Cordilog의 정보보안 공부 기록

SOAR 구축 실습: Snort 경보 기반 자동 침해대응 플레이북 엔진

Snort IPS가 공격을 탐지하면 로그를 확인해서 수동으로 차단 규칙을 넣고, 팀에 알리고, 인시던트 티켓을 만드는일반적인 운영 흐름을 SOAR(Security Orchestration, Automation and Response)로 자동화할 수 있다. 이번 실습에서는 Python Flask 기반의 "Mini-SOAR" 플레이북 엔진을 구축해 본다.Snort alert가 발생하면 자동으로 iptables 차단, Slack 알림, Notion 인시던트 티켓 생성까지 이어지는 전체 파이프라인을 단계별로 실습한다. 1. 전체 아키텍처와 네트워크 구성실습의 전체 아키텍처는 아래와 같다. Kali(공격자)가 외부에서 DMZ(웹서버)을 공격하면, 방화벽/IPS 서버의 Snort IPS가 이를 탐지하고 alert..

awk - 필드 단위 텍스트 처리 도구

1. awk란?awk는 유닉스/리눅스 환경에서 텍스트 데이터를 처리하기 위한 프로그래밍 언어이자 명령어 도구이다.이름은 세 명의 개발자 Aho, Weinberger, Kernighan의 이니셜에서 유래했다.awk는 입력을 한 줄(레코드)씩 읽어 들이고, 각 줄을 필드 단위로 분리한 뒤, 지정된 패턴에 매칭되는 줄에 대해 액션을 수행하는 구조로 동작한다. grep이 검색에 특화되어 있고, sed가 치환에 특화되어 있다면, awk는 필드 단위 데이터 가공에 특화되어 있다.로그 분석, 시스템 모니터링 스크립트, 텍스트 리포트 생성 등 실무에서 가장 빈번하게 사용되는 도구 중 하나이다.먼저 awk가 입력 데이터를 어떻게 해석하는지 구조를 살펴보자. awk는 입력을 레코드(줄) 단위로 읽고, 각 레코드를 필드 단..

sed에서 사용하는 정규표현식 - BRE와 ERE

1. sed와 정규표현식sed(Stream Editor)는 텍스트 스트림을 한 줄씩 읽어 패턴 매칭과 변환을 수행하는 도구다.이때 패턴을 기술하는 언어가 바로 정규표현식(Regular Expression)이다.sed는 기본적으로 BRE(Basic Regular Expression)를 사용하며, -E 또는 -r 옵션을 주면 ERE(Extended Regular Expression)로 전환된다.# BRE (기본)sed 's/pattern/replacement/' file# ERE (확장)sed -E 's/pattern/replacement/' fileBRE와 ERE의 가장 큰 차이는 메타문자에 백슬래시가 들어가는지 여부에 있다.기능은 같지만 가독성에서 차이가 있을 수 있다. 2. BRE vs ERE 기능BR..

스트림 편집기 sed 명령/옵션 정리

1. sed란?sed(Stream EDitor)는 입력 스트림을 줄 단위로 읽어 지정한 명령을 실행하고 결과를 출력하는 텍스트 처리 도구다.파일을 직접 열지 않고 파이프라인에서 텍스트를 처리할 수 있어 쉘 스크립트와 시스템 자동화에서 자주 쓰인다.1️⃣ 기본 처리 사이클sed는 실행될 때마다 아래 순서를 반복한다.sed는 자동 출력(auto-print) 이 기본으로 켜져 있어서 아무 명령을 지정하지 않아도 입력이 그대로 출력된다.# 아무 명령 없이 sed만 써도 그대로 출력됨echo -e "hello\nhi" | sed ''hellohised ''는 빈 명령이지만 자동 출력 때문에 입력 스트림이 그대로 stdout으로 나온다.2️⃣ -n 옵션 : 자동 출력 비활성화-n은 이 자동 출력을 끄는 스위치다. ..

우분투 서버에 Claude Code 설치하기

0. 이 서버의 목적이번에 구축할 서버는 다음 두 가지를 목적으로 한다.첫째, SOAR(Security Orchestration, Automation and Response) 엔진을 직접 개발하고 실행할 전용 서버가 필요하다. 보안 이벤트를 자동으로 수집·분석·대응하는 파이프라인을 Python으로 짜고, 개발 도구로 Claude Code를 사용한다.별도로 구축한 방화벽 VM, 공격용 VM(Kali)과 동일한 네트워크에 붙여서 실제 보안 실습 시나리오와 연동하려는 목적이다. 둘째, 향후 AWS EC2로의 이전을 염두에 두고 구축한다.로컬 VM에서 충분히 검증한 뒤, 동일한 환경의 EC2 인스턴스에 그대로 올려서 클라우드 기반 SOAR 운영 실습까지 이어가는 것을 최종 목표로 한다.따라서 AWS 호환성을 기..

