객관식 14문제, 주관식 3문제
<aside>
✅ 1) 네트워크 이해
2) 방화벽의 이해와 활용
3) IDS/IPS 이해와 활용
4) 웹 방화벽 이해와 활용
5) 보안 관제에 필요한 protocol 이해
6) SIEM 운영
7) SIEM Agent 연동
8) SIEM DB 구조 및 SQL Tool 활용
9) 이벤트 대응 및 분석
10) 보안 관제 업무의 이해
</aside>
1) 네트워크 이해
계층 |
계층 이름 |
설명 |
장비 |
7계층 |
응용 프로그램 계층 |
응용 프로세스 네트워크에 연결할 수 있도록 자료를 송, 수신할 수 있는 인터페이스 제공하는 계층 |
IPS |
웹 방화벽 |
|
|
|
6계층 |
표현 계층 |
시스템 사이의 데이터 표현의 차이 해결 목적 → 자료 형식 변환 혹은 형식 제공 역할 |
|
5계층 |
세션 계층 |
응용 계층 사이의 연결 설정 및 유지, 종료 수행하는 계층 |
|
4계층 |
전송 계층 |
통신하는 컴퓨터 간에 자료 전송 계층 |
IDS |
방화벽 (TCP, UDP 차단) |
|
|
|
3계층 |
네트워크 계층 |
라우팅 프로토콜 이용하여 최적의 전송 경로 선택하고, 이 경로 통하여 자료 전송하는 계층 |
방화벽 (IP 차단) |
2계층 |
데이터 링크 계층 |
물리적인 전송 링크 통해 자료 안전하게 전송하는 계층 |
|
1계층 |
물리 계층 |
물리적 링크의 규약적, 명세 정의하는 계층 |
|
- 보안 관제 시나리오 : 각 보안 장비에서 발생하는 이벤트 분석 → IP 차단 → 보고서 작성하여 담당자에게 보고
- 네트워크 구성 방식
- in-line 모드 : IPS, 차단 기능 있음, 장애 발생 시 대비할 by-pass 기능 필요
- sniffing 모드 : 미러링 장비 통하여 트래픽 유입, IDS, 차단 기능 없음
- out-of-path 모드 : 미러링 장비 통하여 트래픽 유입, DDos 센서에서 분석하고, DDos 차단 장비에서 차단, 상대적으로 고비용 발생
- HA 구성 : 가용성 극대화, 로드 밸런싱 → 과부하 제거, fail-over → 가용성 보장
active 장비에 문제 발생하는 경우, standby 사용하게 된다.
- 내부망 : 외부에서의 직접적인 접근 통제 및 차단되는 구간
- DMZ 구간 : 중간 지점, 외부망에서 직접 접근 가능
- 인터넷 구간 : 인터넷 직접 연결된 구간
- 통신 흐름도
외부 ↔ DMZ ↔ 내부
health check
- NMS 및 Cacti 이용한 (통신 흐름 파악) 보안 장비 health check 및 네트워크 구성 요소에 대하여 - 실시간으로 모니터링
- 효율적 및 빠른 조치 가능
- ICMP 또는 SNMP 이용하여 서버 health check (방화벽에서 health check에 필요한 port open 필요) → response 통하여 정상, 비정상 확인 가능
2) 방화벽의 이해 및 활용
- 방화벽이란?
방화벽 : 내부 정보 자산 보호하고, 외부로부터 유해 정보 유입 차단 위한 정책과 이를 지원하는 하드웨어 및 소프트웨어
필요에 따라 여러 개 배치하여 보안 강화 가능
- 운영 방식 (Juniper Firewall) → 3가지 지원하나, 한 방식만 사용
- Transparent 모드 (TP 모드, L2 모드) : 내, 외부 같은 네트워크로 이용, Bridge 구성
- NAT 모드 (L3 모드) : 내부는 비공인 IP (사설 IP), 외부는 공인 IP (내부는 NAT 모드, 외부는 Route 모드)
공인 IP를 Untrust IP라고 한다.
- Route 모드 (L3 모드) : 내부, 외부 모두 공인 IP+ NAT 지원 (내부, 외부 모드 Route 모드), NAT가 필요 없다. (방화벽 하단 네트워크도 공인 IP 사용하기 때문이다.)
- Object 관리 (Address 등록 → Address 그룹 등록 → Service 등록 → Service 그룹 등록 → Schedule 등록)
1-1) object = address, 이 객체 등록해야 보안 정책에서 이용 가능
- policy → policy elements → addresses → list 클릭
- 외부는 untrust, 내부는 trust
- new 클릭 후 이름 및 ip, netmask 설정
⇒ 호스트로 등록하는 경우에는 255.255.255.255이고, 네트워크로 등록하는 경우에는 255.255.255.0 으로 등록한다.
1-2) address 객체를 그룹으로 등록해야 보안 정책에서 이용 가능
- policy → policy elements → addresses → groups 클릭
- 외부, 내부 中 선택하고, 이름 설정 후 그룹에 넣을 객체 모두 선택
1-3) service는 보안 정책 등록 시 사용되는 객체
- policy → policy elements → services → custom 클릭
- service의 유형과 포트 범위 설정 (TCP, UDP 등)
- 잘 알려진 서비스는 사전에 정의되어 있고, policy → policy elements → services → predefined에 등록되어 있다.
