KH 프로젝트

프로젝트KH 프로젝트

KH에서 진행된 프로젝트를 과정별로 보실 수 있습니다.

정보보호 및 네트워크 보안 관리자 양성 과정 8회차

프로젝트 발표날짜 : 2020. 01. 21

KH IEI PROJECT
 

정보보호 및 네트워크 보안 관리자 양성 과정 8회차

정유미 강사 / 이호정 취업담임
2020. 01. 21 (P)

1 팀
KHC(KH Consulting)
팀장/팀원 엄준호(팀장), 김경용, 김문기, 손하건, 염승민
개요 ㈜ KH Customizing 회사는 보안 컨설팅 전문 회사로서, 기존에 있는 네트워크 토폴로지의 취약점을 체크리스트 기반으로 분석하고 정보보호 3요소인 기밀성, 무결성, 가용성(CIA) 를 보장해주는 사업을 진행하고 있다. 현재 택배 회사인 KHCABC는 본사와 지사망이 구축되어있는 상태이며, 본사와 지사간 암호화통신이 이루어지지 않아 공격을 받음으로서 피해가 발생한 상태이다. 따라서, 회사망의 전체적인 네트워크 보안성을 강화하고 본사와 지사간 통신을 안전하게 구축하여 외부로부터 데이터를 안전하게 보호할 수 있도록 개선해달라는 의뢰를 받았다. KHCABC 회사의 기술의뢰서를 기반으로 기존 네트워크 토폴로지를 개선하고, 통신시 외부로의 사내데이터 유출과 변조를 방지하여 서비스를 고객들에게 안정적으로 제공할 수 있도록 할 예정이다. 추가적으로 OWASP TOP 10, 국정원 8대 보안 취약점, 주요통신기반시설 취약점 가이드등을 기반으로 모의해킹을 실시 후 발견된 취약점이 있는지 체크하여 고객사의 피해를 최소화 하는 것을 목표로 한다.
구현기능 1. FTP,MAIL,DHCP,DNS 서버를 내부에 구축하여 서비스 활용
2. 각 부서별 VLAN, VRRP, G/W 이중화를 통한 가용성 증대
3. WAF(WAPPLES)를 통한 WEB Server 보안
4. UTM(MF2_100)를 통해 전체적인 보안 정책 설정
5. IDS(snort)를 통한 전체적인 로그 분석
6. IPS - iptables, Suricata를 통한 ACL 관리
7. L4 Switch의 Load Balancing 기술을 통한 Web Server 가용성 증대
8. VPN-IPsec 을 통한 안전하고 신속한 본사-지사 터널링 구축
9. DB 실시간 동기화 및 주기적인 자동 원격백업으로 인한 보안사고 대비
10. ESM 을 이용하여 GUI를 통해 각종 보안 시스템을 통합 모니터링 및 관리
설계의 주안점 OWASP TOP 10과 정보보안 3요소 CIA를 기반으로 구축을 하였다. 먼저 DB를 2-Tier로 분리하여 보안성을 강화하고 특히나 WEB Server로 공격이 가장 많이 들어오기때문에 IPS 및 WAPPLES를 통해 Web Server Security을 구축한다. 추가적으로 가용성을 위해 Load Balancing이나 G/W이중화, VPPF 등의 기술들을 사용하고 DB는 Duplex Replication과 하루에 2번 Crond를 통한 원격백업으로 만일의 보안사고를 대비한다. 내부서버에서는 각 부서별 IDS를 통해 내부적인 로그를 감시하며, VPN-IPsec 기술을 통해 본사와 지사가 안전하고 신속하게 통신할 수 있도록 한다. 추가적으로 ESM을 통해 다양한 장비들을 한곳에서 제어할 수 있도록 한다. 그리고 모의해킹을 통해 실제 해커들이 수행할만한 해킹수법들에 대해 보안대책을 세워 해킹이 통하지 않도록 한다. 공공기관의 업무수행을 끊임없이 하면서 추가적으로 보안에 강화된 토폴로지를 구축함으로서 정보보안 3요소 CIA에 충실하게 설계하도록 할 예정이다.
2 팀
보안 시 유의사항
팀장/팀원 강해성(팀장), 금성환, 오혜원, 유의상, 임지훈, 전명인
개요 현대 캐피탈의 고객 정보 유출, 농협의 전산 장애 등 '사이버 테러'에 의한 금융 전산 사고가 잇따라 터진 뒤 고객의 불안감이 증폭되고 있다.
신생 증권사인 다뚫려증권회사에 전산망이 일시적으로 마비되는 사고가 생긴 후에 고객들의 항의가 빗발쳐 보안 컨설팅과 지속적인 사후 관리를 해주는 전문 업체인 KH Security에 의뢰를 하게 된다.
KH Security는 체크리스트를 작성하여 다뚫려증권회사 네트워크의 문제점을 파악하여 좀 더 가용성과 기밀성이 제공되는 네트워크를 구성하려고 한다.
구현기능 1) 내/외부망을 분리를 통해 인트라넷&인터넷 망 운영
2) 보더라우터 및 게이트웨이 이중화를 통한 가용성 및 안정성 증대
3) UTM(MF2 1300), AntiDDOS, Firewall, WAF(WAFFLE)를 통한 보안 정책 구성
4) DNS, MAIL 서버 구축 및 WEB서버 구축을 각각 하여 내/외부 완벽 분리를 통한 기밀성 및 무결성
5) 오픈소스(그누보드)를 이용하여 웹 구축 및 DB 연동
6) MySQL Full-Duplex Replication을 통해 DB 및 Backup 서버를 Mirror Site로 기동하여 가용성을 극대화 시킴
7) MySQL Remote Dump을 통해 하루에 2번씩 Backup서버로 Dump 백업(crontab)
