1. 인프라 구축 (VMware workstation 보다 ESXi가 더욱 효율적)
2. 방화벽, 망 분리, DMZ, IDS/IPS, 웹 방화벽 구축
3. Splunk 통한 통합 로그 시스템 이해와 구축

• 방화벽

  • 물리적인 방화벽 ⇒ 하드웨어 방화벽
  • 데이터 자체 검사 (패킷 필터) ⇒ 데이터가 위협 되는지 여부 확인 ⇒ 권한 체크 리스트 통과하지 못 하면 통과 허용 불가 (허용 시 해당 트래픽 모두 가져올 수 있다)
  • 접근 통제 (Access Control) → 규칙으로 (전혀 새로운 규칙인 경우 한계)
  • 데이터를 자체 검사하여 “룰 (IP, Port 기반)” 이라는 체크 리스트 통하여 권한 체크하여 접근 통제 진행
  • Rule SET ⇒ Port와 IP
  • 단점) 내부에서 해킹 발생하면 막을 방법이 없다 (이미 내부 망에 침투하였으니?), 새로운 룰에 대한 한계
  • 장점) 로그 남을 것이고, 보안 강화 가능
  • 장점) 데이터 암호화 (VPN에서도 암호화 진행) ⇒ 일반 텍스트 알아볼 수 없도록 암호화 (비대칭 암호화, 대칭 암호화)
  • 소프트웨어 방화벽 ? ⇒ 컴퓨터 내부에서 발생

• 망 분리

  • 물리적 망 분리 ⇒ 업무 망과 인터넷 망 분리하는 경우 ⇒ 비용 문제, 하지만 보안은 강화 (컨테이너 같은 경우, 해킹 시 연결된 모든 단말 해킹되기 때문에) → 금융권에서 필수적으로 이용 (아예 물리적으로 단절, 스위치로 단절 가능)

  

  • 논리적 망 분리
  • 예시 1) hypervisor 이용하여 망 분리 하는 개념 (+ 컨테이너)
  • 예시 2) VLAN 이용하여 논리적으로 망 분리 (스위치 VLAN 설정 ⇒ 게스트 망, 업무 망 분리해야 하는 경우 등 ⇒ 분리 시 서로 통신 불가 하기 때문에, 보안 강화)

  

• DMZ (중간 지점)

⇒ 외부에서 내부 망 직접 접근 못 하도록 하기 위한 목적 (내부 중요 정보 보호)

⇒ DMZ에는 웹 서버, 메일 서버, DNS 서버 등이 존재 → 그러면 내부 망에 접근하지 않는 것이 DMZ보다 더 중요한 건가? (1, 2 순위?)

⇒ 내부에서 외부 트래픽만 허용?

⇒ IDS는 이벤트 모니터링 하면서, 침입 발생 여부 탐지 및 대응에 자동화된 시스템

⇒ IPS는 실시간으로 침입에 대응하며, 차단하는 능동적인 보안 솔루션

• IDS (침입 탐지 시스템) ⇒ Snort (침입 탐지 시스템, 무료 오픈 소스)

• IPS (침입 방지 시스템) ⇒ Snort (침입 탐지 시스템, 무료 오픈 소스)

• 웹 방화벽 (WAF = Web Application Firewall)

  • 목적 1) 웹 application으로 이동하는 악의적인 트래픽 ⇒ 필터링 및 모니터링, 차단하여 보호
  • 목적 2) 승인되지 않는 데이터가 app에서 나가는 것을 방지
  • 어떤 일련의 정책 준수하여 이뤄짐 (룰이라는 체크 리스트)

• 방화벽과 웹 방화벽 차이점