•NMS (Network Management System, 네트워크 관리시스템)
‣ 기관이 정한 요구사항을 만족을 위해 네트워크 장비를 관리하는 시스템
‣ 네트워크 장비에 대해 구성 관리, 장애 관리, 성능 관리, 보안 관리, 계정 관리 기능을 가짐
‣ NMS 운영을 위해 사용하는 프로토콜 : SNMP, CMIP, RMON 등
| 구성 관리 | Configuration management 네트워크 관련 장비들의 구성현황 파악 및 설정관리 |
| 장애 관리 | Fault management 장애가 발생했을 때 이를 즉각 대응하여 장애를 최소화 할 수 있도록 하는 사후 관리 주력 (사전관리보다) |
| 성능 관리 | Performance management 모니터링과 제어를 통해 네트워크가 효율적으로 운영되도록 관리 속도, 트래픽, 처리량, 응답시간 등의 측정 가능한 기준으로 성능을 나타냄 |
| 보안 관리 | Security management 네트워크의 접근 통제(비인가된 접근으로 부터 보호) 방화벽과 같은 침입제어시스템들로 관리 |
| 계정 관리 | Accounting management 과금을 통해 네트워크 자원에 대한 사용자 접근통제 계정별 네트워크 이용량에 따른 요구 부하 기능 |
•NMS 장비 성능 관리 항목
‣ 관리대상 장비의 CPU와 메모리에 대한 사용률(평균값, 최댓값) 측정, 분석
‣ 관리대상 장비성능을 장비별, 지역별, 기간별(시간별, 일별, 주간별, 월별)로 측정, 분석
‣ 장비 성능에 대한 임계치 관리 방식에 따른 정보체계 구축 및 관리
‣ IPS, IDS, F/W 장비의 S/W적인 문제(성능)는 배제
※ 장비자체의 성능 측정으로 제한
•NMS & EMS
‣ Element Management System(EMS)
⇒ 장비 관리 시스템 또는 통신망 장비 관리 시스템
⇒ 통신망 장비를 네트워크를 통해 감사 및 제어를 할 수 있는 시스템
⇒ 주로 동일 기종의 장비 관리에 주안점을 두고 있음
⇒ EMS는 해당 서브 네트워크를 관리
상위계층인 NMS(Network Management System) 으로부터 요구를 수행
관리대상인 NE(Network Element) 들을 제어
※ NMS (EMS 전체) : 기관이 정한 요구사항 만족을 위해 네트워크 장비를 관리하는 시스템
EMS (각 단위별로) : 단위장비 집합을 관리하는 시스템
•SMS (Server Management System, 서버 관리시스템)
‣ 이기종 다양한 서버들의 성능/장애 통합 감시 및 조치
| 서버 성능 종합 모니터링 | 사용자가 변경 가능한 서버 종합 요약 정보 제공 지역별/그룹별/업무별 서버 운영상태 종합 모니터링 CPU, 메모리, 디스크 사용률, 프로세스, 네트워크 트래픽, 디스크 I/O 등의 성능을 실시간으로 감시 |
| 서버 성능 데이터 분석과 예측 | 다양한 관점의 성능 자원에 대한 실시간 흐름 상호 비교 분석 기능 (CPU, Memory, Disk, Disk I/O, Process, Session 등) 성능 항목 간 관계성 확인 및 분석 정보 제공 수집 성능 정보에 대한 최소, 최대, 평균값에 대한 이력관리 기능 제공 |
| 과부하 프로세스 감시와 제어 | 서버에 운영 중인 모든 프로세스 리스트 모니터링 프로세스 종료 및 구동 우선순위 변경 기능 서비스 프로세스의 동작 상태/개수, 사용 서비스 포트 관리 기능 중요 프로세스에 대한 시작, 중지 스크립트 기능 |
| 어플리케이션 로그와 서비스 포트 감시 | 어플리케이션 로그 및 서비스 포트를 이용한 장애 여부 확인 기능 장애 사항에 대한 이력화 및 분석 자료 활용 그룹, 이벤트 등급, 필터링 로그 그룹별 로그 발생 현황 정보 제공 |
| 비인가 사용자 차단과 통제 | 서버 별 접속 사용자, 패스워드 변경, 불법사용자 현황 등 강화된 서버 보안관리 기능 접근 권한 및 패스워드 정책을 통해 불법사용자에 의한 시스템 접근 및 정보 유출을 방지 |
•EMS(Enterprise Security Management)
‣ 통합보안 관제 시스템 ( NMS + SMS )
⇒ 기업 보안관리 시스템(통합보안 관리 시스템, 전사적 보안관리 시스템)
⇒ 다양한 보안 솔루션을 하나로 모은 통합 보안 관리시스템
⇒ 다양한 보안 장비에서 발생하는 로그, 보안 이벤트를 통합적으로 수집, 관리, 분석, 통보 대응 및 보안 정책을 관리
‣ ESM 주요 기능 2가지
⇒ 서로 다른 기종의 보안 장비들을 통합 관리 기능
⇒ 네트워크 자원 현황을 모니터링하는 보안 모니터링 기능
•SIEM (Security Information & Event Management)
‣ ESM의 진화된 형태 (ESM과 기능상 차이점은 없음)
| EMS | SIEM | |
| 수집 • 분석 | Event 위주의 단시간(최대1일) 위협분석 RDBMS 기반 상관분석 및 리포트, 중앙 처리 구조 초당 3초건 내외 수집/분석 포함 |
