https://itwiki.kr/api.php?action=feedcontributions&user=58.229.38.18&feedformat=atomIT위키 - 사용자 기여 [ko]2024-03-19T03:41:15Z사용자 기여MediaWiki 1.38.1https://itwiki.kr/index.php?title=IPS&diff=27354IPS2021-10-29T08:06:15Z<p>58.229.38.18: 넘겨주기 대상을 침입차단시스템에서 침입방지시스템 문서로 변경했습니다</p>
<hr />
<div>#넘겨주기 [[침입방지시스템]]</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=27353침입차단시스템2021-10-29T08:05:58Z<p>58.229.38.18: 넘겨주기 대상을 침입방지시스템에서 방화벽 문서로 변경했습니다</p>
<hr />
<div>#넘겨주기 [[방화벽]]<br /></div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=27352침입차단시스템2021-10-29T08:05:41Z<p>58.229.38.18: 넘겨주기 대상을 방화벽에서 침입방지시스템 문서로 변경했습니다</p>
<hr />
<div>#넘겨주기 [[침입방지시스템]]<br /></div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=26699침입차단시스템2021-08-13T07:28:33Z<p>58.229.38.18: 58.229.38.18 (토론)의 26698판 편집을 되돌림</p>
<hr />
<div>[[방화벽]]과 동일<br />
기존 내용은 [[침입방지시스템]]으로</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=26698침입차단시스템2021-08-13T07:27:22Z<p>58.229.38.18: 58.229.38.18 (토론)의 26697판 편집을 되돌림</p>
<hr />
<div>[[방화벽]]과 동일</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=26697침입차단시스템2021-08-13T07:26:05Z<p>58.229.38.18: </p>
<hr />
<div>[[방화벽]]과 동일<br />
기존 내용은 [[침입방지시스템]]으로</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=26696침입차단시스템2021-08-13T07:25:39Z<p>58.229.38.18: 내용을 "방화벽과 동일"(으)로 바꿈</p>
<hr />
<div>[[방화벽]]과 동일</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%B9%A8%EC%9E%85%EB%B0%A9%EC%A7%80%EC%8B%9C%EC%8A%A4%ED%85%9C&diff=26695침입방지시스템2021-08-13T07:23:01Z<p>58.229.38.18: 새 문서: 분류:보안 분류:보안 도구 ;IPS; Intrusion Prevention System ;네트워크 또는 호스트로의 비정상적인 접근을 탐지하고 자동으로 차단하는 시...</p>
<hr />
<div>[[분류:보안]]<br />
[[분류:보안 도구]]<br />
<br />
;IPS; Intrusion Prevention System<br />
;네트워크 또는 호스트로의 비정상적인 접근을 탐지하고 자동으로 차단하는 시스템<br />
<br />
==IPS의 특징==<br />
<br />
*지능형 방어<br />
*적극적 방어<br />
*오탐 최소화<br />
<br />
==[[침입탐지시스템|침입탐지시스템(IDS)]]과의 차이==<br />
{{틀:침입탐지시스템과 침입차단시스템}}<br />
<br />
==[[방화벽]]과의 차이==<br />
<br />
*장비에 유입되는 트래픽을 검사하는 영역의 차이<br />
*방화벽은 단순히 IP와 포트 정책을 기반으로 차단하는 것과 달리, IPS는 시그니처 기반으로 패킷을 분석하여 차단 수행<br />
