Archive for 6월, 2008
[트렌드마이크로] 바이러스 샘플신고에서 신규패턴 적용까지
by wookie on 6.12, 2008, under 보안운영
하나의 백신이 모든 바이러스를 잡아주지 못한다는 것은 현실입니다.
왜 백신이 바이러스를 못잡느냐고 열받아 할 수 도 있지만 새로 제작되거나 변형되어 등장하는 바이러스가 워낙 많기때문에 백신사의 인력들이 이에 신속히 대처하는것은 사실상 힘들다고 생각합니다.
▶ 트렌드마이크로의 오피스스캔의 특징
1. 랜덤하게 생성되는 second process가 존재
백신 서비스가 죽는 것을 방지하기 위해 백신서비스를 바이러스가 죽였을때 다시 백신서비스를 활성하시키는 역할을 합니다.
2. 클라이언트의 중앙관리가 편리합니다.
패턴업데이트 뿐 아니라 프로그램의 업데이트도 자연스럽게 해줍니다. 백신서버의 클라이언트버전의 업데이트되면 자동으로 전사 클라이언트에 배포됩니다.
3. 웜에 대해 잘 대응하는 편입니다.
하지만 파일기반 바이러스엔 약한 면을 보입니다. (USB바이러스 등….)
▶ 트렌드마이크로이 바이러스를 잡지 못할 땐 이렇게
어쨋든 백신이 바이러스를 잘 처리 못하는것을 발견했을시 행동요령을 정리해봅니다.
1. 백신이 잡지못하는 바이러스 샘플을 추출합니다.
– 수상한 행동을 보이는 파일을 찾습니다. 방화벽 로그, 트렌드 자체로그, TCPview같은 간단 패킷뷰어 활용하면 되겠습니다. 트렌드의 경우 잡았다고 하는데 같은 바이러스 제거로그가 반복돠는 경우 처리못하는 것이므로 추가적인 수동 작업이 필요합니다.
– 타백신을 활용합니다. (ex. 하우리등, 웹으로 서비스하는 백신을 활용)
–> 이런류의 서비스는 마이폴더에 가보시면 많죠.. ^^
2. 트렌드마이크로 고객센타에 샘플을 보냅니다.
email address: KR_Customer_Support@dl.trendmicro.com
실행파일의 경우 확장자를 바꾼후 (ex. .EXE –> EX_ ) 압축해서
(압축시엔 암호를 거는것을 추천) 메일로 보냅니다.
물론 메일내용엔 암호를 명시하셔야 겠죠?
(바이러스 샘플이 차단되는것을 막기위한 것임)
3. 트렌드마이크로에서 임시 샘플을 받습니다.
대개 전체 패턴에 적용하기전 임시 패턴을 만들어서 보내줍니다.
4. 임시 패턴 적용
– 받은 임시 패턴을 아래의 서버의 officescan 서버 폴더에 복사해 넣습니다.
\OfficeScan\PCCSRV\
- OfficeScan Master Service 재시작
- 클라이언트로 자동배포 됨
* 특정 클라이언트만 적용시엔 아래 경로에 패턴을 복사합니다.
- 클라이언트 경로 : C:\Program Files\Trend Micro\OfficeScan Client
- OfficeScan Real-time Service 재시작
AD에서 현업부서장에게 권한위임시키기
by wookie on 6.12, 2008, under 보안운영
ActiveDirectory의 장점은 사용자관리를 현업에 있는 관리자들에게 위임할수있다는것입니다.
부서내에서 어떤 사람들이 특정부서에 이동되고 있는지 중앙의 AD관리자가 확인할수 없기때문에
위임이 가능하다는 것은 AD관리의 효율성을 높이는 동시에 보안수준도 높일수있게해줍니다.
불필요한 인원의 권한을 좀더 긴밀하게 관리할수있게 되니까요…
아래와 같은 프로그램창을 현업의 관리자에게 제공하여 직접 관리할수 있게 해줍니다.
Taskpad라고 하는데 어떻게 권한을 위임하고 툴을 현업에 제공할수있는지 알아보겠습니다.
▶ AD에서 부서관리자에게 권한을 위임하자
1. dsa.msc를 실행하여 AD상에 관리하고자 하는 부서의 OU를 만든다.
2. OU내에 관리자 그룹,사용자 그룹등을 만든다.
3. 관리자 그룹에 관리자 아이디를 소속시킨다.
4. 해당OU에서 마우스우클릭하여 제어위임메뉴를 실행한다.
6. [다음 일반작업 을 위임] 옵션에서 [그룹의 구성원 변경]을 선택해주고 [다음], [마침]을 누른다.
