개요

IT분야의 활용도와 직무가 늘어남에 따라 학생들의 취업이나 미래 직업을 준비하는데 필요한 프로그래밍 및 기술적 능력을 습득을 위해 학교마다 방과 후 IT 수업을 확대하고 있으나, 수업에 필요한 네트워크망이 구축되어 있지 않다.
이러한 이유로 본 프로젝트에서는 DNS서버와 수업용 서버에 A, B class만 Access 할수 있도록 하며, A class는 개발반, B class는 웹서버 운용반으로 네트워크망을 분리하여 구축하는 것을 목적으로 한다.
NAT영역에서 네트워크를 구축할 예정이다.
DNS서버와 Apache web 서버는 동일한 네트워크 주소인 192.168.14번대 대역을 사용하며, DNS서버는 리눅스 운영체제로 구축하고 상위네임서버로써 A, B class를 하위 네임서버로 등록한다.
수업용 서버는 SAMBA를 사용하여 학생들이 파일을 업로드 및 다운로드를 할 수 있고, Apache로 HTML과 PHP 프로그램을 실행한다.
수업용 서버는 Apache내 접근 권한과 Document root를 설정하여 A, B class만 Access하고 해당 Class의 사용자는 서버에 접속시 개인 홈디렉토리를 최상위 디렉토리로 특정 프로세스나 프로그램이 개인 홈디렉토리 내에서만 실행되도록 제한한다.
라우터의 디폴트 게이트웨이는 HOST PC, A class는 12번대, B class는 13번대, 서버는 14번대 네트워크 주소를 사용한다.
A class는 개발반으로 Window 운영체제를 사용하며, B class는 웹서버 운용반으로 Linux 운영체제를 사용한다.
수업용 서버에 각 Class별 디렉토리를 생성하고 해당 디렉토리는 각 Class의 파일 소유자만 수정 및 삭제가 가능하며, 소유자를 제외한 나머지는 읽기만 가능하도록 권한을 허가한다.
B class는 개별 Apache web 서버를 생성하며, A class의 인원만 HTML과 PHP 파일을 업로드 할 수 있다.
위 환경으로 IT 수업용 네트워크를 구축하여 수업과정에 대한 실습을 통해 이해와 활용도를 높일 수 있다.

설계의 주안점

- A class와 B class의 운영체제가 상이하므로 서로 통신할 수 있도록 네트워크망을 구축한다.
- NAT환경에서 구축하므로 A class, B class 서버를 각각 다른 네트워크 주소로 세팅 후 라우팅 한다.
- DNS서버에 하위네임서버로 수업용 서버와 B class를 등록 -> 도메인을 부여해 웹서버를 운용한다.
- Samba를 사용하여 Window pc에서 Linux 서버의 파일을 업로드 및 다운로드 할 수 있도록 한다.
- Apache 웹서버를 이용하여 HTML, PHP 실습 환경을 구축한다. (Samba, Apache 서버는 12번대와 13번대 ip 주소를 제외한 모든 접속을 제한한다.)
- 업로드한 파일을 일정시간 이후 수정할 수 없도록 cron을 사용하여 소유자를 변경한다. (chmod 755)

개요

본 프로젝트는 NAT 기능을 사용하여 NFS 를 중심으로 하는 교내 네트워크를 구축하는 것을 목표로 한다.
Rocky Linux 기반의 Apache 웹 서버와 DNS를 활용하여 학교 홍보홈페이지를 구축한다.
웹사이트는 PHP로 구현되어 학교홍보페이지를 제공하며 정적 파일을 기반으로 정보를 업데이트한다.
VMware 를 사용하여 리눅스와 윈도우를 구성하고 적절한 IP 주소, 라우터 설정 등으로 통신가능한 여러 네트워크를 구축하는 데에 집중한다.
또한 DNS와 APACHE 서버를 통해 인터넷 브라우저와 리눅스 서버가 연동되는 과정에 집중한다.
NFS와 SAMBA 를 이용하는 리눅스 서버 구축으로 효율적인 네트워크를 구성하는 실습을 해본다.
NFS 를 활용해 서버간 자원을 공유하는 실습도 진행하여 지금까지 학습한 내용을 정리하고 네트워크에 대한 이해를 확실히 한다.

