Nmap을 이용한 네트워크 스캐닝과 방어하기(Scanning and Defending Networks with Nmap)

Posted on August 5, 2008 by pchero

Nmap을 이용한 네트워크 스캐닝과 방어하기
(Scanning and Defending Networks with Nmap)

한 컴퓨터 시스템을 크래킹하기 위해서는 우선 계획이 필요하다. 크래커는 목표로 하는 서버를 찾아야 하고, 그 다음에 머신에 어떤 port가 열려있는지, 시스템이 문제를 해결하기 전에 찾아야 한다.

이것은 일반적으로 스캐닝이라고 하는 것으로, 스캐닝을 통하여 네트워크상에 있는 머신을 찾고, 무슨 port가 열려있는가를 보기 위해 그 머신들을 테스트하는 작업(art)을 하게 된다. 크래커가 공격을 시작하기 전 첫번째 전략은 바로 네트워크와 호스트들을 스캐닝하는 것이다. Nmap과 같은 툴을 이용한 스캐너들 즉, “나쁜 놈들(bad guys)”은 네트워크를 둘러보고 취약한 목표를 찾는다. 한번 이런 목표들이 확인되면, 침입자는 열린 port를 스캔할 수 있다. Nmap은 또한 TCP stack fingerprinting을 이용하여 정확하게 스캔당한 머신의 타입을 결정할 수 있다.

이 문서는 각각의 네트워크에 대한 크래커의 시야를 파악하고, 보안 관리자가 자신의 사이트를 조사할 수 있도록, Nmap의 사용법에 대해 다루고 있다. 침입자 또한 같은 툴을 이용하고 있으므로, 관리자는 그들처럼 자신의 사이트가 어떻게 보이는지 알 수 있을 것이다. 하나하나 설명해 나가면서 여러분의 시스템 보안에 이 문서가 도움이 될 수 있길 바란다.

Nmap은 GNU General Public License(GPL)에 속하며, http://www.insecure.org/nmap 에서 무료로 다운로드 받을 수 있다. tar로 묶인 소스화일, 혹은 rpm으로 된 것도 있다. 필자가 이 문서를 쓰는 시점에서 안정버전은 2.12이다. 약간의 그래픽이 첨가된 프로그램도 있지만, 이 문서에서는 command-line에서의 Nmap 사용법에 대해서만 중점을 두겠다.

Nmap의 사용법은 꽤 단순하다. command-line에서의 Nmap의 옵션(flag)은 -s 를 붙이는데 스캔의 타입에 따라 다르다. 예를 들어 ping scan에서는 “-sP”이다. 옵션 다음에는 목표 호스트 또는 네트워크를 명시해 준다. Nmap의 성능은 루트로 실행했을 때 가장 최고가 된다. 왜냐하면 일반유저는 Nmap이 활용하는 custom packet을 만들 수 있는 능력이 없기 때문이다.

Nmap은 타겟을 설정함에 있어 매우 유연한 동작을 보인다. 네트워크 주소 값을 지정할 때 /mask를 덧붙여서 써주면 간단하게는 하나의 호스트, 혹은 전체 네트워크를 스캔할 수 있다. 만약 “victim/24″라고 목표를 지정한다면 네트워크 C class를 검색하고, 또한 “victim/16″이라고 한다면 B class를 검색하게 된다.

덧붙여서 Nmap은 wild cards(*)를 이용하여 네트워크 검색이 가능하다. 예를 들어 192.168.7.* 는 192.168.7.0/24 이라고 했을 때와 같은 결과 값을 얻을 수 있게 된다. 혹은 192.168.7,1,4,8-12 와 같이 subnet에 있는 호스트를 선택적으로 스캔하는 것도 가능하다.

* Ping Sweeping

침입자들은 Nmap을 가지고 전체 네트워크의 타겟 들을 훑어볼 수가 있다. 이는 보통 “-sP”라고 써줌으로써 ping scan을 하는 것이다. 일반적으로 Nmap은 ICMP echo와 TCP ACK를 각 호스트에 보내어 검색을 한다. 그러면 Nmap이 보낸 패킷에 반응을 한 호스트들이 나타나게 된다.

pchero@MyNote:~$ nmap -sP 192.168.3.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-06 00:38 KST
Host 192.168.3.1 appears to be up.
Host 192.168.3.215 appears to be up.
Nmap done: 256 IP addresses (2 hosts up) scanned in 2.378 seconds

아마도 때때로 여러분은 단지 ICMP echo request를 보낼 필요없이 시스템이 동작하는지 만을 파악하길 원할 것이다. 이런 경우 목표 네트워크를 스캔하기 위해서 TCP “ping”을 사용한다.

