[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(44일차)

오늘 학습 주제

1. 네트워크 복습

2. Management Solution

3. Network Maintenance Tools

4. TAP

 

 

네트워크 복습

---

- Multilayer Switch -

 라우팅 : L2 SW에는 없는데 멀티레이어 스위치에만 있는 공통 기능

 

 

 

- 사내망 구성도 -

 

 

 

 

- NAT -

1:1 / N: N

Source NAT(SNAT): 송신지 주소가 변환

Destination NAT(DNAT): 수신지 주소가 변환

 

A Class 사설 IP: 10.X.X.X

B Class 사설 IP: 172.16.X.X~172.31.X.X

C Class 사설 IP: 192.168.X.X

 

송신지 뿐만 아니라 수신지에서도 NAT를 사용한다

 

 

 

 

 

- PAT -

N:1 / 100: 4

Port Address Translation

하나의 공인 IP 주소를 공유하는 장치를

포트번호를 이용하여 식별 

 

 

- Port Forwarding -

1:N

DNAT(port: IPaddress.port)

 

 

 

 

 

 

- 보안망 구성도 -

 

IDS > Snort Rule > 관제룰 > 로그/관리자 알림(alert) > Sguil

IPS > Firewall(차단) + IDS(악성코드 탐지)

 

InLine 모드: 관제 후 제어

Out of Path(Mirror)모드: 관제

 

 

 

 

 

Management Solution

---

- NMS(Network Management System) -

관리대상: 네트워크 장비(스위치, 라우터, 보안장비)

관리항목: 구성, 성능, 장애, 보안, 계정(성능과 장애가 주 목적)

 

기관이 정한 요구사항 만족을 위해 네트워크 장비를 관리하는 시스템

네트워크 장비에 대한 구성, 장애, 성능, 보안, 계정을 관리

SNMP, CMIP, RMON 등의 프로토콜을 사용

NMS 기능
구성 관리	Configuration management 네트워크 관련 장비들의 구성현황 파악 및 설정관리
장애 관리	Fault management 장애가 발생했을 때 이를 즉각 대응하여 장애를 최소화 할 수 있도록 하는 사후 관리 주력 (사전관리보다)
성능 관리	Performance management 모니터링과 제어를 통해 네트워크가 효율적으로 운영되도록 관리 속도, 트래픽, 처리량,응답시간 등의 측정 가능한 기준으로 성능을 나타냄
보안 관리	Security management 네트워크의 접근 통제(비인가된 접근으로부터 보호) 방화벽과 같은 침입 제어시스템들로 관리
계정 관리	Accounting management 과금을 통해 네트워크 자원에 대한 사용자 접근통제 계정별 네트워크 이용량에 따른 요구 부하 기능

 

 

 

 

- SMS(Server Management System) -

다양한 서버들의 성능/장애 통합 감시 및 조치 관리

관리대상: 운영체제, 애플리케이션(서버급, 클라이언트 용)

관리항목: 성능(CPU, RAM, 처리률), 로그, 프로세스 상태 점검

SMS 기능
서버 성능 종합 모니터링	사용자가 변경 가능한 서버 종합 요약 정보 제공 지역별/그룹별/업무별 서버 운영상태 종합 모니터링 CPU, 메모리, 디스크 사용률, 프로세스, 네트워크 트래픽, 디스크 I/O 등의 성능을 실시간으로 감시
서버 성능 데이터 분석과 예측	다양한 관점의 성능 자원에 대한 실시간 흐름 상호 비교 분석 기능 (CPU, Memory, Disk, Disk I/O, Process, Session 등) 성능 항목 간 관계성 확인 및 분석 정보 제공 수집 성능 정보에 대한 최소, 최대, 평균값에 대한 이력관리 기능 제공
과부하 프로세스 감시와 제어	서버에 운영 중인 모든 프로세스 리스트 모니터링  프로세스 종료 및 구동 우선순위 변경 기능  서비스 프로세스의 동작 상태/개수, 사용 서비스 포트 관리 기능  중요 프로세스에 대한 시작, 중지 스크립트 기능
어플리케이션 로그와 서비스 포트 감시	어플리케이션 로그 및 서비스 포트를 이용한 장애 여부 확인 기능 장애 사항에 대한 이력화 및 분석 자료 활용 그룹, 이벤트 등급, 필터링 로그 그룹별 로그 발생 현황 정보 제공
비인가 사용자 차단과 통제	서버 별 접속 사용자, 패스워드 변경, 불법사용자 현황 등 강화된 서버 보안관리 기능 접근 권한 및 패스워드 정책을 통해 불법사용자에 의한 시스템 접근 및 정보 유출을 방지

