Secureworks 3.0 설치
Secureworks 기본설치절차 SECUEWORKS I. SecureWorks 기본 install 절차 1. 네트워크구성협의 - 현재네트워크구성도 & 방화벽구성을위한네트워크구성도작성 2. OS ( Solaris 2.8 for X86 ) 설치 - End User Support 및 Partition (/, swap, /opt) 설정 3. OS patch 실행 4. Network 관련 Setting - 5 개 file 수정및생성 ( /etc/hosts, /etc/hostname.xxx, /etc/defatultrouter, /etc/nsswitch.conf, /etc/resolv.conf ) 5. Network Test 6. SecureWorks 설치및제거 7. 보안정책설정및 SecureWorks 동작 Test 8. License 발급 9. SecureWorks 기본기능설명 - 패킷필터링, 어플리케이션게이트웨이설정및 log 검색 - log 및원격보안관리접속환경설정 - SecureWorks 재구동및 F/W 서버 reboot 및 poweroff II. 네트워크확장구성에따른 SecureWorks Setting 1. 서비스존에메일서버추가 (SMTP G/W) 2. 세부보안정책 (TIME,SERVICE 객체, HTTP G/W) 3. 서비스서버사설 ( 보안정책, 주소변환 ) 4. 실제네트워크구성예 III. 참고자료 1. 라이센스발급절차 2. SecureWorks 설치전점검사항 3. SecureWorks 설치후점검사항 2
SECUREWORKS secureworks 기본설치절차 I. SecureWorks 기본 install 절차 1. 네트워크구성협의 1-1. 현재네트워크구성도작성 기재사항 1) ISP 할당공인 IP 대역 & Subnet mask ( 대표주소및브로드캐스팅주소포함 ) 2) Default Router 3) 서비스서버 IP (Web, Mail 등공개용서비스 ) 작성예 Router 211.83.50.126/25 Switch Hub Web Server 211.83.50.1/25 PC Server 할당가능 IP : 211.83.50.1 ~ 211.83.50.126 Subnet Mask : 255.255.255.128 (/25) 대표 IP : 211.83.50.0 브로드캐스트 IP : 211.83.50.127 Default G/W : 211.83.50.126 Web Server : 211.83.50.1 3
Secureworks 기본설치절차 SECUEWORKS 1-2. 방화벽구성을위한네트워크구성도작성 기재사항 1) 사용 IP 대역 & Subnet mask ( 대표주소및브로드캐스팅주소포함 ) 2) 각인터페이스, 서버 IP 표시 작성예 A Iprb0 211.83.50.65/26 211.83.50.126/26 B Iprb2 211.83.50.62/26 Iprb1 192.168.20.10/24 Web Server 211.83.50.1/26 < A 네트워크 > 할당가능 IP : 211.83.50.65 ~ 211.83.50.126 Subnet Mask : 255.255.255.192 (/26) 대표 IP : 211.83.50.64 브로드캐스트 IP: 211.83.50.127 Default G/W : 211.83.50.126 방화벽외부 (iprb0) IP : 211.83.50.65 < B 네트워크 > 할당가능 IP : 211.83.50.1 ~ 211.83.50.62 Subnet Mask : 255.255.255.192 (/26) 대표 IP : 211.83.50.0 브로드캐스트 IP: 211.83.50.63 방화벽서비스 (iprb2) IP : 211.83.50.62 Web Server : 211.83.50.1 Default G/W : 211.83.50.62 PC Server C < C 네트워크 > 할당가능 IP : 192.168.20.1~192.168.20.254 Subnet Mask : 255.255.255.0 (/24) 대표 IP : 192.168.20.0 브로드캐스트 IP: 192.168.20.255 방화벽내부 (iprb1) IP : 192.168.20.10 Default G/W : 192.168.20.10 4
SECUREWORKS secureworks 기본설치절차 2. OS (Solaris 2.8 for X86) 설치 2-1. Boot Disk 생성절차 1) Web 상의 http://soldc.sun.com/support/drivers/dca_diskettes/ 접속 2) Solaris 8 (Intel Platform Edition) 1/01 File 을임의의이름 (ex: sol) 으로다운로드 3) Copy it to a diskette 을클릭하여 dd.exe File 을다운로드 4) 새플로피디스크를삽입후 DOS 창에서다음과같이입력 C: Temp>dd S8_0101.3 A: 2-2. OS 설치시 Partition 할당 1) 9G HDD 1 개 ( Memory : 512 M ) c0d0 / : 1024 M : s0 swap : 