빅데이터 수준의 장기간(수개월) 심층분석 Indexing, MapReduce 등 빅데이타 처리 기반 상관분석 및 리포트 초당 3만~5만건 이상 수집/분석 RDBMS 기반의 처리 속도 지연 극복 |
| 하드웨어 | 고가의 유닉스 서버 스템 | 저가의 리눅스 x86 시스템 |
•NTP(Network Time Protocol)
‣ 네트워크 장비들의 시간을 동일화 하기 위해서 Time Server와 장비들 간에 통신하는 프로토콜(UDP port #123)
‣ NTP Version
⇒ Version 1 : RFC 958 / - Version 2: RFC 1305
⇒ SNTP(Simple Network Time Protocol) : NTP version3이 적용된 NTP(버전 향상)
※ Straum : Authoritative Time Source로부터 NTP machine이 얼마나 떨어져 있는 Hop 수
•SNMP (Simple Network Management Protocol)
‣ IAB(Internet Activities Boaed)에서 개발한 Network 관리 프로토콜
‣ 네트워크의 중앙 집중화된 관리 목적이며 네트워크 관리 표준 프로토콜로 지정
‣ 초기에는 TCP/IP 네트워크를 관리하기 위해 설계
‣ 비 TCP/IP 장비를 포함한 어떤 형태의 네트워크 트래픽도 관리 가능하고 모니터링 가능
‣ 현재까지 버전 3까지 세 가지 버전이 만들어졌으며, 각 버전의 차이는 보안성
‣ SNMP 기능
⇒ 네트워크 구성 관리 - 네트워크 상의 호스트들이 어떠한 구조로 구성되었는지 확인 가능
⇒ 성능 관리 - 네트워크 사용량, 에러량, 처리속도, 응답 시간 등의 성능 분석에 필요한 통계 정보를 얻을 수 있음
⇒ 장비 관리 - 시스템 정보(CPU/Memory/Disk 사용량)를 얻을 수 있음
⇒ 보안 관리 - 정보의 제어 및 보호 기능
•SNMP Manager와 Agent 간의 통신
‣ Get Request : 관리 시스템이 특정 변수 값을 읽음
‣ Get Next Request : 관리 시스템이 이미 요청한 변수 다음의 변수 값을 요청
‣ Set Request : 관리 시스템이 특정 변수 값의 변경을 요청
‣ Get Response : Agent가 관리 시스템에게 해당 변수 값을 전송
‣ Trap : Agent의 특정 상황을 관리 시스템에게 알림
•SNMP 구성요소
‣ SNMP(Simple Network Management Protocol) : 전송 프로토콜
‣ MIB(Management Information Base) : 관리되어야 할 객체들의 집합
‣ SMI(Structure of Management Information) : 관리 방법
•SMI(Structure of Management Information)
‣ 관리 정보 구조
‣ MIB를 정의하고 구성하는 툴
‣ MIB에서 사용하는 데이터 타입, MIB에 있는 자원을 표현하는 방식
‣ MIB에 있는 자원의 명명(Naming) 방식
‣ 표준에 적합한 MIB를 생성하고 관리하는 기준
‣ MIB를 생성하려면 OID를 지정받아야 함
‣ OID는 고유하고 특정한 숫자의 연속으로 표현
•SNMP의 취약점
‣ Community가 일치할 경우 SNMP의 MIB 정보를 볼 수 있다
‣ Community는 일종의 패스워드 • 대부분의 Community는 public으로 설정되어 있으며, 이를 수정하는 사람은 많지 않다.
‣ 패킷이 UDP로 전송 되어 연결의 신뢰도가 낮으며, 데이터가 암호화되지 않은 평문으로 전 송되어 스니핑이 가능하다는 것이다.
‣ 이런 문제점을 해결하기 위해 SNMP 버전 2에서는 전송하는 정보에 대한 암호화와 해시 기능을 추가했으나 인증 기능은 없으며, Community를 일치시켜 정보를 얻는 것은 쉬운 일이다.
•Syslog
‣ 시스템 에러 메시지나 debugging 정보를 처리하는 서비스
⇒ 서비스에 트러블이 발생했을 때 서버나 네트워크 기기의 로그(기록)를 확인함으로써 언제 어떤 기기에 어떤 현상이 발생했는지를 정리
‣ Syslog 서버를 구축 시 로그를 수집하여 일원 관리할 수 있음
•로그 Package : syslog/rsylog
‣ 로그를 중앙 집중적으로 관리하는 패키지
‣ 동작 방식
SIEM 환경 구성
‣ SplunkSever 구축
‣ ZeekIDS 구축
‣ WebServer 구축
설치 과정에 IP주소 설정함
‣ Sysmon 구축
'Rookies 9기 > 클라우드기반 시스템 운영구축 실무' 카테고리의 다른 글
| 클라우드기반 시스템 운영구축 실무 6일차 (0) | 2022.10.31 |
|---|---|
| 클라우드기반 시스템 운영구축 실무 5일차 (0) | 2022.10.28 |
| 클라우드기반 시스템 운영구축 실무 3일차 (0) | 2022.10.26 |
| 클라우드기반 시스템 운영구축 실무 2일차 (0) | 2022.10.25 |
| 클라우드기반 시스템 운영구축 실무 1일차 (0) | 2022.10.24 |