TCP “ping”은 목표 네트워크의 각각의 머신에게 ACK를 보낸다. 각 머신들은 TCP RST를 이용하여 응답하게 된다. TCP “ping”을 이용한 스캔을 위해서는 “-PT”라는 옵션을 첨가해주면 된다. 이번의 예제에서 80번 tcp port(http)를 target port로 이용해 보도록 하겠다. 이것은 목표의 라우터들 심지어 firewall 조차도 아마 통과할 수 있을 것이다. 주의할 것은 머신이 살아있는지 죽어있는지를 결정하는데 호스트의 target port가 열려있을 필요가 없다는 것이다. 다음에 보이는 것이 실행의 예이다.

pchero@MyNote:~$ sudo nmap -sP -PT80 192.168.3.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-06 00:44 KST
Host 192.168.3.1 appears to be up.
MAC Address: 00:11:88:4D:3D:82 (Enterasys)
Host 192.168.3.215 appears to be up.
Nmap done: 256 IP addresses (2 hosts up) scanned in 3.462 seconds

침입자들은 목표 네트워크의 머신이 살아있는지 알 때, 으레 다음 단계로 port scanning을 한다.

port scanning의 여러가지 타입들이 Nmap을 통해 제공된다. (TCP connect, TCP SYN, Stealth FIN, Xmas Tree, Null, UDP scan 등)

* Port Scanning

Nmap은 connect() system call을 이용해 목표 호스트의 지정한 port에 접속을 하고, TCP의 3-way handshake를 완결 짓기 때문에 TCP 접속을 이용한 침입자는 쉽게 탐지된다. 호스트 머신의 Log 기록들에 침입자에 의해 열려진 port들이 나타날 것이다. TCP connect scan은 -“sT” flag를 이용하여 사용한다.

pchero@MyNote:~$ sudo nmap -sT 192.168.3.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-06 00:49 KST
Interesting ports on 192.168.3.1:
Not shown: 1524 filtered ports, 189 closed ports
PORT STATE SERVICE
23/tcp open telnet
MAC Address: 00:11:88:4D:3D:82 (Enterasys)

All 1714 scanned ports on 192.168.3.215 are closed

Nmap done: 256 IP addresses (2 hosts up) scanned in 8.599 seconds

* Stealth Scanning

만약 공격자가 목표 머신의 시스템 로그 기록에 그가 요청한 것들을 남기지 않고 스캔하길 원한다면 무엇을 해야 할까? TCP SYN scans는 목표 머신에 log기록을 거의 남기지 않는다. SYN scan은 TCP 연결경로의 첫번째 패킷으로 SYN packet을 보냄으로써 시작한다. 열린 port들은 SYN|ACK 로 응답을 할 것이다. 그러나 이때 공격자가 ACK대신 RST를 전송하면 연결은 종료되게 된다. 장점을 3-way handshake가 절대 완성되는 않는다는 것과 이런 타입의 로그 기록을 남기는 사이트는 거의 없다는 것이다. 한편 닫혀있는 port들은 RST와 함께 처음의 SYN에 응답할 것이고 Nmap은 그 호스트의 port가 닫혀 있는다는 것을 결정할 수 있게 된다. SYN scan은 “-sS” flag를 이용하여 실행한다.

pchero@MyNote:~$ sudo nmap -sS 192.168.3.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-06 00:54 KST
Interesting ports on 192.168.3.1:
Not shown: 1712 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp open telnet
MAC Address: 00:11:88:4D:3D:82 (Enterasys)

All 1714 scanned ports on 192.168.3.215 are closed

Nmap done: 256 IP addresses (2 hosts up) scanned in 27.168 seconds

비록 SYN scan이 더 알아챌 수 없을지라도, 몇 가지 침입 탐지 대책들을 이용하여 탐지해 낼 수 있다. Stealth FIN, Xmas Tree, 그리고 Null scan들은 packet filter나 firewall 들을 피하는데 사용되어 진다. 이런 3가지 스캔들은 닫힌 port들을 위해 RST를 리텀하고, 열린 포트들을 packet를 버린다. FIN “-sF” 스캠은 FIN packet을 각각의 port로 보낼 것이고, 한편 Xmas Tree scan “-sX”는 FIN, URG, PUSH flag를 모두 켠다. 그리고 Null scan “-sN”은 모든 flag를 끈다.
TCP 표준들에 Microsoft는 순종하고 있지 않기 때문에 FIN, Xmas Tree, 그리고 Null scan은 오직 Microsoft 운영체제가 아닌 경우에서만 영향을 발휘한다.

* UDP Scanning

만약 침입자가 exploit(역자 주 : 크래커들이 시스템을 칩임하기 위해 사용하는 특정한 프로그램들을 지칭함)를 위해 특정 rpcbind hole 이나 cDc Back Orifice 같은 UDP hole을 찾는다면, 그/그녀는 어떤 UDP port가 열려있는지 알기를 원할 것이다.
침입자는 UDP scan “-sU”를 사용하여 호스트에 어떤 UDP port가 열려있는지 알 수 있다. 만약 호스트에서 “port unreachable” 메시지를 리턴하면 그 포트는 닫혀있는 것으로 간주된다. 대부분의 UNIX 호스트들은 ICMP 에러의 비율을 제한하고 있기 때문에 이런 방법은 시간을 많이 소비하게 된다. 다행히도 Nmap은 이런 비율을 탐지하고 그 자신의 속도를 낮추어 거부했을 때의 메시지로 인해 목표가 오버플로어 되지 않도록 한다. 다음은 UDP scan의 실행결과이다.

pchero@MyNote:~$ sudo nmap -sU 192.168.3.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-06 01:02 KST
Interesting ports on 192.168.3.1:
Not shown: 1485 closed ports
PORT STATE SERVICE
67/udp open|filtered dhcps
161/udp open|filtered snmp
520/udp open|filtered route
MAC Address: 00:11:88:4D:3D:82 (Enterasys)

Interesting ports on 192.168.3.215:
Not shown: 1486 closed ports
PORT STATE SERVICE
68/udp open|filtered dhcpc
5353/udp open|filtered zeroconf

