성덕이의 개발공간

AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.1) AWS Console -> GuardDuty -> Runtime Monitoring2) Runtime Monitoring -> Enable3) Amazon EKS -> Enable4) Amazon EC2 -> Enable해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에..

1) AWS WAF -> Web ACLs -> 원하는 ACLs 선택2) 원하는 Rule 선택 -> Edit3) Scope-down statement 체크"""Statement"""4) If a request doesn't match the statement (NOT)Inspect = Single headerHeader field name = Bypass-WAFMatch type = Exactly matches stringString to match = true -> Save Rule -> Savecurl -i -H "Bypass-WAF: true" $ALB_URL #예외처리 확인

AWS WAF는 Action(Allow, Block, Count 등)을 수행하면서 많은 로그를 생성한다.따라서 로그 분석에 많은 어려움이 있을 수 있어서 선별적으로 로그를 선택해 분석의 효율성을 높여야 한다. Log Filter 생성1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) Logging and metrics -> Edit -> Add filter"""Filter logs"""Match all of the filter conditionsCondition type = .Rule action on requestCondition value = BlockFilter behavior = Keep in logsDrop from logs3) Save

AWS CloudWatch를 통해 로그 확인1) Cloudwatch log Console2) Log streams -> 원하는 로그 스트림 선택3) Log events -> 필터{ $.action = "BLOCK" } #BLOCK 로그만 검색하는 로그 필터 AWS CloudWatch Log Insights에서 로그 분석1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) CloudWatch Log Insights3) Top 100 Terminating Rules -> Run Query 간단하게 가능하다.

[AWS WAF] AWS WAF JSON 기반 규칙 생성 [T]AWS WAF에서 제공하는 Rule Visual Editor를 사용하면 간편하지만 복잡한 정책을 만들 때  JSON editor를 사용한다.혹은 AND 조건과 OR 조건의 중복 적용관련해서도 JSON으로 가능하다. 기본 WAF 규칙으로 생seongduck.tistory.com여기서 만든 JSON 정책에서 이어서 시작한다. 위의 정책 수정{"Name": "JSONRule","Priority": 0,"Action": {"Count": {}},"VisibilityConfig": {"SampledRequestsEnabled": true,"CloudWatchMetricsEnabled": true,"MetricName": "JSONRule"},"Stat..

AWS WAF에서 제공하는 Rule Visual Editor를 사용하면 간편하지만 복잡한 정책을 만들 때  JSON editor를 사용한다.혹은 AND 조건과 OR 조건의 중복 적용관련해서도 JSON으로 가능하다. 기본 WAF 규칙으로 생성 가능한 조합옵션 1. 특정 조건 매칭옵션 2. 특정 조건이 아닌 경우 매칭옵션 3. 특정 조건과(AND) 다른 특정 조건의 조합 매칭옵션 4. 특정 조건과(AND) 특정 조건이 아닌(NOT) 조합의 매칭옵션 5. 특정 조건이나(OR) 다른 조건의 조합 매팅옵션 6. 특정 조건이나(OR) 특정 조건이 아닌(NOT) 조합의 매칭=> AND, OR, AND+NOT, OR+NOT (O)=> AND+OR, AND+OR+NOT (X) 하나의 가정 상황을 두고 만들어보자.한국에서..

사용자가 정의하여 규칙을 만드는 방법도 있지만, 관리형 규칙을 이용하여 손쉽게 이용하는 방법도 있다. 1) SQL Injection 공격 방어1) AWS Console 접속 -> 해당 WAF ACLs 선택2) Rules -> Add rules -> Add Managed rule groups"""Free rule groups"""SQL database -> Add to web ACL -> Save 2) XSS 공격 방어1) AWS Console 접속 -> 해당 WAF ACLs 선택2) Rules -> Add rules -> Add Managed rule groups"""Free rule groups"""Core rule set -> Add to web ACL -> Save 3) Command Injecti..

GET Flooding 이란?HTTP GET 요청을 대량으로 서버에 보내 과부하를 일으켜 서비스나 웹 어플리케이션이 정상적으로 동작하지 못하게 하는 DDOS 공격의 일종합법적으로 요청을 가장해 서버의 리소스를 고갈시킴 AWS WAF에서 GET Flooding 공격 방어 정책 만들기1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rule builder -> 이름 적고 -> Rate-based rule"""Request rate details"""5) Rate limit = 100Surce IP address - Only consider requests that..

무차별 입력 공격이란?가능한 모든 조합의 입력 값을 시도하여 원하는 결과를 얻으려는 공격 방법 AWS WAF에서 무차별 입력 공격 방어 정책 생성하기1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rule builder -> 이름 적고 -> Regular rule"""Statement 1"""5) if a request matches all the statement (AND)Inspect = URI pathMatch type = Starts with stringString to match = /login.php"""Statement 2"""Inspect = ..

SSRF 공격이란?공격자가 서버 측에서 임의의 요청을 만들어 서버가 신뢰하는 내부 네트워크나 외부 서버에 접속하게 만드는 공격주로 HTTP 요청을 사용하는 기능에서 발생하며, 이를 통해 서버를 이용해 권한이 없는 네트워크나 리소스에 접근 AWS WAF에서 SSRF 공격 방어 정책 만들기1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rule builder -> 이름 적고 -> Regular rule"""Statement 1"""5) if a request matches all the statement (AND)Instpect = URI pathMatch ty..