44일차 UTM9(3) DHCP-relay 웹 방화벽

외부에서 camel 웹 서버에 접근하게끔 하고 싶다.

Matching Condition 이러한 패킷이 발견 된다면

Action 이렇게 해라.

출발지는 상관없지만 목적지는 UTM 장비의 External address다.

서비스는 물론 HTTP

Automatic Firewall rule 은 자동으로 방화벽 예외에 추가하는 것이다.

백트랙에서도 bridge 주고, bridge에 해당하는 아이피 주고 접속해보니 들어가진다.

아래 망에선 59.5.12.0 이라고 되있지만 각자 네트워크에 따라 다르다.

eth0 VMnet1은 서버들 연결할 서버망

eth1 VMnet2은 Internal 망

eth2 VMnet0(Bridged) 인터넷망

마지막으로 Linux 에 DHCP 서버를 올릴 계획이다.

UTM에서 Relay Agent 해줘야하는 상황이다.

[DHCP 서버 설치]

DMZ 망의 Linux 인터넷 통신 되는지 확인

DHCP 서버에 필요한 패키지 설치(yum -y install dhcp)

Linux의 VMnet 변경 금지!!!

Linux가 DMZ 망에 있는 상태에서 설치.

/etc/dhcpd.conf 파일 편집

- BackTrack을 DMZ망에 연결 후 DHCP 서버가 잘 동작하는지 확인.

DHCP 자동설정 : dhclient eth0

DHCP Relay 

포워딩 해줄 곳 , Discover를 보내는 곳 둘다 인터페이스에 넣어줘야한다.

/etc/dhcpd.conf 에서 적절하게 dhcp 풀 설정하고

DMZ망이 아닌 Internal 망에 연결해서 테스트하면 잘된다.

DNAT 환경에서 공격

- DNAT 설정 후엔 외부망에서 내부망에 대한 정보를 알 수 없다.

- BackTrank에서 외부에 노출되어 있는 Camel 사이트를 이용해 DMZ망에 대한 정보를 수집하라.

ex) 운영체제 정보, DMZ 네트워크 주소, Gateway 주소 등...

[풀이]

파일업로드 취약점을 이용해서 webshell을 올려서 실행 시켰다.

ver

ipconfig -all

route print

명령어로 원하는 정보를 다 취득할 수 있었다.

pouya webshell 

- 또다른 풀이

Stored Procedure를 이용한 공격

hacker'; exec master..sp_makewebtask 'c\inetpub\camel\test.html','exec master..xp_cmdshell "ipconfig /all"'--

웹 방화벽

웹 방화벽을 키면 가상 서버가 작동을 한다. 가상 서버가 인터페이스로 요청을 받고, 공격이 아니라고 판단했을 때 , 포워딩을 해주게 된다. 이 때 포워딩 해 줄 서버도 지정해줘야 한다.

웹 서버로 접근할 수 있는 다른 방법 'ex)라우팅, DNat' 이 있으면, 웹 방화벽을 거치지 않고 간다.

현재 DNat 가 있기 때문에 먼저 Dnat를 꺼준다.

Firewall Profiles는 규칙이다.

Form Hardening 은 꺼준다. 이게 켜져있으면 링크같은게 잘 안넘어간다.

그다음 Real Webservers 탭에 들어가 실제 웹서버를 추가해줘야한다.

요청을 처리할 가상 웹서버를 만들어준다.

Firewall Profile은 아까 수정한 것 쓰면된다.

Road Balancing도 제공하는데 Real webservers에 다른 서버를 더 추가해주면

분산처리 하게된다.

다 됐으면 Global 에 들어가서 스위치를 켜주면 된다.

sql 인젝션도 막히고

XSS 공격도 마찬가지다.

[Web Application FireWall 실습]

- Internal Network의 사용자가 DMZ Network의 Web Server(camel)에 대한 공격을 할 가능성이 있다. WAF를 이용해 방어하라.

- Internal Network의 사용자는 www.camel.com이라는 주소를 이용해 접근한다.

가상의 웹서버가 있고, 그 웹서버로 받을 때 패킷을 확인하고 포워딩한다는 것을 생각 했을 때 DNS 서버에서 가상의 웹서버 인터페이스 ip를 지정해줘야 한다.