20160805 Sophos UTM

보안 위협과 보안 솔루션의 진화 과정

■ 보안 위협의 진화 과정

● 해킹 기법의 다양화(수동 방법 -> 자동 방법)

● 서비스 가용성에 대한 위협 증가

● 유해 트래픽 증가

한국언론전산인협의회발제자료(3주제_보안및해킹트랜드)

■ 보안 솔루션의 발전 과정

● 현재 모든 기업과 기관들이 주요 보안 솔루션으로
- 방화벽(Firewall)
- VPN
- IPS/IDS
- Anti-Virus
- Anti-Spam
- 네트워크 접속 관리
- 기타 contents 보안 제품
등이 구축되어 각종 정보 자산을 보호하고 있다.

한국언론전산인협의회발제자료(3주제_보안및해킹트랜드)

■ 보안 솔루션의 발전 과정

한국언론전산인협의회발제자료(3주제_보안및해킹트랜드)

■ 통합 보안 관리(UTM)

● 보안 사고를 예방하고 신속히 대응하면서 보다 쉽게 보안 관리가 가능하도록 하기 위한 목적으로 기존 보안 제품을 통합하여 여러가지 기능을 제공하면서도 관리가 용이한 UTM 장비가 필요하다.

한국언론전산인협의회발제자료(3주제_보안및해킹트랜드)

FW vs IPS/IDS vs WAF

■ Firewall(방화벽) vs IDS(침입탐지시스템)  vs IPS(침입차단시스템)

구분	IPS(침입차단시스템)	IDS(침입탐지시스템)	F/W(침입차단시스템)
연결 방법	In-Line	Mirror(TAP, Switch)	In-Line
차단 방법	자체	Reset Signal, 방화벽 연동	자체
on-way attack	탐지/차단	탐지	불가능
DDoS & Dos	탐지/차단	탐지	일부지원
서비스 중단 시 장애 극복	FOD를 통한 장애 극복	무관	HA, Fail Over를 통한 극복
실시간 네트워크 세션 감시	지원	지원	지원
Worm Virus	탐지/차단	탐지	불가능
NAT	지원 안됨	지원 안됨	지원함
다중포트	2개 구간	8개 구간	NIC 연결 추가 지원
장점	모든 패킷에 대해 자체 탐지 및 차단 모듈 지원으로 네트워크 보호	모든 패킷에 대해 자체 탐지 모듈 지원으로 네트워크 이상 징후 경고	서비스 및 객체 대한 접근 권한 정책을 구체적 규정하는 것이 가능하여 불필요한 서비스 사용 제한
단점	NAT등 방화벽 고유 기능 지원 불가로 사설 네트워크 구성시 제한	방화벽과 연동 방어를 통해 차단 가능함(독립적 차단 제하적)	IP와 Port 이외의 복합적으리고 정교한 공격 탐지 불가

Sophos Installation

■ 설치전 준비사항

- VMware Program(EX: VMWare Workstation 10.x)

- Sophos CD(EX: asg-9.304-9.1.iso)

■ VMware Workstation 다운로드

- http://www.vmware.com

■ Sophos 프로그램 다운로드

- https://www.sophos.com

- https://secure2.sophos.com/en-us/products/utm-9/free-utm-trial.aspx#start

■ Sophos 네트워크 설정

eth0 IP : 192.168.10.254

eth1 IP : 192.168.20.254

■ 네트워크 구성도(EX: XX은행 네트워크 구성도)

Sophos 설치를 위한 VM 생성

- (주의) VM 생성시 반드시 Network Adapter를 2장 설치한다.