8) L4 Switch(Alteon)을 통해 Web Server 및 DB Load Balancing
9) snort를 사용하여 IDS 구현
10) Suricata를 사용하여 IPS 구현
11) MF2 100, MF2 1300 장비의 고객사와 자회사의 사후관리를 위한 VPN 기능 사용
설계의 주안점 수 많은 개인 정보와 돈이 오고가는 증권 시장의 보안 솔루션 프로젝트를 시작하면서, 실제로 발생 했던
금융권의 보안 사고들을 통해 어떠한 공격들로 인해 피해를 받았는지 그 공격에 대한 방어법은 무엇인지를 생각하며 정책들을 설계하고 또 다른 공격들로 인해 네트워크에 마비가 일어났을 때 추가 피해가 없도록 가용성을 보장할 수 있도록하고 증권 시장은 일분 일초가 소중한 곳이기 때문에 데이터 베이스를 백업서버를 두는 방법에 더해 실시간으로 데이터 베이스 서버가 연동되게 만들어 고객들에게 만족을 줄 수 있도록 설계하는것이 1차적 목표이고, 내/외부 분리와 서버 상의 보안 장비들의 보안 정책들을 통해
기밀성을 보장할 수 있도록 하는것이 2차적 목표이고 게이트웨이, 웹, 코어 스위치의 이중화등을 통해 서버의 장애시에 내부 사용자들의 네트워크 이용 시 가용성도 보장하여 업무에 지장이 없도록 하는것이 3차적 목표이다.
3 팀
알지 알지
팀장/팀원 박현준(팀장), 강윤호, 백승헌, 안덕기, 허은주
개요 • YUMI SOUND 사의 사내에서 USB를 통해 PC가 감염되어 본사의 내부 서버망이 공격되어 주요 내부 문서가 유출 사건이 발생
• YUMI SOUND사의 주요 내부 문서 유출 사건이 발생
- OO지사 에서 사원이 불법 USB를 PC에 꽂아 바이러스 감염
- 감염된 PC로 부터 본사로 평문 통신에 의한 내부 서버 바이러스 감염
- 내부 서버 바이러스 감염으로 내부 주요 문서 유출
구현기능 • Border Router 이중화
• UTM - VPN 설정
• Database의 방화벽
• 각 서버 영역 마다 IDS 설정
• Database의 백업 서버 구축으로 가용성 확보
• DSW영역에서의 vrrp 설정으로 게이트웨이 이중화
• SAMBA를 통해 윈도우의 파일을 리눅스 DB안에 저장
• 웹서버 구축
설계의 주안점 • 가용성 최우선시로 서비스 항시 정상 가동
• 내부 기밀 자료 정보 기밀성 유지
4 팀
㈜보안 백선생
팀장/팀원 백진수(팀장), 김현, 박소현, 정진표, 최동길
개요 KH대학교는 이전을 하게 되면서 네트워크망을 새로 구축하기 위해 입찰 공고를 내렸다. 이전하기 전 학교 네트워크 상태에 대한 학생들의 불만과 기존 네트워크망에 기초하여 재구축 해 줄 것을 요구하였다. ㈜보안 백선생은 다음과 같은 공고에 대해 더 효율적이고 보안이 강화된 네트워크망을 제안하였다. 기존 망과는 다르게 외부망과 내부망을 분리하였고, 데이터베이스 서버와 같은 중요한 부분은 쉽게 접근할 수 없도록 배치를 다르게 하였다. 또한 여러 곳에 이중화를 설정하여 한 장비에 문제가 생겨도 통신에 이상이 생기지 않도록 하였으며, 기숙사나 연구소와 같은 공간에서 네트워크 통신을 가능하게 구축했다.
구현기능 1. 망분리를 통해 직접적인 접근을 차단하여 보안 강화
2. 장비에 이상이 되었을 경우 서버를 지속해서 사용할 수 있도록 장비 이중화
3. 데이터베이스를 주기적으로 백업
4. L4를 활용하여 서비스 부하분산
5. 웹서비스 방화벽을 구축하여 웹 보안
6. 서로 다른 네트워크에서 접근을 할 수 있도록 VPN 구축
설계의 주안점 1. 내부 사용자의 보안 강화를 위해 유해 사이트 접근 차단
2. 인가되지 않은 사용자들이 데이터 접근 불가능하도록 함
3. UTM 장비를 여러 대 두어 보안성 강화
4. 부하분산을 통해 가용성 및 응답시간 최적화
5. 이중화를 통한 통신 이상 방지
6. VPN을 통한 사용자의 이동성 보장과 편리한 네트워크 구성

전국대표문의전화  09:00 ~ 19:00
주말공·휴일에도 상담 및 접수 가능합니다

1544-7877

KH정보교육원  |  사업자등록번호 : 851-87-00622  |  서울 강남 제2014-01호  |  대표자 : 양진선  |  책임자 : 양성남  |   개인정보관리책임자 : 강명주

강남지원 1관 : 서울특별시 강남구 테헤란로14길 6 남도빌딩 2F, 3F, 4F, 5F, 6F
강남지원 2관 : 서울특별시 강남구 테헤란로10길 9 그랑프리 빌딩 4F, 5F, 7F
강남지원 3관 : 서울특별시 강남구 테헤란로 130 호산빌딩 5F, 6F
종로지원 : 서울특별시 중구 남대문로 120 대일빌딩 2F, 3F
당산지원 : 서울특별시 영등포구 선유동2로 57 이레빌딩 (구관) 19F, 20F
이태원지원 : 서울특별시 용산구 보광로 73 한국폴리텍제1대학
울산지원 : 울산광역시 남구 신정2동 1640-6번지 현대스포츠센터2F

Copyright © 1998-2020 KH Information Educational Institute All Right Reserved