Astaro 보안장비

안녕하세요. 오늘은 Astaro 보안장비에 대해 알아보도록 하겠습니다.

 

Astaro

네트워크보안장비 업체

 국내.: 퓨처시스템, 원스테크넷, 안랩, 인포섹, 어울림정보통신, 

  넥스지, 시큐리원, 이글루시큐리티 등

 국내외10대 : 포티넷, 소닉월, 주니퍼, 체크포인트, 위치가드

   시스코, 소포스 아스타로, 시큐아이닷컴, 사이버롬, 바라쿠다

 

 

Astaro  : www.astaro.com  -> sophos.com(영국)

 최신은 Sophos Astaro V9RK.

 

 : IPS, Fw, VPN, , email virus, spam....등 기능

 

 Astaro Security Gateway => ASG V8

 

 

secureworks : OS- solaris // secureworks를 설치

 

Astaro는 바로 iso 설치가능(Linux 커널)

 

 

1. 설치하기

 1) vmwere에 새로운 가상 머신 생성하기

가상머신이름 : ASTARO

OS: linux (kennel 2.6)

        ram:512, 

HDD: 10G

네트워크카드 : vmnet1 (192.168.10.0)

 

 2) iso 파일로 부팅하여 설치하기

  파일위치:웹공유\share\2012 bitec 보안솔루션\5_astaro\

  "asg-8.003-12.2.iso" 파일을 가상PC cd-rom으로 연결

 

 3) step by step으로 설치.

   interface가 하나만 있는경우 warring이 날수있음

   IP주소는 192.168.10.254/24 (게이트웨이는생략)

 

 4) 설치후 재부팅 -> root password 재설정

 

 

2. 관리자PC로 ASTARO ASG V8에 접속하자.

 1) WinXP vmware 이미지를 불러오기(기존이미지여도 됨)

 2) 웹브라우저를 ms외 firefox로 설치하자

   (사용하다보면 오류남)

 3) 웹브라우저주소란에 http://192.168.10.254:444 로 접근

  인증서 예외정척 추가함

 4) ASG V8 시스템 설정

hostname : asg.ne2.kr (예)asg.자기도메인명

회사명 : ne2.kr

admin관리자비밀번호 설정(입력2번) 예 qwer1234

admin관리자 이메일주소설정(오류등 email수신발송함)

설정

 5) 화면을 새로 불러옴. 로그인화면이 뜸

 6) admin (설정한 비밀번호)로 로그인함

 

3. 실습랩에 맞도록 interface 3개를 설정하자.

 단, vmware network editor도 아래와 같이 수정해야함.

 가상머진 ASG에 랜어댑터를 2개 추가.

 

  인터페이스  별명 ip address

eth0 (vmnet1) Internal(기존) 192.168.10.254/24

eth1 (vmnet2) DMZ (추가) 192.168.20.254/24

eth2 (vmnet8) External (추가) 172.16.16.254/24

 

 

 

Astaro

Eth0

Network int 3개 vmnet1, 2  , nat.

https://192.168.10.200:4444

astaro의 ip, 포트 4444로 브라우저에서 접근, 안되면 vmware의 network 설정을 다 확인 해준다.host only로 되어있는지 vmnet1로 되어있는지

처음엔 192.168.10.0 대로 만들어서(vmnet1을) 테스트 한다. 테스트는 로컬의 윈도우 7의 크롬으로 하면 좋다. 들어가서 계정만들고 eth0의 ip를 200.10.10.200 gw는 200.10.10.2

Eth2도 게이트웨이 설정, eth1은 게이트웨이 설정하지 않는다.

토폴로지 보고 이해할 것.

 

interface setting

routing 설정

NAT 설정(사설망 연결시)

Packet filtering

사설 http 서버 DNAT

BT5로 공격

IDS 작동(BT5 공격)

WEB security : web proxy

URL filter : 네이트온 차단

VPN

 

 

 

Interface 설정

Astaro eth0 : vmnet1 200.10.10.200/24

Internal

Astaro eth1 : vmnet2 200.10.11.200/24

Servers

        Astaro eth2 : vmnet8 200.10.12.200/24

        External

        Default gw 활성화. 200.10.12.2

모두 활성화 할 것.

