์ด๊ฒ์ ์ต์ ๋ฆด๋ฆฌ์ค๋ฅผ 1AnalyticsLtd-WooterWoot.zip์ผ๋ก ๋ค์ด๋ก๋ํ ์ ์๋ Build FW360 Cisco Netscreen PolicyFromLogs๋ผ๋ Linux ์ฑ์ ๋๋ค. ์ํฌ์คํ ์ด์ ์ฉ ๋ฌด๋ฃ ํธ์คํ ์ ๊ณต์ ์ฒด์ธ OnWorks์์ ์จ๋ผ์ธ์ผ๋ก ์คํํ ์ ์์ต๋๋ค.
Build FW1 Cisco Netscreen PolicyFromLogs with OnWorks๋ผ๋ ์ด ์ฑ์ ์จ๋ผ์ธ์์ ๋ฌด๋ฃ๋ก ๋ค์ด๋ก๋ํ์ฌ ์คํํ์ญ์์ค.
์ด ์ฑ์ ์คํํ๋ ค๋ฉด ๋ค์ ์ง์นจ์ ๋ฐ๋ฅด์ธ์.
- 1. ์ด ์ ํ๋ฆฌ์ผ์ด์ ์ PC์ ๋ค์ด๋ก๋ํ์ต๋๋ค.
- 2. ํ์ผ ๊ด๋ฆฌ์ https://www.onworks.net/myfiles.php?username=XXXXX์ ์ํ๋ ์ฌ์ฉ์ ์ด๋ฆ์ ์ ๋ ฅํฉ๋๋ค.
- 3. ์ด๋ฌํ ํ์ผ ๊ด๋ฆฌ์์์ ์ด ์์ฉ ํ๋ก๊ทธ๋จ์ ์ ๋ก๋ํฉ๋๋ค.
- 4. ์ด ์น์ฌ์ดํธ์์ OnWorks Linux ์จ๋ผ์ธ ๋๋ Windows ์จ๋ผ์ธ ์๋ฎฌ๋ ์ดํฐ ๋๋ MACOS ์จ๋ผ์ธ ์๋ฎฌ๋ ์ดํฐ๋ฅผ ์์ํฉ๋๋ค.
- 5. ๋ฐฉ๊ธ ์์ํ OnWorks Linux OS์์ ์ํ๋ ์ฌ์ฉ์ ์ด๋ฆ์ผ๋ก ํ์ผ ๊ด๋ฆฌ์ https://www.onworks.net/myfiles.php?username=XXXXX๋ก ์ด๋ํฉ๋๋ค.
- 6. ์์ฉ ํ๋ก๊ทธ๋จ์ ๋ค์ด๋ก๋ํ์ฌ ์ค์นํ๊ณ ์คํํฉ๋๋ค.
FW1 Cisco Netscreen PolicyFromLogs ๊ตฌ์ถ
Ad
๊ธฐ์
์ด ์ธ ๊ฐ์ง ๋๊ตฌ๋ ๋ก๊ทธ ํ์ผ์์ Checkpoint, Cisco ASA ๋๋ Netscreen ์ ์ฑ ์ ๊ตฌ์ถํฉ๋๋ค. ๊ทธ๋ค์ ์๋ผ์ ๋ฐฉํ๋ฒฝ์ ๋ถ์ฌ๋ฃ์ ์ ์๋ ๋ก๊ทธ์ ํ์๋ ํธ๋ํฝ์ ๋ํด dbedit, ์ก์ธ์ค ๋ชฉ๋ก ๋๋ ์ฃผ์ ์ค์ , ์๋น์ค ์ค์ ๋ฐ ์ ์ฑ ์ค์ ๋ช ๋ น์ ์์ฑํฉ๋๋ค. ์ฐํธํน์ง
- ๋ด๋ณด๋ธ ๋ก๊ทธ์์ Checkpoint FW-1 ์ ์ฑ ์ ๋น๋ํ๊ณ DBEDIT ํ์์ผ๋ก ์ถ๋ ฅํฉ๋๋ค.
- syslog์์ Netscreen ์ ์ฑ ์ ๊ตฌ์ถํ๊ณ ScreenOS 6 ํ์์ผ๋ก ์ถ๋ ฅ
- syslog์์ Cisco ASA ACL์ ๋น๋ํ๊ณ ์ก์ธ์ค ๋ชฉ๋ก ํ์์ผ๋ก ์ถ๋ ฅํฉ๋๋ค.
