제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

https://blog.watchpointdata.com/rdp-brute-force-attack-detection-and-blacklisting-with-powershell

 

 #######################Beginning of script#########################
#Checks for IP addresses that used incorrect password more than 10 times
#within 1 hours and blocks them using a firewall rule 'Blacklist Block'
 #Global variables
$logfile = "C:\Support\blocked.txt"
 #Check only last 1 hours
$DT = [DateTime]::Now.AddHours(-1)
 #Select Ip addresses that has audit failure $af
$af = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DT | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[-2]} }
 #Get ip adresses, that have more than 10 wrong logins. Change this number if you’d like.
$getip = $af | group-object -property IpAddress  | where {$_.Count -gt 10} | Select -property Name
 #Get firewall object
$fw = New-Object -ComObject hnetcfg.fwpolicy2
 #Get firewall rule named 'Blacklist Block' (must be created manually)
$ar = $fw.rules | where {$_.name -eq 'Blacklist Block'}
 #Split the existing IPs into an array so we can search it for existing IPs
$arRemote = $ar.RemoteAddresses -split(',')
#Only collect IPs that aren't already in the firewall rule
$w = $getip | where {$_.Name.Length -gt 1 -and !($arRemote -contains $_.Name + '/255.255.255.254') }
#Add the new IPs to firewall rule
$w| %{
  if ($ar.RemoteAddresses -eq '*') {
                                $ar.remoteaddresses = $_.Name
                }else{
                                $ar.remoteaddresses += ',' + $_.Name
                }
}
 #Write to logfile
if ($w.length -gt 1) {
                $w| %{(Get-Date).ToString() + ' ' + $_.Name >> $logfile}
}
Exit
#########################End of script###########################

 

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


원격데스크탑 및 터미널을 이용하는데 RD Gateway 처럼 HTTPS 인증절차가 없는 서버나 PC일경우 유용한 파워쉘 스크립트입니다.
비정규포트로 사용하더라도 스캐너를 사용하여 사용하는 포트를 감지당했을때는 바로 해킹 및 접속시도를 하게 되어 감사로그를 주기적으로 모니터링 하지 않으면 언젠가는 탈취당하게 되는 재앙이 발생하게 되어 위와같은 스크립트를 구글에서 찾게 되었습니다.
사용해보니 꽤 좋네요. 자동으로 검색해서 자체방화벽 차단 리스트에 IP를 등록해주니 많이 편해졌습니다. 터미널 포트가 아니여도 SMB나 기타 감사로그 패턴에 실패로 기록되는 서비스는 이쉘을 이용하여 자동으로 차단할수 있게됩니다.

2017/07/12 01:18 2017/07/12 01:18
Posted
Filed under Study
"사용자
"사용자
가상화를 이용한 방법중 하나가 Hyper-V 2012 R2 Free Core 버젼을 방화벽 역할을 하게 하는 방법을 소개합니다. 방화벽은 대부분 어플라이언스 제품이나 스위치 그리고 입지가 고정되어 있는 제품을 쓰는게 지금의 현실입니다. 그러나 비용 들이지 않고 DDOS 및 내외부 네트워크 보호 그리고 캐싱 가속까지 구현을 도와주는게 바로 Hyper-V 가상화라고 말하고 싶습니다. VMWare 제품으로도 가상화를 이용한 방법을 구현할수 있으나 필자가 결론을 내린건 네트워크 퍼포먼스는 V사는 호환성이나 특성 그리고 자잘한 문제를 여전히 갖고있다는것이 문제입니다. 가상화를 이용하면 가상스위치가 관리형 스위치를 대신하기 때문에 VLAN 및 대역폭 조절을 Hyper-V 안에서 전부 해결이 된다는것이 장점입니다. x86 서버이다 보니 라우터 및 게이트웨이 역할로는 성능이 절대 우위에 있습니다. 요즘은 워낙 하드웨어 사양이 좋다보니 x86 기반 방화벽 구축이 성능이 월등하기도 합니다. 장애를 대비한 복제 및 장애조치까지 가능하기에 억대 비용이 들었던 이런 솔루션들이 달랑 무료버젼으로 운영할수 있다는것은 인프라 네트워크에 축복이라고 말할수 있습니다.
레퍼런스가 궁금하다고 할수 있습니다만 몇년간 사용하는 회사도 존재하며 DDOS 방어까지 겸비한 웹사이트 운영하는 콘텐츠 서버도 이 구성에 많은 이점을 보고 있습니다.
사용자 삽입 이미지
위구성이 프런트 방화벽과 백엔드 방화벽 구성의 한예제이며 앞단 제품은 우분투커널 무료제품인 Zentyal을 이용하고 네트워크 침입방지 및 리버스 프록시 제품으로 성능이 우수한 MS제품 FTMG를 백엔드로 운영하는 그림입니다. 깡통서버 및 깡통스위치로 이러한 구성을 구현할수 있다는것은 좋은 현상입니다. 기술의 발전으로 중소규모도 이러한 구성으로 많은 이점을 볼수 있지 않을까 해서 포스팅을 남겨봅니다.
2015/03/26 01:18 2015/03/26 01:18
Posted
Filed under Study
"사용자


