제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study
사용자 삽입 이미지
ISA를 설치함에 있어 기본 가이드 구성도는 위 그림과 같이 제시되었지만 앞단과 뒷단까지 방화벽을 놓으면서 ISA서버까지 구입해서 운영할수 있는 회사는 거의 드물다. 나라도 돈아까워서 안하겠지만 ISA2004 만으로도 위 방화벽 기능과 동시에 안전하고 고성능을 발휘할수 있게 할수 있는 방법을 생각해본 결과(돈이 없어서 곰곰히 생각해본거다 성능은 무슨 ㅋㅋㅋ) Windows2003 서버의 IP보안정책을 이용하는 방법도 좋을듯 하다.

사용자 삽입 이미지
ISA단에도 위 기능을 하는데 왜 자체 운영체제의 IPSec 기능을 이용해야 하나라고 의문이 들겠지만 특정 IP가 계속 1433이나 PPTP나 기타 여러가지 포트로 스캐닝을 돌리는 로그가 ISA단에서 쌓이기 때문이다. 부하까지 주는건 아니지만 그 자잘한 패킷이나 로그조차 쌓이는것 자체가 쓰레기라서 아예 ISA윗단에서 처리해야 하는 방화벽이 없으니 서비스 우선순위 IPSec 보안정책을 이용하는것이다. 위 정책에 차단 필터를 만들어 놓으면 ISA단까지 들어오질 못한다. ISA단 하위로 서버를 운영하는 상황이라면 ISA에 세션까지 허용을 거부한다면 윈도우의 IP보안정책을 이용하는것이 좋은 방법이 아닐까 블로그에 포스팅한다.
국내 보안의 달인이라는 홍모씨가 윈도우2003은 아웃바운드 방화벽은 할수 없다?라는 말을 쉽게 하였는데 정말 저사람 보안전문가 맞아?라는 의구심을 갖게 하였다. 마우스로 하는 서버라고 너무 우습게보는 사용자 관리자들의 오만한 행동을 보여주는건 아닌지 한번 생각해볼 필요가 있다.
사용자 삽입 이미지
ISA를 계속 유지하다 보면 MSDE SQL 프로세서가 메모리를 많이 먹게된다. 시스템 메모리의 70프로를 사용한다는데 2G인데도 여유메모리가 그다지 없다. 보안 서버인데 DB서버를 운영하는 이기분...
ISA가 물건이긴 물건이가보다. 서버를 운영함에 있어서, 인트라넷 인아웃바운드를 위해서, 인프라 네트워크 보안을 쉽게 관리 할수 있는 서버가 ISA제품인건 확실한거 같다.
5년동안 많이 굴려먹은 서버가 제온3.06 듀얼인데 성능이 아까워서 ISA2004 전용으로 굴려먹고 있다.
ISA 만세~~~! 최고인듯 ㅋㅋㅋㅋㅋㅋ

2010/01/19 11:11 2010/01/19 11:11
Posted
Filed under Study
사용자 삽입 이미지
굴러다니는 방화벽 소프트웨어로 구상할려고 하다가 제한사항이 있거나 설정등에 불편함이 있어서 IPSec라는 보안정책을 하나하나씩 테스트를 해봤다.
윈도우 IP필터링이나 방화벽 정책은 포트범위 설정이 안된다는 가장 큰 단점이 있어서 불편함 또한 없지 않는데 특정한 서버와 많은 포트통신을 해야될 상황이라면 모든포트를 허용해주는 방향말고는 없을듯 하다. 윈도우2003에서는 프로세스 정책으로 나가면 포트범위가 많더라도 해결이 되지만 IP정책은 여기가 한계다. 그래도 이것만 되도 얼마나 좋나...
XP역시도 IPSec 보안정책이 있지만 방화벽 룰 설정으로 쓰기엔 복잡할수도 있다. 자체 방화벽이 있는데 IPSec까지 쓸일이 있을까? 서버 운영체제가 아닌 클라이언트 운영체제이니...
제발 운영체제 2008까지는 안바래는데 2003버젼으로라도 마이그레이션 했으면 한다. 지겹다 2000서버.
2009/07/16 11:56 2009/07/16 11:56