반응형

출처: http://blog.naver.com/PostView.nhn?blogId=marso219&logNo=220864314457&parentCategoryNo=&categoryNo=14&viewDate=&isShowPopularPosts=false&from=postView



SMB


NFS는 파일시스템을 제공해주는 서버와 서버의 파일시스템을 이용하는 클라이언트의 협동작업으로 이루어진다. 



윈도우시스템이 다른 시스템의 디스크나 프린터와 같은 자원을 공유할 수 있도록 하기 위해 개발된 프로토콜.


TCP/IP 기반하의 Netbios 프로토콜을 이용하기 때문에 이 프로토콜은 NFS, NIS, lpd 와 같은 유닉스의 분산인증구조와 유사.


따라서 윈도우 중심의 


------------------------------------------------------------------------------------------------------------------

CIFS 란? 


Common interest File System


네트워크를 위한 SMB 파일 공유 프토콜의 확장된 버전.


윈도우와 유닉스 환경을 동시에 지원하는 인터넷의 표준 파일 규악의 프로토콜이다.


CIFS는 이전의 폐쇄적인 SMB프로토콜 과는 달리 CIFS 규약 정의는 여러 유닉스 업체의 참여하여 결정된 내용이기 때문에 

삼바도 버전이 올라감에 따라 CIFS규약을 잘 준수하여 안정성이 향상...


------------------------------------------------------------------------------------------------------------------


*중요*


Windows 파일서버는 CIFS(Common Internet File System)을 사용해서 클라이언트에 스토리지를 공유합니다. 

흔히 PC의 윈도우 탐색기에서 오른쪽 마우스->속성->공유로 해당 폴더를 공유하고, 


다른 PC에서 네트워크 드라이브 연결로 상대방 PC의 스토리지를 원격 접속하는 것이 

바로 그것입니다. 


Unix나 Linux에서는 CIFS가 아니라 NFS(Network File System)을 사용합니다. Unix/Linux 파일서버의 로컬 파일시스템을 

NFS로 export하고 클라이언트에서 이것을 NFS mount하여 사용하는 것이지요. 


CIFS or NFS의 프로토콜만 차이가 있고 기본적인 개념은 동일합니다. 

모두 일반 IP 네트워크를 사용하지요. 


반응형
반응형

1)     WinRM 사용 시 이슈가 없을지 여부

 

    WinRM 관련된 취약점 관련 히스토리

ü  WinRM에 대해 Exploit-DB 사이트에 등록된 최신 취약점 날짜는 2012 11월이며, 1건 존재합니다.
이에 반해 SSH 17년도에 발견된 취약점이 존재하며, exploit-DB 사이트에 20건 이상 존재합니다.

ü  중국 해킹 그룹 3390에서 실제로 WinRM 프로토콜에 대한 취약점을 이용하여 공격을 진행한 사례가 있습니다.

관련 URL: http:/attack.mitre.org/wiki/Group/G0027

ü  WinRM 프로토콜 관련 공격 툴로는 Colbalt Strike, Metasploit 등의 도구가 있습니다.( 해당 도구에는 2012년 공개된 취약점이 포함되어 있습니다. )

ü  WinRM HTTP.sys를 사용하는 SOAP (WCF)를 사용하므로 관련 공격을 받을 수 있습니다.
2015
년도에 HTTP.sys에 대한 DOS Remote Code Execution 취약점이 발표되었으며, 현재는 패치된 상황입니다. (MS15-034)

관련 URL: https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583

 


 

2)     WinRM을 어떻게 사용해야 할지 (보안성 향상 방안)

ü  HTTPS 연결 설정 ( HTTPS 연결을 위해서는 각 호스트 별 인증서 설치 필요)

ü  Default Port 변경 5985(HTTP),5986(HTTPS) à xxxx , xxxx

ü  WinRM 이벤트에 대한 로깅 및 감독 (도메인 레벨의 그룹으로 이벤트 로그 이용)

ü  IP 접근 관리 (서버 방화벽 사용- WinRM 서비스에 대해 별도의 방화벽 룰을 생성)

