KH정보교육원 모바일 - 수강생 프로젝트

×

대표번호 : 1544-9970(연중무휴)

침입 탐지 및 대응을 위한 통합 시스템 구축

(정보시스템구축) 정보시스템 구축·운영 기반 정보보안 전문가 양성과정A23(5) 1회차

사랑의_하츄ping

이경연(팀장) , 박윤선 , 손유설 , 이동규

개요	내부 네트워크망을 체계적으로 설계하고, 다양한 보안 위협에 대한 탐지 및 대응이 가능한 통합 보안 시스템을 구축하는 것을 목적으로 한다. 이를 통해 조직 내부 자산에 대한 침입 시도를 식별하고, 사전에 정의된 정책에 따라 자동 대응함으로써 보안 관리의 효율성과 정확성을 향상시키고자 한다.
구현기능	1. 네트워크 구성 VMware 를 사용해 NAT환경을 구축한다. 네트워크 구성은 외부네트워크(External), DMZ 영역(192.168.12.0/24), 내부네트워크(Internal)(192.168.0.0/24)으로 구분된다. 2. 도메인 서비스 DMZ 영역에 외부 서비스를 제공하는 DNS 서버를 구축하여 도메인 서비스 제공한다. 3. 웹 게시판 서비스 Apache 기반으로 Oracle DB 연동한 웹서버를 구축하여 웹 게시판 서비스를 운영한다. 4. Crontab을 활용한 자동 백업 웹서버에서 발생하는 error, access 로그를 rsync를 통해 내부 네트워크의 Log Backup서버로 전송하며, 해당 rsyslog 전송 명령어는 Crontab에 등록하여 주기적으로 실행되도록 구성한다. 5. 침입 탐지 시스템(IDS) Snort를 활용하여 네트워크 트래픽 실시간 탐지하고, 이상 징후 발견 시 로그를 파일로 저장함과 동시에 rsyslog를 통해 실시간 경고 메시지를 출력한다. 6. 로그 수집 및 전송 rsyslog를 활용하여 각 서버의 로그를 SIEM에 전송한다. 7. DB서버 구성 내부 네트워크에 민감 데이터를 저장하는 Oracle 데이터베이스 서버를 구축한다. 8. 보안관제 시스템(SIEM)의 비정상 로그 탐지 Wazuh를 활용하여 보안 룰을 지정하고, 지정된 룰을 이용하여 비정상 로그를 탐지한다. 9. 보안관제 시스템(SIEM)의 자동 대응 설정된 룰과 매칭된 로그가 탐지되면, Wazuh의 ossec.conf 파일에 정의된 스크립트에 따라 Active Response 스크립트가 자동으로 실행된다. 10. 보안관제 이벤트 대시보드 Elasticsearch와 연동된 Kibana 툴을 사용하여 실시간 로그 데이터를 시각화하는 대시보드 제공한다. 11. 웹서버용 Log Backup : 로그 이중화 웹서버의 중요 에러 로그기록을 주기적으로 백업 받는 체계를 구축하여 추후 조사 및 분석을 위한 정확한 로그 확보가 가능하게 구축한다. 12. 내부 네트워크에 관리자 PC(admin PC)를 구축하여, 모든 서버를 관리한다.
설계의 주안점	1. 보안정책 적용 여부에 따른 네트워크 구성 :외부 네트워크, DMZ, 내부 네트워크(Internal) 영역으로 구성된 네트워크 설계를 기반으로, 방화벽 SOPHOS UTM9을 통해 외부 접근을 통제하고 영역 간 접근 제어 강화한다. 내부 네트워크의 Oracle DB 서버에 직접 접근은 차단되며, DMZ 영역도 최소 권한 원칙에 따라 서비스 제한 적용한다. 2.실시간 침입 탐지 체계 구축 :Snort 기반 IDS를 통해 내부 네트워크에서 실시간으로 비정상적인 행위를 탐지하고 경고 할 수 있도록 룰을 설정한다. 이 때, 탐지된 이상 행위는 rsyslog 통해 SIEM 서버로 전송될 수 있게 한다. 3.웹서버에서 발생한 취약점 관련 로그를 주기적으로 자동 백업 :웹 서비스의 취약점을 이용한 공격 시도와 관련된 error, access 로그를 파일별로 수집하고, rsync를 통해 내부 네트워크의 Log Backup 서버로 4시간 주기를 기준으로 전송한다. 주기적 전송은 crontab에 등록된 rsyslog 전송 명령어를 이용하여 구성한다. 4.정책 기반 자동 대응 구현 :SIEM 서버는 수집된 로그를 기반으로 자동 분석을 수행하며, 이상 행위 탐지 시 Wazuh의 ossec.conf 에 정의된 룰인 접근 시도 횟수 초과, 특정 포트 스캔 등에 대해 자동으로 차단 스크립트 실행한다. 5.보안 로그 수집 및 가시화 시스템 구축 :SIEM 서버를 중심으로 서버 및 보안 장비의 보안 로그를 수집·통합·시각화할 수 있게 Kibana 대시보드를 통해 침입 시도, 로그인 실패, 시스템 경고 등의 이벤트를 실시간으로 모니터링이 가능하게 한다. 6. 보안 운영의 확장성과 지속 가능성 확보 :시스템 구성요소는 Crontab, rsync, Wazuh 등 자동화 가능한 기술 중심으로 구성되어 있으며, 수동 개입 없이도 보안 탐지-분석-대응이 순환되도록 설계한다. 이를 통해 향후 확장, 정책 업데이트, 백업 서버 교체 등의 유지관리 작업이 간단히 이뤄질 수 있도록 하며, 실제 운영 환경에서도 안정적인 보안 정책 유지가 가능하도록 구현한다.