Nmap done: 256 IP addresses (2 hosts up) scanned in 8.846 seconds

* OS Fingerprinting

종종 침입자는 특정한 플랫폼에서만 실행되는 exploit를 실행하기 위해 그와 유사한 윤영체제를 찾을 것이다. 일반적으로 TCP/IP fingerprinting은 “-O”옵션을 포함하여 원격으로 운영체제를 탐지해낸다. 이것은 ping scan을 제외한 port scan과 결합하여 사용해야만 한다. Nmap은 호스트에 다른 타입의 조사를 행하여 OS를 찾아낸다. 원격으로 OS를 탐지해내기 위한 다른 방법과 마찬가지로 ICP initial Sequence Number(ISN)의 패턴을 찾기 위해 SYN packet과 함께 선언하지 않은 flag를 리모트 호스트로 보내고, BOGUS flag는 원격 호스트의 그 반응이 어떤 종류인가를 입증하기 위해 FIN 조사같은 기능을 사용한다. 그것은 TCP stack에서 포함하고 있고 이를 Fingerprinting하게 된다. 본 문서에서 stack fingerprinting 까지 논의하는 것은 한계가 있으므로 관심이 있는 사람은 Nmap의 저자인 Fyodor에 의해 쓰여진 문서를 찾아보기 바란다.
(http://www.insecure.org/nmap/nmap-fingerprinting-aricle.html)

Nmap의 OS 탐지기능의 특징은 매우 정확하며, SYN scan을 포함하여 솔라리스 2.7 머신의 stack을 fingerprinting해서 증명하는 것과 같은 일에 효과적인 도구이다.

# nmap -sS -O
192.168.7.12
Starting nmap V. 2.12 by Fyodor
(fyodor@dhp.com, www.insecure.org/nmap/)
Interesting
ports on comet (192.168.7.12):
Port State
Protocol Service

7 open
tcp echo

9 open
tcp discard

13 open tcp
daytime

19 open tcp
chargen

21 open tcp
ftp

…
TCP Sequence Prediction: Class=random positive
increments
Difficulty=17818
(Worthy challenge)
Remote operating system guess:
Solaris 2.6 – 2.7
Nmap run completed — 1 IP
address (1 host up) scanned in 5 seconds

TCP Sequence Prediction 부분을 주의해서 보기 바란다. -O 옵션을 주어 Nmap을 실행시키게 되면 TCP Sequence Prediction이 얼마나 어려운지도 알려준다. 이것은 침입자가 호스트의 공격할 수 있는 위험성에 대한 정도로써 얼마나 침입할 가치가 있는가를 포함하고 있기도 하다.

* Ident Scanning

침입자는 종종 root로 돌아가는 web server와 같은 프로세스를 공격 대상으로 삼을 때가 있다. 만약 타겟이 identd를 돌리고 있다면 침입자는 Nmap을 사용하여 httpd 데몬이 어떤 소유자로 실행되고 있는지 찾아낼 수 있다. 이는 TCP connect scan에 “-I”옵션을 포함하여 실행한다. 아래에 한 리눅스 웹서버를 스캔 한 예가 있다.

# nmap -sT -p
80 -I -O www.yourserver.com
Starting nmap V.
2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)

Interesting ports on www.yourserver.com (xxx.xxx.xxx.xxx):

Port State Protocol
Service Owner

80 open tcp
http root

TCP Sequence Prediction: Class=random positive increments

Difficulty=1140492
(Good luck!)
Remote operating system guess:
Linux 2.1.122 – 2.1.132; 2.2.0-pre1 – 2.2.2

Nmap run completed — 1 IP address (1 host up) scanned
in 1 second

만약 당신의 웹서버가 실수로 root로 실행되도록 설정되었다면, 당신에게 회사에세 밤샐 일이 생길지도 모근다.

루트로 아파치를 실행시키는 것은 나쁜 보안 습관이다. /etc/inetd.conf 에서 auth 부분을 주석 처리해서 ident 요청을 막아두어야 한다. 그리고 inetd를 재 실행 시킨다. ident 요청을 막는 다른 방법은 ipchains나 다른 firewall을 이용하여 당신의 네트워크에 장벽을 설치하는 것이다. 이것은 어떤 데몬이 누구의 소유로 동작하는지 당신의 사이트를 조사해보려는 호기심 많은 무뢰한들을 막을 수 있을 것이다.

* Options

이런 scan들에 덧붙여서 Nmap이 제공하는 무수한 옵션들을 소개하겠다. 그 중 하나가 “-PT”이다. 우리는 이미 위에서 다루었다. 이 옵션은 타겟 머신이나 네트워크의 일반적으로 filter되지 않은 port들을 TCP ping으로 직접 ping scan할 때 사용된다. 유용한 옵션으로 “-Po”가 있다. Nmap은 port scan을 하기전에 TCP “ping”과 ICMP echo 모두를 이용하여 타겟을 ping 할 것이다. 만약 사이트에서 ICMP와 TCP 검색을 막아 놓았을 경우 보통 스캔되지 않을 것이다. 그래서 “-Po” 옵션을 이용하면 처음에 ping을 하지 않고 호스트를 스캔 하도록 Nmap에서 지원하고 있다.

한가지, 독자가 한번 사용하면 습관처럼 사용하게 될 옵션이 있다. 바로 “-v” 자세한 옵션이다. 이 옵션은 모든 스캔 타입들과 함께 사용할 수 있다. 이 옵션을 한번 혹은 두 번 사용해서 타겟 머신에 관한 보다 더 자세한 정보를 얻을 수 있다.

