니다.

이 작동원리를 이용하여, USB 루트 디렉토리에 AUTORUN.INF를 삽입, 바이러스를 자동 실행 하도록 설계하는 것입니다.

여기서는 레지스트리 키값 저장한 USB Enable, Disable 레지스트리 키값과

국가정보원에서 제공하는 USB Guard 프로그램을 올려놓겠습니다.

그러나 이것 말고도 국가정보원(http://www.ncsc.go.kr)에서 제공해 주는 프로그램이 있군요.
바로 USB Guard 라는 프로그램입니다 사이트가 개편될지 몰라서 여기도 올려 놓겠습니다.

http://www.ncsc.go.kr/Global/p_Print.jsp?tbName=IGMSCRDOC&bIndex=1415

만약 위 URL에서 다운이 불가능 하시면, 아래 링크에서 받으세요.

레지스트리

AutoRun.zip

USB GUARD 프로그램

usbguard.zip

텔넷을 기본적으로 암호화 되지 않기 때문에 스니핑에 매우 취약하다.

주고 받는 데이터를 암호화 할수 SSH는 이 취약점을 보안해주게 된다.

먼저 현재 SSH가 실행 중인지 확인하는 방법을 알아 보자.

SSH가 활성화 되어 있을 시

Router# show ip ssh

SSH Enabled - version 1.5

Authentication timeout: 120 secs; Authentication retries: 3

SSH가 활성화 되지 있지 않을 시

Router# show ip ssh

%SSH has not been enabled

그럼 본격적으로 활성화를 해보자

SSH는 RSA기반 이기 때문에 SSH 활성화전 반드시 먼저 서로 교환할 인증 키를 만들어야 하는데, 해당 인증서 발급 도메인 이름과, 인증서의 키 값을 만들어 주어야 한다. 그럼 도메인 이름 지정과 인증서를 만들어 보자.

1. 장비의 호스트 도메인 이름과 호스트 이름 지정

Router(config)# hostname hostname

Router(config)# ip domain-name domainname

이제 인증(RSA) 키를 만들 준비가 되었다

2. 인증 키 만들기

Router(config)# crypto key generate rsa

이로써 SSH를 활성화 하기위한 준비작업이 모두 완료 되었다

3. SSH 활성화

Router(config)# ip ssh {[timeout seconds] | [authentication-retries integer]}

옵션 중 Timeout은 입력이 없을시 끊어지는 시간으로 초단위로 계산된다. 입력값은 120초를 넘을수 없고, EXEC 모드로 들어가면 vty의 timeout 값으로 된다.

authentication-retries는 인증을 시도할수 있는 횟수로, 지정하지 않으면 3번 시도할수 있고, 최대 5를 넘을수 없다.

1. 서버에 IPSec Policies Tool 설치합니다. http://download.microsoft.com/download/win2000platform/ipsecpol/1.00.0.0/nt5/en-us/ipsecpol_setup.exe

2. Command line에서 ipsecpol 설치 디렉토리로 이동합니다.

Script 작성 방법
(Batch파일로 작성하여 활용하시기 바랍니다.)
ipsecpol -w REG -p "Secure traffic" -r "All Deny TCP" -n BLOCK -f *+0::TCP

*설명
ipsecpol -w REG -p "Secure traffic" (IP보안정책 이름) -r "All Deny TCP" (규칙이름) -n BLOCK(거부) -f *(모든IP)+0(자신):TCP(TCP포트)

즉 IP 보안 정책을 Secure traffic으로 만들고 그안에 IP 보안 규칙 All Deny TCP로
생성하여 자신에게 들어오는 TCP 포트를 차단하겠다라는 설정입니다.
정책을 실행하려면 아래 스크립트를 추가 하시면 됩니다.

외부에서 서버로 접속할수 있는 80포트와 ICMP 서비스를 허용 하는 구분입니다.

ipsecpol -w REG -p " Secure traffic" -r "Service allow" -n PASS -f *+0:80:TCP -f *+0::ICMP

192.168.0.1로 오는 모든 포트를 허용 하는 스크립트 입니다.
ipsecpol -w REG -p " Secure traffic" -r "Service allow" -n PASS -f 192.168.0.1+0:ALL

참고 :
정책을 할당하는 스크립트는
ipsecpol -w REG -p " Secure traffic " -x

할당된 정책의 해제는
ipsecpol -w REG -p " Secure traffic " -y
참고 : 스크립트 제작시 제일 처음 모든 UDP/TCP를 거부를 넣은후 허용할 주소를
기입하는 방식이 좋습니다.