이렇게 하면 현업의 관리자가 자기부서의 사용자그룹을 직접 관리할수 있게 해줄수있다.
▶ 부서관리자에게 권한을 관리할수있는 툴을 제작해보자
mmc를 이용하면 부서관리자가 직접 권한관리할수있는 툴을 제작할 수 있습니다.
1. 시작버튼/ 실행창에서 mmc 라고 입력하고 엔터..
2. 아래쪽의 [추가]버튼을 누르고 [Active Directory 사용자및 컴퓨터]를 클릭하고 아래쪽의 [추가]버튼을 클릭합니다. 그리고 닫기 버튼 클릭
새 작업창 메뉴를 클릭해줍니다. 그럼 [새 작업창 보기 마법사]가 시작하는데 [다음]을 클릭해주세요
6. 새 작업 마법사가 뜨는데 맨 처음과 두번째 화면에서 모두 default로 두고 [다음] 을 클릭해주세요
바로가기 메뉴명령 창이 뜨는데 이때 명령원본에 [세부 정보창에 자세히] 사용가능한 명령에는 [등록정보]를 선택한후 다음을 클릭합니다. 그리고 이름및 설명을 입력해줍니다. 그리고 아이콘을 지정해주고 나면 비로서 우리가 만들고자 하는 작업창이 나타납니다.
불필요한 것들이 보이지 않도록 모양을 다듬어서 현업관리자가 쓸수있도록 해야합니다.
7. 콘솔메뉴에서 [옵션] 선택하여 콘솔모드를 사용자모드-제한된 권한,단일창으로 설정하며 변경된 내용을 이 콘솔에 저장안함을 체크해주세요..
9. 만들어진 보안권한관리 MMC콘솔을 바탕화면에 저장합니다.
이 MMC콘솔파일을 해당 부서의 관리자에게 제공해주시면 됩니다.
아이콘만으론 아무것도 실행할수 없으니깐요…
MS사이트에서 adminpak 이라고 검색하셔서 다운로드 받으시면 되겠습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en
[AD정책] 도메인 account lockout정책
by wookie on 6.12, 2008, under 보안운영
Brute Force Attact등에 대비하기위해서는 유저계정의 로그인에 제한정책을 두어야합니다. 이른바 Clipping level이라고 하는데요… 관리자의 일이 늘어날 가능성이 다분합니다.
하지만 보안이 많이 필요한 경우 account lockout정책을 설정해야합니다.
1. Dsa.msc를 실행합니다.
2. Default Domain policy를 Edit합니다.
3. 아래 보이는 경로에서 아래처럼 설정합니다.
경로: Computer configuration/Windows Settings/security setting/accout policy/account lockout policy
▶ account lockout threshold값을 지정합니다. 저는 5번 로그온 잘못하면 락아웃되게했습니다.
▶ account lockout duration: lockout되는 시간
▶ reset account lockout counter after: lockout counter가 리셋되는 시간
[취약성] Flash 취약점 확인하기
by wookie on 6.10, 2008, under 보안운영
요즘은 OS자체의 취약성을 공격하기 보다 Application의 취약성을 공격하는 쪽으로 옮겨가고 있는 추세입니다. Flash player의 취약성을 기반으로 한 공격을 회피하려면 즉각 Flash player를 업데이트 해야합니다. MS 업데이트에도 포함되어 있으므로 많이 업데이트 되어 있으리라 보지만 그래도 확인이 필요합니다. 사실 발표된지가 조금 되었지만 이런 류의 공격은 계속되리라 보여집니다.
Flash Player를 최신버전인 9,0,124,0 이상으로 업데이트
취약성 대상: Adobe Flash Player 9.0.115.0 이하 버전 (모든 운영체제 해당)
이미 Flash Player의 취약점을 이용한 악성코드가 발견된 상황입니다. 신속한 업데이트가 실행되어야 하며 현재 버전을 확인해야합니다.
취약한 Flash Player 버전을 사용할 경우의 영향
공격자는 조작된 SWF 파일이 포함된 웹 페이지를 먼저 만들게 됩니다. 해킹을 통해 신뢰할 만한 사이트들의 메인페이지에 조작된 SWF파일을 삽입하거나 또는 일반 자료실에 호기심갈만한 제목으로 SWF를 올려두게될 것으로 보입니다. 인터넷을 사용하는 유저가 이런 사이트들에 접속하게 되었을때 부지중에 PC에서 악성 스크립트를 실행하게 되거나 악성코드에 감염되게 된다는 데 문제의 심각성이 있습니다.
