10. 5. 17.
BLOG를 이전합니다. 그 동안 많은 성원에 감사드립니다.
다양한 멀티미디어 제공을 위해 설치형 브로그가 적합한 것으로 판단하고 이전하였습니다. 그 동안의 성원에 감사드립니다.
아래의 링크를 통해서 놀러오세요.
L7 seculab.forunet.kr
10. 5. 7.
robot.txt 취약점
웹 사이트에서 일반적으로 사용하는 robot.txt 파일은 로봇의 검색을 제한하기 위해 만들어진 규약으로 웹 사이트에 대한 민감한 정보를 차단하기 위해서 사용됩니다. 하지만 이 파일을 역으로 이용하여 웹 사이트를 해킹할 수 있습니다.
탐색과정
로봇(google, naver, daum 등)은 웹 사이트를 검색하기 전에 robot.txt 파일이 있는지 여부를 확인한 후 그 설정에 따라서 동작합니다. 하지만 robot.txt는 강제성을 띄지 않으므로 일부 스팸 발송자나 다른 악의적인 사용자는 이 파일의 설정을 무시하고 웹 사이트를 검색할 수 있습니다.
설정
robot.txt 파일은 웹 사이트의 최상위 경로에 있어야 하며, 다른 경로에 제공 시 robot.txt의 규칙을 사용하지 못 합니다. 그리고 robot.txt에 설정하는 규칙은 아래와 같이 2 가지가 있습니다.
1. User-Agent
일반적으로 robot이 해당 웹 사이트를 검색할 때 사용하는 user-agent 정보를 확인하며, 아래와 같은 agent가 존재합니다.
google | Googlebot |
Google image | Googlebot-image |
naver | Cowbot |
yahoo | Slurp |
Yahoo image | Yahoo-mmcrawler |
empas | Empas |
msn | Msnbot |
User-Agent 설정 시 "*"로 설정하면 전체에 대한 robot 설정을 할 수 있음.
2. Disallow
"Disallow : /folder1/"로 설정할 때 "/folder1"에 대한 access는 허용하지 않도록 설정할 수 있다.
대응기법
1. 관리자 페이지에 대한 접근 정책을 설정하여, 특정 IP 대역에서만 접근을 하도록 하면 보안을 강화할 수 있다. 이는 넷스케이러의 CF(Content Filtering) 기능을 통해서 간단하게 제공할 수 있다.
2. Meta tag 사용하여 robot이 웹 사이트를 검색할 때 웹 페이지에 대한 contents 수집여부 및 방식을 지정하는 규약이다.
일반적으로 설정하는 방법은 아래와 같으며 추가적인 meta tag에 대한 정보는 별도의 자료를 참조(http://www.robotstxt.org")
<head> <meta name="robot" content="noindex,nofollow"> <meta name="description" content="검색금지"> </head> |
Jae Hong Kim
Manager / Technical 2 Team / Specialist
FOR YOU NETWORKS
3F., MyungKwang Bldg, 1702-10 Seocho-dong, Seocho-ku, Seoul Korea
T. 82-2-585-6611 M. 82-10-2587-3621
F. 82-2-565-7115 E. jhkim@foryounet.co.kr
Foryounetworks is the global leader in Network infrastructure.
10. 4. 30.
[linux] 넷스케일러 SNMP 테스트 환경 및 테스트 방법
개인적으로 리눅스 중에 자동 업데이트(yum)를 지원하는 FEDORA 리눅스를 선호하는데, 이 환경에서 SNMP 테스트를 위한 유틸리티는 아래와 같은 명령어로 구축할 수 있다.
#yum install net-snmp-utils |
이렇게 설치한 후 넷스케일러에 대한 SNMP 테스트는 아래와 같이 /usr/share/mibs 경로에 넷스케일러 SNMPv2.mibs 파일을 복사한 후 테스트를 직접 할 수 있다.
#snmpwalk –v 2c –c public –m /usr/share/mibs/NS-MIB-smiv2.mib <ip> nsIfStatsTable |
위와 같은 직관적인 nsIfStatTable으로 SNMP 정보를 확인할 수 있다.
10. 4. 29.
넷스케일러의 정보를 추출하여 별도의 파일로 기록하는 방법
LogDir="/var/temp/vpnuser" CurrentDate=`date` FinalDate=`date -j -f "%a %b %d %T %Z %Y" "${CurrentDate}" +"%Y-%m-%d %T"` FileDate=`date -j -f "%a %b %d %T %Z %Y" "${CurrentDate}" +"%Y-%m-%d"` vpn=`ssh nsroot@localhost 'sh vpn vserver' | sed -n '/Current AAA Users/p' | nawk '{print $4}'` #sh vpn vserver 명령에 대한 결과 중 "Current AAA Users"라인만 프린트한 후 awk 명령어로 특정 field에 대한 string 값을 출력한다. if [ ! -e "${LogDir}/${FileDate}.txt" ]; then echo "TIME|Current VPN Users" >> ${LogDir}/${FileDate}.txt fi `echo "${FinalDate}|${vpn}" >> ${LogDir}/${FileDate}.txt` |
cd ~ mkdir .ssh 2> /dev/null cd /root/.ssh ssh-keygen -b 1024 -f identity -P '' -t dsa # For each "target" Netscaler you wish to be able to login without passwords do: scp identity.pub nsroot@<ip of target>:/root/.ssh/identity.pub # enter password when prompted for the remote box On each of the target machines, then do the following: cd ~/.ssh cat identity.pub >> authorized_keys #위 과정을 모드 마치면 넷스케일러에 SSH로 비밀번호 인증없이 접속이 가능함. |
시트릭스 Command Center Password Recovery!