*IPS는 정상적인 IP와 포트에서 들어오는 악성코드 등도 탐지 및 차단 가능</div>58.229.38.18https://itwiki.kr/index.php?title=%EC%85%B8%EC%87%BC%ED%81%AC&diff=26660셸쇼크2021-08-04T03:27:08Z<p>58.229.38.18: </p>
<hr />
<div>[[분류:보안]][[분류:보안 취약점]]<br />
;Shell Shock<br />
<br />
; CVE-2014-6271<br />
<br />
리눅스 OS에서 가장 흔하게 사용되는 Bash Shell의 취약점으로, 공격자가 원격에서 악의적인 명령을 실행시킬 수 있다.<br />
<br />
== 역사 ==<br />
* 2014년 9월 12일 영국에서 IT매니저로 근무하는 프랑스인인 스테판 챠젤라스가 최초 발견<br />
* 해당 취약점이 존재하는 코드는 1993년도 이전부터 최근에 발견되기 전까지 20년 동안 존재<br />
* 취약점 정보와 공격 도구가 공개된 즉시 인터넷 트래픽에서 이를 악용하는 공격들이 급증<br />
* CGI 웹서버만을 대상으로 하는 공격자의 활동이 점점 NAS 장비등 여러 환경으로 확산<br />
* 각 OS 개발자에서는 급히 보안 패치를 발표<br />
* 구글의 보안 연구원인 타비스 오르만디는 자신의 트위트를 통해 해결된 패치를 적용해도 함수 선언문 처리 과정에 여전히 문제점이 있다고 밝혀 재 이슈화<br />
* 구글의 미첼 잘루스키는 Bash의 함수 처리 부분을 퍼징(Fuzzing)하는 동안 두가지 취약점을 추가적으로 발견<br />
* 이후 레드햇의 연구원인 토드사빈, 플로리안 웨이머는 Bash가 10개 이상의 리다이렉트 명령문을 처리하거나 특수한 반복문을 처리하는 과정에서 잘못된 메모리 접근을 유발할 수 있다는 추가적인 취약점을 공개<br />
* 지속해서 패치가 발표됨 <br />
<br />
== 공격에 노출된 경우 ==<br />
* 쉘쇼크 취약점은 시스템에 GNU Bash가 설치되어있다고 무조건 공격에 영향을 받는 것은 아니며 환경변수를 통해 Bash를 호출할 수 있는 프로그램 또는 스크립트가 시스템 내에 존재할 경우 취약점에 영향을 받는 특성을 가짐<br />
* 그러나 흔히 사용되는 많은 프로그램이 취약한 특성을 보이고 있어 인터넷에서 홈페이지를 운영하고 있는 수많은 웹서버들이 공격에 노출됨<br />
* 특히 Apache를 통해 인터넷에 CGI 페이지를 서비스하고 있는 경우 공격에 별다른 제약 조건이 없어 공격자들이 가장 선호하는 공격 대상<br />
* 취약한 프로그램 : Apache mod_cgi, VOIP SIP Server, QMail, SSH, suPHP, Postfix, gopher, Nginx, procmail<br />
<br />
== 취약 정도 ==<br />
* 정말 간단한 방법으로도 시스템을 장악할 수 있는 극도로 취약한 취약점이다.<br />
* 미국국립표준기술연구소(NIST)에선 취약점 등급을 [[하트블리드]] 취약점의 5점 보다 높은 최고 점수인 10점을 부여하였다.<br />
<br />
== 공격 예시 ==<br />
* 악용 가능성이 제일 높은 CGI 페이지 공격<br />
# CGI는 HTTP 패킷의 헤더의 데이터를 환경변수로 설정하여 쉘을 실행<br />
# 헤더 부분에 취약점을 공격하는 페이로드를 삽입하면 CGI페이지를 운영 중인 서버에 임의의 명령어를 실행 시킬 수 있음<br />
# 공격자가 접속할 수 있도록 포트를 열어두고 공격자는 웹을 통해 편하게 원하는 악성코드를 전송시켜 시스템을 장악할 수 있음<br />
<br />
== 대응 ==<br />
* Bash Shell을 최신으로 업데이트<br />
* 사용하지 않는 CGI 페이지 삭제 또는 관련 서비스 중지<br />
* IPS/IDS 등을 이용하여 공격 시그니처를 등록하여 차단 할 수 있음<br />
<br />
== 출처 ==<br />
* GNU Bash 원격코드실행 취약점 FOCUS4 이슈 분석 및 대응방안<br />
* [http://tar-cvzf-studybackup-tar-gz.tistory.com/48 보안 공부 블로그]</div>58.229.38.18