Classic_Blue_Note

지난번에 모든 네트워크 망 구성을 끝냈다. 이제 시나리오에 맞게 방화벽 정책을 구성해 주면 된다.

우선 Untangle에서 Apps -> Install Apps에 들어가서 방화벽을 다운로드 받는다. 방화벽을 다운로드 받아야 룰 적용이 가능하다.

다운로드가 완료되면, Apps에 다음과 같이 방화벽 아이콘이 보이게 된다.

아이콘을 눌러서, Rules에서 방화벽 정책을 설정할 수 있다. 명세를 따라서 방화벽 정책을 세운다.

1. 방화벽의 모든 접근 통제는 화이트리스트 기반으로 운영되어야 한다.

화이트리스트 기반 Rule을 적용하기 위해, Block all 규칙을 추가한다.

2. 웹 서버는 외부에서 HTTP 접속이 가능해야 한다.

해당 정책을 위해, 외부와 웹 서버 간 통신하는 HTTP 통신만 오픈해 준다. 

실제로 휴대폰을 이용하여 접속해 본 결과, 정상적으로 접속되는 것을 확인할 수 있다.

3. 웹 서버는 오피스망의 개발자 PC만 HTTP포트와 SSH 포트 접속이 가능해야 한다.

해당 정책을 위해, 개발자 PC와 웹 서버 간 통신하는 HTTP 포트와 SSH 포트를 오픈해 준다. 이때, 독립성을 위해 HTTP와 SSH 정책을 각각 설정해 준다.

이렇게 각각 설정해 준 뒤, 개발자 PC에서 확인해 본 결과, HTTP와 SSH가 정상 접속되는 것을 확인할 수 있다.

4. HIDS 관리 서버는 에이전트 정책 관리를 위해 오피스망 단말 전체를 대상으로 필요한 포트만 활성시킨다.

Wazuh 관리 서버의 경우, 기본 포트 및 프로토콜을 다음과 같이 명시하고 있다.

이중 Elastic Stack의 경우, 서버 내부에서 자체적으로 사용하기 때문에 방화벽의 영향을 받지 않는다. 또한 Wazuh Server에서도 내부적으로 동작하는 것들은 방화벽의 영향을 받지 않기 때문에, Agent와 통신하는 포트만 열어 주면 된다. 독립성을 위해 포트들은 각각 열어 주되, TCP와 UDP의 경우 동일한 기능을 수행하기 때문에 통합해서 정책을 생성해 준다.

정책 설정을 완료하면 Wazuh가 정상적으로 연결되어 작동되는 것을 확인할 수 있다.

5. HIDS 관리 서버의 수정과 서비스 관리를 위하여 관리자 PC에서만 SSH 접속 가능하도록 설정

관리자 PC에서만 SSH 접속이 가능하도록 정책을 설정해 준다.

정책 설정을 완료하면 관리자 PC에서는 HIDS 서버로 접속이 가능하고, 개발자 PC에서는 접속이 불가능하다.

6. 방화벽 접근은 오직 관리자 PC에서만 접근 가능하며, 관련 설정은 초기 설정 외에 모두 관리자 PC에서만 수행

기본 Access Rule에 방화벽에 관리자 PC에서만 웹으로 접속 가능하도록 정책을 수정한다.

이후 기본 Access Rule 중 HTTP/HTTPS로 서버에 접속할 수 있는 방법을 제거한다.

적용해 주면, 개발자는 접속이 불가능하고, 관리자만 접속이 가능해진다.

7. 내부의 모든 망은 외부와의 인터넷이 불가능하다.

실제로 관리자 PC, 개발자 PC에서 외부 포탈 접속을 시도한 결과, 모두 접속이 불가능했다.

지난번에 큰 명세는 끝내 놓은 상태에서, 가상 보안 인프라 환경 구축을 시작한다.

우선 Untangle을 설치한다.