설계의 주안점

- 호스트 컴퓨터와 NAT 내 네트워크가 통신가능하도록 설정한다.
- 192.168.11.0/24 와 192.168.12.0/24 네트워크가 통신가능하도록 라우터를 설정하고 각 서버와 pc에도 라우팅 정보를 입력해준다.
- Rocky Linux 기반 서버 디렉토리에 적절한 사용자계정과 퍼미션을 설정한다.
- 각 네트워크 대역의 직원 pc 윈도우가 192.168.12.0/24 의 리눅스 NFS 서버에 접속 가능하도록 설정한다.
- Apache 웹 서버와 DNS서버가 NFS 클라이언트로 활용될 수 있도록 설정한다.
- 도메인 검색으로 웹페이지 접속이 가능하게 구현한다.
- 웹페이지는 메인페이지에서 학사공지 페이지로 바로 이동할 수 있도록 구현한다.

개요

기업 환경에서는 보안과 접근성을 동시에 고려하는 네트워크 구성이 필수적이다.
웹 서비스를 제공하는 기업의 경우, 외부에서 접속이 가능한 DMZ 네트워크에 DNS 서버, 웹 서버 등을 두고, 외부 접속이 불가능한 회사 내부망을 따로 구성한다.
이번 프로젝트에서 팀 사이버가디언즈는 외부에 웹 서비스를 제공하는 cyberguardians.com의 네트워크를 구현하는 것을 목표로 제시한다.

cyberguardians.com의 네트워크에는 DNS 서버, 웹 서버, 라우터, 회사 내부망이 존재할 예정이다.
회사 내부망은 2대의 PC로 형성되며, nfs 서버를 추가해 사내자료를 공유할 수 있게 한다.

웹 서버와 DNS 서버는 유사 DMZ인 192.168.12.0/24 (이하 ~.12.0) IP 영역에 배치한다.
웹 서버는 cyberguardians.com과 www.cyberguardians.com 도메인을 가지며 n을 입력했을 때 n행 n열 2차원 배열을 출력하는 서비스를 제공하게 된다.
해당 프로그램은 PHP로 작성되며, 웹 서버 소프트웨어는 Apache다.
웹 서버는 외부 접속이 가능하여 누구나 해당 서버와 HTTP 통신을 할 수 있다.
그러나 SSH 접속은 시스템 관리자와 웹마스터만이 할 수 있다.
DNS 서버는 cyberguardians.com의 도메인-IP 변환을 담당한다.
DNS 서버 또한 외부 접속이 가능하여 누구나 해당 서버에 DNS 질의를 보낼 수 있다. 그러나 SSH 접속은 시스템 관리자만 할 수 있다.

회사 내부망은 192.168.13.0/24 IP 대역을 쓴다. 내부망에는 nfs 서버(~13.2), 웹마스터와 시스템 관리자를 위한 PC가 각각 1대씩 존재한다.
외부에서 회사 내부망으로 접속하는 것은 불가능하지만 내부망에서는 인터넷을 사용할 수 있다.

라우터는 유사 DMZ 영역 (~.12.0), 회사 내부망 (~.13.0),인터넷(~.11.0)을 연결한다.
실제 환경에서는 라우터가 방화벽 역할을 하며 DMZ 영역과 회사 내부망의 접근 제어를 해야 하지만, 현 프로젝트에서는 제약상 방화벽 실현은 어려울 것으로 판단된다.

설계의 주안점

1. 기밀성의 강화
내부망와 외부망의 분리로서 외부에서의 직접적인 접근을 차단함으로서 기밀성을 강화한다.
또한 SSH 접속을 관리자 및 웹마스터에게만 허용한다.

2. 가용성의 확보
원활한 웹 서비스 및 DNS 질의를 제공함과 동시에, 보안적인 제한을 적용함으로서 가용성을 확보한다.

3. 무결성의 확보
NFS 서버에서의 디렉토리 퍼미션 권한 부여를 통해 인가되지 않은 사용자의 데이터 훼손을 방지한다.
이를 통해 예상치 않은 내부 자료의 훼손을 막음으로서 무결성이 확보된다.

