WHORUEvent install guide (KOR)

whoruevent20

서버 보안을 위해 진행하는 사항들중 대부분은 원격에서 실행할 수 있는 WMI, PowerShell 등을 차단하고, 서버에 연결할 수 있는 네트워크 포인트를 최소화 하는 작업을 한다.

하지만 remote desktop의 경우 서버의 작업을 위해 필수로 오픈을 할 수 밖에 없다.

여기에 서버의 개발자, 담당자등 필요 인력들만 접근할 수 있도록 보안을 강화하지만, 개발자 및 담당자의 작업 PC들도 안전하지 않다. 따라서 원격에서 서버를 연결할 수 있는 remote desktop에 대한 감시는 필요하다.

내가 생각하는 보다 효과적인 감시방법으로 접근한 유저가 직접 이 접근이 올바른 것인지 확인한다면 명확한 해결 방법이지 않을까 한다.

본인 계정으로 원격에 들어간 것이 있을 때 사용자가 정당한 연결이었는지를 결정하는 방법이다.

다음은 WHORUEvent가 제공하는 원격 로그인 알람/차단 기능이다.

원격으로 연결하였을 때, 연결한 계정의 도메인 주소로 원격 연결이 있었음을 메일을 알려주게 된다. 이와 동시에 30분간 유효한 인스턴스 웹 서버를 만들어 메일에 포함된 링크를 누르면, 연결을 시도한 IP는 서버에서 바로 차단하고, 이를 보안 관리자 그룹에 알리는 것이다.

WHORUEvent의 프로세스는 다음과 같다.

  1. 원격 연결을 확인한다.
  2. 원격 연결이 확인되면 30분간 사용 가능한 임의 웹 주소를 생성한다.
  3. 임의 생성된 웹 주소를 원격에서 이용된 계정의 메일 주소에 원격 연결 사실을 알린다.
  4. 메일을 받은 사용자가 본인이 연결한 주소가 아닌 경우 메일에 포함된 웹 주소를 클릭한다. 클릭이 어려운 경우 관리자 그룹에게 메일을 포워딩하거나 알린다.
  5. 사용자가 클릭한 경우 원격으로 들어온 IP에 대해 서버에서 차단을 진행하고 관리자 그룹에게 사용자가 서버연결을 차단했다는 것을 알린다.
  • 임의로 생성된 웹 주소는 랜덤하게 생성하고 해당 URL만 유효하며, 30분간 유지 후 닫힌다.

핵심: 로그인한 IP를 계정의 이메일로 알려서 정상 로그인이 아니면 바로 차단할 수 있도록 함

HOW TO USE

사용방법은 간단하다.

  1. WHORUEVENT.zip을 다운로드 한다.
  2. WHORU.ini를 자신의 환경에 맞게 변경한다.
  3. WHORUEVENT를 서비스 형태로 설치(-i 옵션)하거나, 콘솔 형태로 실행한다. -u는 제거 옵션
    cmd 창에서 whoruevent -i 를 입력

    (콘솔 형태로 실행하면 당연한 말이지만 실행한 세션을 끊지 않아야 프로그램이 실행 상태를 유지할 수 있다).

환경 설정 방법

아래 붉게 표시된 5가지 항목을 이용하면 된다.

 

[General]

Syslog_IP=x.x.x.x ß Syslog 서버의 IP를 진행한다.

Email_IP=x.x.x.x ß SMTP IP를 입력한다. 인증은 없는 구조로 사용이 가능해야 한다.

File=false ß 모든 로그를 로컬서버의 파일로 남긴다.

Syslog=true ß 모든 로그를 Syslog로 보낸다.

Email=true ß Email 기능을 사용하겠다는 애기 WHORUEVENT에서는 원격 로그인에 대한 이메일 알림만 가능.

Domain=asecurity.so ß 원격으로 로그인할 수 있는 계정의 도메인 정보를 입력한다. Active directory라면 도메인 정보를 입력하면 된다.

[Eventlog]

System=true ß Warring 이상의 시스템 로그의 감시를 진행한다.

Application=true ß Warring 이상의 응용프로그램 로그의 감시를 진행한다.

Login=true ß 로그인 활동에 대한 감시를 진행한다.

NetworkLogon=false ß 로그인 활동중 네트워크 로그인 성공에 대해서는 무시하는 옵션

Email_From=jshan@asecurity.so ß 메일을 보내는 사용자 주소

Email_Admin=admin@asecurity.so ß 관리자에게 전달해야 하는 메일을 위한 정보, WHORUEVENT에서는 메일 본문에 기본적으로 노출되고 사용자가 차단을 눌렸을 때 이 메일을 이용하여 차단 내용을 전달한다.

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.