제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study
"사용자
"사용자
가상화를 이용한 방법중 하나가 Hyper-V 2012 R2 Free Core 버젼을 방화벽 역할을 하게 하는 방법을 소개합니다. 방화벽은 대부분 어플라이언스 제품이나 스위치 그리고 입지가 고정되어 있는 제품을 쓰는게 지금의 현실입니다. 그러나 비용 들이지 않고 DDOS 및 내외부 네트워크 보호 그리고 캐싱 가속까지 구현을 도와주는게 바로 Hyper-V 가상화라고 말하고 싶습니다. VMWare 제품으로도 가상화를 이용한 방법을 구현할수 있으나 필자가 결론을 내린건 네트워크 퍼포먼스는 V사는 호환성이나 특성 그리고 자잘한 문제를 여전히 갖고있다는것이 문제입니다. 가상화를 이용하면 가상스위치가 관리형 스위치를 대신하기 때문에 VLAN 및 대역폭 조절을 Hyper-V 안에서 전부 해결이 된다는것이 장점입니다. x86 서버이다 보니 라우터 및 게이트웨이 역할로는 성능이 절대 우위에 있습니다. 요즘은 워낙 하드웨어 사양이 좋다보니 x86 기반 방화벽 구축이 성능이 월등하기도 합니다. 장애를 대비한 복제 및 장애조치까지 가능하기에 억대 비용이 들었던 이런 솔루션들이 달랑 무료버젼으로 운영할수 있다는것은 인프라 네트워크에 축복이라고 말할수 있습니다.
레퍼런스가 궁금하다고 할수 있습니다만 몇년간 사용하는 회사도 존재하며 DDOS 방어까지 겸비한 웹사이트 운영하는 콘텐츠 서버도 이 구성에 많은 이점을 보고 있습니다.
사용자 삽입 이미지
위구성이 프런트 방화벽과 백엔드 방화벽 구성의 한예제이며 앞단 제품은 우분투커널 무료제품인 Zentyal을 이용하고 네트워크 침입방지 및 리버스 프록시 제품으로 성능이 우수한 MS제품 FTMG를 백엔드로 운영하는 그림입니다. 깡통서버 및 깡통스위치로 이러한 구성을 구현할수 있다는것은 좋은 현상입니다. 기술의 발전으로 중소규모도 이러한 구성으로 많은 이점을 볼수 있지 않을까 해서 포스팅을 남겨봅니다.
2015/03/26 01:18 2015/03/26 01:18
Posted
Filed under Study
"사용자
IIS7 FTP 기능은 기능이 세분화되고 많이 편리해졌습니다. IIS6까지만 해도 메타베이스를 수정해줘야 했던게 예전버젼이였지만 FTP7.5 버젼은 UI로도 환경설정 작업이 쉬워졌습니다.

"사용자
Passive 포트 설정을 저리 쉽게 입력만 해주면 됩니다. IIS6에서는 메타베이스를 편집기로 열어서 포트번호를 입력해줘야 했었는데 저리 단순하게 입력하면 그만입니다.
"사용자
제일 간과하기 쉬운 부분이 이부분입니다. IIS6까지만 해도 서비스를 재시작할때 iisreset 명령어나 아니면 UI에서 서비스 재시작을 하면 환경설정 반영이 금방 되었지만 IIS7 버젼에서는 해당 서비스를 재시작 해줘야 했었습니다. 이거 단순하게 봤다가 왜 안되는가 고민을 하게된 몇시간이였습니다. 또 달라진건 inetinfo.exe에 종속되었던 서비스가 IIS7 버젼부터는 svchost 로 종속되어 운영이 되고 있습니다. FTP뿐만이 아니고 Web서비스도 예전처럼 inetinfo에 종속되지 않습니다. IIS6과는 아예 별개가 되어버린 IIS7 버젼입니다.
"사용자
2008버젼에서는 범위지정이 되지 않았었습니다. 소켓통신의 주체는 프로세스여서 범위지정은 의미가 없나 싶지만 그래도 이렇게 일일이 다입력하지 않아도 범위지정이 되어서 방화벽 허용 룰 규칙 입력이 아주 편해졌습니다. 뭐 리눅스는 원래 된거다라고 하면  할말 없지만 지금까지 윈도우 버젼에 대한 불편함이 2008 R2 버젼에는 별거 아니여도 그나마 많이 편하게 나왔다는것이 장점입니다. 비스타 버리는 모냥 2008 오리지널 버젼 역시도 R2 버젼에 묻히는 기분입니다. 확실히 IIS6 FTP 보다는 응답속도나 체감이 빠릇빠릇 하더군요.
2010/09/09 13:10 2010/09/09 13:10
Posted
Filed under Study
사용자 삽입 이미지
굴러다니는 방화벽 소프트웨어로 구상할려고 하다가 제한사항이 있거나 설정등에 불편함이 있어서 IPSec라는 보안정책을 하나하나씩 테스트를 해봤다.
윈도우 IP필터링이나 방화벽 정책은 포트범위 설정이 안된다는 가장 큰 단점이 있어서 불편함 또한 없지 않는데 특정한 서버와 많은 포트통신을 해야될 상황이라면 모든포트를 허용해주는 방향말고는 없을듯 하다. 윈도우2003에서는 프로세스 정책으로 나가면 포트범위가 많더라도 해결이 되지만 IP정책은 여기가 한계다. 그래도 이것만 되도 얼마나 좋나...
XP역시도 IPSec 보안정책이 있지만 방화벽 룰 설정으로 쓰기엔 복잡할수도 있다. 자체 방화벽이 있는데 IPSec까지 쓸일이 있을까? 서버 운영체제가 아닌 클라이언트 운영체제이니...