반응형

'IT기술 관련 > 윈도우' 카테고리의 다른 글

Winrm 로그 포워딩 방법  (0) 2017.09.26
NFS,CIFS 차이점  (2) 2017.09.20
Winrm 보안설정 관련 자료  (0) 2017.09.11
WINRM - Windows Remote Management-<WinRM, WinRS)  (0) 2017.09.11
WMI 란  (0) 2017.09.11
반응형

// 파워쉘 관련 보안 설정

Securing_PowerShell.pdf



//WinRM 관련 보안설정

support.upguard.com-WinRM Configuration.pdf


//Windows Security encycolpedia - WinRM service

https://www.windows-security.org/2250af73d71c1797109e41fc7baeb460/winrm-service



//RSA WinRM configuration Guide

WinRM Configuration Guide.pdf



//Black hat remote powershell 관련

us-14-Kazanciyan-Investigating-Powershell-Attacks-WP.pdf



//WinRM 관련 소개 및 공격 examples 등

https://attack.mitre.org/wiki/Technique/T1028#scite-928815910929858bf6789e75932e7d1f



//winRM 공격 관련 글

https://poshsecurity.com/blog/2014/3/20/powershell-winrm-get-winrmpassword.html

반응형
반응형

Windows 2003 R2부터 들어간 기능인데 설정하는 방법에 대한 내용이 까다롭습니다
설정 방법 찾아보다가 ...하하하.. 어렵더군요..

대충 이기능은

WS-Management란 웹 서비스에 근간한 SOAP기반의 프로토콜입니다. WS-Management를 이용하여 서버, 장비, 응용 프로그램등에 대한 관리를 편리하게 하실 수 있습니다. 이 기술은 2005년 Microsoft, Intel, Dell, AMD, Sun Microsystems등에서 기획한 표준 방식입니다. Microsoft에서는 해당 기술을 Windows Remote Management라고 부르고 있습니다.

Windows Server 2003 R2에서 새롭게 추가된 기능중 Hardware Management라는 기능이 있습니다. 해당 기능이 바로 WS-Management 기능을 사용할 수 있게 해줍니다. 당연히 Windows Vista, Windows Server CodeName "LongHorn"에도 기본적으로 포함이 됩니다. Windows Server 2003, Windows 2000, WIndows XP, Windows NT는 지원하지 않습니다

이런기능이라고 합니다.
쉽게 말해 command창에서 클라이언트 측에서  Winrs -r:서버명 -u:계정ID -p:패스워드 명령어를 치면 서버에 적용되게 됩니다. 원격데스크탑의 기능을 GUI가 아닌 command창에서 명령어로 실행한다고 생각 하면 될거라 생각합니다.

사용자 삽입 이미지

서버쪽에서 Winrm을 실행했을때 설정하는 방법에 대해서 설명해줍니다.

설정하는 방법입니다.

사용자 삽입 이미지

Winrm을 설정하는 부분입니다.
Windows 2003r2와 달리 Winrm quickconfig 하고 Make these change 에서 Y를 누르면 설정은 끝이납니다
Longhorn 서버쪽에서 서비스 부분에서

사용자 삽입 이미지

해당 서비스가 잘 실행되는게 보입니다.
서버쪽 세팅이 끝나고 이제 원격에서 명령을 실행할 클라이언트를 실행해보면

사용자 삽입 이미지


클라이언트 쪽에서 시작-실행-cmd-winrs를 실행했을경우입니다.

Vista와 Longhorn은 기본적으로 설치는 되어있습니다.

현재 돌아가고 있는 서비스 항목을 보여주는 명령어를 입력했습니다.

사용자 삽입 이미지


실행을 하면 Windows server에서 실제로 실행되고 있는 서버의 서비스 항목을 보여줍니다.

사용자 삽입 이미지

활용 할수 있는것은 다음페이지 또 올리겠습니다.

출처: http://dimi.tistory.com/entry/Windows-Remote-Management-WinRM-WinRS [IT Neophyte]

반응형

+ Recent posts