KH IEI PROJECT
정보보안 엔지니어 및 보안시스템 운영 관리자 양성과정(1) 1회차
김진환 강사 / 진은지 취업담임
2020. 11. 03 (A)
1 팀
김나박이조
팀장/팀원 |
박**(팀장), 김**, 나**, 이**, 이**
|
개요 |
기존 KH 대학교의 인프라는 최소한의 예산으로 필수 기능만을 구축한 상태이다.
평소에도 학교 홈페이지에 접속하려면 시간이 오래 걸렸으며 수강신청 기간 중 서비스 거부 공격으로 인해 수강신청 서비스를 제공하지 못하는 사고까지 발생하였다. 이에 김나박이 솔루션에 더 강화된 보안 솔루션 구축 및 가용성이 증진된 네트워크 재설계 요청을 의뢰 하였다. |
구현기능 |
NETWORK
- Tunneling
- Load Balancing
- VLAN
- VPN-Ipsec
- VRRP
SERVICE
- MailServer
- WebSever
- DB Server
- FTP Server
- DNS Server
Security solution
- Untangle UTM
- Pfsense
- Sophos UTM
- Selinux
- Surikata
- Wapples
- PAM
- ESM
- SSL |
설계의 주안점 |
보다 안전한 웹 서비스를 제공하기 위해서 웹 방화벽 추가
외부 DOS 공격을 대비해 UTM 도입
IPS , IDS 시스템 도입하여 불필요한 패킷 차단 및 보안 강화
네트워크 트레픽의 가용성을 높이기 위한 Load Balancing
안정적인 장비운용을 위해 VRRP 도입 |
|
2 팀
넷돔
팀장/팀원 |
지**(팀장), 안**, 이**, 임**
|
개요 |
회사 인프라 구축을 담당하는 업체인 넷돔은 한 회사의 회사망 구축 사업을 수주하게 되는데, 본사의 서비스를 지사가 이용하는 방식이기 때문에 고가용성과 보안을 충족시켜주는 인프라 구축을 의뢰했다. |
구현기능 |
1. 본사/지사 간 연결
2. 고가용성이 보장된 네트워크 인프라
3. 사내망의 보안 대책이 필요
4. DMZ와 사내망 간의 망 분리
5. 회사 내부에서 사용가능한 메일, 웹, DNS, DB 서버를 본사에 구축 |
설계의 주안점 |
· 본사/지사 간 IPSec을 이용해 VPN 암호화
· 백본 등 주요구간 장비 이중화를 통해 고가용성 확보
· DMZ 취약점 공격을 탐지할 수 있는 IDS 장비 구축
· 클라우드 상 구축된 외부 웹서버와 통신 가능하도록 구성 |
|
3 팀
공항시국
팀장/팀원 |
유**(팀장)
|
개요 |
공항 인프라 구축
- 코로나 대응을 위한 추가 인프라 구축 |
구현기능 |
네트워크 기반 이중화 /
PVST(Per Vlan Spanning-Tree)
STP(Spanning-Tree Protocol)
VRRP(Virtual Router Redundancy Protocol)
(Service)
DNS Server |
설계의 주안점 |
1. 이중화 기술을 사용하여 서비스의 연속성과 안정성 확보
2. 공항 내부에 구축된 시설 등을 보호해 주고 서버 관리자만 서버의 원격으로 접근 가능하도록 설정 |
|
4 팀
ONE
팀장/팀원 |
조**(팀장), 유**, 이**
|
개요 |
KH기획사는 새로운 대형 아이돌을 키우기 위해 수많은 기획과 컨셉을 모아 놓은 자료를
DB에 저장해두고 있었다. 하지만 경쟁사인 KG기획사에서는 KH기획사에서 대형아이돌을
키운다는 소문을 접수하여 정보를 캐내기 위해 침투시도를 준비하고 있었다. 이에 KH
기획사에서는 이를 방지하고자 보안에 더 많은 투자를 하기로 하여 회사 전체에 보안
솔루션을 도입하여 내부 보안을 강화하고자 한다. |
구현기능 |
- 웹 페이지를 통한 사용자 이용 서비스 제공
- 자료 공유를 위한 파일 전송 서비스 제공
- 외부 침입 방지를 위한 보안 시스템 구축
- 외부 침입 탐지를 위한 탐지 시스템 구축 |
설계의 주안점 |
- 망분리를 통한 네트워크 설계
- 각 망(DMZ, Server Farm, Internal)별 원활한 서비스를 위한 이중화 구성
- 각 서버별 접근 제한을 위한 정책 정의 및 적용
- 보안 장비를 통한 외부 침입 탐지 및 대응 정책 수립 |
|
5 팀
JOY
팀장/팀원 |
조**(팀장), 이**
|
개요 |
최근 사업 확장으로 인한 회원 수의 급증에 따른 거래량 증가로 네트워크 장비의 장애로 인한 업무 마비를 대비책 마련과 사내 직원의 업무와 관련없는 사이트 접속으로 인한 악성 코드 감염으로 데이터베이스 접근 허용하게 하여 고객 정보 및 작가들의 개인정보가 유출되는 사건이 발생함. 이후로도 개인정보를 이용하여 거래 유도 사기 등의 사건들이 급증하여 이를 보완하기 위해 보안의 필요성을 느껴 해당 사업을 진행하기로 함. |
구현기능 |
1. 외부 망
1-1. 네트워크 장비를 추가하여 네트워크 이중화 구축
1-2. 사내용 웹에 접속할 계정별 권한 부여
1-3. 고객용 웹 회원 및 비회원의 차별화된 접근 권한 부여
1-4. 기존 DB에서 권한 변경 - 계정별 권한 부여
2. 사내 망
2-1. 네트워크 장비를 추가하여 네트워크 이중화 구축 |
설계의 주안점 |
네트워크 장애를 대비한 네트워크 이중화 구축
서버 보안 강화 |