이 시리즈는 2005년 MS TechNet AD 관리 시리즈를 보며 내용을 정리한 것이다.

○ Domain Controller 구축환경
    Data Center
        - 신뢰할 수 있는 작업자만이 접근할 수 있도록 통제 가능한 Datacenter와
           같은 장소에서 DC 구축 작업을 수행할 것을 권장
        - Datacenter에서 DC를 구축 후, 최종 운영장소(Branch Office)로 이동시킬 것
        - 작업자의 실수를 방지하기 위해 운영체제 설치 및 AD 설치를 자동화할 것 권장
    
    Branch Office
  
○ Windows Server 2003 설치 및 보안설정
    운영체제 설치시의 보안 설정
        - Windows Server 2003 설치 후, 최신 Service Pack 및 Hotfix 설치
            ㅡ 가장 기본
            ㅡ 모든 DC에 대한 동일한 구성을 위해 자동화 방식으로 OS 설치권장
            ㅡ 모든 파티션은 NTFS로 포맷
            ㅡ TCP/IP 프로토콜만 설치
            ㅡ Site간 복제를 위해 SMTP 프로토콜을 쓸 경우가 아니면 SMTP 설치 금지
            ㅡ IIS 설치 금지
            ㅡ OS 설치시 DNS도 설치
        - 강력한 Administrator 암호 설정
            ㅡ Local Administrator 암호 설정
            ㅡ Local Administrator 계정이 DC로 Promotion후 Domain Administrator
                 계정이 되므로 운영체제 설치시에 Local Administrator 계정의 암호로 다음과 같은
                 강력한 암호를 설정할 것을 권장함
                1) 최소 9자 이상
                2) 계정이름, 관리자이름, 회사이름을 포함시키지 말 것
                3) 이전 암호와 유사한 체계를 사용하지 말 것
                4) 처음 7자 안에 하나 이상의 특수 문자를 포함할 것
                5) 대문자, 소문자, 숫자, 특수문자를 모두 포함할 것

        - NTFS 자동 8.3 파일 이름 생성 기능 정지
            ㅡ 바이러스나 공격자에 의해 사용되는 프로그램들은  주로 16bit
                응용프로그램으로 NTFS 파티션의 8.3 파일이름을 사용함
            ㅡ DC에서 16bit 응용프로그램을 실행할 경우는 없기 때문에
                NTFS 자동 8.3 파일이름 생성기능을 정지하여 보안 강화
            ㅡ 설정방법 :    
                Registry
                   HKLM\System\CurrentControlSet\Control\FileSystem
                이름
                   ntfsDisable8dot3NameCreation
                Data Type
                   REG_DWORD
                값
                   0x01
            ㅡ NTFS에서 Long file name 사용가능
            ㅡ 16bit Application을 위해 8.3 file이름 자동 생성기능 정지
                바이러스, hacking 프로그램이 동작하지 않도록 설정 권장

    - Virus-Scanning 소프트웨어 설치
            ㅡ OS 설치후 DC로 Promotion하기 전에 Virus-Scanning SW를 설치하고
                동작하도록 구성
    - 불필요 서비스를 사용 안 함으로 설정
                DC 전용 시스템의 경우 꼭 필요한 Service만 사용할 것 권장
           ㅡ Application Management
               프로그램 추가 제거를 통한 Application 설치 관련 서비스
               임의적 SW 설치 제어
           ㅡ Automatic Updates
           ㅡ Background Intelligent Transfer Service
               자동 업데이트관련(패치) 서비스
               검증된 HotFix만 수작업으로 선택적 설치권장
           ㅡ Computer Browser
               브라우징 서비스, DC가 마스터 브라우저로 동작하여 불필요한 부하 발생시킴, 방지
           ㅡ Distributed Link Tracking Client
               NTFS File Link 관리
           ㅡ Error Reporting Service
               프로그램의 오류시 관련 정보를 MS에 전송
           ㅡ Portable Media Serial Number Service
               Portable Media Player의 Serial Number 검색, 사용할 일이 거의 없음
           ㅡ Print Spooler
               서버를 Printer 서버로 사용할 경우 사용
           ㅡ Remote Access Auto Connection Manager
           ㅡ Remote Access Connection Manager
               RAS와 관련 VPN, 전화접속을 이용하지 않으면 사용안함
          ㅡ Shell Hardware Detection
               Autoplay HW 인식
          ㅡ Special Administrator Console Helper
               명령 프롬프트를 원격에서 접속해서 사용하도록 하는 서비스
          ㅡ Telephony
               Telephony API를 서버에서 사용할 일이 없음
          ㅡ Uninterruptible Power Supply 
               UPS를 사용하지 않는다면 Serial Communication을 사용할 일이 없음
          ㅡ Wireless Configuration
               무선 설정관련된 서비스