유용하게 사용하셨으면 좋겠습니다 :)

미흡한 부분이 있지만 ITKA Security Guide를 1.0 버전으로 공개합니다.

차후에는 각 단원별 사용자들이 알아보기 쉽도록 그림을 추가하고, 백업 정책 수립과 같은 새로운 단원 추가 및 기존 각 단원별 중요 보안 설정을 추가할 계획입니다.

배포 및 사용 관련 라이선스를 지켜주셨으면 합니다 J

ITKA Security Guide.pdf

윈도우에 기본적으로 포함되어 있는 SMTP는 설치만 하고 사용하시면 보안에 매우 취약하게 되죠..

익명 액세스를 허용하기 때문에 외부로 부터 공경 및 스팸 서버로 등록될 가능성이 매우 높아요.

아래 인증된 사용자만 메일 보내기를 수락하여 보안 설정을 강화 해보도록 해요~

기본 SMTP 프로토콜 보안 강화 하기

익명 액세스를 허용을 체크 해제 하시고 Windows 통합 인증을 통해 사용자 계정으로 인증을 유도 하여야 하죠

   * Windows 통합 인증 방식은 윈도우에 생성된 계정방식을 뜻합니다.

클라이언트의 Outlook 구성

Outlook을 실행하여 계정설정에서 해당 메일 계정의 속성을 여신후 인증 필요를 체크 하시기 바랍니다.

원문 출처 : http://proglamor.tistory.com/category/Security/CSRF

CSRF 처리 관련 ASP 함수 이다.
CSRF 처리 방법은 의외로 간단하게 처리할 수 있다.
입력폼에서 특정 문자조합의 토큰을 생성하여, 세션에 저장하며, 이를 처리 페이지로 넘겨준다.
넘겨받은 토큰과 세션을 비교하여 동일할때만 로직을 수행하게 하면 된다.

## 함수
function CSRP_TokenCreate()
   set_KeyTable = "A0N1B2A3C4N5D6U7E8M9F0LGOHTITJOKLMNOPQRSTUVWXYZ"
   set_Token = ""
   randomize
   for cnt = 1 to 20
      get_KeyPos = int((49 - 1 + 1) * Rnd + 1)
      set_Token = set_Token & mid(set_KeyTable, get_KeyPos, 1)
   next
   session("CSRP_Token") = set_Token
   CSRP_TokenCreate = set_Token
end function

function CSRP_TokenConfirm( get_Token )
   if session("CSRP_Token") = get_Token then
      CSRP_TokenConfirm = True
   else
      CSRP_TokenConfirm = False
   end if
end function

## From.ASP
<%
get_Token = CSRP_TokenCreate()
%>
<form name="input_form" action="Proc.ASP">
<input type="hidden" name="Token" value="<%=get_Token%>">
</form>

## Proc.ASP
<%
req_Token = request("Token")
if not CSRP_TokenConfirm(req_Token) then
   response.write "잘못된 접근 입니다."
   response.end
end if
%>

원문 자료 출처 http://proglamor.tistory.com/2

SQL Injection 처리 관련 ASP, PHP 함수 입니다.
내용 입력시 FCK Editor 를 사용할 경우 ASP 경우 ';' 처리 부분을 주석처리 해야합니다.
ASP 함수의 경우 부분적으로 MS-SQL 관련 처리를 포함하고 있습니다.
PHP 경우는 정규식으로 만들었답니다. J

## ASP
function SQL_Injection( get_String )

   get_String = REPLACE( get_String, "'", "''" )
   get_String = REPLACE( get_String, ";", "" )
   get_String = REPLACE( get_String, "--", "" )
   get_String = REPLACE( get_String, "select", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "insert", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "update", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "delete", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "drop", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "union", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "and", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "or", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "1=1", "", 1, -1, 1 )

   get_String = REPLACE( get_String, "sp_", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "xp_", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "@variable", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "@@variable", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "exec", "", 1, -1, 1 )
   get_String = REPLACE( get_String, "sysobject", "", 1, -1, 1 )

   SQL_Injection = get_String

end function

## PHP
function SQL_Injection($get_Str) {

   return eregi_replace("( select| union| insert| update| delete| drop|\"|\'|#|\/\*|\*\/|\\\|\;)",
      "", $get_Str);

}

서버에 접근시 기본적으로 서버의 정보를 표시해주도록 되어 있는데 아래 배너 파일을 만들어 서버정보를 보여주지 않도록 합니다.

1. 아래 4개의 문서를 제작하거나 수정합니다.

