KH IEI PROJECT
정보시스템 구축 및 보안 엔지니어 양성과정 1회차
정유미 강사 / 이호정 취업담임
2020. 07. 21 (351)
1 팀
보안 Yo 정도
팀장/팀원 |
이**(팀장), 박**, 조**, 홍**, 전**
|
개요 |
- ISMS 의무 인증 대상으로 지정되어 YJ Fashion의 위험 관리 의뢰
- 위험 관리 구성 4요인(자산, 위험, 위협, 취약점)을 분석한 결과 웹 해킹에 취약한 것으로 판단
- YJ Fashion 웹 해킹에 대한 보안 시스템 구축 및 운영 방안 모색 |
구현기능 |
- 침입 탐지 시스템(Intrusion Detection System) : 네트워크를 통한 공격을 탐지하기 위한 장비
- 침입 방지 시스템(Intrusion Prevention System) : 네트워크에서 공격 서명을 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션.
- 통합 위협 관리(Unified Threat Management) : 침입 차단 시스템, 가상 사설망 등 다양한 보안 솔루션 기능을 하나로 통합한 보안 솔루션.
- 이중화 : 물리적인 장비, 연결되는 케이블, 시스템 등을 예비로 2개 이상 운영하여 장애를 대비 함
- 라우팅(Routing) : 패킷 필터링, ACL(Access Control List), 안전한 사용자 관리 및 권한 부여, 불필요한 프로토콜과 서비스 제거, 로깅
- NAC(Network Access Control) : 접근 제어/인증, PC 및 네트워크 장치 통제(무결성 체크), 해킹, 웜, 유해 트래픽 탐지 및 차단
- VPN(Virtual Private Network) : 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화기법을 제공하는 서비스
- WAF(Web Application Firewall) : SQL Injection, Cross-Site Scripting(XSS)등과 같은 웹 공격을 탐지하고 차단
- ESM(Enterprise Security Management) : 방화벽, 침입탐지시스템(IDS), 가상사설망(VPN) 등 다양한 종류의 보안 솔루션을 하나로 모은 통합보안관리시스템 |
설계의 주안점 |
- 보안의 3요소 (기밀성, 무결성, 가용성) 유지
- 정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 보안 실천
- 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)에 근거한 보안 정책 설계
- 상황에 맞는 위험 처리 전략(수용, 회피, 감소, 전가) 선정
- 화이트리스트 기반의 보안 정책 수립 |
|
2 팀
포트가 열렸조? 정보가 털렸조?
팀장/팀원 |
김**(팀장), 강**, 이**, 이**, 신**
|
개요 |
인터넷 쇼핑몰 회사가 회사를 이전하면서 보안망 구축을 의뢰 해 왔다. 그리고 최근 코로나사태로 인한 자택근무화가 진행됨에 따라 VPN설정도 의뢰하였다.
이에 CP 보안회사가 의뢰를 받아 보안망을 구축하기로 하였다. |
구현기능 |
UTM - VPN서비스, 로그수집, 내부망의 시간별 관리
IPTABLES - 기본적인 방화벽 설정, 로그수집
L4SW(Alteon) - 로드벨런싱
DNS서버, DHCP서버
IPS/IDS(Snort)
Database(Mysql)
Web(HTML, PHP, Javascript)
ESM(elasticsearch, kibana, filebeat)
게이트웨이 이중화 |
설계의 주안점 |
1. 로드벨런싱으로 홈페이지 가용성 향상
2. IPS, UTM, IDS를 통한 보안성 향상
3. ESM을 이용한 지속적인 로그 관리 및 관제 |
|
3 팀
Lucete
팀장/팀원 |
김**(팀장), 박**, 최**, 한**
|
개요 |
바사민 쇼핑몰이랑 51은행에서 최근 비슷한 해킹사례가나와서 바사민 쇼핑몰, 51은행에서 최근 보안문제가 생겨서 KCHP와 351Security 두 회사에 보안시스템 점검 및 보안망 구축을 의뢰를 하였다. 의뢰하면서 KCHP와 351Security회사가 완벽에 가까운 보안시스템 구축을 위해 서로의 보안망에 대해 점검 의뢰를 계약 조건에 걸었다. 그래서 A,B회사는 서로가 만든 보안시스템을 협의하에 모의해킹을 통해 구축한 보안망의 안정성을 테스트한다. 또한 가끔 사용자가 몰려서 네트워크망이 불안정해서 네트워크망 업그레이드 요청이 있었다. 우리 Lucete는 안정적인 네트워크 망을 구축해 바사민 쇼핑몰의 고객들이 쇼핑몰을 이용할 때 불편함이 없도록 해주고, 완벽에 가까운 보안시스템을 구축해 바사민 쇼핑몰이 더 이상 해킹을 당해 해커에게 정보를 빼앗기는 일이 없도록 하겠다. |