어느회사라고는 말 못하겠지만 직원들의 업무 집중도를 위해선 불필요한 메신져는 일체 허용을 하지 않는데가 있습니다. 경영자 입장에서는 일에 집중하니 업무 효율성이 좋다고 좋아하지만 여유를 조금이라도 즐기고 싶은 직원들 입장에서는 울상일수밖에 없습니다.
요즘 보안 문제가 붉어지면서 사내에 메신져 사용을 원천적으로 차단 권고를 하고 있습니다.
아직까지 제가 일하는곳에서는 과감하게 메신져 차단을 실시하지 않고 있습니다. 제입장에서는 과감하게 전부 차단하는것이 정보 보안상 좋은 입장이라고 보고 있지만 현실은 그렇지 않은가 봅니다.
2014/12/18 23:54 2014/12/18 23:54
Posted
Filed under Study
사용자 삽입 이미지
ISA를 설치함에 있어 기본 가이드 구성도는 위 그림과 같이 제시되었지만 앞단과 뒷단까지 방화벽을 놓으면서 ISA서버까지 구입해서 운영할수 있는 회사는 거의 드물다. 나라도 돈아까워서 안하겠지만 ISA2004 만으로도 위 방화벽 기능과 동시에 안전하고 고성능을 발휘할수 있게 할수 있는 방법을 생각해본 결과(돈이 없어서 곰곰히 생각해본거다 성능은 무슨 ㅋㅋㅋ) Windows2003 서버의 IP보안정책을 이용하는 방법도 좋을듯 하다.

사용자 삽입 이미지
ISA단에도 위 기능을 하는데 왜 자체 운영체제의 IPSec 기능을 이용해야 하나라고 의문이 들겠지만 특정 IP가 계속 1433이나 PPTP나 기타 여러가지 포트로 스캐닝을 돌리는 로그가 ISA단에서 쌓이기 때문이다. 부하까지 주는건 아니지만 그 자잘한 패킷이나 로그조차 쌓이는것 자체가 쓰레기라서 아예 ISA윗단에서 처리해야 하는 방화벽이 없으니 서비스 우선순위 IPSec 보안정책을 이용하는것이다. 위 정책에 차단 필터를 만들어 놓으면 ISA단까지 들어오질 못한다. ISA단 하위로 서버를 운영하는 상황이라면 ISA에 세션까지 허용을 거부한다면 윈도우의 IP보안정책을 이용하는것이 좋은 방법이 아닐까 블로그에 포스팅한다.
국내 보안의 달인이라는 홍모씨가 윈도우2003은 아웃바운드 방화벽은 할수 없다?라는 말을 쉽게 하였는데 정말 저사람 보안전문가 맞아?라는 의구심을 갖게 하였다. 마우스로 하는 서버라고 너무 우습게보는 사용자 관리자들의 오만한 행동을 보여주는건 아닌지 한번 생각해볼 필요가 있다.
사용자 삽입 이미지
ISA를 계속 유지하다 보면 MSDE SQL 프로세서가 메모리를 많이 먹게된다. 시스템 메모리의 70프로를 사용한다는데 2G인데도 여유메모리가 그다지 없다. 보안 서버인데 DB서버를 운영하는 이기분...
ISA가 물건이긴 물건이가보다. 서버를 운영함에 있어서, 인트라넷 인아웃바운드를 위해서, 인프라 네트워크 보안을 쉽게 관리 할수 있는 서버가 ISA제품인건 확실한거 같다.
5년동안 많이 굴려먹은 서버가 제온3.06 듀얼인데 성능이 아까워서 ISA2004 전용으로 굴려먹고 있다.
ISA 만세~~~! 최고인듯 ㅋㅋㅋㅋㅋㅋ

2010/01/19 11:11 2010/01/19 11:11
Posted
Filed under Study
사용자 삽입 이미지
굴러다니는 방화벽 소프트웨어로 구상할려고 하다가 제한사항이 있거나 설정등에 불편함이 있어서 IPSec라는 보안정책을 하나하나씩 테스트를 해봤다.
윈도우 IP필터링이나 방화벽 정책은 포트범위 설정이 안된다는 가장 큰 단점이 있어서 불편함 또한 없지 않는데 특정한 서버와 많은 포트통신을 해야될 상황이라면 모든포트를 허용해주는 방향말고는 없을듯 하다. 윈도우2003에서는 프로세스 정책으로 나가면 포트범위가 많더라도 해결이 되지만 IP정책은 여기가 한계다. 그래도 이것만 되도 얼마나 좋나...
XP역시도 IPSec 보안정책이 있지만 방화벽 룰 설정으로 쓰기엔 복잡할수도 있다. 자체 방화벽이 있는데 IPSec까지 쓸일이 있을까? 서버 운영체제가 아닌 클라이언트 운영체제이니...
제발 운영체제 2008까지는 안바래는데 2003버젼으로라도 마이그레이션 했으면 한다. 지겹다 2000서버.
2009/07/16 11:56 2009/07/16 11:56