Security
-
SSL TLS 취약 알고리즘 없애기Security 2021. 3. 29. 01:39
OpenVAS를 통해 취약점을 점검하고 리포트를 확인했는데 보안 상태가 좋지 않았다. 그래서 세부 사항을 보았는데 한 서버에서 취약한 알고리즘을 사용했기 때문에 취약해진 걸로 확인되었다. 그래서 취약 알고리즘을 없앤 과정을 남겨놓기 위해 글을 쓴다. Microsoft 홈페이지를 찾아보니 레지스트리 중에 SCHANNEL의 Ciphers 아래 있는 레지스트리 키가 대칭 알고리즘 사용을 제어하는데 사용한다고 되어있다. 그렇다면 이 키를 수정하면 된다는 것 같다. 설명을 계속 읽어보면 이 부분에 설정값이 없다면 기본적으로 알고리즘을 사용으로 설정된다고 한다. 그리고 사용하지 않게 설정하면 사용이 안된다고 한다. RC4 128/128 알고리즘을 차단하는 과정을 진행해보자. 레지스트리를 실행(실행에서 regedi..
-
HP Switch DH(Diffie-Hellman) 2048 Bit로 변경하기Security 2021. 3. 28. 16:12
취약점 리스트에 스위치에 설정된 DH(Diffie-Hellman) 키 길이 관련한 취약점이 나타났다. 키 길이(Key Length)가 짧다는 메시지였다. 기본 설정은 1024인데 이 길이를 최소 2048 이상으로 설정해야 한다고 나타났다. 키 길이 취약점이 계속 나오다 보니 이제는 2048을 기본으로 적용해줘야 하는 게 아닌가 싶다. 신형 스위치는 기본 키 길이가 2048일까 라는 궁금증이 든다. 이 스위치는 HP 5130 Switch이다. 언제 부터 사용한 건지는 알 수 없으나 아직 정상 동작한다. 10G 포트도 있고 이더넷 포트도 48개이다. 포트 48개 정도 커버할 수 있는 성능은 될 거라고 믿는다. 모델명도 알았으니 설정을 변경하기 위해 HP 홈페이지를 찾아간다. HP 홈페이지에서 찾은 내용을 토..
-
Aruba AP Controller DH(Diffie-Hellman) 키교환 2048bit로 변경하기Security 2021. 3. 23. 04:05
매달 검사하는 취약점 점검에서 Aruba Controller에 취약점이 발견되었는데 개수가 많다. 많은 개수에 취약한 이유는 업무상 필요한 포트의 DH 키 교환을 1024 -> 2048로 변경해야 한다고 되어 있어 문제가 되었다. 결과적으로 AP Controller에서 인증과 관련된 취약점이 있다는 의미로 받아들였다. 취약점이 생겼으니 해결을 해야 된다. 강력한 DH로 기존 DH를 수정해야 하는 상황이다. 이것은 ikesmp(Internet Security Association and Key Management Protocol, 인터넷 보안 연결 및 키 관리 프로토콜)을 변경해야 하는데 아루바 AP Controller에 SSH로 접속하여 콘솔로 해결해 보겠다. 현재 ikesmp 설정을 확인해보자. sho..
-
M1 칩(실리콘 맥) 악성코드 등장Security 2021. 2. 24. 02:22
애플이 새로운 칩이 탑재된 맥북 등을 작년에 출시했었다. M1칩 하나에 시스템이 구동됨으로써 신선한 충격을 주기도 했다. 하지만 최근에 알려진 바에 의하면 M1칩에서 동작하는 악성코드가 발견되었다는 것이다. 그것도 이미 유럽지역에서는 3만 대가량 감염되었다고 한다. Sliver-Sparrow라고 불리는 이 악성코드는 상당히 위협적인 것으로 밝혀졌다. Red Canagy라는 사이트에서 보면 동작하는 방식을 확인할 수 있다. redcanary.com/blog/clipping-silver-sparrows-wings/ Silver Sparrow macOS malware with M1 compatibility Silver Sparrow includes a binary compiled to run on Apple’..
-
Diffie Hellman 키 비트 길이 지정하기Security 2021. 1. 23. 20:16
운영하고 있는 웹서버에 취약점을 확인하기 위해 SSL Laps 홈페이지에서 취약점 진단 테스트를 하였다. 결과는 생각보다는 취약하지 않았으나 뭔가 점수가 맘에 들지 않았다. 키 교환 과정에서 점수가 확 떨어져 버린 게 아닌가.. 그렇다면 키 교환하는 과정에서 점수를 올리기 위해 조치를 취해야지.. 취약점 진단 툴을 통해 나온 결과에도 짧은 키길이의 알고리즘을 사용 중이라 위협이 된다는 내용이 있었다. 그리고 거기에 해결 방법도 함께 있었는데, Diffie Hellman(디피 헬만) 키 교환 알고리즘의 비트 길이를 늘려야 된다는 것이다. 그래서 레퍼런스도 있길래 너무 좋다고 링크를 들어가 봤더니... 외국사이트인데 설명이 있긴 한데 해석해봐도 뭔가 답이 안 나와서 계속 토론하는 듯한 식으로 정확한 해결책을..
-
AD계정 암호 만료일 변경 및 변경 확인 하기Security 2021. 1. 23. 19:26
AD 서버에 사용자 계정 암호를 30일(1달)에 한 번씩 변경하도록 설정 해 놓았다. 업무 특성상 재택근무가 가능한 팀이 많기도 하고, 회사에 출근하는 인원이 줄어들었다. 그래서 한시적으로 GPO 정책에서 암호 만료일을 최대치로 변경해 보기로 한다. AD 서버에 접속해서 그룹 정책 관리로 이동한다. 서버에 설정된 정책을 모두 볼 수 있다. 그리고 내가 수정하고자 하는 정책을 선택하여 우클릭 - Edit(편집)한다. 그룹 정책 편집을 진행하는 화면이 나오면 Computer Configuration > Windows Settings > Security Settings > Password Policy로 접근한다. 그러면 설정할 수 있는 목록들이 존재하는데 여기서 Maximum password age 부분을 더..