사용기술 및 개발환경	1. OS - Kali-linux-2025.1a-vmware-amd64 - Rocky-8.10-x86_64-dvd1 - Windows 10 22H2 (OS 빌드 19045.5737) - CentOS 6.10 2. DB - Oracle Database 19c Enterprise Edition Version 19.3.0.0.0 - Oracle Instant Client 19c Basic Package Version 19.25.0.0.0 - Oracle Instant Client 19c SDK (Devel) Package Version 19.25.0.0.0 - Oracle Instant Client 19c SQLPlus Package Version 19.25.0.0.0 3.WEB - Apache HTTP Server Version 2.2.34 - PHP Version 7.4.33 4. Application - VMware-workstation-full-17.6.3-24583834 - MobaXterm Version 25.1 5. UTM - Sophos UTM Version 9.714-4.1 6.IDS ●Snort Version 2.9.20 GRE (Build 82) - 설치 방식 : 수동 설치 (공식 웹사이트에서 .rpm 패키지 직접 다운로드 후 dnf 설치) 의존성 패키지 다수 설치 필요 (dnf, ln, epel 활용) - 저장소 경로 : 직접 다운로드 https://snort.org/downloads/snort/snort-2.9.20-1.centos.x86_64.rpm - 연동 대상: Wazuh (Snort 로그 수집 및 경고 분석용) rsyslog (Snort 로그를 시스템 로그처럼 전달) Logstash / Elasticsearch / Kibana (SIEM 구성 내 분석 및 시각화용) 7. SIEM ● Wazuh-manager-4.12.0-1.x86_64 - 설치 방식: YUM 저장소 기반 dnf 패키지 설치 (RPM GPG 서명 포함) - 저장소 경로:https://packages.wazuh.com/4.x/yum/ (레포지토리 설정 파일: /etc/yum.repos.d/wazuh.repo) - 연동 대상: Elasticsearch (로그 색인 및 저장용) Kibana (보안 이벤트 시각화용) rsyslog 또는 Filebeat (로그 수집기) Crontab (주기적 로그 전송 자동화) ● Kibana-8.18.1-1.x86_64 - 설치 방식: YUM 저장소를 통한 패키지 설치 - 저장소 경로: https://artifacts.elastic.co/packages/8.x/yum - 설치 명령어: dnf install -y kibana - 연동 대상: Elasticsearch 8.18.1 ● Elasticsearch-8.18.1-1.x86_64 - 설치 방식: YUM 저장소 기반 dnf 패키지 설치 (RPM GPG 키 등록 포함) - 저장소 경로:https://artifacts.elastic.co/packages/8.x/yum (레포지토리 설정 파일: /etc/yum.repos.d/elasticsearch.repo) - 연동 대상: Kibana 8.18.1 (대시보드 시각화) Logstash 8.18.1 (로그 파이프라인 구성) Wazuh 4.12.0 (보안 이벤트 수집 및 분석) rsyslog 또는 filebeat (로그 수집기) ● Logstash-8.18.1-1.x86_64 - 설치 방식: YUM 저장소 기반 dnf 패키지 설치 - 저장소 경로:https://artifacts.elastic.co/packages/8.x/yum (Elasticsearch, Kibana와 동일 저장소) - 연동 대상 : Wazuh (보안 경고 로그 수집: /var/ossec/logs/alerts/alerts.json) Elasticsearch (로그 색인: wazuh-alerts- 인덱스 형식으로 저장) Kibana (시각화를 위한 인덱스 참조) ● Elasticsearch-8.18.1-1.x86_64 ● Logstash-8.18.1-1.x86_64

