오늘 공부한 내용
오늘 공부한 내용:
- --- ## 1. Security Onion & Sguil: 네트워크의 감시자 Security Onion은 여러 보안 도구를 하나로 합친 강력한 플랫폼입니다. * **IDS(침입 탐지) vs IPS(침입 방지):** * **Mirror 모드:** 트래픽을 복제해서 보기만 함 (IDS). * **In-line 모드:** 트래픽이 장비를 통과하게 하여 실시간 차단 가능 (IPS). * **tcpreplay:** 과거의 공격 흔적인 `.pcap` 파일을 실제 네트워크에 다시 흘려보내, 탐지 장비가 제대로 작동하는지 테스트하는 아주 유용한 도구입니다. --- ## 2. OWASP ZAP & 로그 분석: 공격자의 흔적 찾기 자동화 진단 도구인 ZAP을 사용하는 것도 중요하지만, 실습의 핵심은 **서버 측 로그(`access.log`)**를 확인하는 것입니다. * **ZAP 실습:** 스파이더(Spider) 기능을 통해 사이트 구조(Map)를 파악하고, **Path Traversal**(경로 조작) 같은 취약점을 스캔하는 일련의 과정을 익히셨습니다. * **로그 분석의 중요성:** 도구가 어떤 공격 패턴(특수문자, 공격 구문 등)을 날렸는지 서버 로그에서 직접 확인하는 과정은 보안 관제 역량을 키우는 핵심 실무입니다. --- ## 3. Snort Rule: 탐지의 언어 Snort 규칙은 크게 **Header(어디서 어디로)**와 **Option(무엇을)**으로 나뉩니다. ### 🛡️ Snort 규칙 핵심 구조 | 구분 | 내용 | 예시 | | --- | --- | --- | | **Action** | 패킷 처리 방식 | `alert`, `drop`(차단), `log` | | **Protocol** | 통신 규약 | `tcp`, `udp`, `icmp`, `ip` | | **IP/Port** | 출발지 및 목적지 | `$EXTERNAL_NET any -> $HOME_NET 80` | | **Options** | 세부 탐지 조건 | `msg`, `content`, `pcre`, `sid` | * **sid (Signature ID):** 3,000,000번대 이상을 사용하는 것은 사용자 정의(Local) 규칙임을 명시하기 위한 관례입니다. * **HTTP 옵션:** `http_uri`, `http_method` 등을 사용하면 전체 페이로드를 뒤지는 것보다 훨씬 효율적으로 웹 공격을 탐지할 수 있습니다. --- ### 💡 실무 보안 인사이트: "정오탐 줄이기" 보안 관제 실무에서 가장 어려운 것은 **오탐(False Positive)**을 줄이는 것입니다. 단순히 `/etc/passwd`라는 단어만 탐지하면 일반적인 학습 자료 공유도 차단될 수 있습니다. 따라서 `flow:established,to_server;`와 같은 **흐름 옵션**과 **정확한 PCRE**를 조합하여 "실제 공격 상황"만 골라내는 정교한 규칙을 만드는 것이 최종 목표입니다.