ELK 스택을 활용한 SIEM 구축과 UTM을 통한 보안 인프라 강화
(정보시스템구축)정보시스템 구축·운영 기반 정보보안 전문가 양성과정(2) 종일
시큐병아리
임다빈(팀장) ,
김민서 ,
김지민 ,
박진우 ,
이지연
| 개요 | 본 프로젝트는 VMware NAT 환경에서 External, DMZ(192.168.20.0/24), Internal(192.168.0.0/24)을 분리하고, Sophos UTM을 중심으로 NAT을 적용하여 안정적이고 안전한 네트워크 환경을 구축하는 것을 목표로 한다. Sophos UTM은 방화벽, IPS, WAF, VPN, 웹 필터링 기능을 통해 외부 접근 통제, 내부 자원 보호, 안전한 원격 접속, 웹 트래픽 검증, 서비스 가용성 향상을 담당한다. DMZ에는 웹 서버와 DNS 서버를 배치하여 외부 서비스를 제공하고, 내부망에는 관리용(Admin), Oracle DB, Rsyslog, Windows 서버를 구성하여 핵심 업무 및 로그 관리 기능을 수행한다. 또한 ELK Stack(Logstash–Elasticsearch–Kibana)을 활용하여 UTM 및 네트워크 장비에서 발생하는 로그를 분석·시각화함으로써 보안 이벤트를 실시간으로 모니터링하고 위협에 신속히 대응할 수 있는 환경을 구현한다. |
|---|---|
| 구현기능 | 1 .VMware NAT 네트워크 구축 DMZ와 내부망을 분리한 네트워크를 구축하고 Sophos UTM을 통해 External과 연결한다. NAT를 활용한 구성으로 192.168.11.0/24 네트워크 대역을 외부망이라고 간주한다. Web Server(192.168.20.11)의 웹페이지는 도메인으로 누구나 접근할 수 있으며 Trusted Administrator는 외부망에 위치하여 내부망에 접근할 수 있도록 한다. 본사 네트워크 ① Sophos UTM - (Default Gateway: 192.168.11.1) Internal : 192.168.0.2 DMZ : 192.168.20.2 External : 192.168.11.2 ② DMZ(192.168.20.0/24) - (Gateway: 192.168.20.2) Web Server : 192.168.20.11 DNS Server : 192.168.20.12 ③ Internal(192.168.0.0/24) - (Gateway: 192.168.0.2) Admin : 192.168.0.11 Oracle Server : 192.168.0.12 (ora19c 계정 생성) Rsyslog Server : 192.168.0.13 Logstash Server : 192.168.0.14 NAS Server : 192.168.0.15 Kibana : 192.168.0.16 Elasticsearch Master_1 : 192.168.0.20 Master_2 : 192.168.0.21 Master_3 : 192.168.0.22 Hot_Node_1 : 192.168.0.23 Hot_Node_2 : 192.168.0.24 Hot_Node_3 : 192.168.0.25 Frozen_Node_1 : 192.168.0.26 Frozen_Node_2 : 192.168.0.27 Frozen_Node_3 : 192.168.0.28 Web_master_PC : 192.168.0.31 (webmaster 계정 생성) 지사 네트워크 ① Sophos UTM - (Default Gateway: 192.168.11.1) Extenal : 192.168.11.3 Internal : 192.168.30.1 ② Internal (192.168.30.0/24) - (Gateway: 192.168.30.1) E_Trusted_Admin : 192.168.30.2 외부 네트워크 ① External: (192.168.11.0/24) - (Gateway: 192.168.11.1) Attacker : 192.168.11.12 2. Sophos UTM을 이용한 보안 설정 ① Firewall: IP, 포트, 