이전글 | KISA 취약점 분석 및 평가 방법론 기반 Linux 운영체제 보안 침해사례 대응 매뉴얼

다음글 | Sophos utm을 활용한 네트워크 보안환경 구축 및 위협 방어

우수훈련기관 띠배너

고용노동부 선정

5년 인증 우수훈련기관 선정

빠른 상담

KH임직원은 수강생 한 분 한 분의
성공적인 취업을 위해 최선을 다하겠습니다.

No.1 국내 최대의 취업 실적을 보유한
KH정보교육원에 오신 것을 환영 합니다.
KH의 전 과정은 NCS(국가교육표준화)기준을 준수하며
최대 100% 무료 국비지원을 받으실 수 있습니다.

이용약관 안내

KH정보교육원 회원 약관

제 1 장 총칙

제 1 조 목적

이 약관은 KH정보교육원이 제공하는 서비스인 http://www.khedu.co.kr의 이용조건 및 절차에 관한 사항과 기타 필요한 사항을 규정함을 목적으로 합니다.

제 2 조 약관의 효력과 변경

1) 약관은 이용자에게 공시함으로써 효력을 발생합니다.
2) KH정보교육원은 교육원 사정상 변경의 경우와 영업상 중요사유가 있을 때 약관을 변경할 수 있으며, 변경된 약관은 전항과 같은 방법으로 효력을 발생합니다.

제 3 조 약관 외 준칙

이 약관에 명시되지 않은 사항이 관계법령에 규정되어 있을 경우에는 그 규정에 따릅니다.

제 2 장 회원 가입과 서비스 이용

제 1 조 이용 계약의 성립

1) KH정보교육원에서 운영하는 모든 회원서비스는 이 약관에 동의한 이용자들에게 무료로 제공 되는 서비스입니다. 이용자가 "동의합니다" 버튼을 누르면 이 약관에 동의하는 것으로 간주됩니다.
2) 회원에 가입하여 서비스를 이용하고자 하는 희망자는 회사에서 요청하는 개인 신상정보를 제공해야 합니다.
3) 등록정보
KH정보교육원은 이용자 등록정보를 집단적인 형태로 사용할 수는 있지만 각 이용자 개인 정보는, 불법적이거나 기타 다른 불온한 문제를 일으킬 경우를 제외하고, 이용자의 동의 없이는 절대 공개하지 않습니다. KH정보교육원을 이용하여 타인에게 피해를 주거나 미풍양속을 해치는 행위를(즉 욕설, 비방성글, 인신공격성 발언, 사회적질서를 혼란시키는 유언비어등)한 이용자는 회원자격이 박탈되며, 이로 인해 발생되는 모든 사회적문제는 KH정보교육원에서 책임지지 않습니다.
4) 약관의 수정
KH정보교육원은 이 약관을 변경할 수 있으며 변경된 약관은 서비스 화면에 게재하거나 기타 다른 방법으로 이용자에게 공지함으로써 효력을 발생합니다.
5) ID와 패스워드
이용자번호(ID)와 비밀번호(password)에 관한 모든 관리책임은 이용자에게 있습니다. 이용자에게 부여된 이용자번호(ID) 및 비밀번호(password)의 관리소홀, 부정사용에 의하여 발생하는 모든 결과에 대한 책임은 이용자에게 있습니다. 자신의 ID가 부정하게 사용된 경우 이용자는 반드시 KH정보교육원에 그 사실을 통보해야 합니다.
6) 사용자 정보
KH정보교육원에 기재하는 모든 이용자 정보는 이름을 포함하여 모두 실제 데이타인 것으로 간주됩니다. 실명이나 실제 정보를 입력하지 않은 사용자는 법적인 보호를 받을 수 없으며, KH정보교육원의 서비스 제한 조치를 받을 수 있습니다.
7) 광고 게재 및 컨텐츠 제휴
KH정보교육원은 광고수익과 컨텐츠 제휴를 기반으로 컨텐츠 서비스를 제공하고 있습니다. KH정보교육원의 서비스를 이용하고자 하는 이용자는 광고게재및 컨텐츠제휴에 대해 동의하는 것으로 간주됩니다.

