[펌] temp..정리하기전..

DMZ (DeMilitarized Zone)

 

외부에서 엑세스가능한 서버들의 네트웍을 할당해 놓은 곳

 

방화벽의 종류중에, Screened subnets 라는 종류에서
앞뒤로 방화벽을 설치해 놓고, 중간에 서버를 가져다 놓는데,

이 부분을 DMZ 라고 부른다.

 

더 자세한 것은 방화벽을 찾아보면 자세히 나와있습니다.

 

컴퓨터 네트웍에서, DMZ란 회사의 사설 네트웍과 외부의 공중 네트웍 사이에, 중립 지역으로서 삽입된 컴퓨터 호스트, 또는 소형 네트웍을 말한다. 이것은 외부의 사용자들이 회사의 중요 데이터를 가지고 있는 서버에 직접 접속하는 것을 방지한다 (이 용어는 1950년 초 한국전쟁 후 남북한 사이에 조성된 지리적 완충지역을 부르는 말로부터 유래되었다). DMZ를 두는 것은 선택 사항이지만, 방화벽 보다 더 안전한 방법이며, 게다가 프록시 서버로서의 역할도 효과적으로 수행한다.

 

소규모 회사를 위한 대표적인 DMZ 구성에서, 별도의 호스트 컴퓨터가 사설 네트웍 내의 사용자들로부터 웹사이트 또는 공중 네트웍 상의 다른 회사 컴퓨터의 접속에 관한 요청을 받는다. 그리고 나서 DMZ 호스트는 공중 네트웍에 관한 이러한 요청을 위해 세션을 개시한다. 그러나, DMZ 호스트는 사설 네트웍 내로 들어오는 세션은 개시할 수 없다. DMZ 호스트는 오직 요청된 패킷들을 내부로 전달하는 것만이 가능하다.

 

회사 외부의 공중네트웍의 사용자들은 오직 DMZ 호스트만을 액세스할 수 있다. DMZ 호스트에는 일반적으로 외부 세계에 서비스할 수 있도록 회사의 웹페이지를 가지고 있을 수 있지만, 그 외 회사의 어떠한 다른 데이터도 제공하지 않는다. 그러므로, 만약 외부의 사용자가 DMZ 호스트의 보안을 뚫고 침입한 경우, 웹페이지는 훼손될 수 있지만, 그 외 회사의 다른 어떠한 정보도 노출되지 않는다. 라우터 제작으로 유명한 시스코에서, DMZ를 설정하기 위한 제품을 판매하고 있다.

 

----------------------------------------------------------------------------------------

보안에서 DMZ란 우리나라에 있는 비무장지대와 같습니다.

말그대로 무장을 하지 않는 다는 것이죠.
그렇다면 왜 무장을 하지 않는가?

그 이유는
주로 DMZ는 방화벽과 연관해서 사용이 되어지는데
기본적으로 방화벽은 네트웍을 보호하는 하드웨어나 소프트웨어입니다.
즉 방화벽은 불법적인 침입에 대하여 필터링을 하는 놈이라고 생각하시면 되겠죠?

그러면 DMZ 를 왜 구성하는가?

그 이유는 바로 서비스에 있습니다.
여러분의 회사나 학교의 네트웍에는 외부로 노출되어야 할 서버나 PC들이 있습니다.
예를 들어 웹서버나 홈페이지 서버, 기타 로긴 서버나 인터넷에서 자신의 네트웍의 서버자원
을 사용해야 하는 서버들이 있겠지요.

그러면 이 서버들을 방화벽 아래에 두게 되면 어쩔수 없이 사용하는 포트를 열어야 합니다.
그렇겠죠? 웹서비스는 HTTP를 열어주어야 하고 FTP서비스는 FTP 포트를 열어주어야 합니다.
이런 식으로 방화벽에 DMZ를 구성하지 않고 서버와 클라이언트PC들을 하나의 네트웍으로 구성하면
보안에 HOLE 이 생길 소지가 있다라는 것입니다.

즉 웹서비스의 열려진 HTTP 포트를 통해서 해킹이 가능해지면 이를 통해 내부클라이언트 PC까지도
손쉽게 해킹이 가능하게 됩니다.

그러므로 DMZ를 구성하게 되는 것이지요.

열어줘야 할 것들은 DMZ를 구성해서 따로 네트웍을 할당 하는 것입니다.
그러면 DMZ에서 로컬 네트웍으로의 침입이 불가능하게 되는 것이죠.

즉

인터넷 -> DMZ : OPEN (필요한 서비스만)
DMZ -> 로컬네트웍 : CLOSE (DMZ 서버를 통해서 로컬네트웍으로의 불법적인 침입 방지)
로컬네트웍 -> DMZ : OPEN (필요한 서비스만)
인터넷 -> 로컬네트웍 : CLOSE (로컬네트웍 보호)

이런 식의 정책적용이 기본적인 방화벽의 DMZ 관련 정책입니다.