#vi /etc/motd

#vi /etc/issue

#vi /etc/issue.net

#vi /etc/redhat-release

각 문서에 아래 내용 추가

================== for login user ==================

It will be punished for illegal login to this system.

It is saved for login information in another system.

내용은 같지 않아도 됩니다. :)

1. 적당한 디렉토리로 이동후 ssh2를 다운로드 후 압축을 해제 합니다.

#wget ftp://ftp.sogang.ac.kr/pub/ssh/ssh-3.2.9.1.tar.gz (또는 다른 FTP이용)

#tar xvzf ssh-3.2.9.1.tar.gz

2. 압축을 풀어준후 디렉토리를 configure으로 이동후 ssh를 설치 합니다.

#cd ssh-3.2.9.1

#./configure

#make

#make install

3.SSH2의 환경설정 파일을 열어 특정 계정만 SSH에 접근이 가능하도록 구성합니다.

#vi /etc/ssh2/sshd2_config

AllowUsers itka #itka계정만 ssh2접속가능

PermitRootLogin no #root로 ssh2 접속 하지 못하도록 구성

4.이제 재부팅 되었을 때 sshd을 자동 시작하도록 rc.local에 sshd를 추가합니다.

#vi /etc/rc.local

##########sshd############

/usr/local/sbin/sshd

Su 명령어의 경우 일반적으로 관리자 권한 획득을 위해 사용하기 때문에, 관리자용 계정이외에는 사용하지 못하도록 통제하는것이 좋습니다.
에디터를 통해 su파일에 다음 내용을 추가합니다.
#vi /etc/pam.d/su

auth required /lib/security/pam_wheel.so allow group=wheel

#vi /etc/passwd

wheel:x:10:root,itka  Itka 만이 이라는 계정만 su권한을 가질수 있음.

데이터베이스 보안 대응 방법에 대해 아주 기본적인 대응책을 제공합니다.

보안.ppt

Icmp의 경우 컴퓨터를 아는 사람이라면 거희 알고 잇는 네트워크 관리용 프로토콜입니다.
외부의 icmp는 막는게 좋습니다. 공격의 유용한 도구가 되지요.
(서버의 경우 더더욱 막아야 합니다.)
라우터의ACL을 통해 icmp를 보호하는 ACL로 Router에 구성하면 아주 좋습니다.^^

허용할 네트워크를 xxx.xxx.xxx.xxx.에 입력하고 해당 서브넷을 yyy.yyy.yyy.yyy에 입력합니다.
여기서 서브넷은 호스트 수로 입력합니다.(255.255.255.0의 경우 0.0.0.255)

echo 기본 기능으로 응답 확인, 기본적으로 막아야함
redirect 가까운 라우팅 경로로 변경하여 보내도록 하는 역활, 위조될 수 있음
mask-request 부팅시 자신의 서브넷 마스크를 얻기 위해 사용, 악용 할 수 있음
log옵션을 지정하면 기록을 남기기때문에 추적하기에도 매우 유용합니다.

(config)# access-list 100 permit icmp xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
(config)# access-list 100 deny icmp any any echo log
(config)# access-list 100 deny icmp any any redirect log
(config)# access-list 100 deny icmp any any mask-request log
(config)# access-list 100 permit any any

(x = 네트워크 ip, y = 서브넷<반대로 기입>)
마지막에 Permit any any를 적어줘야하는 이유는 Cisco ACL의 경우 Permit이 없으면 암묵적으로 거부 됩니다.
필히 써줘서 필요 패킷들까지 버려지는 불상사를 막으세요^^

위처럼 ACL을 만들고 해당 인터페이스에 ACL을 적용해주면 됩니다.
(config)# interface interface eth0
(config-if)# ip access-group 100 in

예)

(config)# access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
(config)# access-list 100 deny  icmp any any echo log
(config)# access-list 100 deny  icmp any any redirect log
(config)# access-list 100 deny  icmp any any mask-request log
(config)# access-list 100 permit any any
(config)# interface interface eth0
(config-if)# ip access-group 100 in

SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있습니다.

관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있습니다.

여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 적을까 합니다.

허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정

포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며

log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다

Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 됩니다. Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 됩니다(위험) 마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용입니다.

(config)# access-list 75 permit host xxx.xxx.xxx.xxx

(config)# access-list 75 deny any log

(config)# snmp-server community Password ro 75

예)

(config)# access-list 75 permit host 192.168.0.5

(config)# access-list 75 deny any log

(config)# snmp-server community N3T-manag3m3nt ro 75