안녕하세요,
서버 접근제어 도입 예정인데 네트워크 관련 지식이 부족하여 도움 요청드립니다ㅠ
같은 대역대에있는 서버(개발계)에서 다른 서버(가동계)로의 원격접속 포트를 차단하고 싶은데
위와같이 방화벽을 거치지 않고 스위치 단에서만 통신하는 구조상에서
서버끼리의 통신을 네트워크 단에서 차단하는 방법이 있을까요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
12개의 답변이 있습니다.
가장 확실한 건 네트워크 스위치에서 포트를 설정하는 방법이 있을겁니다.
아니면 유연하게 관리하시려면 방화벽이나 OS설정에서 변경하실 수 있구요
os의 로컬 방화벽을 사용하거나
서버보안 제품을 사용해야 합니다
네트워크는 길목을 차단하는 방식입니다
원격 자체를 차단 하시면 되지 않을까 봅니다.
원하시는 기능은 보통 방화벽에서 구현해서 적용을 많이 하고 있습니다.
네트워크 단에서는 IP 제어로 하는 것이니 향후 다른 문제가 될 수도 있고,
가능하시면 방화벽으로 구현하시는게 좋을꺼 같아요~
같은 대역대에있는 서버(개발계)에서 다른 서버(가동계)로의 원격접속 포트를 차단하고 싶은데 방화벽을 거치지 않고 스위치 단에서만 통신하는 구조상에서 서버끼리의 통신을 네트워크 단에서 차단하기를 원한다면,
VLAN을 사용하면 물리적 네트워크를 여러 개의 격리된 가상 네트워크로 논리적으로 분할하여 서로 다른 VLAN에 있는 서버 간의 통신을 차단할 수 있습니다.
우선, VLAN 기능이 있는 스위치에서 하나의 VLAN을 개발 서버에 할당하고 다른 VLAN을 운영 서버에 할당합니다.
그런 다음, 스위치의 관리 인터페이스에 접속하여 VLAN을 구성하고, 각 VLAN에 특정 포트를 할당합니다.
■개발 서버에 연결된 포트를 지정된 VLAN에 할당
■운영 서버에 연결된 포트를 지정된 VLAN에 할당
모두 구성되었다면 서버가 VLAN을 통해서는 통신할 수 없는지 확인하면 됩니다.
참고로 좀 더 보안 강화가 필요한 경우 스위치에 ACL을 적용하면 됩니다.
susuk9006 | 4달 전
감사합니다~
서버 자체에 설정을 진행하기에는 서버 개수가 많고 운영하는 분들이 조작할 수 있어
말씀대로 VLAN을 두고 개발계와 운영계를 구분하여 통신을 차단하는 방향으로
진행하려고 합니다.
네트워크단이라고 할필요도 없이 각 서버 OS 에서 (윈도우든, 리눅스든) 방화벽 정책으로 허용할 IP 만 원격접속 열고 나머지 차단하면 될 거 같습니다.
서버의 OS에 설치되어 있는 소프트웨어 방화벽을 통해서 차단하는 것이 가장 간단하고 쉬운 방법이 되겠네요.
이쪽 서버에서 특정 다른 서버에 접속되는 것을 차단하고 싶을 경우에 아웃바운드에 대해 특정 서버 주소나 포트 번호를 차단 처리하면 되겠고요.
다른 특정 서버에서 이쪽 서버로 들어 오는 것을 차단하고 싶을 경우라면 인바운드에 대해 특정 서버 주소에 대해 차단 처리하면 되겠고요.
네트워크에서 차단 하고자 한다면 서버 접근 제어 솔루션을 도입해서 관리하는 것이 좋을 걸로 보이고요.
두가지 방법 가능할 것 같습니다.
1.상단 방화벽이 아닌 각 서버에서 iptable 등 방화벽 등을 설정하여 서버에 대한 허용/차단 정책 생성
2.L3 스위치라면 ACL로 설정하여 허용/차단 생성(L2 일부 콘솔 접근 가능한 장비 있지만 대부분 없음)
접근제어 솔루션은 일반적으로 알려진 RDP, SSH 포트를 사용하지 않고
다른 별도의 포트를 설정하여 사용합니다.
기존 원격 접속 가능한 포트 서버 방화벽에서 차단하면 됩니다.
참고로 보안이 아주 중요하면 서버단에 별도의 core 방화벽을 두고 관리하면
비용적으로는 추가되지만 보안적으로는 더 강화됩니다.
스위치에서는 액세스할 IP등록 하면 해당 IP차단이 됩니다. 그래도 모르니 위에 회님들이 말씀하신 대로
방화벽에서 포트 차단이나 IP차단 등록 하시면 됩니다.
리눅스든 윈도우든 자체 방화벽 있습니다. 해당 ip나 전체 ip 차단하시든지 ssh나 telent 서비스 내리시면 됩니다.
차니 | 4달 전
아니면 스위치단에서 설정하셔도 되고요.
스위치 access list...
일단 서버에 기본적으로 iptables 기능을 통해 차단 가능합니다. 서버 방화벽이라고 하죠.
그기능을 사용하면 가능합니다.
관련하여서는 아래 링크 참고하시기 바랍니다.
https://linuxstory1.tistory.com/entry/iptables-%EA%B8%B0%EB%B3%B8-%EB%AA%85%EB%A0%B9%EC%96%B4-%EB%B0%8F-%EC%98%B5%EC%85%98-%EB%AA%85%EB%A0%B9%EC%96%B4
에이스퐝 | 4달 전
스위치에서 acl 정책으로 차단이 되지만, 서버에서 iptables 기능을 통해 막는것도 방법입니다.
아니면 서버에서 host-allow, deny 기능을 통해 sshd 등 포트 차단이 가능합니다.
그것도 해당 포트가 맞으면 사용가능합니다.