 

Routing

Astaro외 라우터가 있는 경우 static 이나 dynamic routing

Protocol 작동이 필요함.

Astaro만 있는 경우, default route만 추가되면 됨.

0.0.0.0/0 -> 200.10.12.2(vmnet8)

    3. packet filtering 패킷의 흐름을 허용해야함

        Internal -> external (service: http, https, DNS,icmp)

        Internal -> Servers (service : http, https, DNS, SMTP, POP3, Telnet, SSH)

        Server -> External ( service : DNS, Http, Https, Ftp,icmp)

 

 

         External -> server (service : DNS, http, https, ftp, icmp, pop3, SMTP 등)

외부에서 내부로 들어올일은 없으므로 추가X

단, service 가 여러가지이므로 group으로 묶어서 하나의 정책으로 적용하면 관리하기가 쉬움.

 

-a network security 에서 packet filter에서 패킷의 흐름을 허용함

 

서비스할 프로토콜을 그룹으로 묶는다.

 

NAT 설정

Internal 이 사설망인 경우, 공인망 통신을 위해 NAT 설정을 한다.

Internal 사용자가 인터넷을 하기 위해.

Internal200.10.10.0/25 (사설이라는 가정하에 실습)

 

Internal N ---ASTARO(External Interface)--a

                                  NAT 설정(PAT가 될 것)

사설주소가 Astaro External Interface 주소로만 변환가능

 

DNAT 설정

내부에 서버가 사설주소를 가지고 있는 경우, 가능.

단, 서버 로드밸런스 구성시 off

 

 

8. Web Security – http proxy configuration

ASG를 web proxy 서버로 작동가능.

웹페이지를 저장하는 web caching 서버기능

Proxy 서버 사용자들의 웹트래픽을 검사해서 바이러스와 스파이웨어 등을 검출하는 필터기능을 포함함. 보통은 내부망에서 프록시 허용. 인증방식 트랜스패런트(투명?) , 베이직유저 인증(사용자 인증을 해야함),

스탠다드 모드 –외부서버에서 인터넷옵션 랜설정 프록시 설정.

 

                                            Web server -----ASTARO ----- Client

 

                                           

7.IPS 작동

Itrustion Protection System

-signature –based IPS Rulest 을 이용하여 공격감지

네트워크에 도달하기 전에 Traffic과 공격을 자동으로 분석

-공격 패턴은 자동업데이트를 통해서 갱신

6000개 이상의 공격 패턴을 감지 -> management –up2date- Overview-pattern

 

-IPS를 비활성화 해서 BT5에서 Servers나 Internal로 공격

-IPS를 활성화해서 BT5에서 Servers나 Internal로 공격

 

로그보기 logging-view log files – IPS live log

패킷량 network security 주소별 패킷량 확인

방화벽 # tail -10 /var/log/ips.log

 

 

Terminate connection ?

 

Malware – 툴 감지?

Anti portscan : 하나의 주소를 가진 packet이 300ms 동안에 21 point를 초과하면 Port scan으로 감지.

Point 책정 : 1024 < port : 3 point

          1024>=port 를 검색하게 되면은 1point를 주는 것.

Ex) 11,12,13,2000 port를 스캔했다.-> 10 point 이런식으로 21point를 넘으면 port scan으로 감지

ASTARO

 

1. interface 설정

2. Routing 설정

3. NAT 설정(사설망 연결시)

4. Packet filtering

5. 사설 http 서버 DNAT

6. BT5로 공격

7. IDS 작동 (BT5공격)

8. WEB Security : web proxy

9. URL filter : 네이트온 차단

10. VPN

 

 

관리자 PC : 200.10.10.128/24 (vmnet1)

        gw 200.10.10.200

 관리자pc winxp에서 에러시

        웹브라우저를 변경하거나,

        물리적pc win7에서 하면 됨.

  단, vmnet1을 제외한 vmnet2,8은 비활성화한후 실습.

 

1. interface 설정

  astaro eth0 : vmnet 1  200.10.10.200/24

        Internal

  astaro eth1 : vmnet 2  200.10.11.200/24

        Servers

  astaro eth2 : vmnet 8  200.10.12.200/24

        External

        default gw 활성화. 200.10.12.2

   모두 활성화할것.