가장 기본적으로 DMZ를 구성하는 경우는 아래와 같습니다.

방화벽에 NIC를 3장 달아서
하나는 인터넷, 다른 하나는 DMZ, 나머지 하나는 로컬네트웍으로 연결을 시켜주는 것이죠.

마지막으로 다시 정리해보면
DMZ는 외부에서 엑세스 가능한 서버들의 네트웍을 할당해 놓은 곳이며
DMZ를 구성함으로써 로컬네트웍의 보안을 가져갈 수 있다.

----------------------------------------------------------------------------------------

간단히 말해 비무장 지대입니다.

네트워크 상에서 여러가지 보안 정책을 쓰지 않는 구역을 말하는데..

물론 방화벽을 걷어 버리는 것은 아닙니다.

하지만, 포트가 다 열리고, 중간에 필터링을 없애는 거죠..

공용네트워크가 있다면, 대게 포트필터나, 방화벽 등등으로 제한들이 걸려 있습니다.

보안상의 문제도 있고, 트래픽 관리상의 목적도 있겠죠..

이러한 네트워크에서 특정 PC 를 DMZ 로 놓게 되면, 포트가 모두 열리게 되고, 필터제한을

일시적으로 제거 할 수 있습니다.

물론 이런건 설정 하기 나름이구요..DMZ 를 한다 하더라도, 불법패킷에대한 방화벽 기능등은

유지가 되구요..물론 이것 역시 설정하기 나름이겠지만..암튼..이런 제한을 풀어버리는 역활을

DMZ 라 합니다.

물론 DMZ 설정을 해 두면 보안상으로 치명적일 수 있겠죠?..

생각 나는대로 적습니다..

----------------------------------------------------------------------------------------

DMZ 를 세팅하기 위해서는 내부적인 IP 가 고정으로 변환해야 한다는 것이고,
케이블 모뎀이 외부로 부터 연결시켜 주는 IP 는 개인이 임의적으로 설정할 수
없습니다.

또한 케이블 모뎀을 통해서 인터넷이 되는 것이기 때문에, 사용자가 IP 설정에서
임의의 IP 를 설정해 놓는다 해도, 그 IP 로 설정이 되는 것이 아니라, 인터넷
서비스 없체에서 모뎀으로 동적으로 뿌려주는 IP 를 이용하게 됩니다.

따라서 IP 공유기에서 DHCP 사용을 하지 않으시고, 아이피를 192.168.1.x 이런식으로
고정해서 내 컴퓨터에 설정해 주시면 DMZ 사용하는데는 이상이 없을것 같습니다.

추가로, 개개인별로 고정 IP 를 사용하게 되면, 어떤 문제가 있느냐 하고
질문 하셨는데, 인터넷 서비스 없체는 고객의 수만큼 충분한 IP 를 가지고
있지 않고, 그때 그때 필요로 하는 고객에게 IP 를 주는 식으로 효율성을
높이고 있으며, 또 고정 IP 를 주게 되면, 다운로드 위주의 대역폭을 설정해
놓은 모뎀이 개개인들의 서버 사용으로 인해서 업로드 트레픽이 많아 지게되어
전체적으로 속도 저하를 가져 오게 되어서, 고정 IP 를 주지 않는 것으로 알고
있습니다.

도움 되셨길..^^

 

 

 

포트포워딩

 

포트와 아이피는 별게 입니다.

사실상 특별한 보안상의 문제나 isp 업체에서 해당 포트를 막아 놓지 않은 이상 굳이 포트를 변경할 필요는 없을듯 합니다.

기본 포트가 아니면 다른 사람들이 접속할때 마다 포트를 지정해줘야 하므로 불편하죠. 그냥 기본 포트로 하는 것이 좋습니다.

다만 공유기에서 DMZ 기능을 제공하느냐의 문제입니다.
DMZ 기능이란 공유기에 할당된 ip 주소를 하위 피씨의 사설아이피로 직접 연결해 주는 기능으로, 포트별로 여러대의 피씨에 할당해줄수도 있습니다.

만약 공유기가 DDNS 기능까지 지원한다면, 외부에서 접속할때 수시로 바뀌는 아이피 주소가 아닌 업체에서 할당받은 도메인 명으로 항상 접속 할수 있습니다.

아이피 주소는 그냥 현재 상태 그대로 두셔도 됩니다.
가지고 계신 공유기가 외부 관리는 지원하는 것으로 보아 DDNS 까지 지원하지 않을까 싶긴 한데요. 메뉴얼의 dmz 기능과 DDNS 기능부분을 참조하세요.

더 궁금하신 사항은 쪽지로..

----------------------------------------------------------------------------------------

유동 아이피라 하면 DHCP서버에서 자동으로 아이피를 할당 받는 것을 말합니다.

만에 하나 현재 이용하고 있는 초고속 인터넷 서비스가 B&A 같은 사설아이피를 할당받은 네트워크라면 서버 구축이 불가능하나, 공인 아이피를 할당 받았을 경우는 DDNS( Dynamic Domain Name Server) 를 이용해서 구축이 가능합니다.