Sophos CD 이미지 장착

□ Welcome to Sophos UTM 9! 화면

=> <ENTER>

□ Introduction 화면

=> <Start>

□ Detected Harware 화면

=> <Ok>

□ Select Keyboard 화면

=> English (USA)

□ Select Timezone 화면

=> Asia/

=> Seoul

□ Data and Time

=> <Next>

□ Select Admin Interface 화면

=> eth1   [link]   VMware Pro/1000 MT Single Port Adapter

=> <Next>

□ Network Configuration

=> Address: 192.168.20.254

   Netmask: 255.255.255.0

   Gateway: 없음

=> <Next>

□ 64 bit Kernel Support 화면

=> <Yes>

□ Enterprise Toolkit 화면

=> <Yes>

□ Installation: Partitioning 화면

=> <Yes>

□ Partition (Step #/6) 화면

        □ Partitioning (Step 1/6) 화면

        □ Formatting (Step 2/6) 화면

        □ Copy Packages (Step 3/6) 화면

        □ Install Open Source Software (Step 4/6) 화면

        □ Install Enterprise Toolkit (Step 5/6) 화면

        □ Finishing (Step 6/6) 화면

□ Installation Finished 화면

=> <Reboot>

□ 로그인 창 화면

이제 준비가 완료 되었으므로 웹으로 접속한다.

(Windows 7) https://192.168.20.254:4444

!!!! 설치가 다 되고 나면 반드시 스냅샷을 찍어 놓는다. !!!!

1.  Sophos Unified Threat Management

Sophos UTM의 "Basic System Setup" 작업을 진행한다.

■ 사용시스템

- Sophos VM

- Windows 7 VM

(Windows 7)

관리용 시스템인 windows 7에서 Sophos UTM로 크롬(Chrome) 브라우저를 사용하여 접속한다.

- https://192.168.20.254:4444

■ basic system setup

Hostname                        : utm.example.com

Commany or Organization Name      : soldesk

City                            : Seoul

Country                          : South Korea

admin account password            : soldesk1.

Repeat password                  : soldesk1.

admin account email address       : admin@example.com

■ Login to WebAdmin

Username : admin

Password : soldesk1.

■ Setup wizard

[ v ] continue

[   ] Restore a backup

■ License Installation

License file : 없음

● 라이센스 파일이 없다면 30일간만 사용이 가능하다.

■ Internal (LAN) Network Settings

Internal (LAN) firewall IP : 192.168.20.254

Netmask                  : /24 (255.255.255.0)

■ Internal Uplink (WAN) Settings

Interface               : eth0

Internet uplink type      : Standard Ethernet interface with static IP address

Address Type             : static

IP address               : 192.168.10.254

Netmask                  : /24 (255.255.255.0)

Default gateway          : 192.168.10.2

DNS forwarder IP          : 168.126.63.1

■ Allowed Services

Allow these services for internal clients

[   ] Web (HTTP, HTTPS)

[   ] File transfer (FTP)

[   ] Terminal services (Citrix, Apple Remote Desktop, RDP, SSH, Telnet)

[   ] Email (SMTP, POP3, IMAP)

[   ] DNS (outgoing)

For security reaons we recommend to disable all options

[ v ] UTM responds to Pings

[   ] UTM forwards Pings

■ Advanced Threat Protection Settings

[   ] Intrusion Prevention Engine

[   ] Command & Control/Botnet Detection Engine

■ Web Protection Settings

-> 아무것도 설정하지 않는다.

■ Email Protection Settins

[   ] Scan email fetched over POP3

[   ] Configure internal mail server

Finishing the Setup wizard 화면

참고 동영상

■ Setting up Sophos UTM - Training Episode 1

https://www.youtube.com/watch?v=mx6l1f6Bpy0

■Using Sophos UTM Web Protection - Training Episode 2

https://www.youtube.com/watch?v=uI8NbEfxEs4

■ Using Sophos UTM Email Protection - Training Episode 3

https://www.youtube.com/watch?v=tozOXf-L-RY

■ Using Sophos UTM Intrusion Protection - Training Episode 4

https://www.youtube.com/watch?v=HDgJHFIp3Nk

■ How to setup Secure Sockets Layer (SSL) for a virtual private network (VPN) - Training Episode 5

https://www.youtube.com/watch?v=GGt26ZlerpQ&index=6&list=PL_b4O8ZwWOqs-aoLAMubLB1LhZwglTIoo

■ Setting up Web Filtering Profiles - Training Episode 6

https://www.youtube.com/watch?v=2v4_3bph6GA

■ Setting up Backup & Restore - Training Episode 7

https://www.youtube.com/watch?v=-ShStT59GLs