 

2. Routing

 astaro외 라우터가 있는경우, static이나 dynamic routing

 protocol 작동이 필요함.

 astaro만 있는경우, default route만 추가되면 됨.

 0.0.0.0/0 -> 200.10.12.2 (vmnet8)

 

3. packet filtering   패킷의 흐름을 허용해야함.

  Internal -> External (service: http, https, dns, icmp)

  Internal -> Servers  (service: http, https, dns, smtp, pop3, telnet, ssh)

  Server -> External   (service: dns, http, https, ftp, icmp)

  External -> Servers (service: dns, http, https, ftp, icmp)

  단, service가 여러가지임으로 group으로 묶어서 하나의 정책으로

 적용하면 관리하기가 쉬움.

 

 각 서비스가 되는지 확인.

 

 

4. NAT 설정

Internal이 사설망인경우, 공인망 통신을 위해 NAT설정을 한다.

Internal 사용자가 인터넷을 하기위해.

        Internal 200.10.10.0/24 (사설이라는 가정하에 실습)

 

        [Internal N]---ASTARO(External INT)---->

                     NAT설정(PAT)

        200.10.10.0/24     200.10.12.200

 

        사설주소가 Astaro External Interface주소로만 변환가능

 

DNAT설정

내부에 서버가 사설주소를 가지고 있는 경우, 가능.

단, 서버 로드밸런스 구성시 off

 

 

 

Web security - http proxy coniguration

 ASG를 web proxy 서버로 작동가능.

  -웹페이지를 저장하는 web caching 서버기능

  -proxy 서버 사용자들의 웹트래픽을 검사해서 바이러스와

   스파이웨어 등을 검출하는 필터기능을 포함함.

 

        web Server-----ASTARO------Client

 

내부에서 프록시 서버 사용할 때

astaro에서 web security 에서 프록시 설정 ,->  allowed network에 허용할 네트워크 추가, internal(network),  operation mode는standard로 해보자.

apply하고  open live log 켜놓은 상태에서 internal인 xp에서 인터넷 옵션->연결->랜설정에서 프록시 서버 사용체크 -> 내부ip gw 200.10.10.200

을 프록시 서버로 사용할 것이며 포트는 8080 포트를 사용할 것이다. 확인 눌러 활성화 시킨다.

이제 방화벽 astaro를 통해 나가보자.

Server(win server 2003)로 접속을 하는데 이때 서버에서 web 서비스나, DNS 서비스를 하고 있어야 접속이 가능할 것이다.

접속확인된 그림

 

 

 

7. IPS 작동.

 Itrustion Protection System

  - signature-based IPS Rulest을 이용하여 공격감지

  - Network에 도달하기 전에 Traffic과 공격을 자동으로 분석

  - 공격 패턴은 자동업데이트를 통해서 갱신

  - 6000개 이상의 공격 패턴을 감지.

        -> management-Up2Date- Overview-patten

 

-IPS를 비활성화 해서 BT5에서 Servers나 Internal로 공격

-IPS를 활성화해서 BT5에서 Servers나 Internal로 공격

 

로그보기 Logging-view log files - IPS live log

패킷량 Network security 주소별 패킷량 확인

방화벽#tail -10 /var/log/ips.log

 

어디로 가는 트래픽에 대하여 IPS정책을 세울지.

로컬네트워크에 추가를 하게되면 IPS정책에 의하여

 해당 network는 체크된다.

한번은 패킷필터에 의하여 하위계층이 한번 필터링되고

상위계층은 IPS에 의하여 한번 더 체크.

그러나 부하가 많이 발생하기 때문에 방화벽장비 따로

IPS 장비 따로 가짐. 훨씬 처리 속도가 빠르기 때문에 효과적

 

Ansti-portscan : 하나의 주소를 가진 Packet이 300ms동안에

 21point를 초과하면 port scan으로 감지.

 point 책정:

        1024<port  : 3point

        1024>=port : 1point

 ex) 11,12,13,2000 port scan -> 10point

 

 

감사합니다.