프로젝트

KH정보교육원에서 진행하고 발표된 프로젝트를 과정별로 보실 수 있습니다

KH 프로젝트

정보시스템 구축 및 취약점 진단 전문가 양성과정(1) 1회차

프로젝트 발표날짜 : 2020. 11. 13

KH IEI PROJECT
 

정보시스템 구축 및 취약점 진단 전문가 양성과정(1) 1회차

이노현 강사 / 허은정 취업담임
2020. 11. 13 (O)

1 팀
파프원
팀장/팀원 김희태(팀장), 민이든, 김요한, 김한석
개요 보안 솔루션 및 네트워크 장비를 이용하여 KH대학 보안 고도화 사업
KH대학의 학생 개인 정보 유출 사고 및 전산망 마비 등 보안 사고로 인해 학생들의 불안감이 커지고 대학 이미지 실추가 큼.
이로 인해 KH대학이 보안 컨설팅을 자사에 의뢰함.
모의 해킹과 취약점 진단을 통해 추가적인 보안장비와 기능을 제시함
구현기능 [네트워크 망분리]
hierarchical 3 layer model
인터페이스 네트워크 정보 설정
OSPF
ACL(NAT-PAT)
STP
VRRP : 고가용성을 위한 라우터 게이트웨이 이중화
Vlan : 분리된 도메인간 통신을 위해 Inter Vlan 설정
L4SW : HA, Load Balancing
VPN – remote acces
port mirroring(IDS)
Bandwithd : 트레픽 모니터링을 위한 Bandwidth 구축

[Service]
DNS : 외부 사용자가 주소를 찾기 위한 DNS서버 구축
WEB : 내부 웹서버와 외부 고객을 위한 웹서버 구축 ,HSTS, 가상
DB : 개인정보 관리를 위한 DB 서버 구축 , 3tier
Mail : 업무의 편의성을 위한 메일서버 구축 , 암호화
FTP : 직원들의 원활한 파일 전송 구축 (vftp, 할당량)
DHCP : IP를 자동으로 할당해줄 수 있는 DHCP 서버 구축
Backup Server(Riad1) : 장애를 대비한 백업서버 구축
원격서비스(telnet, ssh, rdp, vnc)

[System]
계정, 및 그룹관리
Backup Server(Raid 1)
Rsyslog
Logrotate
PAM
cron
설계의 주안점 1) Network 구성 능력 향상
2) 보안솔루션 운용 능력 향상
3) 모의 해킹으로 취약점체크, 취약점 보안한 보안 솔루션 구축
4) 다양한 보안 위협에 대한 모의 해킹 진행 및 체크리스트를 통해 점검,
2 팀
RA(Remote Access)
팀장/팀원 이재랑(팀장), 주동휘, 유정태, 류민희
개요 불시에 터진 코로나19 사태로 원격 교육 등의 수요가 급증 했지만 네트워크 속도 지연/ 전산장비 노후화로 인한 접속 장애 및 음성 끊김 등의 문제가 지속적으로 발생하여 이에
KH 대학교의 노후 유/무선 네트워크 장비를 교체하고 보안 장비를 도입하여 5G 시대에 걸맞는 정보통신 인프라 환경 제공
구현기능 [네트워크]
ACL – NAT 정책
NAT – 외부 통신을 위한 사설 < > 공인 주소 변환
VLAN
OSPF - router 통신을 위한 동적 라우팅
G/W 이중화(Spanning tree, vrrp) – 가용성을 위한 이중화 구현
VPN(Remote Access) - Client 원격지 Server 사용 가능

[Server]
DNS – 도메인 서비스 제공 주DNS/보조DNS 구성 ( dnssec )
DHCP – 클라이언트 주소 정보 동적 할당 / 서버 정적 할당
FTP – 계정 별 파일 업로드/다운로드 ( Quota 개별 할당량 )
WEB – 동적 페이지 제공 , 2 TIER APM, 암호화 및 가상호스트
DataBase – Web Server Data 저장, MYSQL
BACKUP – Raid 구성 및 rsync, crontab 활용하여 데이터 백업
MAIL – 사용자 암호화된 메일 서비스 제공
BandWidth – 내부 사용자 트래픽 분석
Ipvsadm – Server load balancing

[System]
PAM
pam_limits.so 를 이용해 세션 자원 제한
/etc/pam.d/su 인증 설정 파일 계정 별 전환 불가
Pam_wheel.so 그룹을 통해 관리자 권한 설정