특정한 port를 타겟으로 삼는 기능은 “-p”옵션을 이용하여 실행된다. 예를 들어 침입자가 당신의 웹서버를 ftp(port 21), telnet(port 23), name service(port 53), 그리고 http(port 80)에 관해 조사하고, 어떤 OS를 쓰는지 까지 알길 원한다면 다음과 같은 SYN scan을 이용할 것이다.

# nmap -sS -p
21,23,53,80 -O -v www.yourserver.com

* 결론

침입자가 Nmap을 사용하여 어떤 측정을 했겠는가? Scanlogd, Countney, 그리고 Shadow와 같은 수많은 툴 들이 존재한다. 그러나 이런 툴을 사용하는 것이 실무에서 일하는 관리자들의 지식을 대신할 순 없다. 스캔은 종종 침입의 전조로 나타나기 때문에 사이트들은 그들의 머신에 대해 감시와 제어를 우선시해야 한다.

Nmap을 이용해 각자의 사이트를 감시함으로서, 시스템과 네트워크 관리자들은 잠재적인 침입자들이 당신의 사이트를 조사하는 것들을 발견할 수 있다. 자,,이제 당신의 라우터들 구석에 Nmap과 함께 리눅스 박스를 설치하고, 펭귄 군단의 하나로써 스캐닝을 시작하자!.

출처 : http://www.linuxlab.co.kr/docs/00-05-2.htm

Md5sum 사용하기

Posted on August 4, 2008 by pchero

* Md5sum 사용하기

때때로, 개발자들은 md5sum 명령을 사용해서 파일의 해시값을 계산한다. 이 해시값과, md5sum 명령을 사용해서 파일이 수정되지 않았다는 것을 확인할 수 있다. 확인하는 가장 쉬운 방법은, 먼저 개발자가 계산한 해시값을 다운로드 받고, 실제 실행 파일을 다운로드 받은 다음, 실행 파일의 해시값을 md5sum으로 계산해서 개발자가 계산한 값과 비교해 보는 것이다.

예를 들어, 당신의 시스템에 설치된 vsftpd에 보안 문제점이 있다고 하자. 당신은 이런 문제점을 해결한 최신 버전을 다운로드 하고 싶다. 웹 사이트에서 이 최신 버전을 다운로드 한 다음, 이 파일의 해시 값을 md5sum을 사용해서 계산한다.

pchero@MyNote:~$ md5sum vsftpd-1.1.3-8.i386.rpm
d2e807f808c45407f08528f50d29933b vsftpd-1.1.3-8.i386.rpm

그런데 만약 계산한 결과 값과 개발자가 올려놓은 md5sum 해시 값이 서로 다르다고 한다면 당신은 방금 다운로드 받은 파일이 개발자가 만 것이 아님을 알 수 있다.

GNU Privacy Guard

Posted on August 4, 2008 by pchero

* GNU Privacy Guard

GNU Privacy Guard(GPG)는 가장 많이 사용되는 오픈 소스 툴의 하나이다. 이 툴은 www.gnupg.org에서 다운 받을 수 있다. 여기서는 모든 Unix 버전용 실행파일과 소스 코드를 다운받을 수 있다. GPG를 사용하면 파일과 e-mail 메시지를 암호화할 수 있다. 또한 공개키들을 import 하거나 export 할 수 있다. 이렇게 하면, PGP 및 GPG에서 생성한 키들을 검사해서, 다운로드 받은 tarball 파일과 RPM 파일이 올바른 파일인지 확인할 수 있다.

* GNU Privacy Guard 사용하기.
먼저 GPG가 설치되어 있는지를 검사한다.

pchero@MyNote:~$ whereis gpg
gpg: /usr/bin/gpg /usr/share/man/man1/gpg.1.gz

이 때 GPG가 설치돼 있지 않다면, GPG를 www.rpmfind.net이나 www.gnupg.org/download.html에서 다운로드 후, 설치해야 한다.

만약 데비안 혹은 우분투 시스템일 경우

$ sudo apt-get install gpg

라고 입력한다.

프로그램이 설치됐다면, 처음 할 일은 루트가 아닌 사용자의 메모리를 보호하는 것이다. 대부분의 리눅스 시스템에서 GPG는 SUID root 로 실행시켜야 한다. 모든 애플리케이션은 시스템에 메모리를 할당하는데, GPG는 이 메모리를 안전하게 보호해야 한다. 메모리가 보호받지 못한다면, 악의적인 사용자가 메모리 정보를 캡쳐한 다음 당신이 암호화하려는 내용의 정보를 빼낼 수 있을 것이다. 이렇게 메모리를 보호하기 위해, GPG는 메모리를 사용하기 전에 먼저 잠그는(lock) 일을 한다. 메모리를 잠그려면 root 권한이 필요하다. 이 메모리를 잠근 뒤에, GPG는 프로그램을 실행시킨 사람의 권한으로 돌아간다.

애플리케이션을 SUID root로 실행시킨다는 말은, 애플리케이션을 실행시킨 사용자가 root가 아니라도 root권한으로 실행시킨다는 뜻이다.

그러나 기본적으로 GPG는 SUID root로 설치되지 않는다.
이것을 setuid root로 만들려면 다음과 같이 한다.

