공인IP가 할당된 서버는 외부 통신이 가능하지만 사설IP가 할당된 서버는 외부와 통신하려면 NAT를 통해 NAT IP를 달고 나가게 되겠죠(outbound)
DMZ와 내부망 두 서버 다 모든 inbound는 다 막혀있는 상황에서 outbound만 열어놓았다고 한다면 보안적인 측면에서 차이점이 있을까요?
외부통신 시 NAT 와 공인IP 할당에 대한 차이
공인IP가 할당된 서버는 외부 통신이 가능하지만 사설IP가 할당된 서버는 외부와 통신하려면 NAT를 통해 NAT IP를 달고 나가게 되겠죠(outbound)
DMZ와 내부망 두 서버 다 모든 inbound는 다 막혀있는 상황에서 outbound만 열어놓았다고 한다면 보안적인 측면에서 차이점이 있을까요?
7개의 답변이 있습니다.
DMZ와 내부망 두 서버 다 모든 inbound는 다 막혀있는 상황에서
DMZ는 web 서비스이므로 in/out이 필요하지만 내부는 deny하고 외부에 대해 any를 한다면
보안 측면은 내부 사용자가 DMZ로 들어오는걸 deny 해야할것 같고
내부 zone 또한 in/out 쪽에서 out은 전체 any를 하거나 필수 접근 제어를 하시면 됩니다.
보안 측면에서, 특정 네트워크 구성 및 정책에 따라 아웃바운드 통신을 위한 NAT를 사용하여 공용 IP 주소가 할당된 서버와 사설 IP 주소가 할당된 서버 간에 약간의 차이가 있을 수 있습니다.
가시성: 공용 IP 주소가 있는 서버는 인터넷에서 직접 액세스할 수 있으므로 잠재적으로 공격자가 더 쉽게 볼 수 있습니다. 반면, NAT 뒤에 개인 IP 주소가 있는 서버는 인터넷에서 직접 액세스할 수 없으므로 인터넷에서 취약한 시스템을 검색하는 공격자에게 눈에 덜 띄게 될 수 있습니다.
공격 표면: 공용 IP 주소가 있는 서버는 인터넷에서 직접 액세스할 수 있으므로 공격 표면이 더 커질 수 있습니다. 이는 잠재적인 공격자가 이러한 서버를 조사하고 공격할 더 많은 기회를 갖게 된다는 것을 의미합니다. NAT 뒤의 서버는 인터넷에서 직접 액세스할 수 없기 때문에 공격 표면이 줄어들지만 내부 네트워크 내에서 시작된 공격에는 여전히 취약합니다.
네트워크 분할: DMZ의 서버는 일반적으로 공용 IP 주소를 가지며 특정 서비스를 위해 인터넷에 노출됩니다. 내부 네트워크의 서버에는 개인 IP 주소가 있는 경우가 많으며 인터넷에서 직접 액세스할 수 없습니다. 이러한 네트워크 분할은 보안 사고의 영향을 억제하고 완화하는 데 도움이 될 수 있습니다. 그러나 DMZ와 내부 서버 모두 네트워크 내 시스템을 손상시키는 공격자의 내부 위협이나 측면 이동에 여전히 취약할 수 있습니다.
통제 및 모니터링: 공용 IP 서버와 사설 IP 서버 모두 액세스 제어 및 모니터링 조치의 대상이 될 수 있습니다. 그러나 공용 서버는 인터넷에 노출되어 있기 때문에 더 엄격한 제어와 모니터링이 필요할 수 있습니다. 또한 NAT 뒤의 서버는 특히 해당 연결이 손상되어 공격의 중심점으로 사용되는 경우 무단 아웃바운드 연결을 감지하고 방지하기 위해 추가 모니터링이 필요할 수 있습니다.
위험 노출: 공용 IP 주소가 있는 서버는 인터넷에서 직접 액세스할 수 있기 때문에 위험 노출이 더 높을 수 있지만 NAT 뒤의 서버는 보안 위험으로부터 면역되지 않습니다. 잘못된 구성, 내부 서비스의 취약성 및 내부자 위협은 여전히 DMZ와 내부 네트워크의 서버에 심각한 보안 위험을 초래할 수 있습니다.
요약하자면, 공용 IP주소가 있는 서버와 NAT 뒤의 서버는 모두 보안 고려 사항이 있지만, 사용되는 IP 주소 지정 체계에 관계없이 위험을 완화하고 안전한 네트워크 환경을 유지하려면 적절한 네트워크 분할, 액세스 제어, 모니터링 및 취약성 관리가 중요합니다.
와 내용 잘 보았습니다.