1024 M ( 메모리의두배 ) : s1 /opt : 약 6500 M ( 남은영역모두 ) : s5 2) 9G HDD 2 개 ( Memory :512M ) c0d0, c0d1 c0d0 / : 약 7500 M ( 남은영역모두 ) : s0 swap : 1024 M ( 메모리의두배 ) : s1 c0d1 /opt : 약 8500 M ( 전체영역 ) : s5 2-3. OS 설치시주의사항 1) software Group 선택시 Default 값인 End User System Support 사용 2) X86 계열은 64bit mode 를지원하지않으므로 default 32bit 로설치됨. (SPARC 계열 OS Setting 시 64bit mode 지원 (Default) 선택을해야 64bit kernel module 로설치됨.) 3) solaris 2.8 설치후부팅디스켓과 OS 설치 CD 를제거한후재부팅함. 5
Secureworks 기본설치절차 SECUEWORKS 4) solaris 설치후처음부팅을후 Language CD 를넣어서한글패키지를설치. (Language CD 를통해한글패키지를추가하지않으면시스템구동에는문제가없으나의 OS 메뉴들이영문으로보이게됨. 방화벽시스템에서 secureworks manager 구동후 error 발생으로방화벽설정불가함. 이경우원격에서방화벽설정해야함.) 2-4. HP Netserver E800 설치시주의사항 1) HP Netserver E800 의 booting disk 는 sun site 에서받지않고 asus 홈페이지에서다운받음. http://www.asus.com.tw/products/addon/scsi/scsilan.drv.html sola8-dca.exe (solaris 8 Device Configuration Assistant boot disk) 파일을다운받아서부팅디스켓을만듦. => floppy diskette 을넣은후해당파일을실행하면부팅디스켓이만들어짐. 2) asus 에서제공한부팅디스켓만을사용하여설치를하면 "/" 파티션을 800MB 이상설정할수없슴. / : 800 MB :s0 swap : 1024 MB ( 메모리두배 ) : s1 /usr : 500 MB ( 또는 /usr/openwin : 250 MB) :s3 /opt : 약 6500 MB ( 남은영역모두 ) : s5 3) "/" 파티션을 800MB 이상설정하려면 SCSI 드라이브를따로설치해야함. SCSI 드라이브는 asus 홈페이지에서다운받음. http://www.asus.com.tw/products/addon/scsi/scsilan.drv.html sola8-dim.exe (solaris 8 Device Image Driver) 파일을다운받아드라이브이미지파일을만듦 => floppy diskett 을넣은후해당파일을실행하면이미지파일이만들어짐. solaris 설치첫화면에서추가드라이브메뉴를통해드라이브를추가함. solaris 설치완료후수동재부팅을선택함. ( 재부팅전에추가드라이브를다시설치해야하기때문임.) 6
SECUREWORKS secureworks 기본설치절차 3. OS patch 실행 제품 CD 안의 8_x86_Recommended.zip 파일을 /tmp 디렉토리로복사후압축과묶음 파일을푼후 patch 실행 # cd /cdrom/cdrom0/solaris/i86pc/8/solarispatch # cp 8_x86_Recommended.zip /tmp # cd /tmp # unzip 8_x86_Recommended.zip # cd 8_x86_Recommended #./install_cluster # sync;sync;reboot 주의사항 : patch 작업중에는다른작업을하지않는다. 4. 네트워크관련 Setting 네트워크구성도 211.83.50.126/26 Iprb0 211.83.50.65/26 Iprb2 211.83.50.62/26 Web Server 211.83.50.1/26 Iprb1 192.168.20.10/24 내부망 192.168.20.0/24 PC Server 7
Secureworks 기본설치절차 SECUEWORKS F/W 서버 Rebooting 시참조하는파일및 DNS 관련참조파일 4-1. /etc/hosts 수정 # Internet host table # 127.0.0.1 localhost 211.83.50.65 fw loghost fw.oullim.co.kr 211.83.50.62 ser 192.168.20.10 int # 4-2. /etc/hostname.xxx 생성 # ls -al /etc/hostname.* -rw-r--r-- 1 root root 8 2 월 8 일 19:07 /etc/hostname.iprb0 # cat /etc/hostname.iprb0 fw # cat > /etc/hostname.iprb1 int ctrl + d # cat > /etc/hostname.iprb2 ser ctrl + d # ls -al /etc/hostname.* -rw-r--r-- 1 root root 8 2 월 8 일 19:07 /etc/hostname.iprb0 -rw-r--r-- 1 root other 4 10 월 4 일 15:50 etc/hostname.iprb1 -rw-r--r-- 1 root other 4 12 월 1 일 14:15 /etc/hostname.iprb2 # 8