1-4) service 그룹 등록
- policy → policy elements → services → groups 클릭
- 위에서 했던 address 그룹과 동일하게 진행하면 된다.
1-5) schedule 등록
- “정해진 시간” 지나면 Disable 되어 정책 통신 불가능
- policy → policy elements → schedules 클릭하면 schedule 객체 나온다.
- new 클릭 후, 주어진 폼에 맞게 값 입력한다.
- policy → policies 클릭하여 schedule 적용할 정책에서 edit → advanced 클릭 후 schedule 항목 클릭
- 정책 관리
2-1) 정책 설정
- 보안 정책은 IP, Port 기준으로 적용된다.
- policy → policies
- source, destination 설정 (address, network, group 등으로 설정) → service 설정 → action (허용 또는 거부 설정 → 즉 permit, deny) → Logging 클릭 시 로그 남기고, Position at Top 클릭 시 최상위로 이동 가능
2-2) NAT 설정 (routing table 없이 방화벽에서 출발지 ip 변경 시키는 기능)
-
정책 설정 후, NAT 설정 필요 (4가지 종류의 NAT 모드 지원 → Juniper 방화벽)
내부 → 외부 (N:1, N:N) : 사설 IP에서 공인 IP 하나로 변경, 사설 IP가 “특정 공인 IP 또는 대역”으로 변경
외부 → 내부 (1:N, 1:1) : 하나의 공인 IP에서 포트 넘버에 따라 접속, 하나의 공인 IP에 내부 서버로 1:1로 접속 되는 형태
-
PAT (Policy base NAT) : policy → policies 선택하면 모든 정책 볼 수 있고, NAT 설정하고자 하는 정책의 edit에서 source translation 항목에 체크 진행
-
DIP : 공인 IP 대역 미리 설정 필요 (source translation 항목 체크 시 DIP Range 그룹 선택)
-
VIP : 하나의 virtual 공인 IP
-
MIP : 외부망 → 내부 사설 IP 접근 필요한 경우 사용되는 방식, 방화벽에 설정된 MIP로 내부의 사설 IP로 설정된 호스트 및 네트워크 장비에 접근 가능
[1] MIP-1
Network → Interface → Untrust zone에서 MIP 클릭, 외부에서 접근할 수 있는 공인 IP 등록하고, Host IP Address에는 실제 내부에서 운영 중인 장비의 비공인 IP 입력 (MIP 이미 사용 중인 IP 설정 시, 충돌 발생할 수 있음)
[2] MIP-2 : 보안 정책에서 “허용”해야 외부에서 내부 접근 가능 (From untrust To trust)
Destination Address 부분에서 MIP로 등록한 항목 선택
- Routing
- 방화벽 상에서 Routing Table 등록하여 지정된 경로로 라우팅 되도록 설정한다.
- network → routing → routing table
- TP 모드 : routing table 필요 없지만, 관리 차원에서 필요 (방화벽 내, 외부 ping 목적 및 매니지먼트)
- NAT/Route 모드 : routing table 필요하고, default gateway (0.0.0.0/0.0.0.0) 필요
- Clock 설정
- 수동 설정 또는 NTP 서버 이용하여 자동 설정
- configuration → date/time 설정
- sync clock with client (원격 접근 pc 시간에 맞게 동기화) ⇒ 수동 설정
- NTP 활성화 후, NTP 서버 IP 입력 ⇒ 자동 설정
- 설정 파일 백업 및 복구
- 방화벽에 설정된 config 파일 다운로드 및 업로드 가능
- configuration → update → config file
- syslog 이용한 Log 관리
- syslog 서버 ⇒ 방화벽에서 발생된 로그 및 트래픽 로그 보낼 수 있음
- configuration → report setting → syslog
- enable syslog messages : syslog 기능 사용하고자 하는 경우 체크
- SNMP 이용한 Log 관리
- SNMP 서버 ⇒ 방화벽에서 발생한 로그 및 트래픽 로그 보낼 수 있음
- Community 값 설정하여 → NMS에서 health check 시 사용
- configuration → report settings → SNMP
3) IDS/IPS 이해 및 활용
-
IDS (침입 탐지 시스템) 이란?
-
IDS : 이벤트 모니터링 → 침입 발생 여부 탐지 및 대응하는 자동화된 시스템
-
IDS는 원본 트래픽 손실 및 변조 없이 복사하며, 트래픽 유통에는 관여하지 않는 out of path 방식
-
데이터 수집 → 데이터 가공 및 축약 (의미 있는 정보로 만듦) → 침입 분석 및 탐지 단계 (지식 기반, 행위 기반) → 보고 및 대응
-
지식 기반 ⇒ 특정 공격에 관한 분석 결과 바탕으로 패턴 설정, 오탐률은 낮지만 새로운 공격 탐지 불가
-
행위 기반 ⇒ 인공지능 알고리즘, 오탐률은 높음
-
IPS (침입 방지 시스템) 이란?
-
침입 발생 전, 실시간으로 침입 막고, 유해 트래픽 차단 위한 능동형 보안 솔루션
-
inline 방식, 차단 진행
-
지식 기반 ⇒ 각각의 공격에 대한 정확한 signature 정의하고, 공격 패턴 매칭 → 차단 실행
-
행위 기반 ⇒ 알려지지 않은 공격 수집하여 오탐 줄이고 능동적으로 대처하는 방식
-
실시간 모니터 (실시간)
-
탐지, 방어, 경보 (실시간)