신생 커뮤니티 기업 'IDEA HUB' 인프라 구축 및 보안 컨설팅 의뢰
(정보시스템구축) 정보시스템 구축·운영 기반 정보보안 전문가 양성과정A23(5) 1회차
시부레(時不來)
이근복(팀장) ,
조성윤 ,
정대건 ,
김민지 ,
노민지 ,
박채이
| 개요 | "신생 커뮤니티 기업인 IDEA HUB는 사내 it부서를 통해 사내 전산망(전체 네트워크, 직원PC, 통합 전산시스템)과 서비스망(웹서버, 서비스용 망)을 구축하였다 IDEA HUB는 본격적인 회사 운영과 서비스 제공을 시작하기 전에 '이름' 업체에게 전반적인 모의해킹을 의뢰하였다. '이름'의 모의 해킹 팀은 IDEA HUB의 네트워크와 각종 서버, 보안시스템의 전반적인 취약점 분석과 서비스 안정성을 검사하였다. '이름'은 모의 해킹한 결과를 문서화 하여 IDEA HUB에게 보안 컨설트를 하게 된다. IDEA는 컨설트를 바탕으로 회사 운영, 서비스 제공 전에 네트워크와 시스템들을 보완하여 회사 운영을 시작한다." |
|---|---|
| 구현기능 | "< 모의해킹 전 > 1. 서버 - 외부 사용자들이 사용할 수 있는 WEB 페이지를 구성한다. - WEB와 DB를 연동하여 사용자 정보와 게시글 관리를 한다. - WEB 서버 가용성을 위한 Load Balancing(LVS)을 구현한다. - DB 장비 이상 시 정상 서비스를 위한 이중화(Heartbeat)를 구현한다. - 직원용 파일 업로드/다운로드를 위하여 FTP 서버를 구현한다. - 직원용 소통을 위한 메일 서버(SMTP)를 구현한다. - 도메인 네임 서비스를 지원하기 위하여 DNS 서버를 구현한다. - 통신 패킷의 암호화를 위하여 SSL 프로토콜을 연동한다. - 관리자가 원격으로 서버를 관리하기 위하여 원격시스템(SSH)를 구현한다. - 모든 서버들이 접근 로그를 관리하기 위하여 RSYSLOG 서버를 구현한다. 2. 네트워크 - UTM(SOPHOS)을 통하여 사무실 내부 PC 보안 및 NAT를 설정한다. - IPS(Snort)를 이용하여 비정상적인 통신 차단, 서버 통신 내역을 로그로 남긴다. - Iptables를 이용하여 사내 서버들의 보안 및 접근 제어한다. - GW이중화를 이용하여 서비스 서버와 연결된 라우터를 이중화하여 무중단 서비스 제공한다. - OpenVPN서버를 구성하여 VPN을 구축하여 서버 관리자의 안전한 접근 및 재택 근무 지원한다. - OpenVPN클라이언트 구성을 하여 간편한 설정 파일을 통해 쉬운 VPN 접속한다. - OSPF 동적 라우팅을 통하여 추후 토폴로지 변화의 대응한다. < 모의해킹 > - directory listing, crawling, whois, zone transfer(nslookup, dig), DNS brute Forcing(brute force, dnsenum, fierce, dnsmap, atk6-dnsdict6), 경로추적(traceroute, tracert), 포트스캔(nmap, hping3), sniffing, spoofing(arpspoof,ettercap, cain&abel, fragrouter, hping, hijacking(hping3), DoS(hping3, nping), DdoS, XSS, CSRF, SQL Injection, 파라미터 <모의해킹 후> - Web Server 이중화 및 DB Server 이중화 - Log Server 구축 - 주요 정보통신 기반 시설 기술적 취약점 분석 평가 상세 가이드에 근거한 서버 및 네트워크 보안 설정" |