1. 애플리케이션을 찾는다.(우분투의 경우 /usr/bin/gpg에 있다.)
2. su – 명령으로 root 계정으로 로그인한다.
3. chmod u+s /usr/bin/gpg 명령을 실행시킨다.

그리고 다음의 명령을 실행해서 GPG동작에 필요한 디렉토리와 파일들을 생성해야 한다.

$ gpg –gen-key

그 후, 다음의 명령어로 키 쌍(key pair)을 생성해야 한다.

$ gpg –genkey

그러면 GPG는 키 유형을 선택하라고 물어볼 것이다. 여기서 선택할 수 있는 것은

Digital Signature Algorithm(DSA)
ElGamal(기본 알고리즘)
DSA(서명만)
ElGamal(서명과 암호화)

이다. 이들 옵션은 서로 다른 서명 및 암호화 알고리즘을 사용한다. 첫번째 옵션에서는 표준 Elgamal 키 분배 방법과 서로 다른 서명 및 암호화 알고리즘을 사용한다. 첫번째 옵션에서는 표준 Elgamal 키 분배 방법과 DSA를 사용하는데, 이를 이용해 서명을 하거나 데이터를 암호화한다.
DSA는 기존에 사용하던 RSA와는 달리, 사용에 제한이 없다. 여기서 만약 문서를 서명하고 암호화하고 싶다면 DSA를 사용하면 된다. 대부분의 사람을 정보를 서명하고 암호화하는데 첫번째 옵션을 사용한다. 일반적으로, 첫번째(기본값)를 선택하는 게 좋다.

그 다음, 키의 크기를 선택해야 한다. 키 크기의 기본값은 2048 bit인데, 보통은 이정도로 충분하다.

다음은 키 만료 시간을 정하는 부분이다. 키가 1년까지만 유효하도록 설정하려면 1y를 입력하면 된다.

마지막으로 유저 정보를 입력하는 부분이다.

Real name : 이름을 입력하는 부분
Email address : E-Mail 주소를 입력하는 부분
Comment : 원하는 정보를 넣는다. (ex. GPG Signature)…

그리고 입력한 정보가 맞는지 확인을 한 다음 비밀키를 생성하기 위한 passphrase를 입력한다. 이 passphrase는 최소한 6글자 이상이 되어야 하며, 물론 당연히 기억할 수 있어야 한다. 이 작업이 끝나면 GPG는 새 개인키를 생성한다. GPG가 끝나면 키가 생성됐고 서명됐다는 메시지를 받을 것이다.

이제 GPG에서 계정키를 제대로 만들고 서명했는지 확인하는 데는 다음 명령을 실행한다.

$ gpg –list-secert-key
$ gpg –list-public-key
$ gpg –list-sig

위 명령들은 각각 비밀키와 공개키를 나열하고, 서명을 나열한다.

다음으로 할 일은 취소 인증서(revocation certificate)를 만들어야 한다. 취소 인증서는, 비밀키를 삭제하고 새로 만들고 싶을 때 사용하는 인증서이다. 취소 인증서를 만드는 과정은 다음과 같다.

pchero@MyNote:~$ gpg –output revoke.asc –gen-revoke pchero21@gmail.com

sec 1024D/68B8F353 2007-11-15 Kim Sung-tae <pchero21@gmail.com>

Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision? 1
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (y/N) y

You need a passphrase to unlock the secret key for
user: “Kim Sung-tae <pchero21@gmail.com>”
1024-bit DSA key, ID 68B8F353, created 2007-11-15

ASCII armored output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!

키 쌍과 취소 인증서를 만들었다면, 이제 키를 import 혹은 export할 수 있다. 키를 export 하려면 다음 명령을 실행한다.

$ gpg –export –armor > yourname.asc

위 명령은 사용자의 공개키를 담은 파일을 생성하는 명령어이다. 이제 이 공개키를 신뢰관계를 맺고자 하는 사람에게 보내주면 된다.

그럼, 이제는 RPM 명령을 사용해서 다른 사람이 만든 서명과 공개키를 확인하는 방법을 알아보자.

먼저 다운로드받은 RPM 패키지가 Red Hat에서 만든 것인지를 확인하기 위해, Red Hat의 서명을 다운 받아야 한다. www.redhat.com으로 간 다음 Red Hat의 공개키를 받고, 원하는 RPM 파일도 다운로드 받는다.

redhat의 공개키는 다음의 주소에 있다.
http://www.redhat.com/security/team/key/

버전에 맞는 공개키를 다운받고 다음을 실행한다. 마지막에 쓴 redhat.asc는 파일명이다. 다른 파일명으로 redhat의 공개키를 저장했다면 마지막 부분을 파일명에 맞게 고쳐 써야 한다.