프로토콜 기반의 필터링 규칙을 통해 비인가된 접근을 차단하고, 허용된 서비스만 통신하도록 제어한다. ② IPS: 네트워크 트래픽을 실시간으로 모니터링하고 시그니처 기반 룰을 적용하여 공격 시도를 탐지 및 차단한다. ③ WAF: DMZ 구간의 웹 서버를 보호하기 위해 필터링 정책을 설정하고 웹 트래픽을 필터링한다. ④ VPN: IPSec VPN을 구성하여 지사에서 본사의 내부 네트워크에 접근 가능하도록 설정한다. ⑤ Web filtering: 내부 사용자 웹 접근을 관리하고, 악성/비인가 사이트를 차단하며 SSL Inspection 기능을 통해 암호화된 트래픽 내의 위협 요소도 탐지한다. 3. Rsyslog Server를 이용한 로그 중앙집중화 Rsyslog Server와 Client 설정을 통해 Sophos UTM에서 생성되는 방화벽 로그, IPS 로그, VPN 로그, 웹 필터링 로그를 Rsyslog 서버로 전송한다. 4. ELK Stack 기반 로그 분석 환경 구축 ① Logstash: Rsyslog로 수집한 로그에 대해 파싱(필드 추출, 태깅 등을 수행)하여 Elasticsearch로 전송한다. ② Elasticsearch: 파싱된 로그를 검색과 집계가 가능하도록 인덱스로 저장한다. ③ Kibana: Elasticsearch 데이터를 시각화하고, 대시보드로 보안 상태를 한눈에 보여주고 알림·탐색·보고서 기능을 제공한다. |
| 설계의 주안점 | 1.Firewallrule에 기반하여 네트워크와 서비스의 접근을 제어한다. 상위 rule부터 적용되므로 우선순위 설정을 명확히 한다.2.IPSDrop detected attacks 옵션을 통해 Inline Mode로 설정하여 비정상으로 탐지된 패킷을 즉시 차단할 수 있도록 한다. Strict 정책으로 광범위하게 취약점을 탐지 및 차단하고 내부에서 발생하는 비정상적 트래픽도 탐지한다.3.WAF웹 애플리케이션의 취약점을 이용한 공격을 차단하기 위해 Reverse Proxy모드로 WAF를 구성한다. 웹 요청 기반의 비정상 행위를 탐지한다.4.VPN암호화된 터널을 생성하여 외부망을 내부망과 동일한 환경을 안전하게 사용할 수 있다. 이를 통해 지사에서 본사의 내부망에 안전히 접속할 수 있도록 구성한다. 5. Web filteringURL Filtering 기능을 통해 유해하거나 비업무용 웹사이트, 악성코드 유포지, 피싱 사이트에 대한 접근을 차단한다. HTTPS Scanning(SSL Inspection) 기능을 활성화하여 암호화된 트래픽 내의 악성 콘텐츠도 탐지 및 차단한다. 웹 필터링 로그는 Rsyslog→Logstash→Elasticsearch로 연계하여 통합 로그 관리 및 분석 시스템과 연동한다. 6. ELK와 역할 기반 노드 분리 ELK Stack을 기반으로 로그 데이터의 수집, 저장, 조회 효율을 최적화하고 클러스터 안정성 확보를 위해 Elasticsearch 클러스터를 마스터, 핫, 프로즌 노드를 역할별로 분리한다.7. 모의해킹다음 모의 해킹 작업을 통해 각 방화벽의 기능이 정상적으로 작동하는지 검증한다. ① SQL Injection ② Port Scanning ③ Ping of Death ④ SYN Flooding ⑤ Directory Listing ⑥ IP Spoofing ⑦ Backdoor Detect |
| 사용기술 및 개발환경 |
개발환경: VMware® Workstation 17 Pro version 17.6.3 build-24583834 가상터미널: Mobaxterm Personal Edition v24.2 Build 5220 운영체제: Rocky Linux 8.10, Kali linux version 2025.2, Windows 10 웹 서버: Apache 데이터베이스: Oracle Database 19c Enterprise Edition 솔루션: Sophos UTM 9.714-4 32-bit ELK(Elasticsearch,Logstash,Kibana) Stack |
|
|