SELinux
접근 제어 – 허가 받은 사용자에 한해서 서비스 제공
권한 관리 – 각 사용자 별 권한 통제
로그 관리 – 문제 해결 및 예방

[Solution]
1. ESM(kibana) – snort 연동 패킷 실시간 분석하여 시각화
2. WAF(Wapples) – 웹 공격 탐지 및 차단 Proxy mode
[Cross Site Scripting/Directory Listing/File Upload/SQL Injection]
3. NAC(Untangle) – 내부 사용자 접근제어
[계정을 통한 접근 제어]
4. OpenVAS – 취약점 진단
5. IDS(snort,iptable) – 지식기반(오용) 행위기반(이상)
6. UTM – Sophos 통합보안솔루션
[N/W 트래픽 시각화/ VPN(Remote Access)/OSPF]
[Firewall - 기능을 통한 내/외부 사용자 접근 제어]
[Anti-DoS(TCP SYN/UDP/ICMP Flooding & TCP/UDP Port Scanning)]
[주기별로 수집된 로그 및 데이터 분석하여 보고서 제공]
7. Firewall – Alteon
[ 방화벽 로드 밸런싱, HA(고가용성) ]
8. IPS(iptables / snort)
[ DoS, DDoS 차단 ]
설계의 주안점 네트워크 망 분리를 통한 정보 보호 체계 구축
부하 분산을 통해 가용성 및 응답시간 최적화
장비 이중화를 통한 통신 이상 방지 및 고 가용성 기능 구현
정보 시스템에 대한 실시간 공격 탐지, 차단을 위한 IDS&IPS 시스템 구현
ESM을 이용하여 보안 정책 및 네트워크 트래픽 시각화 분석
3 팀
취직시켜조
팀장/팀원 이수인(팀장), 강승연, 신성훈, 이원재
개요 KH 엔터테인먼트 회사 게시판에 공격자가 올린 (자극적인 글로 위장한) CSRF코드 공격 코드가 담긴 게시글을 클릭하는 순간 관리자의 권한을 탈취 당했다.
관리자의 권한을 얻은 공격자가 회사 내부의 비밀 글들을 읽고 엔터테인먼트에 소속된 아티스트의 비밀을 폭로하겠다는 협박을 하였다.
이러한 사고을 겪은 KH 엔터테인먼트는 더 이상 이러한 사고를 미연에 방지하고자 '취직시켜조' 회사에게 네트워크와 시스템의 취약점 보안 컨설팅을 의뢰하였다.
컨설팅 의뢰를 받은 '취직시켜조' 회사는 취약점 분석을 위한 공격을 먼저 수행 후, 발견한 취약점 들에 대한 보안 인프라망을 구축한다.
구현기능 [모의 해킹 방식]
- 공개 모의 해킹 (White Box Testing)

[공격 방법]
1. Sniffing(active, passive), Spoofing
- ARP Spoofing
- IP Spoofing
- TCP Session Hijacking
- DNS Spoofing
- ICMP Spoofing
- DHCP
- GRE
2. DOS, DDOS
- ping of death
- Land Attack
- Smurf Attack
- TCP SYN Flooding
- TCP Connect Flood
- UDP Flooding
- ICMP Flooding
3. 어플리케이션 취약점 공격
- GET Flooding
- CC Attack
- Slow HTTP POST DOS
- Slow HTTP Header Dos(=Slowloris)
- Slow HTTP resad Dos
- Hulk
4. 악성코드(Malware)
- Beast(RAT)
- 트로이목마
- 랜섬웨어
5. WEB Proxy
- Bypassing Client Side Validation
- Web 인증 공격(Basic 인증 공격, 폼 베이스드 인증 공격)
- 히드라 대입 공격
- Web Session Hijacking, WebSession Fixation
- Brute Forcing 무차별 대입 공격
6. XSS, CSRF
7. Directory Listing 취약점
8. SQL Injaction
9. File Upload, Download 취약점
10. SSL Attack
- SSL Strip
- SSL Mitm
11. Metasploit

[인프라망 구축]
- 3 Layer 계층 모델을 참고한 네트워크 디자인
- 망분리 (UserZone, DMZ, Server Farm)
- 인터페이스 네트워크 정보 설정
- VLAN
- 장비 이중화(Gateway, Link), Spanning Tree
- NAT
- Routing(ospf)
- L4 스위치를 이용한 Load Balancing
- IPVSADM 고가용성
- VPN(IPsec 을 통한 본사와 지사 Side to Side 방식 연결)

[접근제어]
- TCP Wrapper / Xinetd 접근 통제 기능
- NAC을 통한 내부 사용자 네트워크 제어

[서비스]
- 원격 서비스 (Telnet / SSH / RDP / VNC)
- DNS(정방향 / 역방향), 권한 위임, Slave(Notify / IXFR), Forwarder, DNSSEC
- FTP / FTPS / Virtual Host
- WEB Site 구성, 인증, DataBase 설계 및 구축, WEB & DB 연동(2-tier), Secure Coding
- DB/WEB Server 구축