UPDATE UserPasswordTable SET PASSWORD = 'b96u1ae9J' WHERE USERNAME='root'; |
시트릭스 Command Center Password Recovery!
일반적으로 시트릭스 Command Center(이하 'CC')를 사용할 때 Local 인증을 많이 사용합니다.
기본적으로 시트릭스 CC에서는 제공하는 Default 계정 및 비밀번호는 root/public 입니다. 초기 설치 후 Default 계정에 대한 정보를 변경하여 운영하게 되는데 운용 중 변경한 root 계정의 비밀번호를 분실할 경우 이를 Recovery할 수 있는 표준 방법은 없습니다.
만약 사용하는 DB를 직접 Access하여 Control할 수 있다며, 아래와 같은 방법으로 root 계정에 대한 비밀번호 초기화가 가능합니다.
UPDATE UserPasswordTable SET PASSWORD = 'b96u1ae9J' WHERE USERNAME='root'; |
여기서 제공된 비밀번호는 public이란 문자를 CC에서 인식할 수 있는 Encoding Algorithm을 통해 암호화된 문자이기 때문에 직접 DB를 업데이트하여 초기화할 수 있습니다.
Jae Hong Kim
Manager / Technical 2 Team / Specialist
FOR YOU NETWORKS
3F., MyungKwang Bldg, 1702-10 Seocho-dong, Seocho-ku, Seoul Korea
T. 82-2-585-6611 M. 82-10-2587-3621
F. 82-2-565-7115 E. jhkim@foryounet.co.kr
Foryounetworks is the global leader in Network infrastructure.
10. 4. 6.
넷스케일러 HASH 알고리즘
- 9.0버젼 이전
이전 버젼에서 제공된 HASH알고리즘은 HASH 테이블의 생성 기준을 사용자의 소스IP와 목적지IP를 이용하여 생성하였다.
이렇게 생성된 HASH 테이블에서는 초기 접속한 서버로 연속적인 요청이 동일 서버로 처리될 수 있으며, 또한 목적지 서비스 포트가 다른 경우에도 동일한 서버로의 접속을 보장할 수 있다. - 9.0버젼 이후
이후 버젼에서 제공되는 HASH 알고리즘은 HASH 테이블의 생성 기준이 사용자의 소스IP와 목적지IP 그리고 목적지PORT 정보까지 함께 이용한다.
이렇게 변경된 알고리즘에서는 초기 접속한 서버로 동일한 서비스 포트에 대해서는 연속적인 요청에 대해서도 동일 서버로의 접속을 보장할 수 있지만, 서비스 포트가 다른 경우에는 이를 보장할 수 없다.
이렇게 변경된 내용으로 인해 9.0버젼 이후에 기존의 HASH 알고리즘을 사용하고자한다면 아래와 같이 내부명령어를 통해 알고리즘을 기존의 방식으로 사용할 수 있도록 설정을 변경해야 한다.
>(CLI)
#nsapimgr -ys traditional_hash=1 (초기 설정 값은 "0"으로 사용하지 않음)
이를 적용하기 전 반드시 넷스케일러 시스템 엔지니어의 동의하에 해당 설정을 진행할 수 있도록 한다.
10. 3. 25.
IE 또는 Firefox에서 Internet Connection 수 설정
예를 들어, L4 솔루션의 경우 connection 기반으로 load balancing을 하는 반면 L7 솔루션은 Request base load balancing 솔루션이기 때문에 2개의 실제 서버를 load balancing할 때 각각 보여지는 화면의 내용이 다르게 보인다. 이런 내용을 직접 시연하기 위해서는 IE 또는 Firefox에서 사용자의 Http Max Connection 설정을 1개로 조정하여야 정확한 결과를 얻을 수 있으며, 이를 설정하는 방법은 아래와 같다.
- Firefox
Firefox는 비교적 쉽게 변경이 가능하도록 기능을 제공하며, 주소창에 "about:config"라고 입력 수 실행하면 "고급설정변경" 메뉴가 보이며 해당 메뉴에서 "network.http.max-connections" 항목과 "network.http.max-connections-per-server"항목에 각각 1로 설정하면, 하나의 connection을 생성 후 http request를 전송한다. - IE 7/8
IE에서는 Firefox처럼 간단하진 않지만 아래와 같이 registry 설정을 변경하여 적용이 가능하다.
registry editor에서 "FEATURE_MAXCONNECTIONPERSERVER" 항목과 "FEATURE_MAXCONNECTIONSPER1_0SERVER"항목을 변경하면 적용이 된다. PC의 Registry설정은 HKEY_LOCAL_MACHINE와 HKEY_CURRENT_USER에 각각 설정이 가능하며 어느쪽을 설정해도 동일할 결과를 얻을 수 있다.
IE의 설정 변경에 대한 자세한 내용을 아래의 링크를 참조하면 된다.