- ๋ช ๋ น ์ถ๋ ฅ์ ์๋ผ๋ด์ด ๋ฐฉํ๋ฒฝ์ ๋ถ์ฌ๋ฃ์ด ์ ์ฑ ์ ๋ง๋ญ๋๋ค.
- ๋๋ CSV ํ์์ผ๋ก ๊ท์น์ ์ถ๋ ฅํ์ฌ ๊ต์ฐจ ํ์ธ(Netscreen, Checkpoint)
- .
- ํ๋์ ๋ช ๋ น์ผ๋ก ํ ์คํธ ๋คํธ์ํฌ์ ๊ธฐ์ค์ ์ ์ค์ ํ๊ณ ํ ์คํธ ๋ฐฉํ๋ฒฝ์ ๋ํ ์ ์ฑ ์ ๊ตฌ์ถํ์ญ์์ค!!
- ์ด๋ฆฐ ๊ท์น ๋๋ 'ํ ์คํธ' ๊ท์น ๋ฐ ๋ณด์ ๊ด๋ฆฌ ์ฐ๊ฒฐ ๋ซ๊ธฐ
- ๊ต์ฐจ ํ์ธ ํธ๋ํฝ์ ์ฌ๋ฐ๋ฅธ ์ธํฐํ์ด์ค์์ ํ์ธ๋ฉ๋๋ค.
- ๊ฐ๊ฐ ๋ก๊ทธ ํญ๋ชฉ์ ๋ชจ๋ ๋ถ๋ถ์ ํํฐ๋งํ ์ ์๋ ๋ ๊ฐ์ ํํฐ
- ๋ก๊ทธ์์ ํ์ธ๋ ์ด๋ฆ์ ์ ์ฑ ์์ ์ฌ์ฉ๋์ง๋ง ๊ฐ์ฒด cmd๋ ์ถ๋ ฅ๋์ง ์์ต๋๋ค.
- ACL์ ์ด๋ฆ์ ๋ฐ๊พธ๊ณ ์ก์ธ์ค ๊ทธ๋ฃน ๋ฌธ์ ์ฌ์ฉํ์ฌ ์ถ๊ฐ ํํฐ๋ง(Cisco)
- syslog ์๋ฒ์ ์ํด ์ถ๊ฐ๋ ํค๋๋ฅผ ๋ฌด์ํ๋ ์ฌ์ด ๋ฐฉ๋ฒ
- FW-1: ์คํํ๊ธฐ ์ฌ์ ./choot logexport.log CMD ์ ์ฑ filter1 filter2
- DBEDIT cmd = ๊ท์น ๋ฐ ๊ฐ์ฒด๋ฅผ ๋น๋ํ๊ณ DBEDIT ํ์์ผ๋ก ์ถ๋ ฅ
- - DBEDIT ๋ชจ๋๋ ํํฐ ์์ ์ ์ฑ ์ด๋ฆ์ด ํ์ํฉ๋๋ค.
- CSV cmd = ๊ท์น ๋ฐ ๊ฐ์ฒด๋ฅผ ๋น๋ํ๊ณ CSV ํ์์ผ๋ก ์ถ๋ ฅ
- DEBUG cmd = ์์ธํ ์ ๋ณด ์ถ๋ ฅ - ๊ฐ ํญ๋ชฉ grep | ์ ...