[시스템 보안 솔루션]
- PAM
- SELinux
- Password 취약점(크래킹)

[백업 및 로그 관리]
- ESM(통합 보안 관리 시스템)을 통한 서버영역 패킷 분석
- TFTP Server를 이용한 설정 정보 백업
- Bandwidthd를 활용한 트래픽 모니터링
- 시스템 백업 관리(cron, tar, rsync, logrotate, ssh)
설계의 주안점 - 취약점 분석을 위한 모의해킹 수행 / 보안 솔루션 업데이트
- IDS을 통한 침해 사고 대응 및 로그 분석
- NAC 구축을 통한 네트워크 접근 제어
- WAF, UTM , 방화벽(iptables)를 통한 보안 인프라 구축
- Load Balancing과 장비 이중화를 통한 가용성 증대
4 팀
희노애락
팀장/팀원 반용(팀장), 강승묵, 정다미, 정선희
개요 세계로 뻗어나가는 A 무역회사는 최근 보안 시스템의 문제점을 인식하지 못해 회사 내 정보가 유출이 되었다. 이로 인해 A 무역회사는 보안 회사인 'Dragon Security'에 의뢰를 하여 모의해킹을 통해 취약점을 분석하고 보안 인프라망을 구성하기로 했다.
구현기능 [모의해킹]
-방식 : Black Box Testing -> Blind Test
-수동적 정보수집
DNS 정보수집 : Zone Transfer, Dictionary Attack
-능동적 정보수집
Active Host Scanning, Port Scanning, IDLE scanning, OpenVAS
-공격수행
>Metasploit
>Network : Arp spoofing, icmp spoofing, DHCP Attack(starvation->spoofing), GRE Sniffing
IP spoofing, DNS Cache Poisoning, TCP session Hijacking
>System : 악성코드(RAT, Backdoor), Password Cracking(Hydra, john-the-ripper)
>WEB
1)정보수집 : WEB spidering, Vulnerability Scan
2)Bypassing Client Validation
3)WEB 인증공격 : Parameter Brute Forcing
4)WEB 세션공격 : Brute Forcing Session Token, WEB Session Fixation, WEB Session Hijacking
5)XSS, SQL Injection, Directory Listing
6)File Down/Upload
7)SSL Attack(SSL MITM, STRIP)
-DOS : Syn Flooding, TCP Connetion Flood, UPD Flooding, ICMP Flooding
-DDOS : GET Flooding, Hulk, CC Attack, Slow HTTP POST

1) Network
-Hierarchical 3 layer 모델 기반 Network 토폴로지 설계
-DMZ(WEB Server1,2, IDS, Mail), User Zone(인사, 영업, 마케팅, IT지원팀),
Server farm(Group ware, FTP, DNS, ESM, Backup, Database) 3개의 네트워크망으로 분리
-Network 할당 내역
DMZ(192.168.1.0/24), User Zone(192.168.2.0), Server Farm(192.168.3.0/24),
Backbone Area(192.168.4.0/24), DNS Zone(192.168.5.0)
- OSPF, Static Routing, NAT, VLAN, GW 이중화, SLB, Spanning Tree
VPN(Remote Access), Port mirroring, SSH, SSL, Router DHCP, Backbone Switch,
L4 switch(Alteon), Router ACL, TFTP
2) System
- Disk Raid(5level), Cron(백업예약), logrotate, 백신
3) Service
- WEB(2Tier), DB, DNS, Mail, FTP(Virtual host), Backup, Groupware
4) 보안
- iptables(Host/Network), WAF(WAPPLES), UTM(Sophos), NAC(Untangle),IPS/IDS(Snort),
ESM(Elastic Search), PAM, DNSSEC, Traffic Monitoring(Bandwidthd), Secure Coding
설계의 주안점 - UTM을 활용하여 Remote Access(IPsec)
- 실시간 트래픽 모니터링
- NAC를 활용하여 인가된 사용자만 접근 허용
- Snort를 활용한 침입 탐지
- WAPPLES를 활용한 WEB 방화벽 구성
KH정보교육원 - 교육과정

빠른상담문의

희망전공 필수선택사항입니다.
지점선택
필수선택사항입니다.
이름 필수입력사항입니다.
연락처

 -   -  필수입력사항입니다. 정확한 핸드폰 번호를 입력하세요.

전공유무 필수선택사항입니다.
상담내용
개인정보 수집동의
KH정보교육원 개인정보 보호정책
KH정보교육원의 개인정보취급방침은 다음과 같습니다.

⊙ 수집하는 개인정보 항목
회사는 회원가입, 상담, 서비스 신청 등등을 위해 아래와 같은 개인정보를 수집하고 있습니다.