구현기능 |
로드벨런싱(데이터 부하 분산), 게이트웨이 이중화, VPN외부사설망 IPSEC, VLAN, IPTABLES, 웹포트포워딩, WAPPLE, UTM, DB실시간 동기화, DHCP, MAIL, FTP,DNS SERVER 동기화,L4SW |
설계의 주안점 |
바사민 쇼핑몰(클라이언트)의 고객 정보 보호 및 유출 방지, 편리한 네트워크 사용, 다수의 호스트 장비의 설정을 효율적이고 편리한 사용, 데이터의 과부화를 없애줌 |
|
4 팀
일당백
팀장/팀원 |
최**(팀장), 박**, 이**, 류**
|
개요 |
- 헤드헌팅 회사인 GoodManHunting(이하 "GMH"이라 한다)가 회사 홈페이지 DB 및 사내 DB 유출 사건 발생
- 외부 홈페이지에 SQL Injection 발생으로 회원 및 지원자 개인정보 유출
- 사내 보안팀 생성 및 네트워크 보안망 구축
- 최은비 팀장과 박근미 대리, 이수라 대리, 류희정 사원은 GMH의 기술적, 물리적과 +C21관리적 보안 구축을 위한 프로젝트 기획 |
구현기능 |
<전체 네크워크 망>
- 보안을 위해 네트워크 망 분리 및 코어 생성
- IPS, IPTABLES, UTM 등 코어 네트워크의 보안 및 통신 설정
- ESM을 통한 로그 관리로 사내 보안팀 유지보수
- WEB 서버 게이트웨이 이중화로 장애 대비
- WAF를 통한 웹서버 보안
- 메일 서버와 DNS 서버 생성
- DMZ 영역 전반 IPS를 통한 보안
<사내망>
- VLAN으로 사내망 네트워크 분할
- NAC를 통한 네트워크 접속 보안
- WEB서버와 DB 서버 분리 및 이중화
- L4를 통한 로드밸런싱로 부하분산
- IPTABLES를 통한 보안 설정
<사내 WEB망>
- DHCP 서버 생성으로 내부 통신 편리성 증대
- 외부 WEB서버와 분리 및 IPS를 통한 보안 설정
<지사망>
- 지사와의 보안 통신을 위한 VPN 생성
<재택>
- 코로나로 인한 신규 재택 근로 환경 생성 |
설계의 주안점 |
- 이중화를 시스템의 가용성, 성능 향상 및 장애 대비
- DB, 외부, 내부 웹서버 분리를 통한 서버 보안
- 네트워크 망 분리와 VLAN 사용으로 보안 증대
- 코어 망 및 UTM, ESM을 통한 중앙 관리체계 수립 |
|
5 팀
Drop the Hack
팀장/팀원 |
조**(팀장), 임**, 양**, 최**, 김**
|
개요 |
서론
쇼핑몰(바지회사), 은행에서 최근 보안문제가 생겨서 A,B회사에 보안시스템 점검 및 보안망 구축을
의뢰를 하였다. 의뢰하면서 A,B회사가 완벽에 가까운 보안시스템 구축을 위해 서로의
보안망에 대해 점검의뢰를 계약 조건에 걸었다.
그래서 A,B회사는 서로가 만든 보안시스템을 협의하에
모의해킹을 통해 구축한 보안망의 안정성을 테스트한다.
본론
쇼핑몰(바지회사)쪽에 의뢰를 받은 KCHP(자회사)에서 보안시스템 구축을 맡기로 했다.쇼핑몰이랑 은행에서 최근 비슷한 해킹사례가 나와서
쇼핑몰(바지회사), 은행에서 최근 보안문제가 생겨서 A,B회사에 보안시스템 점검 및 보안망 구축을
의뢰를 하였다. 의뢰하면서 A,B회사가 완벽에 가까운 보안시스템 구축을 위해 서로의
보안망에 대해 점검의뢰를 계약 조건에 걸었다.
그래서 A,B회사는 서로가 만든 보안시스템을 협의하에
모의해킹을 통해 구축한 보안망의 안정성을 테스트한다. |
구현기능 |
- WEB, DB, DB백업서버 구축
- Vlan을 통한 네트워크 분할
- L4 스위치를 이용한 web서버 로드밸런싱 구축
- DHCP를 통한 IP 자동할당
- DHCP,MAIL,FTP, DNS서버구축
- 게이트웨이 이중화
- UTM, IPS, WAF구축
- ESM 관제 서버 구축 |
설계의 주안점 |
- 본사와 지사를 암호화 통신을 위해 VPN으로 연결한다.
- 내/외부 DB 와 Backup서버를 분리. 물리적으로 떨어진 곳에 위치 하도록 한다.
- 내/외부 네트워크 망 보안 강화
- 로드밸런싱, VRRP를 통한 네트워크 가용성 보완
- 외부 공격 탐지 및 차단 대책
- 웹 해킹(xss, csrf, sql injection 등)에 대한 보안 강화 |
|
6 팀
six
팀장/팀원 |
이**(팀장), 이**, 이**, 박**, 김**
|
개요 |
소핑몰 보안망 구축 |
구현기능 |
-UTM을 이용한 방화벽 서비스
-Snort를 이용한 IPS/IDS 서비스
-데이터베이스 구축
-로드벨런싱 |
설계의 주안점 |
-개인정보 유출방지
-여러가지 해킹에대한 보안설정
-가용성 유지 |
|