- CISCO: ์คํํ๊ธฐ ์ฌ์ ./woot logfile CMDorACL filter1 filter2
- SRCINT cmd = ์์ค ์ธํฐํ์ด์ค๋ฅผ ACL ์ด๋ฆ์ผ๋ก ์ฌ์ฉ
- ACLNAME cmd = woot์ ๋์ผํ ๋๋ ํ ๋ฆฌ์ ์๋ ACLNAME ํ์ผ์ access-gr cmds ์ฌ์ฉ
- DEBUG cmd = ์์ธํ ์ ๋ณด ์ถ๋ ฅ - ๊ฐ ํญ๋ชฉ ... | ์ ๋ ฌ -u ๋ฑ
- ๋ชจ๋ ACE๊ฐ ํ ๋น๋ ์ด๋ฆ, ์ ํํ ์ก์ธ์ค ๋ชฉ๋ก ์ด๋ฆ
- ๋ท์คํฌ๋ฆฐ: ์คํํ๊ธฐ ์ฌ์ ./nwoot logfile CMD filter1 filter2
- ZONE cmd = Netscreen ScreenOS ํ์์ ๊ท์น ๋ฐ ๊ฐ์ฒด ๋ฐ ์ถ๋ ฅ ๋น๋
- CSV cmd = ๊ท์น ๋ฐ ๊ฐ์ฒด๋ฅผ ๋น๋ํ๊ณ CSV ํ์์ผ๋ก ์ถ๋ ฅ
- DEBUG cmd = ์์ธํ ์ ๋ณด ์ถ๋ ฅ - ๊ฐ ํญ๋ชฉ grep | ํ์ฅ์ค -l ๋ฑ
- ์ฒดํฌํฌ์ธํธ FW-1 ์์ ๋ช ๋ น:
- ./choot logexport.log DBEDIT ์ ์ฑ ์ด๋ฆ eth2c0 161
- ./choot logexport.log CSV ์๋ฒ ์ด๋ฆ ๋๋ฉ์ธ-udp
- ./choot logexport.log ๋๋ฒ๊ทธ 10.0.0 eth1c0
- ๋๋
- ./choot logexport.log DBEDIT ์ ์ฑ ์ด๋ฆ
- ...ํ์๋ ๋ชจ๋ ํธ๋ํฝ์ ๋ํด ๊ตฌ์ถ๋ ์ ์ฑ ์ ์ํ๋ ๊ฒฝ์ฐ
- Cisco ์์ ๋ช ๋ น:
- cat access-groups-from-asa > ACLNAME
- ./woot ASA.log ACLNAME 10.10. \/53
- ./woot ASA.log SRCINT 12:01 10.10.10
- ./woot ASA.log testaclname 10.50. 10.10.10
- ./woot ASA.log DEBUG ServerName12 \/443
- ./woot ASA.log ACLNAME
- ...๋ชจ๋ ์ก์ธ์ค ๊ทธ๋ฃน ๋ช ๋ น๋ฌธ์ ๋ํด ๋ชจ๋ ์ก์ธ์ค ๋ชฉ๋ก์ ์์ฑํ๋ ค๋ ๊ฒฝ์ฐ
- ๋ท์คํฌ๋ฆฐ ์์ ๋ช ๋ น:
- ./nwoot Netscreen.log ๋๋ฒ๊ทธ 10.10. dst_port=53
- ./nwoot Netscreen.log ZONE 12:01 ์๋ฒ ์ด๋ฆ
- ./nwoot Netscreen.log CSV ZoneName 443
- ./nwoot Netscreen.log ์์ญ
- ...๋ชจ๋ ์์ญ์ ๋ํด ๊ตฌ์ถ๋ ๋ชจ๋ ์ ์ฑ ์ ์ํ๋ ๊ฒฝ์ฐ
- !! ์ด๋์์๋ ์ด ๋๊ตฌ๋ฅผ ์ฌ์ฉํ๋ ๊ฒ์ ๊ถ์ฅํ์ง ์์ต๋๋ค!! ์ผ์ !!
- ๊ฐ๋จํ Perl๋ก ์์ฑ - ํ์ค ๋ชจ๋๋ง ํ์
์ค๋์ธ์ค (Audience)
์ ๋ณด ๊ธฐ์ , ๊ธ์ต ๋ฐ ๋ณดํ ์ฐ์ , ์์คํ ๊ด๋ฆฌ์, ํ์ง ์์ง๋์ด
์ฌ์ฉ์ ์ธํฐํ์ด์ค
๋ช ๋ น์ค
ํ๋ก๊ทธ๋๋ฐ ์ธ์ด
ํ
์ด๊ฒ์ https://sourceforge.net/projects/wooterwoot/์์๋ ๊ฐ์ ธ์ฌ ์ ์๋ ์ ํ๋ฆฌ์ผ์ด์ ์ ๋๋ค. ๋ฌด๋ฃ ์ด์ ์ฒด์ ์ค ํ๋์์ ๊ฐ์ฅ ์ฌ์ด ๋ฐฉ๋ฒ์ผ๋ก ์จ๋ผ์ธ์ผ๋ก ์คํํ๊ธฐ ์ํด OnWorks์์ ํธ์คํ ๋์์ต๋๋ค.