네트워크 구성도 구현 및 문제점 보완

지난 시간에 배운 네트워크 보안에 대한 이해를 토대로, 

강의를 듣기 전 구현해 온 네트워크 구성도를 분석해보고, 문제점을 보완하여 하나의 완성된 네트워크 구성도를 만들어 보려고 한다.

강의 중 가장 자세히 구현된 팀원의 네트워크 구성도를 골라 개선방안을 논의해보았다. DMZ존, 통합서버존, DB서버존, 업무서버존 등이 나뉘어져 있어 보기에 편리했다.  

▶ 네트워크 구성도(최종)

▶ 네트워크 구성도 개선방안 

① 좌측 상단의 DMZ존의 방화벽이 IPS 앞에 오도록 한다.  

   순서 : 방화벽 → IPS → 웹 어플리케이션 방화벽

② 네트워크 시작부분인 라우터 뒤에 Anti-DDos 기능을 넣어 先차단을 해준다. 

   시작부분의 방화벽을 이중화한다. 

③ 스위치의 역할은 'L숫자'의 숫자가 커질수록 더욱 방대한 처리를 한다. 

   따라서, 네트워크 내부로 갈수록 L4 → L3 → L2 순으로 스위치를 위치한다. 스위치는 각 존의 안

   쪽 시작점에 위치시킨다. 

④ 철저한 보안이 필요한 통합서버존에서 DB서버존으로 향하는 지점에는 스위치 바로 뒤에 IDS/IPS를 설치한다. 

⑤ DB 서버존 내의 DB를 DB Master, DB StandBy로 분류한다. 이 둘을 DB 보안으로 묶는다. 

⑥ 내부사용자 칸에 내부감시망인 DLP를 추가한다.

   (통합서버존 - DLP에이전트, 내부사용자 - DLP)

제일 기억에 남는 것은 방화벽의 이중화 기능. 이중화(fail-over)가 되어있을 시에는 fail-open을 권장하지 않는다. 

다음 시간에는 webgoat로 구축한 서버를 해킹 도구를 사용하여 공격점 찾기를 할 것이다. 나는 웹 해킹 툴인 burp Suite를 다뤄보기로 했다.