개요

본 프로젝트는 아파트 내 문화센터 회원 관리를 위한 네트워크를 구축 하는 것 입니다. 네트워크 구축 목적은 아파트 내 주민들이 문화센터를 이용할 때 필요한 회원 정보, 강좌 예약 내역 등의 정보를 관리하기 위함입니다. 네트워크 환경은 vmware 내 NAT로 설계됩니다. 따라서 가상 네트워크 구현을 위한 host OS가 필요합니다. 관리팀 PC와 DNS서버, web서버는 NFS 관리자 PC, NFS서버와 네트워크 대역을 분리합니다. 내부 서버의 중요 정보를 외부 네트워크와 직접 연결 시 데이터 유출 같은 공격에 노출되기 때문에 네트워크 분리가 필요합니다. 분리된 네트워크 대역에서 관리팀 PC와 DNS서버, web서버는 외부망에 위치합니다. 외부 네트워크는 외부에서 접속해야 하는 통신 서버들이 위치한 영역입니다. 이 영역에서 dns 서버는 네임서버를 사용하여 외부 홈페이지와 통신합니다. 그리고 web 서버는 문화센터 회원 정보 및 예약정보, 강좌 등과 같은 정보를 내부 네트워크와 연결된 nfs 서버로부터 받아 웹페이지에 전달합니다.

NFS 서버와 NFS 관리자 PC는 네트워크의 내부망에 위치합니다. NFS 서버는 웹서버에 내부 데이터를 공유하고 web서버로부터 Apache 로그 파일을 백업합니다. NFS관리자는 NFS 서버에 대해 임의적 접근 통제를 수행하여 인가되지 않은 사용자로부터의 침입을 방지합니다. 내부winPC는 samba를 통해 nfs와 연결됩니다. winPC에서 파일을 업로드 하면 samba로 연결된 NFS 서버에도 해당 파일이 추가됩니다. 이후 WEB서버로부터 요청이 발생하면 NFS서버가 데이터를 전달합니다.

내부망과 외부망을 연결하기 위해서는 11번대 외부 네트워크와 12번대 내부 네트워크를 이어주는 라우터가 필요합니다. 인가되지 않은 사용자가 데이터에 접근하는 것을 방지하고 사고 발생 시 책임 추적과 부인방지를 할 수 있습니다.
최종적으로 본 프로젝트 에서는 내부망과 외부망을 구분하며 방화벽 정책을 설정하고 외부에서의 불필요한 접속을 차단하고자 합니다. 또한 NFS 파일 서버는 내부망에서만 접근 가능하도록 설정해서 보안을 강화하며, 시스템 및 네트워크 로그를 주기적으로 점검하며 보안 위협을 탐지합니다. 이를 통해 시스템의 취약점을 최소화하고 센터 내의 중요한 데이터를 안전하게 보호하며 결과적으로 시스템 환경을 안전하게 유지할 수 있습니다. 추가적인 보안 강화 및 최적화 작업은 운영 환경에 따라 조정될 수 있습니다.

설계의 주안점

1. HOST OS는 VMware를 통해 NAT 네트워크를 구현합니다.
2. 외부 네트워크(192.168.11.0/24)는 관리팀 Window와 DNS서버, WEB서버가 위치하며 외부에서 접속해야 하는 통신서버를 연결합니다.
3. 관리팀 PC는 Window 환경에서 사용자로부터 회원정보를 입력 받아 Samba서버에 전달합니다.
4. DNS서버는 리눅스 환경에서 외부 클라이언트의 질의에 따라 WEB서버의 위치를 찾고 응답합니다.
5. Web서버는 리눅스 환경에서 외부 클라이언트의 요청에 따라 회원 정보를 NFS 서버로부터 전달받아 웹페이지에 출력합니다. 또한 Rsync로 로그 정보를 NFS 서버에 백업합니다. 백업은 Cron를 통해 주기적으로 실시합니다.
6. 라우터는 리눅스 환경에서 내부 네트워크(192.168.12.0/24)를 외부 네트워크(192.168.11.0/24)와 정적 라우팅으로 연결합니다.
7. 내부 네트워크(192.168.12.0/24)는 NFS서버와 SAMBA서버를 연결하며 NFS서버와 Samba서버 내의 데이터 접근을 제한합니다.
8. Samba서버는 Samba를 통해 관리팀 PC로부터 업로드 된 파일이 NFS 서버의 특정 디렉터리에 저장되도록 설정합니다.
9. NFS 서버는 Samba 서버를 통해 전달받은 회원정보를 백업 받습니다. 또한 Cron과 Rsync를 통해 WEB서버로부터 로그 정보를 주기적으로 백업 받습니다. root_squash 설정을 통해 root 권한을 제한하며 내부 네트워크(192.168.12.0/24)에서만 접근 가능하도록 설정합니다.
10. 추후 방화벽은 리눅스에서 firewalld 또는 iptables 설정을 통해 보안을 향상 시킬 예정입니다.

