의미없는 블로그

NET-049. 명령어 실행 권한 제한 여부 명령어 실행 권한이 Level 15 로 되어있지 않을 경우 취약으로 판단 주요 명령어에 대해 실행 권한 Level 15 로 설정 되어 있는지 점검 스위치, 라우터 둘 다 해당되는 항목이고 근데 brocade, bigip 등의 장비는 해당 없음 cisco, a10 장비만 해당 Level 15 가 최고 권한인데 주요 명령어에 대해서 privilege 15 로 설정해서 관리자만 실행 가능하게 설정하라는 내용 1) 사용자별 권한 분리를 한 다음에 2) 명령어별 권한 분리를 하라는건데 참고: https://itinformation.tistory.com/378 근데 uvm 에서 사용자별 role 분리 되어있다는것 만으로 양호로 때리고 있다 사용자별 권한 분리 되어있다고 ..

NET-010. enable secret 설정 여부 enable secret 설정해서 패스워드 암호화 되어있으면 양호 service password-encryption 설정 여부 확인 Cisco 에서 암호화 타입 여러가지가 있는데 5는 MD5, 8은 SHA-256, 9는 Sycript 라고 한다 5도 암호화 되어있다고 볼 수 있긴 한데 최신 장비들은 Type 9를 권고한다고 함 service password-encryption 설정 되어있으면 username 아이디 secret 9 ~~~ 이런식으로 패스워드 암호화 되어 나온다 근데 service password-encryption 설정 없어도 패스워드가 아예 평문으로 노출되진 않음 (기본 설정이 그런건가?) 1) 얘는 일반적인 케이스 service pa..

NET-008. 강화된 인증기능(AAA) 사용 여부 AAA 인증이 설정되어 있거나 별도의 인증서버(TACACS+, RADIUS 등)가 설정되어 있으면 양호 AAA 인증 설정이 안되어있는 경우 Local 사용자 설정이 되어있는지 여부를 점검 AAA 라고, Authentication(인증) / Authorization(인가) / Accounting(계정) 에 관한 설정이라고 보면 되고 TACACS+, RADIUS 프로토콜이 주로 사용된다고 한다 네트워크 장비의 경우 로컬 계정으로 로긴하는 경우보다 이러한 인증서버로 접근하는 경우가 많은것 같다 그래서 인증서버를 사용 안하는 경우에는 아래 항목을 점검하면 될 것 같다 (현재 인증서버 사용하고 있으니 아래 항목은 양호 또는 N/A 로 가야겠다) NET-007. ..

NET-004. SNMP 커뮤니티 권한 설정 SNMP Community String 권한이 RO(Read Only)여야 양호 bigip_base.conf 에 보면 커뮤니티 스트링 설정은 되어있는데 권한 설정은 안보임 구글링 해보니까 설정 default 로 RO 라고 한다 (양호) 참고 : https://clouddocs.f5.com/products/orchestration/ansible/devel/modules/bigip_snmp_community_module.html

참고 블로그 : https://dobby-isfree.tistory.com/75Elastic Stack : https://documentation.wazuh.com/4.5/deployment-options/elastic-stack/index.html 와저 이벤트 연동하는거 해보려고 했는데보니까 자료가 Elastic Stack 방식 같네유 Elasticsearch / Manager+Filebeat / Kibana 이렇게 각각 설치해도 되고한 서버에 올인원으로 설치해도 된다 Discover 에 보면 알아서 sca 로그 뜸다른것도 출력하고 싶으면 설정해야댐/var/ossec/etc/decoders/local_decoder.xml/var/ossec/etc/rules/local_rules.xml↑↑ 요렇게 설정해..

에이전트 /var/ossec/etc/local_internal_options.conf 에서 아래와 같이 설정 해줘야 기능 쓸 수 있음 wazuh_command.remote_commands=1 → wodle 관련 sca.remote_commands=1 → sca yml 관련 서버 /var/ossec/etc/shared/default 에서 aaa.txt 만들면 에이전트 /var/ossec/etc/shared 에 aaa.txt 배포된다 서버 /var/ossec/etc/shared/default 에 new_linux_ubuntu.yml 올리고 /var/ossec/etc/shared/default/agent.conf 수정해주면 에이전트 /var/ossec/etc/shared 에 new_linux_ubuntu.ym..

[와저 공식 다큐먼트] https://documentation.wazuh.com/ OpenSearch / Open Distro for Elasticsearch / Elastic Stack 이렇게 세가지 구성 중에 선택해서 설치할 수 있다 서칭 기능의 차이인거 같은데 뭐가 좋은지는 잘 모르겠다 1. 걍 와저 다큐먼트 installation guide 대로 설치하면 OpenSearch 로 설치됨 2. 엘라스틱 깔때 apt install opendistroforelasticsearch 로 깔면 Open Distro 로 깔림 3. 와저 다큐먼트에 Elastic Stack 으로 설치하는거 있는데 그걸로 하면 이렇게 됨 [OpenSearch 설치] hi-wtest-i Ubunbu 20.04 / Ram 4G / CP..

와저 서버 IP 바뀌면 agent 에서 고쳐줘야됨 윈도우 C:\Program Files (x86)\ossec-agent\ossec.conf WazuhSvc 재시작 리눅스 /var/ossec/etc/ossec.conf --> server address 수정 /var/ossec/bin/wazuh-control restart 또는 systemctl restart wazuh-agent 와저 서버 IP 고정으로 하려면 VPC 네트워크 > IP 주소 > 라벨 > 고정 IP 주소로 승급 내부오픈으로 - 네트워크 > 방화벽 > 443 포트 > 소스 IP 지정 (agent 포트는 1514 쪽이라 상관없음) Kibana server is not ready yet 아래 두개 수정하고 데몬 재시작하면 된다고 했는데 안됐음 /..