'해킹'에 해당되는 글 2건

  1. 2011.06.02 iptables 정책 새워보기
  2. 2011.04.14 농협 인터넷 뱅킹 중단 사태...
03. Network2011.06.02 08:55


운영을 하면서 피치 못하게 외부의 적으로부터 해킹의 흔적을 발견하는경우가 있습니다

그럴경우 방화벽장비가 있다면 좋겠으나..
그렇지 못하므로 리눅스의 iptables를 이용하여 처리를 해보고자 합니다.

#infra network
iptables -A INPUT -s x.x.x.x -j ACCEPT #특정 IP에 대해서는 무조건 허용
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

#outbound accept SMTP in/out
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT

#outbound accept DNS
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

#outbound accept SMTP 80 in/out
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT

#outbound accept ssh in/out 2222
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -A INPUT -p tcp --sport 2222 -j ACCEPT

#outbound port list
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 23 -j ACCEPT

#ALL denine
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP

위 처럼 IN/OUT을 별도로 구별 짓습니다.
아.... 허용 목록을 우선순위에 두고, 추후에 차단정책을 만들어야 합니다.
sport : 외부로 나가는 포트
dport : 외부에서 들어오는 포트

간략하게만 정용해보았습니다..=_=;

저작자 표시 비영리 변경 금지
신고
Posted by 신머루군
00. Daily/Homo sapiens2011.04.14 08:25
IT업무를 하는 입장에서 이번 농협사태를 조금은 관심있게 지켜보았다.

일반론적으로 은행관련 업무는 1차 주 서버가 있고, 이에 대해서 2차 운영 서버, 3차 운영서버가 별도로 존재하며 이에 대해서 백업 서버가 따로 존재 하고 있는것이 일반론적일것이다.

근데 이번 사태를 보면 1차 (DC 장비라고 일컬어 집니다)서버가 맛탱이 갔다고 치더라도 2차 서버 (DR장비라고 합니다)로 운영이 가능하며 뉴스에 따르면 최종 3차 서버까지 별도로 존재 합니다.

근데 재미있는건 이 모든 서버들이 네트워크가 다 별개라는것입니다.
1> DC -> DR로 접속이 가능하다고 하더라도 특정 영역에만 가능할것입니다. 일반적으로는 방화벽에 의해서 접속이 안되어지는게 당연합니다

2> 해당 DC/DR장비들에 대해서 OS 영역의 파티션이 지워졌다?
언론의 보도를 어디까지 믿어야 할지 모르겠으나 금융권에서 root계정을 함부로 막 굴리진 않을겁니다...(만약 그랬다면 이것은 농협 전산 관리의 허술점일것입니다)

3>만약 위 2가지가 갖춰주었더라도, DC/DR장비의 관리 책임자는 보통 다 틀립니다. 근데 모든 장비의 패스워드가 동일했다는 의미일까요?
이것역시 농협의 전산 관리의 책임이 있지 않을까 합니다.

각설하고, 이번 농협사태 그리고 현대캐피탈 사태까지 지켜본다면 이슈가 정말 커진것은 사실입니다. 앞으로 금감원에서의 공문이 어떻게 나올지 앞으로 방향이 어찌될지 참 궁금합니다.

아무쪼로 너무 성급하게 복구 한다고 보안 뚫리지 않도록 하는것이 중요할것 같습니다. (급하다보면 하나씩 빼먹기 마련이기에)

그나저나 그 협력업체분 마음고생이 심하실것 같습니다.
제가 보았을때에는 협력업체분이 고의적이던 실수이던 삭제 명령을 내렸다고 하는 언론 보도는 조금 과장이 되어진것같습니다

저작자 표시 비영리 변경 금지
신고
Posted by 신머루군

티스토리 툴바