SECUREWORKS secureworks 기본설치절차 4-3. /etc/defaultrouter 생성 # cat > /etc/defaultrouter 211.83.50.126 ctrl + d # cat /etc/defaultrouter 211.83.50.126 # 4-4. /etc/nsswitch.conf 수정 # An example file that could be copied over to /etc/nsswitch.conf; it # does not use any naming service. # "hosts:" and "services:" in this file are used only if the # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports. passwd: group: files files hosts: files dns #hosts: networks: files files protocols: files rpc: ethers: netmasks: files files files bootparams: files publickey: files # At present there isn't a 'files' backend for netgroup; the system will # figure it out pretty quickly, and won't use netgroups at all. netgroup: files automount: files aliases: files 9
Secureworks 기본설치절차 SECUEWORKS 4-5. /etc/resolv.conf 생성 # cat > /etc/resolv.conf nameserver 168.126.63.1 ctrl + d # cat /etc/resolv.conf nameserver 168.126.63.1 5. 네트워크테스트 5-1. 네트워크테스트 (ping test) 1) 방화벽 default router (211.83.50.126) 2) 방화벽 Web Server (211.83.50.1) 3) 방화벽 내부사설 PC (192.168.20.X) 4) 방화벽 인터넷상의임의의서버 5) default router Web Server 6) Web Server default router 7) 내부사설 PC 방화벽 8) 기타 10
SECUREWORKS secureworks 기본설치절차 5-2. NIC(iprb0~2) 정보및라우팅테이블 (default router) 정보확인 # ifconfig -a lo0: flags=849<up,loopback,running,multicast> mtu 8232 inet 127.0.0.1 netmask ff000000 iprb0: flags=843<up,broadcast,running,multicast> mtu 1500 inet 211.83.50.65 netmask ffffffc0 broadcast 211.83.50.127 ether 0:50:b7:14:ff:ff iprb1: flags=863<up,broadcast,notrailers,running,multicast> mtu 1500 inet 192.168.20.10 netmask ffffff00 broadcast 192.168.20.255 ether 0:d0:b7:85:d8:26 iprb2: flags=863<up,broadcast,notrailers,running,multicast> mtu 1500 inet 211.83.50.62 netmask ffffffc0 broadcast 211.83.50.63 ether 0:d0:b7:85:ce:a4 # netstat -rnv IRE Table: Destination Mask Gateway Device Mxfrg Rtt Ref Flg Out In/Fwd -------------------- --------------- -------------------- ------ ----- ----- --- --- ----- ------ 192.168.20.0 255.255.255.0 192.168.20.10 iprb2 1500* 0 2 U 11536 0 211.83.50.64 255.255.255.192 211.83.50.65 iprb0 1500* 0 2 U 0 0 211.83.50.0 255.255.255.192 211.83.50.62 iprb1 1500* 0 2 U 0 0 default 0.0.0.0 211.83.50.126 1500* 0 UG 32 0 127.0.0.1 255.255.255.255 127.0.0.1 lo0 8232* 181 0 UH 226388 0 11
