KH IEI PROJECT
정보보안 엔지니어 및 침투테스트 관리자 양성 과정 6회차
김진환 강사 / 이민호 취업담임
2019. 07. 22 (O)
1 팀
3days
팀장/팀원 |
김**(팀장), 김**, 주**, 송**
|
개요 |
▶ 소통의공간 "3days" 가 인원 과부하로 내부망, DMZ 망 , web 서비스 망을 확장 하였습니다.
확장과 동시에 웹 페이지 규모 및 웹서버의 이중화, 로드밸런싱을 구현할 계획입니다.
▶ 소통의 공간은 인터넷 블로그지만 특성상, 페이지와 DB에 저장된 개인 회원기록을 보안위협과 위험에 대비해 보안 솔루션을 구축하려 한다. |
구현기능 |
▶ 웹 서비스망
- 웹 서버의 부하를 줄이고 서버의 효율성과 가용성을 높이기 위한 로드 밸런싱
- 웹 서버가 동작하지 않으면 다른 노드를 통해 서비스를 제공하기 위해 서버를 이중화
- 웹 서비스로 들어오는 공격를 탐지하고 차단하기 위해 UTM 사용
-> 패킷 제어, WAF를 통해 웹 서비스 신호 제어 가능
▶ 내부망
- Snort를 구현하여 외부나 내부에서에서 "3days" 네트워크 망 각 대역을 거치는
패킷 검사 및 악의적인 공격 감지
- UTM을 통해 DNS, Mail 서버 및 Database에 접근하는 패킷을 감지 및 제어하고
악의적인 시도나 비정상적인 신호 차단 |
설계의 주안점 |
1. 웹 서버의 이중화, 로드밸런싱을 통한 서버 보안 및 안정화
2. 보안 체크리스트를 이용한 각 서버 보안 점검
3. UTM, IDS, WAF 보안 솔루션 장비를 통해 악의적 공격 및 해킹 시도 감지 및 방어 |
|
2 팀
Nest Shield
팀장/팀원 |
명**(팀장), 박**, 김**, 한**
|
개요 |
최근 3월 펜션예약 대행 기업 둥지나라의 웹 사이트 DB에 해킹 공격이 들어와 전화번호, 이메일 주소 등 개인정보 7만여건이 유출 되는 사고가 있었다. 이에 해당 펜션은 보안 솔루션 회사 Nest Shield에 후속 조치 및 보안 시스템을 구축을 위탁했다.
이에 따라 Nest Shield 보안 회사는 보안성이 향상 된 기업 네트워크 망을 설계 및 구축 하고 보안 장비를 통해 강력한 보안 향상을 꾀하고 자체 모의 해킹을 통해 체크리스트 기반의 취약점 분석을 진행하기로 한다. |
구현기능 |
● 서비스
- Web, DNS(master/slave), DataBase, DataBase Backup
NAS(헤놀로지), Mail, DHCP, WMS 서버, 인증서 서버
● 보안장비
- UTM(Sophos, Untangle)
- IPS(Sophos, Pesense)
- WAF(WAPPLES)
- IDS(Snort, suricata)
● 이중화
- L4 Switch(Alteon)
- Router
● 로드 밸런싱
- L4 Switch(Alteon)
- Web Server Loadbalancing |
설계의 주안점 |
● 가상 기업의 사내 네트워크 망 구성
- DMZ, 내부서비스망, 클라이언트 망 구성
● 웹 서버에 대한 이중화 및 로드밸런싱을 통한 안정성 향상
● 보안 솔루션의 다중화를 통한 부하 분산 및 강력한 보안 제공
- UTM, IPS, IDS ,WAF 등 장비 별 역할 분담
● 모의 해킹 공격 결과에 기반하여 취약점 분석 및 침해대응
- 자동화 툴 및 스크립트 작성을 통한 Web, APT 공격 실행
● 서버별 취약점 확인 및 후속 조치를 위한 체크리스트 작성 |
|
3 팀
Foursu
팀장/팀원 |
이**(팀장), 송**, 최**
|
개요 |
- 인강 기업 '포수' 사의 사업이 확장 됨에 따라 내부망, DMZ망, 웹 서비스 망을 확장하였다. 사업의 확장과 함께 인강 웹페이지의 규모도 커지면서 웹 서버의 이중화와 로드밸런싱을 구현할 필요성을 느꼈다.
