인프라 보안 (기업 보안 분야 침입탐지의 실무적 접근)

인프라 보안 (기업 보안 분야 침입탐지의 실무적 접근)

$31.86
Description
기업에서 사용하는 각종 인프라 보안 솔루션의 원리와 활용법을 익히고 가상환경에 실제 구축 테스트를 해볼 수 있는 지침서!
이 책은 실제 기업환경과 거의 유사한 인프라를 직접 구축해서 실제 보안 아키텍처를 구현할 때 현업에서 필요한 지식들을 설명하고 있으며, 인프라 레벨에서 침입탐지 방법과 로그 분석을 위한 실무적 가이드를 제공한다. 방화벽과 IPS, IDS, VPN, 유해차단시스템 등의 각종 오픈소스(pfSense, Snort, Security Onion, OpenVPN, SquidGuard)를 통해 여러 보안 시스템을 직접 구축, 운영하는 방법을 제공함으로써 보안 솔루션과 보안 정책 사이에서 발생하는 현실적 대응 방안을 제시한다. 또한 시스템 구축 후 운영 단계에서 발생하는 크리티컬한 상황에 대한 해결 방법과, 해킹 탐지를 위해 각 보안시스템의 성능과 활용도를 최대한으로 끌어올리는 여러 가지 실무 노하우를 담고 있다. 이 책은 이러한 모든 해킹/보안/설계 테스트를 해볼 수 있는 랩 환경 구축을 통해 인프라의 전반적인 보안 시스템 설계 방법을 제시하며 실제 기업 인프라 환경에서 바로 활용할 수 있는 가이드를 제시한다.

★ 대상 독자 ★

◎ IT보안 엔지니어, 보안 아키텍처 엔지니어, 침해사고대응 분석가, 기업 보안담당자
◎ 기업에서 사용하는 각종 보안 솔루션의 원리와 활용법을 알고 싶은 분
◎ 통합보안솔루션(UTM)을 직접 구축해 보고 싶으신 분이나 테스트 랩 환경을 가지고 싶은 분
◎ 방화벽 디자인의 구조와 원리를 이해하고 망 분리를 해보고 싶은 분
◎ 유해차단시스템을 통해 악성 웹 사이트의 접근을 차단하고 싶은 분
◎ 침입탐지시스템(IDS)을 구축해 룰 튜닝/작성 방법을 익히고 제로데이 익스플로잇을 탐지해보고 싶은 분
◎ 윈도우 이벤트 로그나 리눅스 시스로그를 분석하는 방법을 익히고 싶은 분
◎ 시스몬(Sysmon)을 이용해 침입탐지를 빅데이터 분석 관점에서 활용하고 싶은 분
◎ 로그통합시스템을 통해 악성행위의 상관분석, 교차분석의 원리를 익히고 싶은 분
◎ 각종 오픈소스로 보안솔루션을 구축해 보고 싶은 분
◎ 빅데이터 도구인 스플렁크를 통해 보안 로그 시각화를 해보고 싶은 분
저자

강병탁

저자강병탁
현재고려대학교정보보호대학원산학협력중점교수로보안관련실무과목을강의하고있으며,AI.Spera의대표이사로머신러닝과빅데이터를이용한해킹징후탐지프로젝트를진행하고있다.이전에는네오플인프라기술실실장으로시스템/보안/DB/인프라개발등인프라기술을총괄했으며,넥슨아메리카에서는InfoSecTeam팀장으로미국지사의보안조직을설립,보안프로세스구축/침입탐지/컴플라이언스업무를해왔고,넥슨코리아에서는게임보안팀을설립,팀장으로라이브게임의보안성향상과침해대응업무를해왔다.월간마소에서해킹/보안을주제로약3년간테크니컬라이터로활동했고,각종대학교와기관등에서해킹/보안을주제로한정기/특별강의를다년간진행했다.저서로는《리버스엔지니어링바이블》(위키북스,2012)이있다.

목차

[01부]침입탐지를위한네트워크와서버디자인

▣01장:OSI7계층과보안솔루션
01보안관점에서만바라본OSI7계층이야기
___L2계층
___L3계층
___L4계층
___L7계층
02각계층별보안솔루션
___Anti-DDoS
___방화벽(Firewall)
___IPS/IDS
___웹방화벽,웹프락시
03방화벽디자인
___방화벽은보안팀의작업인가,네트워크팀의작업인가?
___패킷필터링과1세대방화벽의한계
___2세대방화벽의스테이트풀인스펙션
___L7까지커버하는3세대방화벽
___방화벽앞뒤구간의위치별역할
04NAT에서발생하는보안취약점
___DNAT
___SNAT
___보안취약점예시
05네트워크환경에따라달라지는방화벽디자인
06방화벽이죽을때를위한대비-HA
___액티브스탠바이.한대는온라인,한대는대기
___L4스위치를이용한액티브액티브
07바이패스스위치,L2Fallback
08가용성의끝판왕,풀메시
09방화벽룰관리
10정리

▣02장:IPS와웹방화벽
01IPS가제공하는기능
02L7계층의공격을방어하자
03디도스방어
04트래픽학습
05IPS역할과위치선정
06IPS위치디자인
___서버를통해발생하는위협
___직원들의사내망을통해발생하는위협
___디도스공격으로부터발생하는위협
07웹으로한정한보호구간과웹방화벽의위치
08IPS로직원을보호하는디자인
09IPS의가상센서
10보안시스템으로발생할수있는성능저하에대한고민
11보안위협을먼저정의하자

▣03장:IDS위치선정과센서디자인
01패턴매칭기반의IDS
02트래픽을복사하자,스팬(SPAN)/포트미러링
03패킷유실을막기위한네트워크탭(TAP)
04탐지된IP주소가보이지않는다.NAT에서발생하는문제
05IDS의기본적인네트워크위치
06센서의설치로네트워크시야를넓히자
07모니터링이필요한자산이무엇인지정확히파악하자
08정리