Secureworks 기본설치절차 SECUEWORKS 6. SecureWorks 설치및제거 6-1. SecureWorks 설치 # cd /cdrom/secureworks30/solaris/i86pc/8 # pkgadd -d./ 다음과같은패키지를사용할수있습니다. 1 SECworks SECUREWORKS Firewall/VPN v3.0 R1D (i86pc platform) (i86pc_2.8) 3.0,REV=1 처리할패키지 ( 들 ) 를선택하십시오.( 또는모든패키지를처리하려면 'all' 을입력하십시오.) (default: all) [?,??,q]: 1 패키지예 <SECworks>( 을 ) 를 </cdrom/secureworks30/solaris/i86pc/8> 에서처리중 SECUREWORKS Firewall/VPN v3.0 R1D (i86pc platform) (i86pc_2.8) 3.0,REV=1 <SECworks>( 을 ) 를계속설치하겠습니까? Y SECUREWORKS Firewall/VPN v3.0 R1D (i86pc platform)( 을 ) 를 <SECworks>( 으 ) 로설치 [ 클래스 <none> 검증 ] ## 설치후스크립트실행 NOTICE: SECUREWORKS (TM) v3.0 R1D NOTICE: generating local master certificate... NOTICE: generating remote administration (SSL) certificate... NOTICE: SECUREWORKS initialization complete. <SECworks>( 이 ) 가성공적으로설치되었습니다. 다음과같은패키지를사용할수있습니다. 1 SECworks SECUREWORKS Firewall/VPN v3.0 R1D (i86pc platform) (i86pc_2.8) 3.0,REV=1 처리할패키지 ( 들 ) 를선택하십시오.( 또는모든패키지를처리하려면 'all' 을입력하십시오.) (default: all) [?,??,q]: q 12
SECUREWORKS secureworks 기본설치절차 6-2. SecureWorks 제거 # pkgrm SECworks 현재설치되어있는패키지는다음과같습니다 : SECworks SECUREWORKS Firewall/VPN v3.0 R1D (i86pc platform) (i86pc_2.8) 3.0,REV=1 이패키지를제거하겠습니까? y ## 설치된패키지예 <SECworks> 제거 이패키지에는설치과정중수퍼유저권한으로실행될스크립트가 있습니다. 이패키지를계속제거하겠습니까? y ## 패키지종속성검증 ## 패키지정보처리중 ## 사전제거스크립트실행중 Stopping SECUREWORKS: done. ## 클래스 <restore> 의경로이름제거중 ## 클래스 <save> 의경로이름제거중 ## 클래스 <none> 의경로이름제거중 /etc/init.d/secureworks /etc/init.d < 공유경로이름이제거되지않음 > /etc < 공유경로이름이제거되지않음 > ## 사후제거스크립트실행중 ## 시스템정보갱신중 <SECworks>( 이 ) 가성공적으로제거되었습니다. # 13
Secureworks 기본설치절차 SECUEWORKS 7. 보안정책설정및 SecureWorks 동작 Test 7-1. SecureWorks 초기구동시주의사항및기본설정사항 1) SecureWorks 구동 # /opt/secureworks/3.0/bin/manager firewall being added to access control list # 2) Netscape 환경설정 View / Character Set / Korean (Auto-Detect) 선택 Edit / Preferences / Fonts 에서 Korean 선택 3) New Site Certificate 화면중 Accept this certificate forever (until it expires) 선택 14
SECUREWORKS secureworks 기본설치절차 4) Install Wizard 의 Management Information 화면중관리자 IP 주소는반드시 xxx.xxx.xxx.xxx/32 형태로입력 5) SecureWorks 초기화면구동후제일먼저 Setup/ 네트웍설정 / 인터페이스에서위치지정 15
Secureworks 기본설치절차 SECUEWORKS 7-2. 보안정책설정 (1) 기본보안정책 ( 보안정책 ) 1 내부사용자 (192.168.20.0/24) 는모든인터넷서비스가능 /Service/ 보안정책 & /Services/ 주소변환 2 전체인터넷에서 Web Server 로의접근은웹서비스 (80 port) 만허용 /Service/ 보안정책 (2) 세부보안정책 ( 게이트웨이 ) 1 FTP Gateway FTP PORT mode 사용자를위한필수 setting 2 HTTP Gateway 유해정보 DB 를통한유해정보차단 (3) 기본환경설정 (Setup) 1 시스템파일설정 (Setup/ 시스템설정 / 시스템파일 ) /opt/secureworks/3.0/bin /etc/passwd /etc/shadow /etc/inetd.conf /etc/hosts 2 바이러스및유해정보 DB 자동 Update 설정 (Setup/ 일반설정 / 업데이트 ) License 가발급되어야작동가능 바이러스 DB : SMTP 게이트웨이동작시이용 유해정보 DB : HTTP 게이트웨이동작시이용 16
