S-Part. 24 Untangle 구축과 실행 (통합 위협/보안 관리)

구축환경

CentOS 7.6 Minimal - (www.centos.org)

VirtualBox 7.0 - (www.virtualbox.org)

 

 

---

위협 / 보안관리의 종류

UTM(Unified Threat Management) : 통합 위협 관리 시스템

- 하나의 장비에 여러가지 솔루션(방화벽, IDS, IPS ,VPN, 바이러스 필터링, 콘텐츠 필터링등)을 탑재한 장비
- 다양한 공격에 신속하게 대응이 가능하고 비용 절감 효과가 있다. 
- 장점 : 관리용이, 공간 절약
- 단점 : 장애 발생 시 전체에 영향

- pfsense, ASAv, Untangle 등이 utm에 해당함

ESM(Enterprise Security Management) : 통합 보안 관리
- 네트워크를 통해 들어오는 모든 위협요소를 전체적으로 분석하고 사전에 예방할 수 있도록 운영자에게 알려주는 시스템

- 특히 기업내의 유무형 자산들을 안전하게 관리하고 추적하기 위해 만들어진 장비
- 보안관련 장비가 복잡화됨에 따라 솔루션들을 하나의콘솔로 중앙에서 관리하는 보안 솔루션

- 기존의 utm에서 관제할 수 있는 부분을 대폭적으로 늘려놓음
- 장점 : 이 기종 보안 시스템 통합, 관리 가능
- 단점 : 관리 어렵고 비교적 이벤트가 많다

 

SIEM(Security Information & Event Management)

- F/W, IDS/IPS, 안티바이러스 등의 보안장비, 서버, 네트워크 장비에서 이벤트, 위협 및 위험 데이터를 수집하여 연관성 분석을 통해 신속하게 사고에 대응하고 로그 관리를 수행하는 장비이다.
- 2015년 가트너에 의해  도입
- ESM과 크게 차이나는 부분은 없지만 한 단계 정도 높아졌다고 생각하면 된다. 

- ESM: 단기 이벤트성 위주 분석, SIEM: 빅데이터 수준의 장시간 심층 분석 인덱싱
- ArcSight(HP)와 Qrader(IBM)가 SIEM 솔루션으로 자주 쓰인다. 

 

EDR(Endpoint Dection & Response) 종단장비

- 엔드포인트 탐지 및 대응

- 바이러스 백신 소프트웨어와 기존의 엔드포인트 보안 도구를 넘어서는 사이버 위협으로부터 조직의 최종 사용자, 노트북 프린터와 같은 엔드포인트 디바이스 및 IT 자산을 자동으로 보호하는 소프트웨어이다. 

- EDR은 데스크탑 및 노트북 컴퓨터, 서버, 모바일 디바이스, IoT(Internet of Things) 디바이스에서 수집한 데이터를 실시간으로 분석하고 의심스러운 사이버 위협에 자동으로 대응한다. 

 

---

Untangle

utm 장비 대부분이 방화벽은 기본으로 가지고 있으며, untangle은 일정 부분은 오픈소스이며 기본적인 기능들을 무료로도 사용가능하다. 

 

Untangle 머신 만들기

 

★    Untangle 네트워크는 어댑터가 2개 있어야한다.

 

 

 

 

Untangle ISO 이미지파일 받기

 

Untangle 나머지 설정과 구동

★ 설치시에 ip주소, netmask가 뜨지 않는 이유는 centos 네트워크 설정때문이다.

어댑터에 브릿지를 선택할 경우에 네트워크가 루프백에 들어가 있는지 꼭 확인하기.

루프백 X , Realtek Family O

 

 

Language: Korean 

Run setup Wizard 클릭

그 다음 화면에서는 버튼이 보이지 않을텐데 화면크기 80 정도로 줄인 뒤 agree를 클릭해주면 된다. 

 

지금까지 이미지를 잘 따라왔다면 위와 같은 화면을 볼 수 있을텐데 여기에서는 라우터 모드와 transprent bridge를 설정해줘야한다. 현재는 Untangle이 라우터 역할을 해주고 있다. 

Auto Upgrades 클릭

 

해당 설정들이 모두 선택되어 있는 지 확인 후 Finish -> Continue

 

이 부분은 그냥 스킵 해주면 된다. 

 

Untangle  구동 성공

 

 

 

좌측 상단 Apps를 누르면 아래와 같은 화면이 뜬다.

내가 원하는 기능이나 패키지가 있다면 클릭해서 설치할 수 있다. 

firewall을 설치하려고 클릭해봤는데 로그인이 필요한 꼐정 등록창이 떠서 더 해보진 못했다. 

 

capative potal app은 url을 필터링 해준다. 

예를 들어 네이버 도메인을 capative potal에 넣게 되면 네이버로 접속이 불가하게 되는 것이다. 

 

web filter app은 방화벽이다. 웹 어플리케이션 및 웹 서버 응용프로그램에 대한 방화벽으로 세밀하게 7계층까지 설정 가능하다. 

 

이 외에,

config는 환경설정, report는 보고서, session은 관련되어 있는 host 정보가 실시간으로 보여진다. 

device는 내가 관리하고자 하는 장치를 직접 추가해서 관리할 수 있다. 

user는 사용자 생성