서랍속의 작은 이야기

Apache 기본 보안 설정 Apache는 가장 널리 사용되는 웹 서버 중 하나입니다. 그러나 Apache를 설치하고 사용하기만 한다면 보안상의 취약점이 있을 수 있습니다. 이 포스팅에서는 Apache의 기본 보안 설정에 대해 알아보겠습니다. 1. 서버 정보 숨기기 웹 페이지의 헤더와 404 에러페이지에서 서버에서 사용하고 있는 OS 버전/ OS 정보가 노출되었다면, 공격자에게 힌트를 주게 됩니다. 이런 서버 정보를 숨기기 위해서는 ServerTokens 설정을 수정해야 합니다. ServerTokens 설정은 HTTP response의 HTTP Header에 노출되는 서버 정보를 얼마나 보여줄 것인가를 설정할 수 있습니다. 설정 값은 Full, OS, Minimal, Minor, Major, Prod 이 있습니다. Full : Apache/2.4.18 (Ubuntu) / PHP … OS : Apache/2.4.18 (Ubuntu) Min : Apache/2.4.18 Minor : Apache/2.4 Major : Apache/2 Prod : Apache ServerTokens 설정은 OS별로 다음과 같은 파일에서 수정할 수 있습니다. 우분투 : /etc/apache2/conf-available/security.conf CentOS : /etc/httpd/conf/httpd.conf 설정 파일 내 ServerTokens 를 Prod로 수정하고 아파치를 재시작하면, 서버 정보가 최소한으로 노출됩니다. 2. 디렉토리 인덱싱 차단 디렉토리 인덱싱 차단은 이전 포스팅에서도 한번 언급했던 것입니다. ( 이전 포스팅 보기 ) 디렉토리 인덱싱은 웹 서버에 있는 파일과 폴더의 목록을 보여주는 기능으로 이 기능이 활성화되어 있다면, 공격자는 웹 서버의 구조와 파일을 쉽게 파악할 수 있습니다. 따라서 디렉토리 인덱싱을 차단하는 것이 좋습니다. 디렉토리 인덱싱을 차단하기 위해서는 /etc/apache2/apache2.conf 파일에서 Options 부분에 있는 Indexes 를 제

원격데스크톱(RDP)에 대한 무차별 패스워드 대입 공격 차단하기 관리하고 있는 서버 중 윈도우서버가 있는데 얼마전부터 원격데스크톱(RDP)에 대한 무작위 패스워드 대입 공격이 들어오기 시작했다. 문제는 이 공격이 지속되면서 서버 리소스를 과도하게 차지하기 시작했고, 이로 인해 서비스 차질이 발생했다는 것이다. 지금은 조치를 취해서 괜찮아졌지만 몇일동안 고생을 했다. 그럼 이 RDP 공격이란 무엇일까? RDP 공격이란? RDP 공격이란 인터넷에 노출된 RDP 서비스에 대해 패스워드를 무차별적으로 시도하거나 취약점을 이용하여 접속하는 공격이다. 일단 접속에 성공하면, 공격자는 해당 컴퓨터의 제어권을 얻고 다른 컴퓨터나 네트워크로 침투할 수 있다. RDP 공격은 샘샘(SamSam), 크립토월(CryptoWall), 리브오프(Revil) 등 여러 랜섬웨어 그룹에 의해 사용된 바 있다. (이때 약 7,000대의 윈도우 PC와 1,900대의 서버가 감염됐다.) RDP 공격을 차단하는 방법 RDP 공격을 차단하기 위해서는 다음과 같은 방법을 적용할 수 있다. 패스워드를 복잡하고 강력하게 설정 RDP의 기본 포트인 3389번을 다른 포트로 변경 (방화벽에서 변경한 RDP 포트를 인바운드 규칙으로 허용) 파워쉘 스크립트를 이용하여 보안 이벤트 로그에서 공격 IP를 추출하고 차단 (이번 포스팅에서 진행할 방법) 이처럼 RDP 공격을 차단하기 위해서는 여러 가지 방법이 있지만, 이번 포스팅에서는 파워쉘 스크립트를 이용하여 간단하게 구현해보도록 한다. 파워쉘은 윈도우에서 사용할 수 있는 스크립팅 언어와 셸 환경으로, 시스템 관리나 자동화 작업에 유용하다. 보통 기본설치 되어 있기 때문에 따로 프로그램을 설치하거나 세팅 할 필요가 없어서 윈도우 서버에서 자주 사용한다. 파워쉘 스크립트는 .ps1 확장자로 저장하고 실행할 수 있으며, 관리자 권한이 필요할 수 있다. 파워쉘 스크립트로 RDP 공격차단 스크립트 만들기 1. 로그 파일 생성 우선 RDP 접속 시도에 대한 로그 파일을 생성하