SECUREWORKS secureworks 기본설치절차 7-3. SecureWorks 보안정책설정예 (1) 기본보안정책 내부사용자, 웹서버등록 (Object/ 네트웍 / 네트웍그룹 ) 17
Secureworks 기본설치절차 SECUEWORKS 18
SECUREWORKS secureworks 기본설치절차 보안정책설정 19
Secureworks 기본설치절차 SECUEWORKS 주소변환설정 20
SECUREWORKS secureworks 기본설치절차 (2) 세부보안정책 FTP, HTTP 게이트웨이생성 21
Secureworks 기본설치절차 SECUEWORKS FTP 게이트웨이설정 22
SECUREWORKS secureworks 기본설치절차 HTTP 게이트웨이설정 23
Secureworks 기본설치절차 SECUEWORKS FTP, HTTP 게이트웨이설정완성 24
SECUREWORKS secureworks 기본설치절차 (3) 기본환경설정 시스템파일등록 25
Secureworks 기본설치절차 SECUEWORKS 바이러스및유해정보 DB 자동 Update 설정 26
SECUREWORKS secureworks 기본설치절차 7-4. SecureWorks 동작확인 1) SecureWorks process 확인 # ps -ef grep srv root 2652 1 0 18:41:08? 0:00 /opt/secureworks/3.0/bin/authsrv root 2654 2648 0 18:41:08? 0:01 /opt/secureworks/3.0/bin/logsrv root 2648 1 0 18:41:08? 0:01 /opt/secureworks/3.0/bin/logsrv root 2683 1 0 18:41:09? 0:47 /opt/secureworks/3.0/bin/adminsrv -i # 2) SecureWorks 패킷필터링 log 확인 # /opt/secureworks/3.0/bin/logmon a T SYSTEM TIME PROT SERVICE USER SOURCE DESTINATION MESSAGE - -------- -------- ---- -------- -------- --------------- --------------- -------- --------------------------------------- A hpfw 17:55:16 TCP PACKET unknown 192.168.20.254 192.168.2.10 DENY SPORT=52068 DPORT=9570 NIC=iprb1 IPLEN=44 TFLAG=2 RULE=Default A hpfw 17:55:24 TCP HTTP unknown 192.168.20.140 211.218.200.100 MTD=GET PROC=2 URL=/ispics CACHE=NO INPUT=138 OUTPUT=220 TIME=1 # /opt/secureworks/3.0/bin/logmon SecureWorks Realtime Log Monitor Usage: logmon [ -acnweh ] [host] -a : all log -e : error log -n notice log -w : warning log -c : account log -h : help 27
Secureworks 기본설치절차 SECUEWORKS 8. License 발급 첨부파일참조 9. SecureWorks 기본기능 9-1. SecureWorks 관리자계정 (admin) 패스워드변경 28
SECUREWORKS secureworks 기본설치절차 9-2. log 의종류및기능 1) ERROR 시스템동작이나 Process 상의동작이상, 무결성위반등의정보표시 로그레코드 : 붉은색 29
Secureworks 기본설치절차 SECUEWORKS 2) WARNING 보안관리프로그램의시작과종료, 시스템용량부족, 잘못된사용자명이나시스템명, 보안정책에위반되는행위등의정보표시 로그레코드 : 노란색 30
SECUREWORKS secureworks 기본설치절차 3) NOTICE SecureWorks 관리및설정작업, 로그데이터정리, 무결성검사, 백업, SMTP 게이트웨이설정시동작상태등의정보표시 로그레코드 : 초록색 31
Secureworks 기본설치절차 SECUEWORKS 4) ACCOUNT SecureWorks 를통과하는패킷의접근허용 / 거부 (ALLOW/DENY), 네트워크주소변환사용현황, 사용자인증성공 / 실패, 게이트웨이활동사항등의정보표시 로그레코드 : 파란색 32
SECUREWORKS secureworks 기본설치절차 9-3. 로그검색 1) 특정조건에따른 log 화면검색 2001/08/02 10:00~11:00 사이출발지가 192.168.20.xxx 로이고 ssl 서비스 접속 ( https/tcp : 443 ) 로그검색 33
Secureworks 기본설치절차 SECUEWORKS 34
