시스템 운영/구축 실무 4일차 (22/10/27)

• Management Solution

 

① NMS (Network Management System)

② SMS (Server Management System)

③ ESM (Enterprise Security Management)

④ SIEM (Security Information & Event Management)

 

 

① NMS (네트워크 관리시스템)

 

- 기관이 정한 요구사항을 만족을 위해 네트워크 장비를 관리하는 시스템

- 네트워크 장비에 대해 구성 관리, 장애 관리, 성능 관리, 보안관리, 계정관리 기능 가짐

- NMS 운영을 위해 사용하는 프로토콜 : SNMP, CMIP, RMON 등

 

 

· 기능

 

구성관리	Configuration management 네트워크 관련 장비들의 구성현황 파악 및 설정관리
장애관리	Fault management 장애가 발생했을 때 즉각 대응하여 장애를 최소화 할 수 있도록 하는 사후 관리 주력 (사전관리보다)
성능관리	Performance management 모니터링과 제어를 통해 네트워크가 효율적으로 운영되도록 관리 속도, 트래픽, 처리량, 응답시간 등의 측정 가능한 기준으로 성능 나타냄
보안관리	Security management 네트워크의 접근 통제(비인가된 접근으로 부터 보호) 방화벽과 같은 침입제어시스템들로 관리
계정관리	Accounting management 과금을 통해 네트워크 자원에 대한 사용자 접근통제 계정별 네트워크 이용량에 따른 요구 부하 기능

 

 

· 장비 성능 관리 항목

 

- 관리대상 장비의 CPU와 메모리에 대한 사용률(평균값, 최댓값) 측정, 분석

- 관리대상 장비성능을 장비별, 지역별, 기간별(시간별, 일별, 주간별, 월별)로 측정, 분석

- 장비 성능에 대한 임계치 관리 방식에 따른 정보체계 구축 및 관리

- IPS, IDS, F/W 장비의 S/W적인 문제(성능)는 배제

* 장비자체의 성능 측정으로 제한

 

 

· NMS & EMS

 

Element Management System(EMS)

- 장비 관리 시스템 또는 통신망 장비 관리 시스템

- 통신망 장비를 네트워크를 통해 감시 및 제어할 수 있는 시스템

- 주로 동일 기종의 장비 관리에 주안점을 두고 있음

- EMS는 해당 서브 네트워크를 관리

  - 상위계층인 NMS(Network Management System)으로부터의 요구 수행

  - 관리대상인 NE(Network Element)들 제어

 

 

② SMS (서버 관리시스템)

 

- 이기종 다양한 서버들의 성능/장애 통합 감시 및 조치

 

 

 

· 기능

 

서버 성능 종합 모니터링	• 사용자가 변경 가능한 서버 종합 요약 정보 제공 • 지역별/그룹별/업무별 서버 운영상태 종합 모니터링 • CPU, 메모리, 디스크 사용률, 프로세스, 네트워크 트래픽, 디스크 I/O 등의 성능 실시간 감시
서버 성능 데이터 분석과 예측	• 다양한 관점의 성능 자원에 대한 실시간 흐름 상호 비교 분석 기능 • (CPU, Memory, Disk, Disk I/O, Process, Session 등) • 성능 항목 간 관계성 확인 및 분석 정보 제공 • 수집 성능 정보에 대한 최소, 최대, 평균값에 대한 이력관리 기능 제공
과부하 프로세스 감시와 제어	• 서버에 운영 중인 모든 프로세스 리스트 모니터링 • 프로세스 종료 및 구동 우선순위 변경 기능 • 서비스 프로세스의 동작 상태/개수, 사용 서비스 포트 관리 기능 • 중요 프로세스에 대한 시작, 중지 스크립트 기능
어플리케이션 로그와 서비스 포트 감시	• 어플리케이션 로그 및 서비스 포트를 이용한 장애 여부 확인 기능 • 장애 사항에 대한 이력화 및 분석 자료 활용 • 그룹, 이벤트 등급, 필터링 로그 그룹별 로그 발생 현황 정보 제공
비인가 사용자 차단과 통제	• 서버 별 접속 사용자, 패스워드 변경, 불법사용자 현황 등 강화된 서버 보안관리 기능 • 접근 권한 및 패스워드 정책을 통해 불법사용자에 의한 시스템 접근 및 정보 유출을 방지

※ DLP (Data loss prevention software) : 데이터 손실 방지

 

 

③ ESM (기업 보안관리 시스템) (★)

 

- 통합보안 관제 시스템

   - 기업 보안관리 시스템(통합보안 관리 시스템, 전사적 보안관리 시스템)

   - 다양한 보안 솔루션을 하나로 모은 통합 보안 관리시스템

   - 다양한 보안 장비에서 발생하는 로그, 보안 이벤트를 통합적으로 수집, 관리, 분석, 통보 대응 및 보안 정책을 관리

- ESM 주요 기능 2가지

❶ 서로 다른 기종의 보안 장비들을 통합 관리 기능

❷ 네트워크 자원 현황을 모니터링하는 보안 모니터링 기능

 

 

· 구조

 

 

 

④ SIEM (보안정보 & 이벤트 관리)

 

- ESM의 진화된 형태 (2015년 가트너에 의해 처음으로 도입된 개념)

   → 기능성 차이X

 

 

 

 

• Network Maintenance Tools

 

① NTP

② SNMP

③ Syslog

④ Wireshark

 