보안적인 측면에서 보면 DMZ 서버는 대외서비스를 하기 위한 존으로 외부에서 Inbound로 들어와야 되는게 맞을듯싶은데요. 당연히 외부로 Outbound로 패킷도 나가야 하고요.
DMZ는 NAT를 하지 않고 기본적으로 방화벽 인터페이스에 공인IP대역으로 되어 있어서 NAT를 시키는 개념은 아니고요. 그렇지 않은 경우에 DMZ서버를 둘 이유는 없어보이고요.
내부망서버는 당연히 외부에서 inbound 형태의 패킷이 들어오면 안되고 Outbound를 하려고 하는것도 DMZ서버나 외부 중계 서버를 이용하여 내보내는 게 맞습니다.
내부에서 외부로 내보낼려면 NAT를 하는게 맞고, Inbound를 막고 Outbound만 하게 되더라도, 만약 그 서버가 외부의 서버와 1:1로 Outbound로 내보내는게 아닌 이상 보안상 문제가 있어서 위처럼 중계서버를 DMZ에 두고 거기서 나가게 하는게 좋습니다.
되도록이면 내부의 서버를 NAT 태워서 외부로 내보내는건 보안상 문제가 있습니다.
공인 IP라는 것은 인터넷에 공인된 IP라는 의미가 되겠고, 인터넷에서 공식적으로 사용할 수 있는 IP입니다.
인터넷에 당당하게 내어 놓고 사용할 수 있는 IP가 되겠고요.
사설 IP는 인터넷에 허용된 IP가 아니기 때문에 인터넷을 사용할 때, 인터넷에 공인된 IP의 도움을 받아야만 인터넷을 사용할 수 있는 것이고요.
NAT이라는 것이 Network 주소를 변환하는 기술이 되겠는데...
사설 IP로는 원칙적으로는 인터넷을 사용할 수 없는 것인데,
이 NAT이라는 속임수 같은 기술을 이용해서 사설 IP가 인터넷이 가능하도록 네트워크 주소를 공인 IP인것처럼 속여서 원칙적으로 인터넷이 불가한 사설 IP를 공인 IP인 것처럼 바꿔줘서 인터넷이 가능하게 만들어 주는 것이되겠습니다.
인터넷 공간인 외부에서는 내부에 있는 사설 IP를 볼수가 없습니다.
인터넷에 연결되는 모든 IP들은 공인 IP이 가능하고, 공인 IP들만이 존재 가능하고 공인 IP만이 인식이 가능한 인터넷 주소가 됩니다.
NAT 역할을 해 주는 기기가 내부에 있는 사설 IP들을 공인 IP로 매칭 변환 시켜서 인터넷이 가능하게 해 줄 수 있게 되는 것입니다.
한마디로 말해서 공인 IP는 인터넷에 공인된 IP인 것이고,
NAT이라는 것은 인터넷에 공인되지 않은 IP를 인터넷에 공인된 IP로 변환해서 인터넷을 사용할 수 있도록 해주는 일종의 사설 IP를 공인 IP인 것처럼 속여 주는 기술이라 생각하면 되겠습니다.
동일 조건이라면 nat가 보안이ㅡ좀 더 낫지
않을까요?
외부통신 서비스를 위한 방법으로 NAT와 공인IP 설정을 하는데요.
비슷하지만 차이는 있습니다.
NAT : 내부 IP를 외부 공인 IP로 전환해주는 기술입니다.
> 여러 장치를 하나의 공용IP 설정하여 하나의 공인IP로 여러 장비에 인터넷 서비스를
이용할 수 있어 공인 IP를 절약할 수 있음. (외부 IP를 1:1대 설정 해주는 경우도 있음)
> 설정에 따라 내부 네트워크와 외부 네트워크 구분(?)되어 있어 내부 네트워크 보안 강화
목적으로도 사용합니다.
(단, 잘못설정하면 내부 네트워크까지 뚫릴 수 있어 NAT보다는 공인IP로 독립된 DMZ zone에
설정하는 경우가 더 많습니다.)
> NAT는 보통 라우터, 방화벽 등에서 관리할 수 있습니다.
> 단점으로는 여러 장치가 하나의 IP를 사용하기때문에 IP 추적이 어렵고,
특정 서비스 이용 제한도 발생할 수 있습니다.
공인 IP 할당
> 외부 IP를 온전히 할당 받으므로 원활한 인터넷 서비스가 가능합니다.
> 직접 IP를 할당하는 만큼 하나의 장치에 하나의 공인 IP가 필요합니다.
> 인터넷에서 직접 서비스하는 웹서버, 이메일, 라우터 등에 할당하는 경우가 많습니다.