포트 스캔을 통한 보안 장비 설치 여부 확인

포트 스캔을 통한 보안 장비 설치 여부 확인

 

 

방화벽(침입 차단 시스템)

• Checkpoint(Firewall-1) : 256,257,258
  

• 어울림(Secureworks) : 3346,2890
  

• CISCO PIX : 530,540
  

• Astaro : 1235,1236

 

IDS(침입탐지 시스템)

• Checkpoint(VPN Swite) : 300,301
  

• 인젠(NeoWatcher) : 1887
  

• Snort : 2350

 

[실습] IDS/IPS/WAF 탐지 여부 확인

 

 

방화벽이나 IPS/IDS가 존재하는가?

존재한다면 어떻게 확인하는가.

 

웹클라언트 ----------> 방화벽 --> IPS/IDS(침입차단시스템) --> WAF(웹방화벽) --> 웹서버

(웹브라우저)

 

 

■ Waffit : 웹 방화벽 방어 여부 확인

 

Waffit를 실행하면 Wafw00f라는 도구가 실행된다. WafW00f는 파이썬 스크립트로 웹서버가

웹 애플리케이션 방화벽(WAF, Web Application Firewall)으로 보호 받고 있는지를 탐지하는 도구이다.

 

<Kali Linux>

# which wafw00f

wafw00f --> web aplication firewall

 

# file /usr/bin/wafw00f

파이썬 스크립트로 구성 되어 있다.

# cat /usr/bin/wafw00f

 

# wafw00f

^     ^         _   __  _   ____ _   __  _    _   ____        ///7/ /.' \ / __////7/ /,' \ ,' \ / __/       | V V // o // _/ | V V // 0 // 0 // _/       |_n_,'/_n_//_/   |_n_,' \_,' \_,'/_/                                 <                                  ...'     WAFW00F - Web Application Firewall Detection Tool       By Sandro Gauci && Wendel G. Henrique   Usage: wafw00f url1 [url2 [url3 ... ]] example: wafw00f http://www.victim.org/   wafw00f: error: we need a target site

 

# wafw00f example.com

(주의) 임의의 사이트에 대해 수행하지 않는다. 웹서버쪽에 지속적인 기록이 남겨진다.

 

 

wireshark를 통해 wafw00f를 수행 동작 분석

 

# wireshark &

# wafw00f www.example.com

 

wireshark 패킷 분석

filter !tcp를 제거하면 http도 사라진다

(Filter : !sstp && !dns && http)

웹 서버가 직접 응답하는지 중간에 필터(waff)링을 하는지 응답하는 형태를 보고 판별

 

www.example.com waff가 있다. (중간에 웹방화벽)

15 192.168.10.50 93.184.216.34 HTTP 290              GET / HTTP/1.1 22 93.184.216.34 192.168.10.50 HTTP 185              HTTP/1.1 200 OK (text/html) 40 192.168.10.50 93.184.216.34 HTTP 297              GET /cmd.exe HTTP/1.1 43 93.184.216.34 192.168.10.50 HTTP 196              HTTP/1.1 404 Not Found (text/html) 57 192.168.10.50 93.184.216.34 HTTP 312              GET /../../../../etc/passwd HTTP/1.1 60 93.184.216.34 192.168.10.50 HTTP 196              HTTP/1.1 404 Not Found (text/html) 74 192.168.10.50 93.184.216.34 HTTP 320              GET /<script>alert(1)</script>.html HTTP/1.1 77 93.184.216.34 192.168.10.50 HTTP 196              HTTP/1.1 404 Not Found (text/html) 91 192.168.10.50 93.184.216.34 HTTP 303             GET //Admin_Files/ HTTP/1.1 94 93.184.216.34 192.168.10.50 HTTP 196              HTTP/1.1 404 Not Found (text/html) ..... (중략) .....

 

 

www.soldesk.com waff가 없다. (중간에 웹방화벽)

20  192.168.10.50 183.111.174.9 HTTP 290              GET / HTTP/1.1 80  183.111.174.9 192.168.10.50 HTTP 1472                  HTTP/1.1 200 OK (text/html) 101 192.168.10.50 183.111.174.9 HTTP 297                   GET /cmd.exe HTTP/1.1 103 183.111.174.9 192.168.10.50 HTTP 464              HTTP/1.1 404 Not Found (text/html) 121 192.168.10.50 183.111.174.9 HTTP 312                   GET /../../../../etc/passwd HTTP/1.1 123 183.111.174.9 192.168.10.50 HTTP 365              HTTP/1.1 400 Bad Request (text/html) 136 192.168.10.50 183.111.174.9 HTTP 320                   GET /<script>alert(1)</script>.html HTTP/1.1 139 183.111.174.9 192.168.10.50 HTTP 499              HTTP/1.1 404 Not Found (text/html) 154 192.168.10.50 183.111.174.9 HTTP 303                   GET //Admin_Files/ HTTP/1.1 158 183.111.174.9 192.168.10.50 HTTP 470              HTTP/1.1 404 Not Found (text/html)

 

 

 

(정리)

namp CMD (네트워크 맵핑,포트 스캐닝)

dnmap CMD (분산 nmap)

nmap NSE (nmap + nmap 스크립트 엔진)

(정리)

wafw00f(Web Application Firewall Detection Tool)