제발 운영체제 2008까지는 안바래는데 2003버젼으로라도 마이그레이션 했으면 한다. 지겹다 2000서버.
2009/07/16 11:56 2009/07/16 11:56
Posted
Filed under Windows Server
사용자 삽입 이미지
2003서버와 2008서버의 방화벽 기능을 살펴보면 크게 효율성과 유용성 두가지로 진화했다고 생각해본다. 윈도우 자체 방화벽이라고 하면 피식 비웃는 보안관리자들도 많겠지만 단순한 인-아웃바운드만 사용하는 방화벽이라면 돼지목에 진주목걸이를 걸어주는거랑 뭐가 다른가 하는 필자의 빈정거림 또한 없지않다.
사용자 삽입 이미지
위와같이 윈도우에서 라우팅기능 RRAS서비스를 사용한다면 단순 방화벽기능은 사용하지 못했던게 2003 서버 버젼이였다. 그래도 라우팅과 VPN과 NAT 기능과 방화벽 기능을 사용하는데는 그리 크게 불편하지 않았다. 단순한 기능들이여서인지 몰라도 윈도우 NT서버에서 라우팅, VPN, 방화벽 기능을 사용하는 유저가 주위에 있는가 하는 생각도 해보지만 아직까진 영세한 엔지니어와 영세한 사장님을 찾아가 보지 않는한 대부분 고급장비를 구입해서 사용하지 않나?라는 생각을 가져본다.
2008 서버 버젼에서는 RRAS와 방화벽 기능이 분리되어서 사용하는데 기존의 불편함을 사라지게 해줬다는 첫번째.
사용자 삽입 이미지
두번째 편리한 기능을 넣어준건 포트범위 추가이다. 2003 서버에서는 포트 한개당 하나의 룰을 추가해 주었던 아쉬운 불편한감이 있었는데 2008서버에서는 쉼표를 넣어주면서 많은 포트번호를 넣어 줄수 있는 편함을 주었다. 리눅스나 다른 어플 방화벽들은 "-" 마이너스 부호만 넣어주면 되는데 윈도우 서버는 그정도도 못한다며 오히려 따라오지도 못하는 방화벽 기능이다라고 무시할만도 하다. 하지만~! 대부분 보안 관계자나 네트워크 관계자들도 공감하겠지만 많은 포트범위를 사용하는 정책은 좋은정책이 아니다라고 전해주고 싶다. 한 서비스를 하는데 세션을 많이 잡아 먹는건 오히려 네트워크나 서버의 부하를 주는 원인이기 때문이다. 예전의 응용 어플리케이션들이 많은 포트를 랜덤으로 사용하는게 많았었는데 그 어플리케이션들이 버젼업이 되면서 포트범위를 10개 미만 단위로 줄여 통신하게끔 개발되기도 한다. 결국 윈도우의 범위지정은 지금와서 무의미 하지 않나?라는 생각을 하게 되는것이다.
사용자 삽입 이미지
100개 포트를 일일이 입력하기 거시기 해서 엑셀로 오른쪽으로 땡겨 숫자를 100번까지 지정하고 쉼표로 구분되는 텍스트로 저장하고나서 메모장으로 열고 방화벽 규칙에 특정포트를 넣어주면 100개의 포트범위가 금방 입력이 되는 번거로움?을 피할수 있다.  솔직히 방화벽 구입하면 된다. 돈만 있다면... 솔직히 리눅스 쓰면 된다 공짠데 명령어 잘 사용하고 맘데로 룰 규칙 넣을수 있다면...
콩이네 팥이네 하더라도 자신이 잘 운영할수 있고 2008 서버 하나만으로도 무한한 기능을 요리조리 사용을 잘할수 있다면 불필요한 장비구입을 줄일수 있고 돈도 아끼는 기쁨을 얻을수 있을거라는 필자의 생각이다.
남들 안하는 뻘찟 한다고  비아냥 거리겠지만 언젠가는 회사도 투입되는 인력과 비용을 줄이는 그런날이 오는 시대가 올것이다.
별거 아닌 방화벽에 대해 이것저것 올려본 하루다.
2009/01/30 21:41 2009/01/30 21:41
Posted
Filed under Study
사용자 삽입 이미지
블로그 스팸차단 플러그인이 있는걸로 알지만 어짜피 서버보호를 위하여 IP를 24비트 대역으로 막을수 밖에 없다. 이아이피들은 어짜피 취약한 경로를 타고 들어오기 때문에 블로그뿐만이 아니고 게시판 공격이외에도 SQL 공격도 할것이기 때문이다. 무조건 툴만 믿어서도 안된다. 2008서버이기 때문에 방화벽 고급옵션을 한번 써먹어 보기로 했다. 인바운드 규칙에 255.255.255.0 대역을 넣어주다보면 깨끗해질거 같다는 필자의 생각이다. 대부분 외국IP 겠지만...
사용자 삽입 이미지
윈도우서버 RRAS에도 인바운드 아웃바운드 필터규칙이 있기는 하나 2008서버의 방화벽 고급옵션은 정책설정한걸 내보내고 가져오기가 있어 편리할거 같다는 생각이다.
리눅스에서 ipstable 옵션으로 몇개 막기는 했었지만 윈도우로 넘어오면서 필터링 IP들을 넣지 않아서 중복된 아이피들이 있는지도 모르겠다. 웹스팸이다 웹공격이다 해서 80번포트만 막는다는것은 단순히 눈가리고 아옹하는 식이 아닐까?
한번 잘못보인 IP는 영원히 내서버에서는 접근금지라는 신념으로 오늘 하루 쓸데없는 노가다일지는 모르겠지만 이 대역들을 블랙리스트화 한다.
2008/05/23 07:43 2008/05/23 07:43