한땀한땀 정성들인 코딩
보안 인프라 구축 모의 프로젝트 본문
요구사항 - 스타트업을 시작하는 제약회사가 회사망 구축을 의뢰 하였다.
1. 회사의 부서는 신약 개발부, 전산실, 영업부로 이루어져 있다.
2. 신약 개발부의 부서 정보는 대부분 ‘대외비’로 유출시 막대한 영업손실을 초래한다.
3. 회사는 고객관리, 게시판, 홍보 등을 위해 홈페이지 운영이 필요하다.
4. 회사는 서울 판교에 위치한 본부와 해외 수출을 위한 지사가 샌프란시스코에 위치해 있다.
해결방안
1. 스위치 장비를 이용해 네트워크 대역대를 나누어 관리를 용이하게 구성한다.
2. 외부망의 접근을 제어하기 위해 ASA장비를 활용한다.
3. 웹, DB 서버를 구축 한다.
- 개인 고객정보의 유출을 막기 위해 ASA장비를 사용하여 방화벽을 구축한다.
- WEB서버의 경우 외부망에서 누구나 접근이 가능하기에 공격대상이 되기 쉬우므로 IDS를 구축하여 실시간으로 공격 패킷을 탐지한다.
- 자산의 가치가 신약 정보가 높은 것을 고려해 DMZ를 구성하여 내부망과 서비스망을 독립 시킨다.
4. 본사와 지사의 통신의 기밀성을 위해 IPSEC기반의 vpn을 구성한다.
기술 스택
이중화(GLBP) : 한 장비가 망가졌을 때 통신이 안되는 것을 방지 하기 위해 DMZ에서 이중화함.
VPN(IPsec) : 지사에서 본사 서버로 접근할 수 있게 터널링을 해주고, 패킷 탈취 방지를 위해 IPsec 정책 걸어줌.
방화벽(ASA장비) : 외부에서 악의적인 의도로 접근하는 것을 방지하기 위해 방화벽 장비를 구축함.
IDS(Snort) : 침입 탐지 도구, 7계층까지 탐지할 수 있는 침입 탐지 도구로 악의적인 의도를 가지고 접근하는 사용자를 막기 위해 구성.
프록시(Apache reverse proxy) : IDS와 함께 구성하여 스니핑을 방지하고, 웹 서버가 여러 개일 경우 한 곳으로 집중되는 현상을 막아줌.
아래는 최종 결과물 입니다.