제 3 장 계약 해지 및 서비스 이용제한

제 1 조 계약 해지 및 이용제한

이용자가 이용 계약을 해지 하고자 하는 때에는 이용자 본인이 직접 온라인을 통해 관리자에게 메일을 보내어 해지 신청을 하여야 합니다.
회사는 이용자가 다음 사항에 해당하는 행위를 하였을 경우 사전 통지 없이 이용 계약을 해지 하거나 또는 기간을 정하여 서비스 이용을 중지할 수 있습니다.

(1) 공공 질서 및 미풍 양속에 반하는 경우
(2) 범죄적 행위에 관련되는 경우
(3) 이용자가 국익 또는 사회적 공익을 저해할 목적으로 서비스 이용을 계획 또는 실행 할 경우
(4) 타인의 서비스 아이디 및 비밀 번호를 도용한 경우
(5) 타인의 명예를 손상시키거나 불이익을 주는 경우
(6) 같은 사용자가 다른 아이디로 이중 등록을 한 경우
(7) 서비스에 위해를 가하는 등 서비스의 건전한 이용을 저해하는 경우
(8) 기타 관련법령이나 회사가 정한 이용조건에 위배되는 경우

제 2 조 이용 제한의 해제 절차

(1) 회사는 규정에 의하여 이용제한을 하고자 하는 경우에는 그 사유, 일시 및 기간을 정하여 서면 또는 전화 등의 방법에 의하여 해당 이용자 또는 대리인에게 통지합니다. 다만, 회사가 긴급하게 이용을 정지할 필요가 있다고 인정하는 경우에는 그러하지 아니합니다.
(2) 제1항의 규정에 의하여 이용정지의 통지를 받은 이용자 또는 그 대리인은 그 이용정지의 통지에 대하여 이의가 있을 때에는 이의신청을 할 수 있습니다.
(3) 회사는 제2항의 규정에 의한 이의신청에 대하여 그 확인을 위한 기간까지 이용정지를 일시 연기할 수 있으며, 그 결과를 이용자 또는 그 대리인에게 통지합니다.
(4) 회사는 이용정지 기간 중에 그 이용정지 사유가 해소된 것이 확인된 경우 에는 이용정지조치를 즉시 해제합니다.

제 3 조 이용자의 게시물

회사는 이용자가 게시하거나 등록하는 서비스 내의 내용물이 다음 각 사항에 해당된다고 판단되는 경우에 사전 통지 없이 삭제할 수 있습니다.
(1) 다른 이용자 또는 제 3자를 비방하거나 중상 모략으로 명예를 손상시키는 내용인 경우
(2) 공공질서 및 미풍 양속에 위반되는 내용인 경우
(3) 범죄적 행위에 결부된다고 인정되는 내용일 경우
(4) 제 3자의 저작권 등 기타 권리를 침해하는 내용인 경우
(5) 기타 관계 법령이나 회사에서 정한 규정에 위배되는 경우

제 4 장 계약변경 등

제 1 조 계약사항의 변경

(1) 이용자는 주소 또는 이용계약 내용을 변경하거나, 서비스 를 해지할 경우에는 전화나 서비스를 통해서 이용계약을 변경/해지하여야 합니다.

제 5 장 정보의 제공

제 1 조 정보의 제공

(1) 회사는 이용자가 서비스 이용 중 필요가 있다고 인정되는 다양한 정보에 대해서는 전자우편이나 서신우편 등의 방법으로 이용자에게 제공할 수 있습니다.

제 6 장 손해 배상

1) 손해배상
KH정보교육원은 서비스 이용과 관련하여 이용자에게 발생한 어떠한 손해에 관하여도 책임을 지지 않습니다. 서비스 이용으로 발생한 분쟁에 대해 소송이 제기될 경우 KH정보교육원의 소재지를 관할하는 법원을 관할법원으로 합니다.

[부 칙]

( 시 행 일 ) 이 약관은 2015년 01월 12일부터 시행합니다.

💼 취업 성공의