오토에버 클라우드 2기 23일차 가상머신 묶어버리기(NAT)
네트워크 확인 명령어
1. ping(packet InterNet Groper)
네트워크 상태를 확인 할 때 가장 많이 사용하는 명령어 ping은 네트워크를 통해서 특정 목적지까지 네트워크가 잘 동작하는지 확인하는 명령어 ICMP 인터넷 프로토콜을 이용, 제어메세지를 통해서 여러가지 네트워크 상태 파악 ping [옵션] ip주소 혹은 도메인
리눅스에서 구글 DNS(8.8.8.8)로 100바이트 패킷 2회 보내기
ping 8.8.8.8 -c 2 -s 100
2. tcping for windows 리눅스에서는 hping3
ping을 확인하듯이 포트가 열려 있는지 확인하는 명령어 특정 호스트는 ping과 trace route 명령을 막는 경우가 있음
tcping [옵션] 목적지ip주소
3. traceroute/tracert
출발지부터 목적지까지 네트워크 경로 확인할 때 사용
traceroute [옵션] 목적지ip주소
4. tcptraceroute
서비스 포트를 지정해서 경로를 추적
5. netstat
리눅스 및 UNIX 시스템에서 네트워크 연결, 라우팅 테이블, 인터페이스 상태 등을 보여주는 데 사용하는 명령어 현재 서버를 확인하는거라 옵션만 추가적으로 작성
netstat [옵션]
6. ss
소켓 관련 정보를 확인할 수 있는 명령어 netstat보다 상세함
ss 명령어의 출력은 다양한 열과 행으로 구성, 주요 열에는 “Netid” (도메인 소켓 유형),”State” (상태), “Recv-Q” (수신 큐), “Send-Q” (송신 큐), “Local Address” (로컬 주소), “Foreign Address” (원격 주소), “PID/Program name” (프로세스 ID/프로그램 이름) 등이 포함된다
| 항목 | 의미 | 설명 |
|---|---|---|
u_str | Unix Stream Socket | TCP처럼 연결지향적이고, 바이트 스트림 전송을 하는 소켓 |
u_dgr | Unix Datagram Socket | UDP처럼 비연결지향적, 메시지 단위로 전송하는 소켓 |
| 필드명 | 설명 |
|---|---|
Netid | 소켓 종류 (프로토콜) |
State | 소켓 상태 (LISTEN, ESTAB 등) |
Recv-Q | 수신 큐의 데이터 크기 (받지 않은 데이터) |
Send-Q | 송신 큐의 데이터 크기 (아직 전송되지 않은 데이터) |
Local Address:Port | 로컬 IP 주소와 포트 |
Peer Address:Port | 연결된 상대방 주소와 포트 |
7. nslookup
도메인 관련 명령어로 DNS 서버에 직접 DNS 쿼리를 하고 그 결과를 출력한다 이를 통해서 DNS 설정이 정상적인지, 혹은 DNS 서버가 정상적으로 동작하고 있는지, 네트워크가 의도한대로 설정되어있는지 등을 확인
리눅스 네트워크 구축하기
1. 가상머신을 묶을 NAT네트워크 생성
도구 옆 메뉴를 클릭후 네트워크를 클릭
일반 옵션에서 이름과 IPv4접두사를 설정 후 DHCP활성화 해제 한다
이후 포트 포워딩에 들어가서 호스트 ip는 현재 가상머신이 켜진 ip를 적고 게스트 ip는 가상머신의 ip를 적는다 (고정시켜야함) 게스트 포트는 ssh를 이용할 예정이라 22를 작성
위 과정은 NAT네트워크로 가상 머신을 묶지만 포트포워딩은 단지 외부에서 가상 머신을 접근하기 위해 설정하는 것이다
2. 가상머신 네트워크 변경
가상머신의 네트워크를 NAT로 연결해야한다
3. 가상 머신의 네트워크 부분에서 DCHP사용 해제와 고정 ip할당
sudo vi/etc/netplan/00-installer-config.yaml 위 위치에 해당 파일을 만들고 아래 내용을 작성한다
적용 명령어 sudo netplan apply
4. 이름으로 내부 통신
이름으로 내부 NAT안 가상 머신끼리 통신을 가능하게 할 수 있다
sudo vi /etc/hosts 내부 파일을 수정해서 ip주소와 이름을 같이 작성한다
이후 master2와 통신을 확인하기 위해서 ping을 사용할 때 10.0.2.102를 입력하지 않고 master2를 이용할 수 있다
보안
다양한 위협으로부터 정보를 보호, 인가된 사용자만 정확하고 완전한 정보로 필요할 때 접근할 수 있도록 해주는 일련의 작업
필수 요소 3가지
- Confidentiality(기밀성) 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업
- Integrity(무결성) 정확하고 완전한 정보 유지에 필요한 모든 작업
- Availability(가용성) 정보가 필요할 때 접근을 허락하는 일련의 작업
추가적으로
- Authentication(인증)
- Accountability(책임성)
- NonRepudiation(부인 방지)
- Reliavility(신뢰성)
네트워크의 정보 보안
네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것