SECUREWORKS secureworks 기본설치절차 2) 위조건에따른 log 파일검색 # ls -al /tmp/logtest.log -rw-r----- 1 swadmin swadmin 2156 8 월 2 일 19:16 /tmp/logtest # 35
Secureworks 기본설치절차 SECUEWORKS 9-4. Filtering 과 NAT 세션상태보기 1) Filtering 세션상태보기 붉은색의가위모양아이콘을클릭하면해당세션이끊어진다. 36
SECUREWORKS secureworks 기본설치절차 2) 주소변환세션상태보기 37
Secureworks 기본설치절차 SECUEWORKS 9-5. 통계리포트 38
SECUREWORKS secureworks 기본설치절차 9-6. 로그관리 1) 로그생성여부설정 2) 로그저장설정 39
Secureworks 기본설치절차 SECUEWORKS 1) 로그출력시 Address DNS lookup 체크하면로그검색시 IP 주소가아닌도메인으로출력가능 검색속도가느려짐 2) 로그데이터정리 / 통계데이터정리 /opt/swgfs/bin/logs 디렉토리상의 90 일이상 (default) 된로그자동삭제 3) 세션데이터정리 FTP, TELNET gateway 에서저장된세션로그중 90 일이상된로그자동삭제 40
SECUREWORKS secureworks 기본설치절차 로그데이타 hpfw# cd /opt/secureworks/3.0/logs/hpfw/20010801 hpfw# ls -al 총 4102 drw-r----- 2 swadmin swadmin 512 8 월 1 일 10:37. drw-r----- 5 swadmin swadmin 512 8 월 2 일 00:00.. -rw-r----- 1 swadmin swadmin 297680 8 월 1 일 23:59 20010801_acct.idx -rw-r----- 1 swadmin swadmin 1748907 8 월 1 일 23:59 20010801_acct_00.log -rw-r----- 1 swadmin swadmin 48 8 월 1 일 17:19 20010801_error.idx -rw-r----- 1 swadmin swadmin 342 8 월 1 일 17:19 20010801_error_00.log -rw-r----- 1 swadmin swadmin 2496 8 월 1 일 19:00 20010801_note.idx -rw-r----- 1 swadmin swadmin 17958 8 월 1 일 19:00 20010801_note_00.log -rw-r----- 1 swadmin swadmin 128 8 월 1 일 18:41 20010801_warn.idx -rw-r----- 1 swadmin swadmin 722 8 월 1 일 18:41 20010801_warn_00.log 통계데이타 hpfw# cd /opt/secureworks/3.0/logs/statistics/20010801 hpfw# ls gw_services_hpfw.html gw_services_hpfw_http.html gw_services_hpfw_http_1.gif gw_services_hpfw_http_2.gif gw_services_hpfw_http_3.gif gw_services_hpfw_adminsrv.html pkt_services_hpfw_tcp_1.html pkt_services_hpfw_tcp_1_1.gif pkt_services_hpfw_tcp_1_2.gif pkt_services_hpfw_tcp_2.html pkt_services_hpfw_tcp_2_1.gif pkt_services_hpfw_tcp_2_2.gif gw_services_hpfw_adminsrv_1.gif pkt_services_hpfw_tcp_3.html gw_services_hpfw_adminsrv_2.gif pkt_services_hpfw_tcp_3_1.gif gw_services_hpfw_adminsrv_3.gif pkt_services_hpfw_tcp_3_2.gif log_summary_hpfw.html pkt_client_hpfw.html pkt_services_hpfw_tcp_4.html pkt_services_hpfw_tcp_4_1.gif 41
Secureworks 기본설치절차 SECUEWORKS 세션데이터 hpfw# cd /opt/secureworks/3.0/logs/session hpfw# ls -l 총 4 drwxr-x--- 4 swadmin other 512 8 월 7 일 16:54 FTP drwxr-x--- 3 swadmin swadmin 512 8 월 7 일 16:55 TELNET hpfw# cd /opt/secureworks/3.0/logs/session/ftp hpfw# ls -l 총 4 drwxr-x--- 2 swadmin other 512 8 월 2 일 15:38 20010802 drwxr-x--- 2 swadmin other 512 8 월 7 일 16:54 20010807 hpfw# ls /opt/secureworks/3.0/logs/session/telnet hpfw# ls -l 총 2 drwxr-x--- 2 swadmin other 512 8 월 7 일 16:55 20010807 hpfw# 42
