제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study
IT PRO로 밥벌이 하다 어찌어찌하여 DBA로 변신하여 중국에 프로젝트에 몇개월 일하게 되었습니다. 필자는 VPN을 자주 사용합니다. 자주 사용하는 이유는 SMB 파일 송수신을 편하게 하기 위한 방법이 우선이기도 하고 Hyper-V 의 회사망에 있는 여러대 서버를 터미널로 접속하기 귀찮아서 그냥 VPN으로 붙여서 로컬 노트북으로 관리할때?가 많아서입니다.
그리고 보통 회사망에서는 방화벽이 있어서 까탈스럽게 보안을 중요시 하는데는 왠간한 아웃바운드 포트는 다 차단해버리는게 문제이기도 합니다. 뭐 그냥 일만 하라는 소리죠. 그리고 웹사이트 로그 기록도 남기 때문에 필자는 그런 기록을 남기고 싶어하지 않아 별도로 SSL VPN을 사용합니다. 보통 회사에서는 뻘짓? 하지말라는 보안각서도 쓰기에 그냥 필수일수밖에 없습니다.
그래서 필자는 한국에 개인 인프라가 좀 있는 관계로 여러대의 가상화서버와 고정 및 유동아이피에 기가빗 라인이 있었기에 최근에 분석했던 내용을 포스팅하겠습니다.
중국.
인터넷 검열 빡셉니다. 구글, 페이스북, 티스토리,라인 및 카카오톡은 일부, 한국사람이 사용하던 모든것들이 그냥 다 못쓴다고 생각하면 됩니다. 답답하죠. 많이 답답합니다.
그래서 전 처음부터 PPTP/L2TP 를 스맛폰에서 붙여서 쓰기 시작했습니다. 직원들도 많기도 해서 계정을 많이 만들고 배포했죠. 딱 1주일 만에 블랙 되었습니다. 그때 감잡았습니다. 검열한다는것을요...
분석했습니다. 왠간한 VPN은 분명 다 스니핑 될것이다. PPTP/L2TP는 못쓴다는걸 알고 있어서 SSL 방식을 사용하기로 했습니다. 윈도우서버의 SSTP VPN은 443 포트 기본적인 SSL VPN의 정석입니다. 윈도우에 기본 내장되어 있어서 별도의 어플리케이션도 필요 없습니다.
사용자 삽입 이미지

윈도우 비스타/2008서버 시절에 처음에 SSTP VPN이란걸 내놓았습니다. 이게 정말 필요하던 이유가 아무 VPN이나 쓰면 좋은데 GRE47 라우팅 프로토콜이 안열리거나 지원 안되는곳에서는 정말 난감한 경우가 많기 때문입니다. 회사내부에 PPT를 열어야 할경우이거나 데모를 실행해야될 경우 그리고 클라우드에 접속해야될경우 PPTP/L2TP는 안되는곳이 좀 되는게 현실입니다. 그때되서 VPN 안되서 계획이 와르르 무너진다고 생각해보면 아찔하겠죠. 그런걸 MS가 잘 동감했는지 이런 SSTP란것을 선보였습니다. 그당시 이거 구축 못해서 MS 백모 부장님이 기술지원카드 던져주었던 기억이 아직도 새록새록 납니다. 인증서가 있어야되고 클라이언트에도 깔아야되고 기타등등 지금은 구글에 설명 잘나왔지만 그당시에는 그냥 MS만 바라볼수 밖에 없는 현실이였습니다.
사용자 삽입 이미지
기존 RRAS 에서 IIS에서 443 채널을 수신 인증해주고 나머지 라우팅을 처리해주는 기능입니다. 중국에서 차단되지 않는 VPN중 하나입니다. 물론 어플라이언스 기업형 SSL VPN도 차단되지는 않습니다. 그러나 그 VPN은 스마트폰을 지원하지 못한다는 단점이 존재합니다. 별도로 개발을 해야되는거죠. 하지만 SSTP는 앱이 유료/무료가 안드로이드만 배포를 하고 있습니다.
사용자 삽입 이미지
앱은 중국의 방화벽이 차단하는지 안하는지 테스트를 위하여 유료 결재하여 앱을 다운받았습니다. 차단 안하는걸 확인하고는 VPN을 무지 원하는 직원이 무료 apk를 찾아서 다운로드 하였더군요. 난 연구를 위해 결재했는데 왜 왜 왜~!!!
사용자 삽입 이미지