| 설계의 주안점 | "1. 서버 - DB 이중화(Pacemaker)가 잘 되는지 확인한다. - Web Server 세션 동기화(NFS)가 잘 되는지 확인한다. - 시스템 접근 시 로그가 잘 남는지, RSYSLOG가 정상적으로 동작하는지 확인한다. - SMTP를 통해 내부망 메일 통신 기능이 정상적으로 되는지 확인한다. - 웹페이지에서 입력한 내용들이 DB에 저장되는지 확인한다. - LVS를 설정하여 WEB서버 가용성을 향상 시킨다. - 직원들 간의 파일 업/다운로드와 메일 통신이 암호화 통신으로 정상적으로 이루어지는지 확인한다. - 관리자가 SSH를 통하여 원격으로 서버를 관리할 수 있게 한다. 2. 네트워크 - 정적 라우팅 시에는 시간과 인력 소모가 들기 때문에 동적 라우팅인 OSPF를 사용한다. - UTM에서 NAT를 설정하여 사내 PC들이 인터넷 사용을 할 수 있게 설정하였고, 부실한 정책을 설정하여 해킹 경로를 확인한다. - IPS에서 통신 내역을 로그 파일로 저장하여 부적절한 이용자가 접속했는지 확인 가능하게 한다. - 서버 네트워크에 장애 발생 시에도 일반 이용자에게 무중단 서비스를 제공하기 위해 중요 지점 네트워크 이중화를 구성한다. - 재택근무을 하기 위해서는 사무실 내부로 안전하게 접근을 해야 하기 때문에 VPN을 구성한다. - 관리 부서는 VPN을 통해 서버실로 접근할 수 있게 함으로써 보안성을 향상 시킨다. " |
| 사용기술 및 개발환경 |
"[OS] Window 10 Pro 22H2(19045.3930) - native CentOS 6.7(Final) on VMware Windows 10 Pro 22H2(19045.2965) on VMware [개발 언어] HTML, PHP, CSS, Javascript [프로그램] GNS3 2.2.5 Wireshark 4.0.7 (v4.0.7-0-g0ad1823cc090) VMware 17.0.2 build-21581411 Router 시스코 3660[ios12.4(15)T9] + Leopard-2FE, NM-1FE-TX SOPHOS UTM9(9.401-11) on VMware virtualBox-6.1.22 r144080 (Qt5.6.2) WAPPLES-5.0.0.13 [패키지] - iptables iptables-1.4.7-16.el6.x86_64 - dns bind.x86_64 32:9.8.2-0.68.rc1.el6_10.8 - epel 레포지토리 epel-release-6.8.noarch - ntp ntp-4.2.6p5-5.el6.centos.x86_64 - ftp vsftpd-2.2.2-24.el6.x86_64 - web http-2.2.15 php-5.3.3 php-mysql-5.3.3 - db MYSQL-5.1.73 - dns bind-32:9.16.23-14.el9_3.0.1.x86_64 - ntp chrony-4.3-1.el9.x86_64 - file httpd-2.4.51-7.el9_0.x86_64 php-common-7.4.33-10.el9.remi.x86_64 mariadb-10.5.16-2.el9_0.x86_64 ownCloud 10.10.0 httpd-2.4.51-7.el9_0.x86_64 php-common-7.4.33-10.el9.remi.x86_64 mariadb-10.5.16-2.el9_0.x86_64 roundcubemail-1.3.10 - lvs ipvsadm-1.31-6.el9.x86_64 - log java-11-openjdk-devel mongodb-org-6.0 opensearch-2.0 graylog-5.0 - nfs(web 세션 동기화) nfs-utils-2.5.4-20.el9.x86_64 - pacemaker(서버 이중화) pacemaker-2.1.6-10.1.el9.x86_64 - db replication(db 동기화) mysql-community-server-8.0.36-1.el8.x86_64 - OpenVPN openvpn-2.4.9-1.el6.x86_64 OpenVPN Connect 3.4.3(3337) - rsa easy-rsa-3.0.8-1.el6.noarch - quagga quagga-0.99.15-14.el6.x86_64 - rocky ospf(frr) frr.x86_64 8.3.1-11.el9_3.1" |
이전글 | 아르바이트생들을 위한 후기 커뮤니티