○ Active Directory 설치 및  보안 설정
            AD 설치 시 고려할 보안 설정
    - Active Directory 자동 설치
        관리자의 실수를 최소화하기 위해 Unattended 설치 권장
        모든 DC가 동일한 구성을 유지하도록 하기 위해 AD 자동 설치를 권장
    - DCPromo /Answer:[Answer File Path]
    - Active Directory Database, Log, SYSVOL은 모두 System 파티션이 아닌 다른
       물리적 디스크에 저장할 것을 권장
    - Default로 Windows Server 2003 AD에서는 "Windows 2000 또는 Windows Server 2003
       운영체제와만 호환되는 사용 권한" 옵션이 선택되어 인증 받은 사용자만이
       도메인의 정보를 액세스할 수 있음
       Anonymous 사용자가 도메인의 정보를 액세스할 수 없도록 한다.
    - Virus-Scanning SW 설정
        OS 설치후 Virus-Scanning SW 설치
        AD 설치후 AD 관련 데이터베이스 파일과 SYSVOL Folder는 Scanning 금지
        ㅡ NTDS.dit
        ㅡ Edb*.log, Res1.log, Res2.log
        ㅡ Temp.edb, Edb.chk
       이상은 AD DB와 Transaction log file
        ㅡ SYSVOL 하부 폴더와 파일
       그룹정책에 관련된 정보를 저장
       DC가 운영중에는 항상 오픈되어 있음
       일부 백신 프로그램은 파일을 스캔 후 임의 정보를 주입하는 경우도 있어
       파일이 깨진 것으로 인식하는 경우가 있음
    - Virus-Scanning에서 제외되는 파일들은 모두 데이터 파일들이기 때문에 바이러스에
      대한 취약점이 발생하는 것은 아님
    - 그룹 보안 설정
       DC의 보안강화를 위해 도메인 정책의 계정잠금 정책 설정
        ㅡ 계정 잠금 기간 : 0(관리자가 수작업으로 수정하기 전엔 사용할 수 없음)
        ㅡ 계정 잠금 임계값 : 20(연속 20번 틀리면 계정 잠금)(적절한 횟수 지정)
        ㅡ 다음 시간 후 계정 잠금 수를 원래대로 설정 : 30(분)
      도메인컨트롤러 사용자 권한 할당 정책
        ㅡ 로컬로그온 허용
            Administrators
            Backup Operators
            Server Operators
            다음의 그룹 제거
            Account Operators
            Print Operators
        ㅡ 시스템 종료
            Administrators
            Backup Operators
            Server Operators
            다음의 그룹 제거
            Print Operators
    도메인 컨트롤러 보안 옵션 정책
           감사: 글로벌 시스템 개체에 대한 액세스 감사  : 사용안함
           감사: 백업 및 복원 권한 사용을 감사   : 사용안함
                불필요한 보안 로그를 방지
           감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료  : 사용안함
                보안로그가 Full인 경우 시스템 종료하게 됨
           장치: 로그온 할 필요없이 도킹 해제 허용   : 사용안함  
           장치: 로컬로 로그온 한 사용자만이 플로피 드라이브에 액세스 : 사용
           장치: 로컬로 로그온 한 사용자만이 CD-ROM에 액세스 가능 : 사용
                로컬 로그온을 해야만 장치 사용
           장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 : 사용
           장치: 서명되지 않은 드라이버 설치 동작  : 설치 허용 안함
           장치: 이동식 미디어 포맷 및 꺼내기 허용  : Administrators
           도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부 : 사용안함
           도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용 : 사용안함
                Administrators 그룹만 허용
           도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) : 사용
           도메인 구성원: 컴퓨터 계정 암호 변경 사용 안함 : 사용안함
           도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 : 30일
                보안 강화 구성
           도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상) : 사용
           대화형 로그온: 마지막 사용자 이름 표시 안함 : 사용
           대화형 로그온: [CTRL+ALT+DEL]을 사용할 필요없음 : 사용 안 함
           대화형 로그온: 캐시할 로그온의 회수(도메인 컨트롤러가 사용 불가능할 경우) : 0일
                도메인 컨트롤러가 사용 불가능할 경우 캐시된 로그온의 사용 안함
           대화형 로그온: 암호 만료전에 사용자에게 암호를 변경하도록 프롬프트 : 14일
           대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 : 사용
           Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄: 사용안함
           Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 : 사용
           Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간 : 15분
           네트워크 액세스: 네트워크 인증에 대한 자격 증명의 저장소나 .NET Passport 허용 안함 : 사용
           네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한 : 사용
           복구 콘솔: 모든 드라이브 및 폴더에 플로피 복사 및 액세스 허용 : 사용안함
           복구 콘솔: 자동 관리 로그온 허용 : 사용안함
           시스템 종료: 로그온 하지 않고 시스템 종료 허용 : 사용안함
           시스템 종료: 가상 메모리 페이지 파일 지움 : 사용
           시스템 개체: 내부 시스템 개체(예: 심볼 링크)에 대한 기본 사용 권한을 강화 : 사용