1. IPsec이란?IPsec(Internet Protocol Security)은 IP 레이어(L3)에서 동작하는 보안 프로토콜 모음이다.상위 레이어 애플리케이션의 수정 없이 패킷 단위로 암호화·인증·무결성을 보장할 수 있다는 것이 특징이다.IPsec이 보장하는 네 가지 목표는 다음과 같다.기밀성데이터 암호화 — 도청 방지무결성데이터 변조 감지인증통신 상대방 신원 확인재전송 방지Replay Attack 차단 2. IPsec의 두 프로토콜: AH vs ESP1️⃣ AH (Authentication Header) — Protocol 51AH는 인증과 무결성만 제공한다.암호화 기능은 없으며, IP 헤더를 포함한 패킷 전체를 인증 범위에 포함시킨다.NAT 환경에서는 IP 헤더가 변조되기 때문에 AH 검증이 실패..

네트워크 보안이나 인프라를 공부하게 되면 "프록시"라는 개념을 두 가지 맥락에서 알아야 한다.방화벽 정책을 짤 때도, Nginx 설정을 볼 때도 포워드 프록시와 리버스 프록시는 사실상 방향부터 목적까지 별개의 개념으로 이해해야 한다.두 프록시의 차이를 트래픽 방향과 보호 대상 기준으로 알아보자. 1. 포워드 프록시 (Forward Proxy)1️⃣ 정의와 위치포워드 프록시는 클라이언트 집단을 대신해 외부 인터넷으로 나가는 요청을 중계하는 중간자다.클라이언트는 직접 인터넷에 나가지 않고, 반드시 프록시를 거친다.[사내 PC들] → [프록시 서버] → 인터넷클라이언트 입장에서 프록시는 "나 대신 심부름해주는 대리인"이다.서버 입장에서는 실제 클라이언트가 누구인지 모른다 — 프록시의 IP만 보인다. 2️⃣ ..

iptables로 트래픽을 차단하는 것만큼 중요한 것이 어떤 패킷이 들어오고 나가는지 기록하는 것이다.1. LOG 타깃의 동작 원리1️⃣ Non-terminating targetiptables의 타깃은 크게 두 종류로 나뉜다.Target예시동작Terminating targetACCEPT, DROP, REJECT패킷을 처리하고 체인 순회를 종료Non-terminating targetLOG, MARK, CONNMARK처리 없이 다음 룰로 계속 진행여기서 살펴볼 LOG는 non-terminating target이다.패킷을 커널 로그에 기록하고, 체인 순회를 그대로 이어간다.즉, LOG 룰에 매칭된 패킷은 반드시 그 뒤의 룰에서 최종 처리된다.2️⃣ LOG 단독으로는 패킷을 막을 수 없다아래 구성은 의도와 다르..

iptables의 상태 추적(stateful inspection) 기능은 단순히 포트를 열고 닫는 수준을 넘어, 패킷이 현재 TCP 연결 상태와 맞지 않을 때 이를 INVALID로 분류해 자동으로 차단한다.이번에는 hping3로 비정상 패킷을 직접 만들어 INVALID 동작을 검증하고, LOG 타깃을 활용해 실시간 패킷 로깅 체계를 구축하는 방법을 알아보자. 1. INVALID 패킷이란?iptables의 -m state 모듈은 각 패킷을 NEW, ESTABLISHED, RELATED, INVALID 중 하나의 상태로 분류한다.이 중 INVALID는 기존 연결 테이블에 존재하지 않는 세션에 대해 연결 종료/리셋 신호가 들어올 때 붙는 레이블이다.TCP 플래그와 연결 상태의 관계를 정리하면 다음과 같다. T..

방화벽이 연결 상태 추적을 못하면 패킷이 새로운 연결 요청인지, 이미 허가된 세션의 일부인지, 아니면 아무 연결도 없는 상태에서 날아온 비정상 패킷인지 구분할 수 없다.iptables의 conntrack 모듈은 이러한 문제를 해결하는 상태 추적 엔진이다. 1. conntrack이란?conntrack(Connection Tracking)은 Linux 커널의 netfilter 프레임워크 안에 있는 상태 추적 모듈이다.커널은 이 모듈을 통해 모든 네트워크 연결의 상태를 테이블에 기록하고, iptables 룰이 각 패킷의 "상태"를 기준으로 허용 / 차단 여부를 결정할 수 있도록 만든다.iptables에서 상태 기반 필터링을 사용하려면 -m state 또는 -m conntrack 매칭 모듈을 지정한다. # -m..