DNS 는 아이피로 된 피씨의 주소를 도메인 명으로 연결해주는 서비스인데 유동아이피일 경우 DNS에서 질문자의 피씨를 찾을수 없게되기 때문에 DNS 서비스는 불가합니다. 하지만 질문자의 서버에 DDNS 클라이언트 프로그램을 설치해서 수시로 DNS서버로 아이피의 현재 상태를 전송해준다면 서비스가 가능해지죠. 이렇게 클라이언트에서 아이피 정보를 수시로 보내서 갱신하여서 고정된 이름으로 접속 할수 있도록 해주는 것은 DDNS 서비스 라고 합니다.

추가정보로 가정에서 공유기를 통해서 피씨를 서버로 사용하는 것은 불가능하였지만, 요즘 공유기의 기능으로 DMZ 기능을 이용하면 공유기에서 내부에 연결된 사설 아이피의 피씨로 무조건 연결하도록 임의로 설정하여 서버로써의 활용도 가능합니다. 일부 제품에서는 DDNS서비스 까지 무료로 지원해주고 있습니다.

DDNS 서비스는 몇군데 업체에서 하고 있지만 DNS 서버의 트래픽이 적을 수록 본인의 컴퓨터로 연결되는 속도는 빨라집니다. 가입할때 신경을 쓰셔야 할부분입니다.

DDNS 서비스를 이용하면 FTP 뿐만 아니라 웹서버, 터미날 서비스로 외부에서 내 컴퓨터를 직접 작동하여 끄는것등의 작업까지 가능합니다. 

예 할 수 있습니다.
FTP서버를 설치하는데는 유동이든 고정이든 전혀 문제가 없습니다.

여기서 유동이란 말은 그 아이피(서버로 사용하는 컴의 주소)가 자주 바뀔 수 있다는 말이죠. 유동아이피에는 임대기간이라는것이 있습니다. 아이피를 받은 시간으로부터 몇시간동안 똑같은 아이피를 부여하게끔 DHCP 서버에서 지정을 해줍니다. 다시 말해서 오늘 주소는 "10.125.8.115" 였던것이 임대기간이 지난 내일은 "10.125.8.125" 로 바뀌어 버리는 것입니다. FTP 서버(웹서버도 마찬가지 입니다)가 설치되어 돌아가더라도 그 주소를 모른다면 (다른 이들이 찾지 못한다면) 무용지물이겠지요. 해서 유동아이피라면 사용하기가 힘들다는 겁니다. 매번 현재 주소를 사용자들에게 알려줘야 하기때문이죠. 이게 바로 문제점이 되겠구요.

여기에 따른 해결책으로는 아이피를 고정아이피로 바꾸는 방법, 그리고 많은 분들이 말씀하셨지만 네이밍 서비스를 이용하는 방법이 있겠지만 돈이 듭니다(사야하죠).

그밖에 유동아이피를 고정아이피처럼 사용할 수 있는게 바로 포워딩입니다. 조그만 프로그램이 사용하고자 하는 서버 피씨에 상주해서 아이피가 바뀔때마다 (보통 얼마 시간만에 업데이트하라고 정해놓습니다) 포워딩해주는 호스트에 정보를 전달해주지요.
즉, 10.125.8.115 을 abc.no-ip.com 으로 매핑 해놓고 만일 아이피가 바뀌면 바뀐아이피(만약 바뀐주소가 10.125.8.125 이라면)로 또다시 10.125.8.125 를 abc.no-ip.com 이런식으로 매핑을 시켜줍니다. 그래서 외부 사용자들은 abc.no-ip.com 이라는 도메인 하나로 접속이 가능하게 되는 것이지요.

이런 포워딩을 서비스해주는 곳은 많이 있습니다.
http://www.no-ip.com
http://www.codns.com/korean
http://xdns.co.kr
검색사이트에서 유동아이피로 검색 해보시면 많이 찾을 수 있을 것입니다. 개인적으로는 이 방법을 씁니다.

 

 

유동 ip를 사용할 경우의 문제점
: ftp서버의 ip가 유동 적으로 변함으로 하여 ftp client가 어떤 ip로 접근해야 하는지를 알 수 없으므로 ftp 서비스가 거의 불가능함

해결방안
: dynamic DNS의 사용
ftp client는 domain name으로 ftp 서버에 접속함
ftp 서버는 유동적인 자신의ㅣ ip를 항상 DDNS(dynamic DNS)서버에 알려줌으로 해서 DNS query가 들어 왔을 때 실시간으로 바뀌는 서버의 ip address를 ftp client에게 알려줌.

DDNS 사용시 필요한 점
: DDNS 서비스를 할 서버가 필요함 ftp서버에는 DDNS client program이 설치 되어 실시간으로 ftp 서버의 ip address를 DDNS 서버에 전송하고 DDNS 서버는 update된 ip address를 DNS의 domain과 매칭 시키는 작업을 함