Untangle 설치 및 네트워크 구성

Untangle의 설치 자체는 간단하다. 그냥 단순히 Next만 눌러주면 되고, 일반 소프트웨어를 설치하는 방식과 유사하다고 볼 수 있다. Untangle을 설치하고 나면 로그인 창이 뜨고, 설치 시 넣어 준 아이디와 패스워드를 입력하면 다음과 같은 대시보드를 확인할 수 있다.

Untangle에서 중요한 것은 네트워크 설정이다. 단순히 Next만 모두 눌러준 뒤 부팅이 정상적으로 수행되었다면, 우선 Config - Network에서 Interface 창을 켜 준다. 현재 필자는 모든 설정이 완료되어 있는 상태이지만, 독자를 위해 다시 처음부터 설정을 진행할 예정이다.

우선 VMnet을 이용하여 가상 네트워크 망을 새로 만들어야 한다. 우리가 필요한 망은 1번에서 제시한 구성도처럼, 디폴트로 존재하는 NAT망을 제외하고 Office, Internal DMZ, IPS, External DMZ Zone이 필요하다.

Untangle과 연결하는 망은 NAT, Office, Internal DMZ, IPS뿐이지만, 나중에 External DMZ 망도 만들어야 하기 때문에 미리 네트워크 세팅을 해 줄 것이다. 

우선 VMware 설정의 Edit - Virtual Network Editor로 들어간다.

이곳에서 전체 VMnet들의 네트워크 설정이 가능하다. 관리자 권한이 아닐 경우, 확인만 가능하고 변경이 불가능하므로 우측 하단의 Change Settings 버튼을 통해 관리자 권한으로 변경한다. 이후 Reloading이 되면, 설정 변경이 가능하다.

처음에는 디폴트로 VMnet0, VMnet1, VMnet8이 구성되어 있을 것이다. 그중 VMnet8은 NAT으로 기본 설정되어 있다. 우리가 NAT로 사용하던 네트워크가 사실은 VMnet8인 것이다.

우리는 각 망을 모두 Host-only로 구성할 것이다. VMnet에는 Bridged, NAT, Host-only 구성이 존재하는데, 각각의 구성에 대한 내용은 여러 블로그에 충분히 잘 정리되어 있으니 별도로 서술하지는 않는다. 우리가 필요한 구성은 각 VMware 가상 머신끼리 연결되는 것이기 때문에, Host-only 구성을 사용한다.

Add Network 버튼을 누르고, 사용할 VMnet을 고른다. 이후 Rename Network 버튼을 통해 이름을 Office로 변경해 준다. 이름의 경우, 나중에 가상 머신의 네트워크를 세팅할 때 사용되기 때문에, 알아보기 쉬운 이름을 사용하면 된다. 필자는 사전에 정해둔 각 네트워크의 별칭을 사용할 예정이다. 

이후 하단의 Host-only로 칸을 옮겨 주고, 체크박스 2개를 모두 지워 준다. 체크박스의 의미는 각각 호스트PC와 연결한다는 것, 그리고 DHCP 서비스를 사용하는 것인데, 우리는 둘 다 사용하지 않을 예정이므로 둘 다 지워 준다.

이후 Subnet IP와 Subnet mask를 설정해 준다. 필요로 하는 네트워크 ID와 Netmask를 각각 넣어주면 된다. 필자는 Office 망을 192.168.30.0/24로 설정할 예정이기 때문에, Subnet IP에 192.168.30.0, Subnet mask에 255.255.255.0을 기입해 줬다.

위 그림과 같이 네트워크를 생성해 주면 된다. 같은 방식으로, Internal DMZ, IPS, External DMZ 영역을 각각 만들어 준다.

이렇게 VMnet 세팅이 완료되었다. 이제 VMnet을 사용 가능하다.

해당 VMnet들을 방화벽인 Untangle에 연결해 줘야 한다. 이를 위헤 네트워크 인터페이스를 추가해 준다.

VMware에서는 VM별로 네트워크 인터페이스를 설정해 줄 수 있는데, 우측 하단의 인터페이스 창에서 우클릭을 통해 Settings로 들어가도 되고, 좌측 라이브러리 창 또는 상단의 탭을 이용하여 Settings에 들어갈 수 있다.