현재 내가 사용중인 웹브라우저에서 사용하는 flash player버전 확인하기
아래 링크를 클릭하시면 현재 player버전을 알려줍니다.
http://www.macromedia.com/software/flash/about/
Adobe Flash Player 취약점 발표된 내역
1) “Declare Function (V7)” 태그를 처리하는 과정에서 특별하게 조작된 플래그에 의해 힙 오버플로우가 발생하는 취약점 (CVE-2007-6019)
2) 멀티미디어 파일을 처리하는 과정에서 정수형 오버플로우로 인한 버퍼 오버플로우가 발생하여 임의의 코드를 실행할 수 있는 취약점 (CVE-2007-0071)
3) 호스트 이름을 한 IP 주소로 고정시킬 때 발생하는 오류를 이용하여 DNS rebinding 공격이 가능한 취약점 (CVE-2007-5275)(CVE-2008-1655)
4) HTTP 헤더를 보낼 때 오류로 크로스 도메인 정책 파일을 우회하여 크로스 사이트 요청 변조 공격이 가능한 취약점 (CVE-2008-1654)
5) 크로스 도메인 정책 파일의 사용과 해석의 제한이 충분하지 않아서, 원격에서 크로스 도메인 또는 크로스 사이트 스크립트 공격이 가능한 취약점 (CVE-2007-6243)
6) 입력 값 처리의 오류로 인해 조작된 SWF 파일을 통해 스크립트나 HTML을 삽입할 수 있는 다수의 크로스 사이트 스크립트 취약점 (CVE-2007-6637)
[ISA] L2TP VPN 세팅하기
by wookie on 6.05, 2008, under 보안운영
ISA VPN의 지원 VPN 터널엔 세가지 형태가 있습니다
1. PPTP: 가장 일반적인 형태로 좀더 가볍고 빠릅니다. 하지만 연결되지않는곳이 있다는것이 단점입니다.
2. L2TP/IPSec: 인증방법으로 certificate 또는 pre-shared key 사용
PPTP가 되지않는 곳에서 이용해볼수 있습니다. 인증서를 사용할 경우 좀더 수준높은 보안이 가능하지만 관리상의 어려움이 있습니다.
인증서: 인증에 필요한 인증서를 클라이언트와 서버에 각각 설치
Pre-shared key: 255 이하의 문자를 ISA서버와 클라이언트에서 사용
3. IPSEC tunneling: 사이트간 연결시 사용
PPTP형태로 회사에서 ISA VPN을 운용중인데 막히는 곳이 이따금 있더군여
ISA VPN의 L2TP/IPSEC 을 추가 설정하기로 했습니다.
다음의 방법을 따르시면 됩니다.
1. ISA서버 설정
1) ISA Management console를 실행
2) Virtual Private Networks(VPN) 을 클릭
3) Configure VPN Client Access 창에서 Verify VPN Properties 메뉴를 클릭하고, Protocols 탭에서 “Enable L2TP/IPsec” 옵션을 체크하고 확인합니다
4) Remote Access Configuration 메뉴를 클릭하여 Authentication 탭을 클릭하고, 아래의 “Allow custom IPSec policy for L2TP connection” 란에 체크합니다.
5) Pre-shared key 란에 사용 할 키를 입력합니다
6) 수정한 내용을 Apply 버튼 클릭하여 적용합니다.
2. 클라이언트에서의 설정
1) 제어판의 네트워크 연결을 클릭합니다.
2) 새 연결 만들기 클릭하고, 새 연결 마법사에서 다음 클릭하여 [회사 네트워크에 연결] 선택하고 다음 클릭합니다.
3) [가상 사설망 연결] 선택하고 다음 클릭합니다
4) 회사 이름에 표시 이름을 입력하고 다음 클릭합니다
5) VPN서버의 호스트 이름 및 IP주소를 입력하고 다음 클릭합니다.
6) 사용자 옵션 선택하고 다음 클릭합니다.
7) 마침 클릭하면 VPN 연결 아이콘이 생성됩니다.
8) 생성한 아이콘에서 오른쪽 마우스 클릭하여 속성 정보 클릭합니다
9) [보안]탭의 [IPSec 설정] 버튼을 클릭하고 [인증에 미리 공유한 키 사용] 옵션에 체크하고 ,ISA서버에서 사용한 동일한 키 를 입력하고 확인합니다.
10) [네트워킹]탭을 클릭하여, VPN 종류를 [L2TP IPSec VPN]으로 설정하고 확인합니다.
11) 클라이언트에서 해당 VPN서버로 L2TP/Ipsec으로 연결되는지 테스트 합니다.