▣04장:VPN의실무적인접근과이해
01공유기를통한가상사설망의이해
02VPN을통한차단사이트우회
03VPN을통한보안강화와암호화
04VPN의보안취약점
05VPN의종류
___PPTP
___L2TP
___IPSec
___OpenVPN
___SSL-VPN
___SSTP

[02부]UTM활용:오픈소스통합보안시스템구축

▣05장:오픈소스방화벽pfSense설치와랩네트워크구성
01UTM설치경험에서얻는의의
02UTM랩환경을위한준비물
___하드웨어
___소프트웨어
03VMwarePlayer에서가동되는ESXi
04오픈소스UTM-pfSense
05랩환경의뿌리,ESXi설치
06랩전용네트워크에서NIC을3개설치하는이유
07가상스위치구성
08pfSense설치
09방화벽의외부네트워크와내부네트워크구성
10pfSense의초기세팅구성

▣06장:VLAN구성을통한망분리
01VLAN
02웹서버대역의VLAN생성
03오피스대역의VLAN생성
04내부서버대역의VLAN생성
05DB서버대역의VLAN생성
06ACL반영-접근제어
07기본ACL반영
08Aliases등록을활용한효율적인룰작성
09VLAN20에서다른VLAN으로의접속차단
10VLAN30에서다른VLAN으로의접속차단
11VLAN40에서다른VLAN으로의접속차단
12서비스나관리에필요한포트/IP허용
13사무실에서접근해야하는영역
14방화벽룰관리
15NAT설정
16랩환경에서외부에전체포트를노출시켜방화벽기능을제대로사용하는방법

▣07장:웹필터,유해차단시스템스퀴드구축
01보안적인관점에서프락시서버를쓰는목적
02pfSense에포함된스퀴드프락시설치
03스퀴드프락시에서의TransparentMode
04유해차단시스템인스퀴드가드의적용
05필요하지않은URL접속차단
06정리

▣08장:인라인IPS구축
01스노트IPS설치
02보호할IPS인터페이스선택
03IPS룰다운로드
04개별인터페이스설정
05IPS탐지테스트
06유연한룰정책과차단/탐지에서의예외처리
07모니터링후차단으로정책변환
08커스텀패턴추가

▣09장:VPN을통한외부에서의접근제어
01OpenVPN의기본설정
02VPN에이전트배포와설정
03ACL반영-VPN의문제점
04정리

[03부]IDS구축과운영:오픈소스IDS보안양파

▣10장:시큐리티어니언설치
01패킷모니터링을위한네트워크설정
02보안양파설치
03보안양파의주요포트개방

▣11장:IDS의튜닝과주요명령어
01보안양파의최초튜닝
02로그보관주기와용량튜닝
03전체패킷수집
04불필요한트래픽걸러내기
05IDS상태체크
06이메일알럿받기

▣12장:룰관리와제로데이익스플로잇대응
01스노트룰과수리카타룰의기본문법
02case1)“ETPOLICYDynDNSCheckIpExternalIPAddressServerResponse”
02case2)“ETPOLICYDropboxDNSLookup-PossibleOffsiteileFBackupinUse”
03커스텀패턴추가하기
___스레시홀드작업을통한알럿최소화
04불필요한룰제거2
05제로데이익스플로잇대응
06룰테스트를위한패킷임의생성
___TCPReplay
___scapy
07룰튜닝과성능향상의전제조건

▣13장:브로와Xplico를이용한네트워크포렌식
01엘사를이용한브로데이터검색
02브로를이용한DNS쿼리추적
03네트워크상에떠다니는파일추출
04브로를이용한FTP사용추적
05Bro를이용한MySQL사용추적
06브로로그의위치
07브로를이용해다양한파일추출하기
08브로에서SMB트래픽추적연동하기
09악성코드처럼보이는HTTP트래픽추적
10의심스러운PE포맷파일다운로드알람추적
11Xplico를활용한네트워크포렌식

[04부]ESM과보안로그의중앙집중화

▣14장:ESM을이용한보안로그의중앙집중화
01ESM의의의와수집하려는시스템의로그
02스플렁크설치
03방화벽로그와VPN로그를스플렁크로포워딩하기
04방화벽로그를해석하는법
05VPN로그
06IPS로그
07반야드2
08스퀴드가드로그
09IDS로그전송
10유니버설포워더를이용한로그전송
11리눅스로그수집을위한포워더설치
12윈도우이벤트로그수집을위한포워더설치
13스플렁크의기본검색사용법

▣15장:윈도우이벤트로그와리눅스로그의분석
01이벤트로그포맷의기초
___응용프로그램로그
___보안로그
___시스템로그
02이벤트로그의포맷
03이벤트로그활성화튜닝
04계정관리감사와관련된로그분석
05로그인관련감사로그분석
06로그오프/로그인실패로그분석
07프로세스추적로그분석
08정책변경로그분석
09불필요한로그필터링
10리눅스로그분석
11커맨드로깅툴스누피설치

▣16장:윈도우로그분석의최강자시스몬
01시스몬설치
02시스몬의로그포맷
03스플렁크와시스몬의연동
04시스몬필터를이용한로그다이어트

▣17장:시각화와교차분석을통한탐지능력고도화
01스플렁크대시보드작성
02스플렁크를이용한데이터추출과파싱
03스플렁크로그래프한방에그리기
04스플렁크고급검색을활용한악성코드svchost.exe탐지
05의심스러운곳으로접속하는프로세스탐지
06연관분석시나리오만들기
071차원적로그도제대로분석하지않는상황
08연관분석의개념과원리