인프라 구축 시나리오
제시된 인프라를 구성하기 위한 UTM, WAF 설정 및 정책을 적용하는 실습을 진행합니다.
먼저 AdminConsole에서 UTM만 접근 가능한 상태이므로, UTM에 접근해서 다음 인터페이스들을 세팅해주어야하며, 세팅 이후 라우팅도 해야 하고, 망 별로 접근 권한을 위해 방화벽 정책 그리고 NAT 설정까지 해야 합니다.
인터페이스 설정
관리자 가상환경인 AdminConsole의 SECUI MF2라는 UTM 프로그램을 실행한 후 [System] → [시스템 구성] → [인터페이스 설정]으로 이동합니다. 그리고, 조건에 맞게 eth0, eth1, eth2, eth3 인터페이스를 설정합니다.
이제 시스템 점검 도구를 통해 세팅이 잘 되어 있는지 확인합니다. [System] → [시스템 구성] → [시스템 점검 도구]에서 설정한 인터페이스 ip를 입력하여 ping 메시지를 전송합니다.
ping은 호스트가 정상적으로 운영되고 있는지를 확인하는 진단 목적으로 사용합니다. ICMP Echo Request, Echo Reply를 통해 패킷을 송수신하여 네트워크의 속도를 측정하고, 연결성 및 접근성을 진단합니다.
다음은 외부망인 200.100.50.100으로는 ping 메시지가 전달되지 않는 것을 확인할 수 있습니다. 왜냐하면 라우팅 설정을 해주지 않았기 때문입니다. [System] → [시스템 구성] → [라우팅 설정]에서 정적 라우팅의 디폴트 게이트웨이를 추가합니다.
외부망과 연결된 게이트웨이(라우터) IP는 13.124.137.1입니다. 게이트웨이를 추가하면 이제 게이트웨이 IP로 ping 메시지를 전달하였을 때 송수신이 원활히 이루어지는 것을 확인할 수 있습니다.
외부에서 웹 서버(http://kisa.co.kr), 파일 서버(http://kisa.co.kr:9090)로 접근 가능하도록 설정하기
외부에서 위와 같은 서버에 접근하기 위해서는 방화벽 정책과 NAT를 설정해야합니다.
1. 객체 생성
먼저 객체를 생성하도록 하겠습니다. 내부망 안의 WAF, Web Server, File Server 등등 하나하나가 객체가 되며, 망 자체 또한 하나의 객체가 될 수 있습니다.
[Firewall] → [객체 설정] → [호스트 객체]에서 다음과 같이 DMZ, 외부망, 내부망 존에 맞게 호스트를 생성합니다.
2. 웹 서버(http://kisa.co.kr) 접근 설정
외부에서 http://kisa.co.kr로 접근하면 DNS를 통해 13.124.137.2로 매핑됩니다. 매핑된 후 만약 포트가 80번이면 Web Server로, 9090 포트면 File Server로 NAT를 걸어줘야합니다.
① NAT 설정
[Filewall] → [NAT 정책 설정]에서 [정책 추가] → [변환 방식(기본)] → [고급] → [1:N 확장 변환]
공인 IP(13.124.137.2)로 HTTP(80번 포트)에 접속했을 때 Web Server(192.168.0.200)로 접속할 수 있도록 정책을 설정합니다.
변경 후 서비스가 ORG로 되어 있으면 변경 전 서비스와 동일하게 들어갑니다. [확인] 후 좌측 상단의 [확인]을 체크하여 NAT 기능을 활성화하고 [적용]을 눌러 정책을 적용합니다. 이제 방화벽 정책을 설정합니다.
② 방화벽 설정
[Filewall] → [방화벽 정책 설정] → [방화벽 정책 추가]
출발지는 다음과 같이 외부망 객체를 하나 생성하여 지정합니다. 그리고, 목적지는 DMZ의 Web Server, 서비스는 HTTP로 설정한 다음 정책을 추가하고, [적용]을 눌러 정책을 적용합니다.
3. 파일 서버(http://kisa.co.kr:9090) 접근 설정
① NAT 설정
[Filewall] → [NAT 정책 설정]에서 [정책 추가] → [변환 방식(기본)] → [고급] → [1:N 확장 변환]
공인 IP(13.124.137.2)로 FILE(9090 포트)로 접속했을 때 파일 서버(192.168.0.100)로 접속할 수 있도록 정책을 설정합니다.
② 방화벽 설정
[Filewall] → [방화벽 정책 설정] → [방화벽 정책 추가]
이제 Public 가상 환경에서 http://kisa.co.kr과 http://kisa.co.kr:9090의 접속이 잘 되는 것을 확인할 수 있습니다.
다음 포스팅에서는 UTM에서 IPS 차단 기능 설정과 WAF에서 웹 서버에 대한 공격을 차단하는 실습을 진행하도록 하겠습니다.
'보안 > 2023 KISA 정보보호 제품군 실습 훈련 - 중급' 카테고리의 다른 글
| 인프라 구축 시나리오 실습 3(업무망 방화벽/NAT 정책 설정) (0) | 2023.02.18 |
|---|---|
| 인프라 구축 시나리오 실습 2(UTM, WAF 설정 및 정책 적용) (0) | 2023.02.18 |
| 웹 방화벽 WAF 실습 2(Command Injection 탐지/차단) (0) | 2023.02.17 |
| 웹 방화벽 WAF 실습 1(SQL Injection 탐지/차단) (0) | 2023.02.17 |
| 통합 보안 시스템 UTM 실습(HFS rejetto 공격 탐지/차단) (0) | 2023.02.15 |
