보안구축 전체적인 구성 총정리

방화벽, vlan ,vpn ids ips

보안을 구축하는데

방화벽 로그따로

vlan 로그 따로

vpn 로그 따로

ids 로그 따로

ips 로그 따로

 

 

ESM(관리적측면)

Enterprise Security Management

하나로 합쳐서 관리적측면

 

UTM(구축)

Unified Threat Management

구축으로 보면된다

 

 

 

 

utm----

 

 

 

 

 

 

vmware workstation ->

vmware esxi에 pfsense를 올렷고->

 

management (관리용 centos 내부망에서 접속해야되서 만든것 )->

 

esxi에 vlan 10 webserver

         vlan 20 office           ->

         vlan 30 intranet

         vlan 40 DB server 

 

 

 

 

vmware에 bridge로 esxi를 걸었고

브릿지로 받았기 때문에 공유기에서주는 서브넷이랑 같은 게이트로받는다.

 

management는 pfsense에 좀더편하게 들어갈수있게 관리자용으로만든것이다.

 

이 esxi 에서

nat 방식으로 또 구성을합니다.

 

vsphere esxi에서 pfsense 가 이제 뿌려준다

 

 

 

 

pfsense(utm) 에서

 

 

1. vlan(10,20,30,40) + 방화벽(ACL)

 

vlan 각 브로드 캐스트 영역을 분할

 

vlan 마다 접근을 가능하게 할 수 있는 포트 개방 및 차단

 

 

vlan10(web서버) 같은 경우는

WAN에서 inBound 하는 경우

80번, 443번포트만 열고 전부 차단

 

vlan20에서 관리자용으로 21번(ftp) 22번(ssh), 3389(원격데스크톱연결)

그외 포트는 전부 차단

 

vlan20(office)에서는  DB서버로 ssh와  FTP를 열고

그 외 전부 차단

외부로 나가는 인터넷은 전부 허용

 

 

2. proxy 서버

유해사이트 차단

블랙리스트에다 특정 사이트 차단

화이트리스트에다 특정 사이트 무조건 허용

차단 리스트를 다운받아

서버와 office부분을 다르게 적용

 

 

3.VPN

 

OpenVPN 사용해서 서로 ike(키 교환)을해서 인증

 

 

 

4. Snort (IDS)

alert을 사용해서 탐지

로그들을 확인해보았고

 

본격적인 것은

 security onion 에서 snort

Rule 규칙 만들기

 

 

 

pfsense의 snort로 ips 차단

 

security onion의 snort로 침입탐지시스템 ids

 

 

 

 

5.security onion (Elsa,Bro)

security onion을 이용해서 snort rule 을 직접만들어서 관리를했다. (icmp 등등)

 

네트워크 패킷이나 트랙픽을 분석

탐지를해서 오탐일때 허용도해주고

진짜 잘못된건지 악성코드가있는지 분석도해보고

 

 

1~5가지에서 나오는 로그의

모든 로그를 하나로 통합을 관리 및 운영을 ESM으로 한다.

 

 컴퓨터 2~3대가 필요했었는데 그걸 건너뛰고

esxi 를 이용해서 가상화 안에서 하기위해서 사용하였다.

비록 편하게 2~3대가 쓰고싶지만 그것은 불가능하니까 가상화안에서 실습을해봤다

 

 

 

 

 

 

 

------------------------------------------------------------------

 

 

ESM 

Enterprise Security Management

Esm 의 궁극적인 목표는 상호간의 연관을 분석한다.

 

---------------------------------------------대충 설정방식

 

splunk 스플렁크 (해당 포트 개방 ex)udp 514)

 

개방된 포트들을통해서 모든 로그들이 이쪽으로 들어온다