개요

기업의 내부 자료 보안과 네트워크 효율성을 강화하기 위해 외부 네트워크와 분리된 사내 네트워크에서 서로 다른 운영체제를 사용하는 각 부서의 업무 내용을 공유하고 백업할 수 있는 네트워크 환경을 구축하는 프로젝트를 진행한다. 본 프로젝트는 NAT 기술과 접근 제어 목록(ACL)을 활용하여 회사 내부 네트워크와 외부 네트워크를 분리하고 Samba와 Rsync를 활용하여 부서 공용 서버와 백업 서버를 구축한다.

라우터의 접근 제어 목록을 활용하여 외부로부터의 사내 네트워크 접근을 차단한다.
사내 네트워크는 백업 서버가 속한 네트워크와 부서들이 속한 네트워크로 구성이 된다.
부서 공용 서버는 부서들과 같은 네트워크에 위치하여 Samba로 접근이 가능하고 이를 이용하여 서로 다른 운영체제간 리소스들을 공유할 수 있다. 다른 부서들의 작업물에 대한 수정권한은 제한이 된다. 백업 서버는 같은 네트워크에 위치한 서버 관리자만이 접근이 가능하며, Rsync와 Cron을 이용해 부서 공유 서버의 부서별 작업 내용들을 일정 시각마다 백업 서버에 백업을 한다. 이때 백업 서버는 서버 관리자와 SSH 통신을 하여 일반 부서원들은 접근할 수 없도록 차단된다.

본 프로젝트가 완료되면 백업 서버는 외부 인터넷으로부터 안전하게 보호되고, 서버 관리자 컴퓨터만 백업 서버에 접근 가능하여 보안 수준이 강화된다. 또한 부서 공용 서버를 통해 효율적인 업무가 가능하다.

설계의 주안점

1. 네트워크 보안 강화
기업 내부의 네트워크를 외부 네트워크와 분리하여 보안수준을 강화한다.

2. 효율적인 업무 환경
부서들 간에 리소스들을 공유할 수 있도록 한다.

3. 신뢰성 있는 데이터 백업
자료의 훼손 혹은 소실 발생시 원활하게 데이터 복구를 할 수 있도록 한다.
백업 서버에 대한 데이터 오염을 방지하기 위해 제한된 접근만을 허용한다.

개요

팀은 클라이언트가 원활한 웹 서비스를 제공하며 사내 보안을 보장할 수 있는 네트워크 환경을 구축하고자 한다.
클라이언트는 웹 서버가 사내 네트워크를 통해 관리되며 네임서버를 통한 도메인 접속이 가능해야 하고 외부에서는 접속 불가능한 백업 시스템을 요구하였다.
이를 구현하기 위해 팀은 네트워크를 서비스 구역(192.168.13.##/24)과 보안구역(192.168.12.##/24)으로 나누어 DMZ 서비스 환경을 구축, 방화벽을 통한 보안구역 접속 통제로 외부 시스템의 접속을 차단하기로 하였다.
서비스 구역에서는 DNS서버와 APACHE서버를 운용하여 www.wailing.wall도메인을 통해 기업의 온라인몰 웹페이지에 접속 가능하도록 한다.
또한 rsync기능을 이용하여 매일 23:00에 서버 구성파일을 보안구역의 백업 시스템에 백업하고,ssh프로토콜을 통한 보안구역에서의 서비스 시스템 접속이 가능해야 한다.
보안구역의 host들은 nfs 및 samba 서비스를 통한 자원의 공유가 이루어지게 된다.
기업은 DMZ환경 구축을 통해 안전한 웹 서비스를 제공할 수 있으며 방화벽을 통한 사내 네트워크 접속 차단을 통해 데이터 유출 피해를 예방할 수 있다.

설계의 주안점

(1) 방화벽 역할을 하는 라우터를 구축하여 보안 강화 / DMZ 네트워크 서비스 환경 구축 하여 보안 강화
(2) DNS 서버와 APACH서버를 구축하여 웹페이지 생성하여 외부 고객이 접속할 수 있도록 함
(3) rsync서버를 이용하여 백업 서비스를 제공