- 인터넷 강의 회사의 특성 상, 웹 페이지와 DB에 저장된 지적 재산이 가장 큰 자산이기 때문에, 다양한 보안 위협과 위험에 대비해, 보안 솔루션을 구축하고자 한다. |
구현기능 |
# 웹 서비스망
- 웹 서버의 부하를 줄이고 서버의 효율성과 가용성을 높이기 위해 로드 밸런싱
- 한 노드의 웹서버가 예기치 못한 사건, 사고로 인해 Shutdown되어도 다른 노드를 통해 서비스를 제공하기 위해 서버를 이중화
- 웹서비스망으로 들어오는 공격과 비정상적인 신호를 탐지하고 차단하기 위해 UTM을 통해 패킷을 제어하고 WAF를 통해 웹 서비스 신호를 제어
# 내부망
- Snort를 구현하여 외부에서 포수사 네트워크 망 각 대역으로 들어가는 패킷을 검사하여 악의적인 공격을 감지하고 내부망내에도 Snort를 구현하여 내부망에서 외부 또는 웹서비스망, DMZ 망으로 시도되는 공격을 감지
- 내부망 상단에 iptables를 구현하여 내부에서 외부로, 외부에서 내부로 향하는 패킷을 제어.
# DMZ망
- UTM을 통해 DNS, Mail서버 및 Database에 접근하는 패킷을 감지 및 제어하고 악의적인 시도나 비정상적인 신호를 차단 |
설계의 주안점 |
- 웹 서버 이중화, 로드밸런싱을 통한 서버 보안 및 안정화
- 보안 체크리스트를 작성 후, 체크리스트를 활용하여 각 서버 보안 점검
- UTM, IDS, Iptabls, WAF 등 보안 솔루션 장비를 통한 악의적인 공격 및 해킹 시도 감지 및 차단 |
|
4 팀
메이저
팀장/팀원 |
최**(팀장), 김**, 김**, 안**
|
개요 |
개인 쇼핑몰 사이트인 '메이저' 쇼핑몰에서 사업 규모 확장으로 인해 인프라를 구축했고,
네트워크 구성 및 보안 강화를 요청한 내용에 대해 토폴로지 보완 및 보안 솔루션 적용 |
구현기능 |
* 네트워크
VLAN / VRRP / Routing / NAT
* 서비스
WEB / Mail / DNS / Data Bases / File / DHCP / Backup (각 서버별로 RAID 구성)
* 보안솔루션
L4Switch (Alteon): 로드밸런싱
UTM: 통합위협관리 (NAT, Firewall)
ESM : 네트워크 보안
IDS/IPS (Snort): 침입탐지 및 침입방지
WAF (Penta-Security WAPPLES): 웹 방화벽
* 보안컨설팅
주요정보통신기반시설 기술적 취약점 진단 체크리스트 기반 인프라 진단
웹 서비스 중심의 외부 공격에 대한 보안
도출된 취약점들에 대한 여러가지 보안대책 수립 |
설계의 주안점 |
쇼핑몰 홈페이지 구축
사내에서 사용할 File, DNS, DHCP, Mail 서버 구축
웹 페이지와 웹 소스코드, DB를 중점으로 한 전반적인 보안강화
보안솔루션 정책 작성 및 튜닝
체크리스트 기반의 취약점 진단 |
|
5 팀
Santa Claus
팀장/팀원 |
박**(팀장), 함**, 허**
|
개요 |
▪ 어린 아이들이 웹 사이트에서 산타에게 메일을 작성하면 해당 회원 이메일로 답장을 해주는 회사에 필요한 서버 망을 구성
▪ 망에 대한 보안 체크리스트를 작성 후 모의 해킹과 대응 방안 설정 |
구현기능 |
▪ DMZ (웹 서버, DNS 서버), 내부 서비스 (Storage, Database, Backup, Mail, ERP, ERP DB, 인증서), 내부 (AP, File Server, Client) 망구성
▪ L4스위치를 이용한 로드 밸런싱
▪ WAF 웹 방화벽
▪ 이중화 구성
▪ 방화벽, IDS
▪ ESM
▪ UTM |
설계의 주안점 |
▪ 모의 해킹에 의거한 침해대응 및 대응방안 수립
▪ IDS, WAF, UTM 보안 솔루션 구축, 운영
▪ ESM – 로그 데이터 통계수치 시각화
▪ L4 스위치를 통한 웹/방화벽 Load Balancing |
|