Settings에서는 위와 같은 창이 뜰 것이다. 여기서 네트워크 어댑터를 추가해 주면 된다. 보통 1개로 구성되어 있을 텐데, 메인 어댑터로 두고, Office, Internal, IPS에 연결할 총 3개의 네트워크 인터페이스를 추가해 준다. 각각 우측의 Network Connection에서 Custom으로 설정하고, 우리가 미리 설정해 둔 VMnet 중 별칭을 통해 확인해서 연결해 주면 된다.

이렇게 설정이 완료되었다. 이후 Untangle에 들어가서 Config - Network에 들어가면 우리가 연결해 준 인터페이스들이 정상적으로 올라온 것을 확인할 수 있다.

인터페이스들이 올라왔으면, edit을 눌러 준다. 이후 Config type을 Addressed로 바꿔 주고, WAN 인터페이스(외부망과 연결되는 인터페이스)만 하단의 Is WAN Interface 칸을 클릭해 준다. 우리는 NAT 영역의 주소가 WAN 인터페이스이다.

그리고 Static으로 주소, 넷마스크, 게이트웨이, DNS를 각각 설정해 준다. 동일한 방식으로 나머지 3개의 인터페이스도 모두 설정해 주고, 우측 하단의 Save를 누르면 방화벽의 네트워크 설정은 끝난다.

방화벽의 네트워크 설정이 완료되었다. 추가로, 방화벽이 NAT 역할까지 해 줘야 하기 때문에, 하단의 IPv4 Options인 NAT 트래픽을 설정해 준다.

이렇게 방화벽 네트워크 설정이 완료되었다.

각종 오픈소스 도구들을 이용하여 가상 보안 인프라 구축 실습을 진행한다.

가상 보안 인프라이기 때문에, 가상 머신인 VMware를 이용하여 실습을 진행하고, 네트워크 인프라 역시 VMware를 기반으로 수행할 예정이다.

우선 시나리오, 구성 및 명세, 구성도를 작성한다.

시나리오

- 우리 기업에서, 고객을 위한 웹 서비스를 운영할 방침이다. 동시에 사내 보안 인프라까지 구축할 생각이다.

- 운영을 위한 서버에는 내부망, 외부 DMZ망이 존재한다.

- 직원 PC와 내부망은 외부와의 통신을 단절한다.

- 직원 PC에는 위협 탐지를 위해 HIDS를 운영한다. 이상 여부 확인 서버를 구축한 후, 위협 모니터링도 진행할 예정이다.

- 외부 DMZ망에는 웹 서버가 존재한다. 해당 서버에는 개발자가 업무망에서만 접근 및 개발 수정이 가능하도록 지정하고, 나머지 접근은 차단한다.

- 웹 서버에서는 외부와 웹 서비스(HTTP)만 통신이 가능하다.

- 인프라는 화이트리스트 방식으로 구축한다. 또한 DMZ망 영역에 존재하는 서버들은 중앙에서 방화벽에 의한 통제를 받아 처리한다. 또한 방화벽이 핵심 백본 통신망으로 구성되어, 적절한 관리 통제를 실시해야 한다.

- 방화벽의 접근 통제는 오직 관리자에 의해서만 접근 및 수정이 가능하며, 이외의 연결은 허용되지 않는다.

인프라 구성

- 방화벽, IPS, 개발자 PC, 관리자 PC, 웹 서버, HIDS 관리 서버(Endpoint Management Server)

- 통신망의 경우 외부 DMZ망, 내부망, 오피스망으로 구분한다.

- 각 통신은 최소한의 원칙에 따라 구성되도록 하며, 필요하지 않은 보안 정책은 차단하여 접근 통제를 수행한다.

- 직원 PC의 경우 윈도우, 서버의 경우 리눅스를 사용할 예정이다.

- HIDS 관리 프로그램은 오픈소스 프로그램인 Wazuh를 사용한다.

- 방화벽은 오픈소스 프로그램인 Untangle을 사용한다.

- IPS는 오픈소스 프로그램인 Suricata를 사용한다.

인프라 구성 명세

인프라 구성도