$ gpg –import redhat.asc

키를 import 했다면 이제 키를 서명해야 한다. 만약 이 키를 서명하지 못하면, 나중에 이 키를 사용하려 할 때 에러가 날 것이다. 키를 서명하려면 gpg –sign 명령을 이용하거나 gpg –edit-key security@redhat.com 명령을 이용하여 서명한다.

pchero@MyNote:~$ gpg –edit-key security@redhat.com
gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

pub 1024D/DB42A60E created: 1999-09-23 expires: never usage: SCA
   trust: unknown validity: unknown
sub 2048g/961630A2 created: 1999-09-23 expires: never usage: E
[ unknown] (1). Red Hat, Inc <security@redhat.com>

명령> sign

pub 1024D/DB42A60E created: 1999-09-23 expires: never usage: SCA
   trust: unknown validity: unknown
Primary key fingerprint: CA20 8686 2BD6 9DFC 65F6 ECC4 2191 80CD DB42 A60E

   Red Hat, Inc <security@redhat.com>

Are you sure that you want to sign this key with your
key “Kim Sung-tae <pchero21@gmail.com>” (68B8F353)

Really sign? (y/N) y

You need a passphrase to unlock the secret key for
user: “Kim Sung-tae <pchero21@gmail.com>”
1024-bit DSA key, ID 68B8F353, created 2007-11-15

명령> q
Save changes? (y/N) y

그리고 다운받은 RPM을 확인하는데는 다음의 명령어를 사용한다.

$ rpm -Kv your_rpm.9386.rpm

MRTG(Multi Router Traffic Grapher)를 이용한 네트웍 트래픽 모니터링

Posted on January 4, 2007 by pchero

MRTG(Multi Router Traffic Grapher)를 이용한 네트웍 트래픽 모니터링

글쓴날 : 2000년 2월 17일(목)
글쓴이 : 문태준
(http://www.taejun.pe.kr, taejun@taejun.pe.kr, taejun@hitel.net)

참고자료

리눅스월드(이건 국내판입니당) 97년 11월호 MRTG 자료

http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/mrtg.html
(mrtg 홈페이지입니다. www.mrtg.org 해도 됩니다)

TCP/IP 관련 서적

http://www.taejun.pe.kr/board2/include/linuxinfo/files/php1ua66O/mrtg-japan.html
(이건 무식하게 MRTG 일본번역자료를 다시 한일번역프로그램으로 돌린 것입니다.
이런것을 이용하여 일본리눅스 문서 프로젝트 자료를 번역하는 것도
재미있을듯. 저도 예전에 좀 해보고 말았지요. 잡담이 길었네용~~)

0. 들어가며

네트웍이 점차 보편화되고 이제 조그만 사무실에서도 보통 전용선을
사용하는 많이 사용하고 있지요. 그러면서 체계적으로 네트웍에 대한
모니터링을 하는 것도 중요해질 것입니다.

상용 네트웍 관리툴말고로 리눅스(및 기타 유닉스)에서는 MRTG라는
공개툴을 이용하여 네트웍 상황을 모니터링할 수 있습니다.

이전에 SNMP에 대해서 설명합니다.

ㅇ SNMP(Simple Network Management Protocol)
네트웍에 연결되어 있는 장치에서 네트웍에 관련된 정보를 모으고
문제점등을 보고할 수 있는 기능을 제공하는 프로토콜입니다.
C/S 모델을 기반으로 작동하며 각 네트웍 장비에 Agent 가 있고
중앙(클라이언트)의 Manager에서 정보를 관리합니다.
자세한 내용은 TCP/IP 관련 서적을 참고하세요.

ㅇ MRTG란 무엇인가?
The Multi Router Traffic Grapher (MRTG)는 네트워크의 부하를 감시하는
툴입니다. MRTG는 현재 네트워크의 상태를 HTML로 만들어서 사용자가
쉽게 볼 수 있지요.
http://www.ee.ethz.ch/stats/mrtg/ 에서 예를 볼 수 있습니다.
(설정을 조정하면 웹출력화면에서 한글도 지원이 됩니다.)

대부분의 UNIX와 NT에서 작동합니다. 당근 리눅스도 지원되니깐 제가
이 글을 쓰는 것이겠지요?
라우터에서 트래픽 카운터를 읽는 SNMP를 사용하는 펄 스크립트와
트래픽 데이타를 수집하고 쉽게 읽을 수 있도록 그래픽 화면으로
변환하는 C로 구성되어있답니다. 속도가 요구되는 부분을 C로 작성
한 것이지요. 리눅스에서 넷스케이프로 보면 되겠지요?

MRTG는 매일매일의 트래픽 상황, 과거 7일간, 4주간, 1년간 트래픽
상황을 그래프로 생성합니다. 로그를 효율적으로 관리하기 때문에
로그가 커질 염려는 하지 않아도 되고 2년간의 자료를 보관합니다.
그래서 비교적 저스펙의 하드웨어에서도 50개 이상의 네트웍 링크를
모니터링할 수 있습니다.

또한 네트웍 트래픽뿐만 아니라 모든 SNMP 변수에 대해서도 모니터링이
가능합니다. 외부 프로그램을 이용해서 MRTG가 모니터링할 수 있는
자료를 모을 수도 있습니다. 또한 시스템 부하, 로그인세션 , 모뎀의
가용성 등도 mrtg를 이용해 모니터링할 수 있다. 2개이상의 데이터 소스를
하나의 그래프로 나타낼 수도 있습니다. MRTG를 이용해 squid도
모니터링가능한데 doc 디렉토리에 참고 문서가 있답니다.