평균 14메가 이상 속도가 나와서 한국에서 사용하는것처럼 똑같다고 할수 있습니다. 한번 맛본 사람은 절대 이맛을 못잊어서 통신이라도 장애가 나면 해결해달라고 불만입니다. 그냥 쓰면서...
PC 및 안드로이드는 SSTP가 중국에서 사용할수 있는 유일한 VPN 입니다. 물론 IKEv2 프로토콜이 존재합니다만 너무 보안적이다보니 시원시원하게 터지지도 않고 UDP 프로토콜과 ESP 프로토콜을 사용하지 않은 필자에게는 그리 와닿지 않는 방식입니다.
왜 OPENVPN이 차단되는지 포트를 아무리 바꿔도 차단될수 밖에 없는지는 그리고 왜 SSTP는 차단되지 않는지는 내가 만약 중국의 인터넷을 통제하고 차단하고 싶은데 어떻게 해야될까?라고 접근하면 이해가 빠를수 있습니다. 필자는 취약한 보안을 뚫는것보단 차단하는것을 우선시하는 방법을 많이 찾고 있기 때문입니다.
중국의 VPN 차단은 원더풀 할정도로 자동화입니다. 인간들이 너무 많으니 사람이 통제하기보단 모든건 컴퓨터와 전산으로 처리할겁니다. CCTV로 용의자 및 범죄 검거율이 높은 이유도 다 이런데서 나오고 있습니다. 한국이 IT강국을 외쳤지만 중국은 이미 응용IT에 들어섰습니다. 모든 레퍼런스는 중국에서 나올지 모르겠습니다만 VPN 그것이 알고싶다 중국편 1탄은 여기서 마무리 하겠습니다.
2018/08/13 21:15 2018/08/13 21:15
Posted
Filed under Study

Change the Group Policy on your local client to use the vulnerable setting 

Run:  gpedit.msc

Go to à Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation

 

Open - Encryption Oracle Remediation à  choose Enable  à change protection levelàVulnerable à Apply

그룹정책편집기를 실행합니다.(gpedit.msc)

사용자 삽입 이미지
관리템플릿-시스템-자격증명위임-Oracle 수정 암호화 를 그림과 같이 변경해주면 모든 서버들을 업데이트 해야하거나 변경할 필요가 없습니다. 서버들을 5월자 업데이트를 완료하면 이문제가 사라지지만 이미 클라이언트PC가 업데이트가 되어 있기 때문에 클라이언트에서 변경을 해주는게 번거로운 작업을 피할수 있을거 같습니다.



2018/05/15 12:23 2018/05/15 12:23
Posted
Filed under Study
https://practical365.com/exchange-server/add-ip-block-list-provider-exchange-server-2013-edge-transport/
사용자 삽입 이미지

Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $true -RejectionResponse "IP address is listed by Spamhaus"

Set-IPBlockListProvider Spamhaus -RejectionResponse "IP address is listed by Spamhaus Zen."

사용자 삽입 이미지

사용자 삽입 이미지
Get-AntispamTopRBLProviders.ps1

우클릭 실행하거나 파워쉘로 실행하고나면 정식적으로 메일서비스를 하지 않는 SMTP서버 스팸은 100프로 차단된다고 볼수 있습니다.
2018/04/06 20:05 2018/04/06 20:05
Posted
Filed under Screen


70주년이 되어서야 이렇게 공중파로 인지도 높은 강사의 입에서 전파가 되었습니다.

필자 역시도 당시 생존자 증언을 그대로 들었습니다. 그 당시 현장에서는 말로 표현할수 없는 정말 믿기지 않는 상황이였기에 더더욱 죽일새끼들은 숨겨야 했었는지도 모릅니다.
히틀러도 비교가 안되는 이승만 글로벌 개새끼가 대한민국에 존재했던거 자체가 국가의 재앙이였던겁니다.
2018/04/04 12:07 2018/04/04 12:07
Posted
Filed under MSSQL
https://ch1n2.wordpress.com/2009/08/23/ssis-error-code-dts_e_cannotacquireconnectionfromconnectionmanager/

Data Source=localhost;User ID=test;Initial Catalog=DBNAME;Provider=SQLNCLI.1;

Data Source=localhost;User ID=test;Password=test;Initial Catalog=DBNAME;Provider=SQLNCLI.1;
사용자 삽입 이미지

비쥬얼스튜디오에서 작업하고 테스트 통과되고 정상적으로 실행되는걸 확인하고 Package dtsx 파일로 저장하는 단계에서 패스워드가 누락되어 저장되는게 문제였습니다.
사용자 삽입 이미지
패키지 실행 유틸리티에서도 테스트를 진행할려면 패스워드 구문을 넣어줘야 합니다.
사용자 삽입 이미지
작업배치에도 패스워드 구문은 저장이 안되어서 연결문자열에 추가해줘야 합니다.
패키지 실행권한은 sysadmin 권한이 필요하다고 메세지를 뿌려주네요. 사용자권한으로는 실행이 안되는거 같습니다.
이런 문제로 인하여 편집기로 해당부분을 넣어주고 SQL 작업스케쥴에 등록하는데 역시 또한 연결관리자 패스워드를 갖고오지 않았습니다. 배치작업을 수정하여 연결관리자 패스워드 부분에 입력해주면 이 문제는 해결이 됩니다.
32비트 드라이버와 64비트 연결드라이버 이슈로만 알고 있었는데 열어보니 이런 상황이 발생할줄은 생각도 못했습니다. 테스트 정상적으로 다 되었는데 누가 이런데서 이런게 누락되어 저장될줄은 알게 뭡니까...

2018/03/08 19:33 2018/03/08 19:33