 

 

- ESM(Enterprise Security Management) -

관리대상 & 관리 항목: NMS + SMS

 

통합보안 관제 시스템(기업 보안관리 시스템, 전사적 보안관리 시스템)

다양한 보안 솔루션을 하나로 모은 통합 보안 관리시스템

성능 관리 정책 등을 ESM Manager에 저장하면 Agent를 통해 배포

Agent는 정책에 맞는 로그를 ESM에 다시 저장

저장된 로그들을 통해 대응 방안 마련(실시간 대응)

ESM 구조
Agent	• 관리 대상 보안 장비(보안장비, 시스템장비, 네트워크 장비)에 설치 • 사전에 정의된 규칙에 의한 이벤트 수집 및 보안 정책 반영 • 정책에 따른 로그 및 이벤트 데이터를 수집하여 ESM manager에 전달
Manager (Engine)	• ESM agent에 의해 수집된 데이터 분석및 저장 • 분석 결과를 ESM Console에 전달
Console	• ESM Manager에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포팅 기능 제공 • ESM Manager/Agent에 대해 규칙을 제어/통제 수행

 

 

- SIEM(Security information & Event Management) -

ESM의 진화된 형태(2015년에 도입된 개념)

ESM과 기능상의 차이점은 없음

다양한 장비에서 발생하는 로그를 통합 수집하고 분석

로그 분석을 통해 각종 공격과 정책 위반을 탐지와 경고

로그를 보고서로 변환하여 생성

	ESM	SIEM
수집 • 분석	• Event 위주의 단시간(최대1일) 위협분석 • RDBMS 기반 상관분석 및 리포트, 중앙 처리 구조 • 초당 3천건 내외 수집/분석 포함	• 빅데이타 수준의 장기간(수개월) 심층분석 • Indexing, MapReduce 등 빅데이타 처리 기반 상관분석 및 리포트 • 초당 3만~5만건 이상 수집/분석 → RDBMS 기반의 처리 속도 지연 극복
시각화	• 대시보드, 정형보고서 제공	대시보드, 정형보고서, 사용자 보고서, 시각화 보고서 제공 →  다양한 Report 제공
사용자	• 보안관리자, 관제 요원 위주	• 보안관리자, 관제요원 • 각업무시스템 별 담당자 • 개인정보보호담당자 • 대외 서비스 담당자 → 사용자 관점의 다양한 view 지원
하 드 웨 어	고가의 유닉스 서버 시스템	저가의 리눅스 x86 시스템
수집 • 저장	• 정형데이터 기준, 원본로그 보관안함 • 수집 데이터 보존기간 :1~2개월	• 정형/비정형데이터 수용, 원본로그 보관 • 수집 데이터 보존기간 :1년 이상 →  광범위 데이터 처리 및 장기간 보관

 

IDS와의 차이점

IDS: 실시간 트래픽 수집/ 분석 > 관제 룰 명령어

SIEM: 로그 수집/분석 > 기록 파일 > 로그 분석 명령어

 