ㅇ MRTG의 특징

1.대부분의 Unix플랫폼과, WindowsNT상에서 동작 합니다
2.간단하게 커스터마이즈할 수 있도록 Perl를 사용하고 있습니다.
3.이식성이 좋은 펄을 사용해 SNMP 부분을 프로그래밍했습니다.
그래서 별도로 SNMP 패키지를 설치할 필요가 없습니다.
4.로그를 정리하기 위한 독자의 알고리즘의 채용을 하고
있으므로, MRTG의 로그파일의 사이즈가 커지지 않습니다.
5.MRTG에는 반자동의 설정용툴을 지원합니다.
6.MRTG는 라우터 포트설정이 변경되면 자동으로 체크하여
사용자에게 알려줍니다.(메일)
7. 속도가 중요한 부분은 C로 작성되었습니다.
8.Thomas Boutell의 GD library 를 사용합니다. 그래프는
GIF 포맷으로 만들어집니다.
9. MRTG가 생성하는 HTML파일을 상세하게 설정하는것이 가능.
10.MRTG는 GNU PUBLIC LICENSE 로 제공됩니다.

MRTG의 역사, 릴리즈 노트 등응 생략합니다.

contrib 디렉토리에 위에서 말한 cpu부하등의 정보를 모니터링하는
툴과 문서가 있습니다.

00INDEX cfgmaker_cisco/ get-multiserial/ mrtgindex.cgi/
00INDEX~ cisco_ipaccounting/ ircstats/ mrtgmk/
14all/ cisco_tftp/ jm/ ovmrtg/
GetSNMPLinesUP/ ciscoindex/ mrtg-archiver/ ping-probe/
NSI/ cpuinfo/ mrtg-blast/ portmasters/
PMLines/ cpumon/ mrtg-dynip/ rdlog2/
TCH/ diskmon/ mrtg-ipacc/ rumb-stat/
ascendget/ distrib/ mrtg-ipget/ stat/
atmmaker/ forecd/ mrtg-mail/ whodo/
cfgmaker_ATM/ get-active/ mrtgidx/ xlsummary/

1. mrtg 설치하기

http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/mrtg.html

1.MRTG의 최신판을 다운 로드
http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/pub/

mrtg-2_8_9_tar.gz

tar xvfz mrtg-2_8_9_tar.gz 하면 풀리겠지요?

[root@taejun mrtg-2.8.9]# ls
ANNOUNCE
CHANGES
COPYING
COPYRIGHT
MANIFEST
Makefile.in
README
configure* ------>> 첫 환경설정
configure.in
contrib/ ----->> 각충 추가 프로그램
doc/ ------>> 문서
images/ -------->> 이미지 파일.
install-sh*
run/ ---->> 실행스크립트. 제일 중요
src/
translate/ --->> 지원언어

제가 사용할때는 2.8.9 였습니다. 이전버전는 모르겠는데
HTML 생성시 한글을 지원해서 좋더라구요. 최근에 추가된듯.

Kensoon Hwang <lovesh@static.co.kr>

사용하는 분들 이분에게 감사의 편지라도....

2. GD 라이브러리가 없으면 아래 사이트에서 받아서 컴파일
http://www.boutell.com/gd/

3. Perl 5.004_4 이상 버전이 있어야합니다.
http://www.perl.com/perl/info/software.html

4. ./configure
시스템에 맞는 Makefile을 만들어주지요.
펄이나 GD경로가 맞는지 확인해보아야하는데 아마 자동으로
찾아줄 것입니다. 저도 변경하지 않고 그냥 했지요. ok

5. make
rateup실행 파일을 만들기 위해서 make 를 실행합니다.
rateup 프로그램은 db 파일을 업데이트하고 그래픽 이미지등을
생성하는 프로그램이라고 하네요. 신경쓰지 말고 그냥 make

6. MRTG에서 생성할 웹페이지 디렉토리를 정합니다.
/usr/local/www/htdocs/mrtg 라고 가정하지요.
그러면 여기에 imags 디렉토리 밑의 mrtg*.gif 파일을 다 복사해
줍니다.

7. run 디렉토리에 실행파일이 있습니다. 확인합시다.
BER.pm SNMP_Session.pm SNMP_util.pm cfgmaker* cfgmaker_ip*
cfgmaker_phys indexmaker* locales_mrtg.pm mrtg*

8. 다음에 자신의 mrtg.cfg파일을 작성 합니다.
이 파일에 관한 정보는config.html에 있습니다.
아마 처음에는 익숙하지 않은 것입니다.
doc 디렉토리에 샘플파일이 있으니 이것을 참고하는 것도 좋습니다.

이걸 자동으로 만드는 툴이 cfgmaker입니다.
(라우터의 포트번호를 알아내는 프로그래이랍니다)

cfgmaker <community>@<router-host-name or IP > mrtg.cfg

라우터의 community@route 주소 를 지정해야지요.
라우터의 community 이름을 모른다면 public을 사용해보고
그래도 안되면 관리자에게 문의하세요.

./cfgmaker public@203.239.148.193 > mrtg.cfg
이런 식으로 하면 됩니다. 보통 라우터는 gateway주소겠지요?

여기서 mrtg.cfg 설정하는 것이 좀 여러운 부분입니다.

위에서 자동으로 생성된 파일을 다음과 같이 수정합니다.
이건 제일 윗줄에 적으면 되죠. Language는 직접 추가해야합니다.

WorkDir: /usr/local/www/htdocs/mrtg/
Language: korean --->> 한글 설정

대략 이런 형태로 설정될 것입니다.