 

① NTP(Network Time Protocol)

 

- 네트워크 장비들의 시간을 동기화시키기 위해 Time Server와 장비들 간에 통신하는 프로토콜 (UDP port #123)

- NTP Version

  - Version 1 : RFC 958 / - Version 2 : RFC 1305

  - SNTP(Simple Network Time Protocol) : NTP version 3 적용된 NTP (버전 향상)

* Stratum : Authoritative Time Source로부터 NTP machine이 얼마나 떨어져 있는 Hop 수

 

 

② SNMP(Simple Network Management Protocol)

 

- IAB(Internet Activities Board)에서 개발한 Network 관리 프로토콜

- 네트워크의 중앙 집중화된 관리 목적이며 네트워크 관리 표준 프로토콜로 지정

- 초기에는 TCP/IP 네트워크를 관리하기 위해 설계

- 비 TCP/IP 장비를 포함한 어떤 형태의 네트워크 트래픽도 관리 가능하고 모니터링 가능

- 현재까지 버전 3까지 세 가지 버전이 만들어졌으며, 각 버전의 차이는 보안성

 

 

 

· 기능

 

- 네트워크 구성 관리 : 네트워크 상의 호스트들이 어떠한 구조로 구성되었는지 확인 가능

- 성능 관리 : 네트워크 사용량, 에러량, 처리속도, 응답 시간 등의 성능 분석에 필요한 통계 정보를 얻을 수 있음

- 장비 관리 : 시스템 정보(CPU/Memory/Disk 사용량)를 얻을 수 있음

- 보안 관리 : 정보의 제어 및 보호 기능

 

 

· SNMP Manager와 Agent 간 통신

 

- Get Request : 관리 시스템이 특정 변수 값 읽음

- Get Next Request : 관리 시스템이 이미 요청한 변수 다음의 변수 값 요청

- Set Request : 관리 시스템이 특정 변수 값의 변경 요청

- Get Response : Agent가 관리 시스템에게 해당 변수 값 전송

- Trap : Agent의 특정 상황을 관리 시스템에게 알림

 

 

· 구성요소

 

 

- SNMP(Simple Network Management Protocol) : 전송 프로토콜

- MIB(Management Information Base) : 관리되어야 할 객체들의 집합

- SMI(Structure of Management Information) : 관리 방법

 

 

· 취약점

 

- Community가 일치할 경우 SNMP의 MIB 정보 확인 가능

- Community는 일종의 패스워드

- 대부분의 Community는 public으로 설정되어 있으며, 이를 수정하는 사람은 많지 않다

- 패킷이 UDP로 전송되어 연결의 신뢰도가 낮으며, 데이터가 암호화되지 않은 평문으로 전 송되어 스니핑이 가능

- 이런 문제점을 해결하기 위해 SNMP 버전 2에서는 전송하는 정보에 대한 암호화와 해시 기능을 추가했으나 인증 기능은 없으며, Community를 일치시켜 정보를 얻는 것은 쉬운 일이다

 

 

③ Syslog

 

- 시스템 에러 메시지나 debugging 정보를 처리하는 서비스

   - 서비스에 트러블이 발생했을 때 서버나 네트워크 기기의 로그(기록)를 확인함으로써 언제 어떤 기기에 어떤 현상이 발생했는지 정리

- Syslog 서버를 구축 시 로그를 수집하여 일원 관리 가능

 

 

· 로그 Package : syslog / rsylog

 

- 로그를 중앙 집중적으로 관리하는 패키지

- 동작 방식

 

 

SIEM 환경 구축 실습)

 

 

• 설치 환경

Hostname	AccountID	IP address/SM	H/W(Pro/RMA/HD)	OS
SplunkServer	splunkadmin	192.168.10.10/24	2Core/8GB/60GB	Ubuntu 20.04
ZeekIDS	zeek	192.168.10.20/24	2Core/4GB/40GB	Ubuntu 20.04
WebServer	webadmin	192.168.10.30/24	1Core/4GB/20GB	CentOS 8
Sysmon	sysmon	192.168.10.40/24	1Core/2GB/20GB	Windows 10

＊ GateWay : 192.168.10.2

＊ DNS : 192.168.10.2

 

 

※ 구축 전 Network Setting

Virtual Network Editor > Change Settings > Subnet IP 변경 > NAT Settings 클릭 > GW IP 변경

 

• SplunkServer 구축

SplunkServer 환경

 

SplunkServer Address & DNS 설정

 

저장소 주소 변경

 

sources.list 파일

 

net-tools 설치

→ ifconfig 명령어를 하여 IP 보려고 설치

 

IP 확인

 

방화벽 설정

 

• ZeekIDS 구축

ZeekIDS 환경

 

ZeekIDS Address & DNS 설정

 

저장소 주소 변경

 

sources.list 파일

 

net-tools 설치

→ ifconfig 명령어를 하여 IP 보려고 설치

 

IP 확인

 

방화벽 설정

 

• WebServer 구축

WebServer 설정

 

IP 주소 설정

 

저장소 주소 변경

 

rsyslog.repo 파일

 

방화벽 설정

 

 

• Sysmon 구축

Sysmon 설정

 

Sysmon IP Address & DNS 설정

네트워크 연결 > Ethernet 0 우클릭 > 속성 > 인터넷 프로토콜 버전 4(TCP/IPv4) 더블 클릭