⊙ 수집항목 : 이름 , 생년월일 , 로그인ID , 비밀번호 , 자택 전화번호 , 자택 주소 , 휴대전화번호 , 이메일 , 직업 , 회사명 , 부서 , 직책 , 회사전화번호 , 서비스 이용기록 , 접속 로그 , 쿠키 , 접속 IP 정보 , 결제기록
⊙ 개인정보 수집방법 : 홈페이지(회원가입,상담게시판류) , 서면양식

개인정보의 수집 및 이용목적
회사는 수집한 개인정보를 다음의 목적을 위해 활용합니다.

⊙ 서비스 제공에 관한 계약 이행 및 서비스 제공에 따른 요금정산
콘텐츠 제공
⊙ 회원 관리
회원제 서비스 이용에 따른 본인확인 , 개인 식별 , 불량회원의 부정 이용 방지와 비인가 사용 방지 , 가입 의사 확인 , 연령확인 , 만14세 미만 아동 개인정보 수집 시 법정 대리인 동의여부 확인 , 불만처리 등 민원처리 , 고지사항 전달
⊙ 마케팅 및 광고에 활용
이벤트 등 광고성 정보 전달 , 접속 빈도 파악 또는 회원의 서비스 이용에 대한 통계


개인정보의 보유 및 이용기간
회사는 개인정보 수집 및 사용목적 완료 후에는 예외 없이 해당 정보를 지체 없이 파기합니다.

개인정보에 관한 민원서비스
회사는 고객의 개인정보를 보호하고 개인정보와 관련한 불만을 처리하기 위하여 아래와 같이 관련 부서를 지정하고 있습니다.

⊙ 소 속 : 컨텐츠개발부
⊙ 전화번호 : 070-4827-2147
⊙ e-mail : ieiorkr@iei.or.kr

귀하께서는 회사의 서비스를 이용하시며 발생하는 모든 개인정보보호 관련 민원을 담당부서로 신고하실 수 있습니다. 회사는 이용자들의 신고사항에 대해 신속하게 충분한 답변을 드릴 것입니다.

기타 개인정보침해에 대한 신고나 상담이 필요하신 경우에는 아래 기관에 문의하시기 바랍니다.
1.개인분쟁조정위원회 (www.kopico.go.kr/1833-6972)
2.정보보호마크인증위원회 (www.eprivacy.or.kr/02-550-9531~2)
3.대검찰청 사이버범죄수사 (www.spo.go.kr/02-3480-2000)
4.경찰청 사이버테러대응센터 (cyberbureau.police.go.kr/182)

온라인 상담의 개인정보 취급 방침에 동의하셔야 온라인상담을 신청하실수 있습니다.

  • KH정보교육원
    전국대표 문의전화
    (09:00 ~ 19:00)

    1544-9970

    주말·공휴일에도 상담 및 접수 가능합니다.

    KH SMART CAMPUS

    재직자를 위한 IT 백과사전

    KH채널 ON 바로가기

    영상으로 확인하는 KH이야기

    KH 워게임 바로가기

    게임으로 하는 IT 공부
    • 2019 강남지원

      훈련 이수자 평가
      A등급 획득

    • 2019 종로지원

      훈련 이수자 평가
      A등급 획득

    • 2019 당산지원

      3년 인증 우수
      훈련기관 선정

    • 2019 당산지원

      훈련 이수자 평가
      A등급 획득

    • 2019 IT교육부문

      브랜드 대상
      4년 연속 수상

    • 2018 종로지원

      3년 인증 우수
      훈련기관 선정

    • 2018 당산지원

      4차 산업 선도
      훈련기관 선정

    • 2017 강남지원

      5년인증 최우수
      훈련기관 선정

    KH정보교육원 | 사업자등록번호 : 851-87-00622 | 서울 강남 제2014-01호 | 대표자 : 양진선 | 책임자 : 김언체 |  개인정보관리책임자 : 강명주

    강남지원 1관 : 서울특별시 강남구 테헤란로14길 6 남도빌딩 2F, 3F, 4F, 5F, 6F
    강남지원 2관 : 서울특별시 강남구 테헤란로10길 9 그랑프리 빌딩 4F, 5F, 7F
    강남지원 3관 : 서울특별시 강남구 테헤란로 130 호산빌딩 5F, 6F
    종로지원 : 서울특별시 중구 남대문로 120 대일빌딩 2F, 3F
    당산지원 : 서울특별시 영등포구 선유동2로 57 이레빌딩 (구관) 19F, 20F
    이태원지원 : 서울특별시 용산구 보광로 73 한국폴리텍제1대학
    울산지원 : 울산광역시 남구 신정2동 1640-6번지 현대스포츠센터2F