SECUREWORKS secureworks 기본설치절차 9-7. backup 1) DAT 장치로 SecureWorks log backup 월, 화, 수, 목, 금, 토, 일 03 시에 /opt/secureworks/3.0/logs/ hostname / 날짜별 디렉토리를매일 backup 테잎에더이상저장공간이없으면되감겨자동으로 eject 됨. 43
Secureworks 기본설치절차 SECUEWORKS 2) 파일로 SecureWorks log backup 일요일 06 시에 /opt/secureworks/3.0/logs 디렉토리를 /backup/total 이라는 File 로 backup /backup/total 파일이존재해야하며, 소유자도 swadmin 으로바꿔줘야함. hpfw# touch /backup/total hpfw# ls l /backup/total -rw-r--r-- 1 root other 0 8 월 2 일 20:42 total hpfw# chown swadmin:swadmin /backup/total hpfw# ls -l /backup/total -rw-r--r-- 1 swadmin swadmin 0 8 월 2 일 20:42 total 3) 특정디렉토리 (ex : /var/adm) backup 사용자정의디렉토리를체크하고그밑에 /var/adm 디렉토리를표시 44
SECUREWORKS secureworks 기본설치절차 4) SecureWorks 보안규칙설정관련환경저장 시스템플로피디스크 : 환경설정을방화벽시스템의플로피디스크로저장 HTTP 전송 : 환경설정을웹세션을통해원격시스템에저장 45
Secureworks 기본설치절차 SECUEWORKS 9-8. SecureWorks 및시스템정보표시 46
SECUREWORKS secureworks 기본설치절차 9-9. SecureWorks 원격관리 SecureWorks 보안관리화면을설치업체 (210.118.100.20) 에서접속할수있게 setting Object/ 네트웍 / 네트웍그룹에설치업체등록후보안관리접근그룹을설치업체로선택 47
Secureworks 기본설치절차 SECUEWORKS 사용할수있는디스크량보족경고 : Setup/ 시스템설정의디스크정보 ( 명령창에서 # df -k) 에서 /opt 영역의 % 가 95% 가되면관리자알람주소로경고메시지가발송되고, 97% 가되면 SecureWorks 서비스가정지됨 보안관리다중접속허용 : 여러명이동시에 SecureWorks 보안관리화면을보면서작업가능거부 : 보안관리화면을한곳에서만볼수있음 (Console 이최우선 ) 9-10. 원격지에서 F/W Server 로 telnet 접속방법 1) F/W Server 의 telnet 서비스허용 hpfw# vi /etc/inetd.conf inetd.conf 파일수정 ~ ~ # Ftp and telnet are standard Internet services. # #ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd # ~ ~ hqfw# hpfw# ps -ef grep inetd root 147 1 0 09:45:50? 0:00 /usr/sbin/inetd -s hpfw# kill -HUP 147 inetd 프로세서 hang-up hpfw# 48
SECUREWORKS secureworks 기본설치절차 hpfw# vi /etc/default/login login 파일수정 ~ ~ # If CONSOLE is set, root can only login on that device. # Comment this line out to allow remote login by root. # #CONSOLE=/dev/console ~ ~ hpfw# hpfw# telnet 127.0.0.1 방화벽을 telnet 접속테스트 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. SunOS 5.7 login: root Password: Last login: Thu Feb 22 16:16:35 from 192.168.2.196 Sun Microsystems Inc. SunOS 5.7 Generic October 1998 You have mail. # 49
Secureworks 기본설치절차 SECUEWORKS 2) Service/ 보안정책규칙추가 설치업체 (210.118.100.20) 에서 F/W 서버 (FW-EXT) 까지 telnet/tcp 허용 50