○ 물리적 보안 유지
    - 물리적 접근 제한
        신뢰할 수 있는 운영자만이 접근 가능한 Room에서 DC 운영
        물리적 잠금 장치 사용
        DC를 관리하기 위한 절차 수립
    - 다른 운영체제로의 부팅 제한
        플로피 디스크 드라이브 제거
        CD-ROM 또는 DVD 드라이브 제거
        Boot.INI의 [Timeout] 값을 0으로 설정
           다른 운영체제로의 부팅의 여지를 없앰

○ 참고자료
    - Microsoft TechNet Active Directory Operation
        http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/933b109f-42c5-4f85-9462-50b23b30e326.mspx
    - Active Directory Administration Webcast Series
        http://www.microsoft.com/events/series/adaug.mspx 

신고
Posted by She쥐포s

Forensics Wiki

보안 2008.09.29 22:19
Forensics 관련 Wiki

http://www.forensicswiki.org/


신고
Posted by She쥐포s

○ 아스키 파일 암호화 하기

아스키 파일은 쉽게 암호화및 복호화될 수 있다.

암호화하기 위해서는 간단히 파일의 표준출력을 파이프를 이용해 "crypt" 명령의 입력으로 넘겨주고
새 파일명으로 redirect 시키면 된다. "Enter key:" 라는 프롬프트가 나오면 패스워드를 입력한다.

$ cat foo | crypt > foo.e
Enter key:

복호화하기 위해서는 간단히 암호화된 파일의 표준출력을 파이프를 이용해 "crypt" 명령의 입력으로
넘겨주고 새 파일명으로 redirect 시키면 된다. "Enter key:"라는 프롬프트가 나오면 패스워드를 입력한다.