WorkDir: /usr/local/www/htdocs/mrtg
Target[love]: 2:public@myrouter.somplace.edu
MaxBytes[love]: 64000
Title[love]: Traffic Analysis ISDN
PageTop[love]: <H1>Stats for our ISDN Line</H1>

WorkDir: /usr/local/www/htdocs/mrtg
--> 웹 파일이 생성될 디렉토리

Target[love]: 2:public@myrouter.somplace.edu
--> [love] -> 체크하고자하는 라우터의 포트에 붙이는 이름.
나중에 보면 love.html로 됩니당.
--> 2 : 라우터의 포트번호
--> public : 라우터의 commnunity 이름
--> myrouter.somplace.edu : 라우터 주소지정

MaxBytes[love]: 64000
-->> 전송속도를 나타냅니다.

Title[love]: Traffic Analysis ISDN
-->> 말그대로 이에 대한 제목이라고 보면 됩니다.

PageTop[love]: <H1>Stats for our ISDN Line</H1>
-->> 웹페이지 제일 위에 올라가는 말입니다.

쩝. 위 설명을 좀 빈약하군요.
doc 밑의 config.html 이나 config.txt를 참고하세요.

그리고 한국사람들은 한글 지원을 추가합시다!!!

9. 이제 MRTG를 실행해야겠지요?
run 디렉토리에서

./mrtg mrtg.cfg

만약 설정파일에 에러가 있다면 에러를 냅니다.
에러가 없다면 이제 라우터에서 트래픽 자료를 수집하지요.
그런데 처음에 실행하면 MRTG가 로그 파일이 없다고 에러
메시지가 나오는데 두세번 실행하면 없어지니 너무
놀라지 마세요.

10. MRTG를 crontab에 등록합니다.

0,5,10,15,20,25,30,35,40,45,50,55 * * * *
/usr/local/mrtg/run/mrtg /usr/local/mrtg/run/mrtg.cfg

(실제로 작성할때는 위에서 는 빼야겠지요? 여러줄의미)

첫컬럼이 무지 긴데 */5 로 해도 되겠지요.
이제 /usr/local/www/htdocs/mrtg/ 로 가서 웹에서 확인해보세요.

여기까지 하였다면 축하~~~~~~~

2. 기타

2.1. 개요 페이지 만들기
링크가 많다면 페이지가 여러개 필요합니다.
위에서 Target[love] 라고 되어있는데 이렇게 [ ] 안에 들어가 있는
문자열로 웹의 mrtg 디렉토리 밑에 love.html 과 관련 그래픽파일이
생깁니다. 그렇다면 이러한 타겟에 대한 개요 페이지를 만들면 편리할
것입니다. 그러니깐 여러가지 링크에 대한 주메뉴화면이라고나 할까요.

indexmaker <mrtg.cfg> <regexp for router-names>

이렇게 설명이 되어있는데요.

저의 경우는 이렇게 했습니다.

indexmaker -t 'All My Router' -r . -o
/usr/local/www/htdocs/mrtg/index.html mrtg.cfg

(실제로 작성할때는 위에서 는 빼야겠지요? 여러줄의미)

명령어의 도움말 보시면 이해가 갑니다. 여기까지 설명하기에는 헥헥~

2.2. 프락시, 로컬 캐쉬 문제
MRTG는 기본적으로 5분마다 그래프를 업데이트합니다.
그런데 프락시나 로컬 캐쉬때문에 문제가 생길 수 있다고 합니다.
아파치 서버를 사용한다면 mrtg.cfg 에서 WriteExpire와
아파치 웹서버의 MetaDir 키워드를 적절히 세팅해야합니다.
이에 대해선 MRTG 홈페이지 참고. 제가 잘 되니깐 별로 고민안하게
되네요.

2.3. 추가기능
MRTG의 본래의 목적은 트래픽 감시입니다만, 어떤
SNMP변수도 모니터링할 수 있습니다. 모뎀 뱅크 상황,
서버의 부하, 인터페이스의 에러율 등.

이에 대해서는 mibhelp.txt 와 contrib 디렉토리를 참고하세요.

4. 마치며

대략 이정도로 정리를 합니다.
설정 파일에 대한 설명은 이후로 미룹니다. 물론 몇십년이 될지
장담은 못 하겠지요.

네트웍에 대해 정확히 모니터링해서 쓸데없이 대용량의 회선쓰지말고
돈을 절약합시다. SNMP에 대해서는 관련 서적을 참고하시구요.
저도 잘 모릅니다.

RRDTool 의 이해 #2

Posted on January 2, 2007 by pchero

6. 이용 사례

http://kornet.hanirc.org/chanstat/

HanIRC의 채널별 사용자 통계를 보여준다. 5분간격의 데이터를 1시간 단위로 자동 업데이트한다.
장혜식님의 py-rrdtool을 사용한 페이지

http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/gallery/

* 참고 자료

RRDtool 매뉴얼

http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/manual/index.html

itup님의 RRDtool 튜토리얼, 논문 자료

http://myhome.hanafos.com/~itup/index.html

이은태님의 ‘RRDTool로 서버의 상황을 파악하자.’

http://kltp.kldp.org/stories.php?story=03/02/13/1717339
출처 : Tong – 안토_통님의 모니터링 프로그램통

탱이의 세상만사

탱이의 세상사는 이야기

Category Archives: 해킹과 크래킹

Nmap을 이용한 네트워크 스캐닝과 방어하기(Scanning and Defending Networks with Nmap)

Md5sum 사용하기

GNU Privacy Guard

MRTG(Multi Router Traffic Grapher)를 이용한 네트웍 트래픽 모니터링

RRDTool 의 이해 #2