SECUREWORKS secureworks 기본설치절차 9-10. SecureWorks 재구동및 F/W 서버 reboot 및 poweroff 1) SecrueWorks 재구동 SecureWorks 정지 # /etc/rc2.d/s79secureworks stop # /opt/secureworks/3.0/bin/stop SecureWorks 시작 # /etc/rc2.d/s79secureworks start # /opt/secureworks/3.0/bin/start SecureWorks 정지 & 시작 # /etc/rc2.d/s79secureworks stop;/etc/rc2.d/s79secureworks start # /opt/secureworks/3.0/bin/restart 3) F/W 서버 reboot # sync;sync;sync;reboot 4) F/W 서버전원 off # sync;sync;sync;poweroff ~ ~ syncing file systems.. Press any key continue.. 위의메시지가나올때전원스위치 off 51
Secureworks 기본설치절차 SECUEWORKS II. 네트워크확장구성에따른 SecureWorks Setting 11-1. 서비스존메일서버추가 (SMTP G/W) 서비스존에 Web Server & DNS Server (211.83.50.1) 와 Mail Server(211.83.50.2) 가 있는경우기본보안정책 211.83.50.126/26 Iprb0 211.83.50.65/26 Web & DNS Server 211.83.50.1/26 Iprb0 192.168.20.10/24 Iprb2 211.83.50.62/26 Mail Server 211.83.50.2/26 내부망 192.168.20.0/24 PC Server 52
SECUREWORKS secureworks 기본설치절차 Object/ 네트웍 / 네트웍그룹에 Mail Server 등록 Object/ 서비스 / 서비스그룹에서서비스존서비스, 웹서버서비스등록 53
Secureworks 기본설치절차 SECUEWORKS Service/ 보안정책 / 보안정책에서보안정책추가 54
SECUREWORKS secureworks 기본설치절차 SMTP 게이트웨이추가및보안정책설정 55
Secureworks 기본설치절차 SECUEWORKS 1) 모든메일을허용하면서바이러스검사설정 2) SMTP gateway 통한메일 Relay 방지설정 56
SECUREWORKS secureworks 기본설치절차 3) 특정도메인 (ex:yahoo.co.kr) 메일거부설정 57
Secureworks 기본설치절차 SECUEWORKS 11-2. 세부보안정책 (TIME, SERVICE 객체, HTTP G/W) 1) 특정 IP (Web 금지 : 192.168.20.15 ~ 192.168.20.20 ) 만점심시간 때 ( 점심시간 : 12:00 ~ 13:00) 증권사이트접속허용. 그외의모든 내부사용자는증권사이트접속금지설정 Object/ 네트웍 / 네트웍그룹에증권허용그룹, 증권사이트객체등록 58
SECUREWORKS secureworks 기본설치절차 Object/ 시간객체에점심시간객체등록 59
Secureworks 기본설치절차 SECUEWORKS Service/ 보안정책 / 보안정책추가 2) 특정 URL(Uniform Resource Locator) 의접속, URN(Uniform Resource Name) 의특정패턴을금지, 특정파일포맷형태금지 *** http://dir.shinbiro.com/looksmartsearch.jsp?querystring=sex ---- URL ---- ---- URN ---- --------- URI(Uniform Resource Identifier) ---------- www.hangame.co.kr 접속금지 60
SECUREWORKS secureworks 기본설치절차 URN 패턴에 sex or adult or xx 란단어가들어가면금지 그림형태중확장자가 jpeg 인그림금지 61
Secureworks 기본설치절차 SECUEWORKS 11-3. 서비스서버사설 ( 보안정책, 주소변환 ) Web Server 가사설 IP 인경우보안정책 211.83.50.126/25 Iprb0 211.83.50.65/25 Iprb2 192.168.2.194/24 Iprb1 192.168.1.254/24 Web Server 192.168.1.1/24 내부망 192.168.2.0/24 PC Server 62
SECUREWORKS secureworks 기본설치절차 Object/ 네트웩 / 네트웍그룹에웝서버에대한객체등록 Service/ 보안정책설정 63
Secureworks 기본설치절차 SECUEWORKS Service/ 주소변환에 REVERSE NAT 규칙작성 64
SECUREWORKS secureworks 기본설치절차 11-3. 실제네트워크구성이해 211.83.50.126/25 Iprb0 211.83.50.65/25 Web server 192.168.1.1/24 Iprb1 192.168.20.254/24 Iprb2 192.168.1.254/24 CS Server 192.168.1.100/24 DB Server 192.168.20.1/24 학생그룹 192.168.20.129 ~ 254 교사그룹 192.168.20.1 ~ 126 65
Secureworks 기본설치절차 SECUEWORKS 66