$ cat foo.e | crypt > foo.new
Enter key:

=========== 원문 ===========
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
                             UNIX GURU UNIVERSE
                                UNIX HOT TIP

                       Unix Tip 3144 - September 14, 2008

                   http://www.ugu.com/sui/ugu/show?tip.today
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

CRYPT AN ASCII FILE

An ascii file can be easily encrypted and
decrypted.

To encrypt simply pipe the STDOUT of
the file to "crypt" and redirect it to
a new file name. Enter a passowrd when
prompted with "Enter key".

$ cat foo | crypt > foo.e
Enter key:

To unencrypt simply pipe the STDOUT of
the encrypted file to "crpyt" and
redirect it to a new file name. Enter
a passowrd when prompted with
"Enter key".

$ cat foo.e | crypt > foo.new
Enter key:

신고
Posted by She쥐포s

sqlmap 0.6

보안/Web 2008.09.03 12:45
Introduction
============

sqlmap is an automatic SQL injection tool developed in Python. Its goal
is to detect and take advantage of SQL injection vulnerabilities on web
applications. Once it detects one or more SQL injections on the target
host, the user can choose among a variety of options to perform an
extensive back-end database management system fingerprint, retrieve DBMS
session user and database, enumerate users, password hashes, privileges,
databases, dump entire or user's specific DBMS tables/columns, run his
own SQL SELECT statement, read specific files on the file system and
much more.


Changes
=======

Some of the new features include:

* Added multithreading support to set the maximum number of concurrent
HTTP requests.

* Implemented SQL shell (--sql-shell) functionality and fixed SQL query
(--sql-query, before called -e) to be able to run whatever SELECT
statement and get its output in both inband and blind SQL injection attack.

* Added an option (--privileges) to retrieve DBMS users privileges, it
also notifies if the user is a DBMS administrator.

* Added support (-c) to read options from configuration file, an example
of valid INI file is sqlmap.conf and support (--save) to save command
line options on a configuration file.

* Implemented support for HTTPS requests over HTTP(S) proxy.

* Enhanced logging system: added three more levels of verbosity to show
also HTTP sent and received traffic.

Complete list of changes at http://sqlmap.sourceforge.net/doc/ChangeLog.


Download
========

You can download it in various formats:

* Source gzip compressed,
http://downloads.sourceforge.net/sqlmap/sqlmap-0.6.tar.gz

* Source bzip2 compressed,
http://downloads.sourceforge.net/sqlmap/sqlmap-0.6.tar.bz2

* Source zip compressed,
http://downloads.sourceforge.net/sqlmap/sqlmap-0.6.zip

* DEB binary package,
http://downloads.sourceforge.net/sqlmap/sqlmap_0.6-1_all.deb

* RPM binary package,
http://downloads.sourceforge.net/sqlmap/sqlmap-0.6-1.noarch.rpm

* Portable executable for Windows that does not require the Python
interpreter to be installed on the operating system,
http://downloads.sourceforge.net/sqlmap/sqlmap-0.6_exe.zip

Note: the subversion repository is not accessible anymore so the only
way to get the new release is to download it from one of the above links.


Documentation
=============

* sqlmap user's manual: http://sqlmap.sourceforge.net/doc/README.pdf

* sqlmap developer's documentation: http://sqlmap.sourceforge.net/dev/
신고
Posted by She쥐포s
http://www.databasesecurity.com/index.htm
신고
Posted by She쥐포s

○ ssh root 접속제한

# vi /etc/ssh/sshd_config

       # PermitRootLogin yes
       라고 되어있는 부분의 주석을 해제하고 yes를 no로 고친다
       PermitRootLogin no

# /etc/rc.d/init.d/sshd restart

○ su 명령어 제한

# vi /etc/pam.d/su 에 6번라인

        # auth required /lib/security/$ISA/pam_wheel.so use_uid
        주석 제거
        auth required /lib/security/$ISA/pam_wheel.so use_uid