처리 프로세스
데이터 통합	로그수집(collection) - 관제 대상의 Agent, SNMP, Syslog 서버로부터 로그 수집 로그정규화(normalization)와 필터링(filtering) - 로그 형식을 표준 형식으로 변환 - 수집한 이벤트나 플로우 데이터를 데이터베이스에 저장하려면 일정한 형태로 변환 필요 - 업체에 따라 자동 정규화 또는 수동 정규화 방법 사용 - 정규화 과정에서 불필요한 데이타 필터링 수행
상관관계 분석	로그분류 - 수집한 이벤트나 플로우 데이터를 데이터베이스에 저장하려면 일정한 형태로 변환 - 업체에 따라 자동 정규화 또는 수동 정규격화 방법 사용 - 정규화 과정에서 불필요한 데이타 필터링 수행 상관관계분석(Correlation) - 동기종 또는 이기종의 여러 보안 솔루션에서 발생하는 로그 패턴간에 연관성 분석 - 로그들간에 상호연관 분석을 함으로써 실시간 보안 위협을 파악하고 대응 정책 위험 탐지 - 로그를 분석해서 보호 대상의 전산 환경에 발생하는 문제와 공격과 정책의 위반 탐지 - 탐지는 설정한 규칙이나 조건에 맞을 때 발생 - 탐지 규칙은 임계값을 초과하거나 통계 기반의 사용자 행위를 분석하는 방법이 있음
알림	알림(Alert, 경고) - 경고란 보안 담당자의 검토가 필요하다는 의미 - 정책 위반을 탐지하면 곧 경고가 생성하고 보안 담당자에게 통보 - 경고를 발생시키는 정책은 운영하는 기업이나 기관의 관심 사안에 따라 다름 - 경고는 중요도를 부여 할 수 있어야 함 - 중요도는 해당 경고를 향후 상세 분석을 할 것인지를 결정하는 기준으로 사용
대시보드	대시보드 (또는 보고서) 로그는 보고서 또는 대시보드로 변환 될 수 있음 ‣ 얼마나 많은 접속이 발생했는가? ‣ 가장 많은 접속을 일으키는 호스는 어떤 것인가? ‣ 가장 많은 데이터를 인터넷으로 전송한 호스트는 무엇인가? ‣ 해당 호스트를 사용하는 사용자는 누구인가?

 

 

 

 

 

Network Maintenance Tools

---

- NTP(Network Time Protocol) -

포트번호: 123

네트워크 장비들의 시간을 동기화 시키기 위해서 

Time Server와 장비들 간에 통신하는 프로토콜

 

 

- SNMP(Simple Network Management Protocol) -

관리시스템 Port: 162

Agent Port: 161

주요명령어: set, get, trap

네트워크의 중앙 관제를 구현하기 위한 네트워크 관리 프로토콜

비TCP/IP장비를 포함한 모든 형태의 네트워크 트래픽도 관리 및 모니터링 가능

버전별 차이점은 보안성

 

네트워크 구성과

성능(네트워크 사용량, 에러량, 처리속도, 응답시간 등 성능분석에 필요한 통계정보),

장비(CPU, Memory, 디스크 사용량),

보안 관리 가능

 

 

MIB(Management Information Base, 밉)

관리자가 조회하거나 설정할 수 있는 객체들의 데이터베이스

트리 구조이며 관리해야 할 네트워크 요소들을 분류

 

SMI(Structure of Management Information, 관리 정보 구조)

MIB를 정의하고 구성하는 툴

MIB를 생성하려면 OID를 지정받아야 함

 

OID(Object Identifier)

계층을 따라 내려온 번호가 고유의 OID

 

SNMP 특징

SNMP Manager와 Agent 사이에는 community string(인증번호)가 일치해야 한다

Agent 로부터 얻는 정보

 

 

- Syslog -

한 시스템의 로그를 체계적으로 관리

시스템 에러 메시지나 디버깅 정보를 처리하는 서비스

Syslog 서버를 구축 시 로그를 수집하여 일원 관리 가능

 

 

로컬 시스템에서 로그를 중앙 집중적으로 관리하는 패키지(SNMP는 망시스템)

 

 

 

 

TAP

---

- TAP(Test Access Ports) -

데이터의 흐름을 중단 등의 영향을 주지 않으면서

트래픽을 모니터링할 수 있게 해주는 장비

 

 

- Network TAP -

네트워크 상의 In-Line한 구간에 이동하는 데이터를 복사하여

모니터 장비로 전달하는 기본적인 형태의 TAP

 

 

- Aggregation TAP -

1개 이상의 네트워크 링크 또는 포트에서 수집한 데이터들을

한개 또는 그 이상의 모니터 장비로 전송하여 분석을 돕는 TAP

 

- ByPass TAP -

 

 

모니터 장비들이 실제 데이터를 제어 가능

TAP 또는 모니터 장비에 장애가 생기면 원래의 기능이 아닌 스위치 역할을 수행

항상 모니터 장비들과 Heart Bit 체크를 통해 장애 복구 시 자동으로 원상 복구하는 기능(Fail-over) 지원