서버 보안 - 서버 보안용 S/W 설치 운영

ㅇ ㅂㅇ

서버 보안용 S/W 설치 운영

> 시스템 취약점 점검 도구
 - NESSUS : 서버 - 클라이언트 구조로 작동하는 취약점 점검 도구
 - SARA(SATAN 기반) : 서버, IDS, 라우터 등의 보안 분석 도구
 - nikto2 : 웹 서버를 스캔하여 취약점 점검(오픈 소스)

> 시스템 침입 탐지 시스템 (IDS ; Intrusion Detection System)
 - Windows NT
  -- System log
  -- Applcaction log
  -- Security log

 - Unix
  -- pacct : 사용자 수행 명령어와 자원 사용량
  -- loginlog : 실패 로그인 내역
  -- sulog : su 명령어 사용 내역
  -- utmp : 현재 로그인 사용자 리스트 내역
  -- vtmp : 로그인 / 아웃 , 시스템 시작 / 종료 시간 기록

> 호스트 기반 점검 도구
 - COPS, Tiger, ttywatcher, nesus, SARA, nkito, Crack, Npasswd

>네트워크 기반 점검 도구
 - SATAN, COURTNEY, Nmap, etheral, ISS, Netlog, NFSwatch, TCPdump, CPM

> 무결성 점검 도구
 - trpwire : 가장 대표적인 무결성 점검도구로 시스템의 모든 파일에 대해 DB를 만들어서 추후 변동사항을 점검
 - Fcheck : tripwire 보다 조금 더 간편한 설치와 설정

> 접근 통제 및 로깅 도구
 - TCP Wrapper
  -- 슈퍼 데몬(Xinetd)의 영향을 받는 데몬들은 TCP Wrapper로 접근 제어와 로깅이 가능
  -- 도식화 : 클라이언트의 요청 -> Xinetd -> TCP Wrapper -> 데몬 실행
  -- /etc/host.deny 파일과 /etc/host.allow 파일을 통해 접근 통제 가능
   --- Deny 정책 적용 시 host.deny에 ALL:ALL 을 적어 놓고 host.allow에 데몬 종류:클라이언트 주소 를 적음
  -- 접근 통제 기록은 secure나 message 파일 등에 기록됨

> 스캔 탐지 도구
 - 방어적인 관점에서 스캔 탐지가 일어나면 이에 따라 방어 대책을 세워야 함
 - portsentry
  -- 포트 스캔을 실시간으로 탐지하고 TCP_Wrapper 와 결합하여 host.deny 파일에 자동으로 등록해 방어함
 - 실시간 네트워크 불법 Scan자동탐지 도구(RTSD ; Real Time Scan Detector)
  -- KISA 에서 과거에 개발한 것으로 오래되어 업데이트가 안되는 중
  -- 정보를 찾아 보려고 했으나 찾지 못함

> 로깅 및 로그 분석 도구
 - syslog
  -- 백그라운드 프로세스로 돌면서, 로그 메시지를 하나 이상의 개별 파일에 기록하는 데몬
  -- /etc/syslog.conf에 각종 로그 환경 설정을 추가, 변경, 삭제 가능
   --- 형식 : Facility.Priority Logfile-Location
    ---- Priority : Emerg > Alert > Crit > Err > Warn > Notice > Info > Debug > None
 - Webalizer
  -- 아파치 웹 로그를 분석해주는 멀티 웹 로그 분석 도구
 - 그 밖에 Swatch (Simple Watcher), Clear Log, LoWatch, netlog 등