# usermod -G wheel [user]
        -> wheel 그룹에 속한 사용자는 su 사용불가

○ sudo 명령어 사용

# visudo

        맨 마지막 행에
        [user] (TAB) ALL=(ALL) (TAB) ALL
        추가

참고 : http://blog.naver.com/ssalleng21?Redirect=Log&logNo=130030195364

신고
Posted by She쥐포s

- Windows 2000/XP/2003 지원
http://www.hsc.fr/ressources/outils/pktfilter/index.html.en

신고
Posted by She쥐포s

* jar 파일을 푸는 방법을 모르고 있는 사람들이 있는 것 같아서 간단하게 정리함.
jar 파일은 tar 파일과 압축과 푸는 방법이 비슷하다. 다만 대상이 tar의 경우 일반 파일이라는 점과
jar의 경우 java의 class 파일이라는 점이다.

* jar 파일 풀기
jar -xvf filenameApp.jar
하게 되면 .class 파일이 풀려 나온다.

* 소스 Decompile 툴
http://www.program-transformation.org/Transform/JavaDecompilers
또는
http://www.kpdus.com/jad.html

를 이용하여 소스의 내용을 얻을 수 있다.

신고
Posted by She쥐포s

Computer Security Video

보안 2008.04.20 21:52
http://www.cbtnuggets.com/webapp/product?id=250
http://www.irongeek.com/i.php?page=security/hackingillustrated
http://www.offensive-security.com/
http://www.foundstone.com/us/resources-videos.asp
http://www.2600.com
https://www.defcon.org/html/links/dc-archives.html
http://www.hak5.org/
http://www.leocavallari.com/recursos/videos
http://www.theacademy.ca
https://www.vte.cert.org/vteweb/Library/Library.aspx
http://www.learnsecurityonline.com
http://video.reverse-engineering.net/ 
http://recon.cx/2008/archive.html
ftp://mirrors.easynews.com/blackhat&defcon/
http://www.irongeek.com/i.php?page=security/hackingillustrated
신고
Posted by She쥐포s

Site List

보안 2008.01.06 23:18

○ Vulnerability
    - http://packetstormsecurity.org/
    - http://www.elsenot.com/
    - http://milw0rm.com/
    - http://www.osvdb.org/

○ Education & Study
    - http://www.hackerhighschool.org/

○ Tool
    - http://www.nagiosexchange.org/
    - http://www.ntop.org/
    - http://www.splintered.net/sw/flow-tools/
    - http://www.google.com/search?hl=en&q=prtg

○ Article for Log Level Security
    - http://support.microsoft.com/kb/282791/en-us
    - http://support.microsoft.com/kb/314980/en-us
    - http://support.microsoft.com/kb/300549/en-us
    - http://support.microsoft.com/kb/262177/en-us
    - http://support.microsoft.com/kb/310399/en-us
    - http://msdn2.microsoft.com/en-us/library/aa392285.aspx

○ Database Security
    - http://www.petefinnigan.com/

○ MS Security Info
    - http://securityadmin.info/

○ Security Videos
    - http://security-freak.net/videos.html

○ Other Sources
    - http://chaosreader.sourceforge.net/
    - http://gentoo-wiki.com/HOWTO_setup_a_gentoo_bridge
    - http://www.wireshark.org/
    - http://cmrr.ucsd.edu/people/Hughes/CmrrSecureEraseProtocols.pdf
    - http://tinyurl.com/24vuj8
    - http://tinyurl.com/35mbc9
    - http://www.nber.org/sys-admin/overwritten-data-guttman.html
    - http://www.DaveKleiman.com/Files
    - http://tinyurl.com/8zblp
    - http://tinyurl.com/iqx3
    - http://www.giac.net/certified_professionals/practicals/gcfa/265.php
    - http://www.payam.com.au/hard-disk-data-recovery.htm
    - http://ocw.mit.edu/OcwWeb/web/courses/courses/index.htm
    - http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf
    - https://strikecenter.bpointsys.com/articles/2007/08/26/vista-gadget-patches-in-ms07-048


    -
    -

신고
Posted by She쥐포s