| 용어 | 설명 |
|---|---|
| Trust Network | 내부 직원, 서버 등 신뢰할 수 있는 내부 네트워크 영역 |
| Untrust Network | 일반적인 외부 인터넷, 신뢰 불가능한 외부 영역 |
| DMZ (DeMilitarized Zone) | 외부 접근은 허용하지만 내부망은 보호해야 할 서비스 (예: 웹 서버, 메일 서버 등) 위치 |
DMZ는 내부망과 외부망 사이의 중간 지대로, 외부 사용자가 내부 네트워크에 직접 접근하지 않도록 보호
네트워크 보안 구조의 두 가지 방향
| 유형 | 설명 | 예시 |
|---|---|---|
| Internet Secure Gateway (ISG) | 내부 → 외부로 나가는 트래픽 제어 (정보 유출 방지) | Web Filter, SWG(Secure Web Gateway), Application Control, Sandboxing |
| Data Center Secure Gateway (DCSG) | 외부 → 내부로 들어오는 트래픽 제어 (침입 방지) | 방화벽(Firewall), IPS, IDS, WAF 등 |
보안 정책에 따른 분류
| 정책 | 설명 |
|---|---|
| Whitelist (허용 리스트) | 허용된 항목만 접근 가능. 보안이 엄격함 |
| Blacklist (차단 리스트) | 차단된 항목만 제외하고 나머지 접근 허용. 보안이 느슨함 |
보안 솔루션 종류 및 역할
- DDOS 방어 장비
- DoS (Denial of Service): 하나의 출발지에서 지속적으로 트래픽 발생 → 탐지 용이
- DDoS (Distributed DoS): 수많은 좀비 PC로부터 동시 공격 → 탐지·차단 어려움
- 방어 방법: 네트워크 외곽에서 트래픽 분석 및 필터링 (대역폭 보호)
- Value Metric Attack 방어
- 개념: 대역폭 한계를 초과하는 트래픽을 보내 회선을 마비시키는 공격
- 방어 위치: ISP나 외부 트래픽 접점(백본)에 위치한 보안장비 필요
- IDS / IPS
| 구분 | IDS (침입 탐지 시스템) | IPS (침입 방지 시스템) |
|---|---|---|
| 역할 | 침입 시도 탐지 (수동) | 침입 시도 차단 (능동) |
| 방식 | 로그 기록/경고 | 실시간 패킷 차단 |
| 위치 | 스위치 미러 포트 등 | 네트워크 흐름 경로 상 |
| 특징 | 오탐지율 낮음 | 대응 신속, 오탐 가능 |
- WAF (Web Application Firewall)
- 웹 서버 앞단에 위치해 HTTP/HTTPS 기반 공격 방어
- SQL Injection, XSS, 파일 업로드 공격 등 웹 전용 공격 탐지·차단
- IPS는 개별 패킷 분석, WAF는 HTTP 요청 전체 조합 후 분석
- 설치 방식: 프록시 형태, 서버 내 모듈 형태(plug-in), ADC와 연계 가능
- 샌드박스(Sandbox)
- 미확인 파일이나 링크를 격리된 환경에서 실행해 악성 여부 판단
- 보통 관리자 또는 고위 사용자의 이메일 첨부파일에 대한 방어에 사용
- APT(지능형 지속 공격), 제로데이 위협 등에 효과적
24일차
- NAC(Network Access Control)
- 네트워크에 접속할 때 인가된 사용자만 내부망에 접근 가능
- 외부 pc가 내부망에 접속해 보안 사고를 일으키는 것을 방지
- ip제어
- NAC와 공통적인 기술을 이용하거나 기능이 비슷함 국내에서 많이 사용
- 보안 사고 추적이 쉽도록 고정 ip를 사용하기 때문
- 접근 통제
- 서버나 데이터베이스에 대한 직접적인 접근을 막고 작업 추적 및 감사를 할 수 있는 접근 통제 솔루션
- agent 기반, agentless기반, 베스천 소트 기반(서버 접근을 위한 모든 통신은 침입차단 소프트웨어가 설치되어 일종의 게이트웨이 역할을 하는 호스트)
- VPN
- virtual private network 가상으로 만든 프라이빗 네트워크
- 최근에는 방화벽, 라우터에 이기능을 추가한다
- IPSEC는 네트워크 연결용으로 사용하고 SSLVPN은 사용자가 내부 네트워크에 연결할 때 주로 사요
- Firewall
- 네트워크 보안은 호스트에서 수행하는 보안과 달리 많은 호스트들을 한꺼번에 관리하고 보호할 수 있지만 많은 트래픽을 감당해야한다
- 네트워크 중간에서 해당장비를 통과하는 트래픽을 가전에 주어진 조건에 맞추어 허용하거나 차단하는 장비
- 방화벽은 네트워크 3,4계층에서 동작하며 세션을 인지하는 상태 기반 엔진으로 동작
정리
| 보안 영역 | 주요 구성 요소 |
|---|---|
| 경계 보안 | 방화벽, IPS, DDoS 방어 시스템 |
| 웹 보안 | WAF, 샌드박스 |
| 내부 보안 | NAC, SIEM, 계정 관리 시스템 |
| 탐지 및 대응 | IDS, 포렌식 도구 |
| 정책 기반 관리 | 화이트리스트, 블랙리스트, ACL, 접근 제어 정책 |