[astaro] astaro실습을 통하여 네트워크 DMZ 개념잡기
DMZ란?
컴퓨터 보안에서의 비무장지대로 조직의 네트워크와 외부네트워크 사이에 위치한 서브넷입니다.
내부와 외부가 DMZ로 연결할 수 있도록 허용하면서
DMZ내의 컴퓨터는 오직 외부에서만 연결할 수 있게 합니다.
즉 DMZ안에 호스트들은 내부네트워크로 연결이 불가능하다는 말이 됩니다
이것은 DMZ에 있는 호스트들이 외부네트워크로 서비스를 제공하면서 DMZ안의 호스트 침입으로 부터 내부네트워크를 보호한다는 뜻으로 해석을 하시면 되겠습니다
Tip! 외부에서 DMZ로 가는 연결은 포트주소변환(PAT)을 통해 제어가 됩니다
[그림 1-1]
그림을 보시면 쉽게 이해하실 수 있습니다.
보통의 경우 방화벽에서 걸러서 해주지만 지금의 경우는 보안상의 이유로 DMZ를 따로 설정한 경우입니다.
여러가지 경우가 있겠지만 지금의 경우는 웹서버에 DMZ를 같이 올려놓는 경우입니다.
VMware환경에서 네트워크를 3개 잡아놓습니다 모르시는 분은 클릭 하셔서 참고하시면 되겠습니다(astaro의 기본 설정과 설치과정입니다)
IP주소가 본 게시글과 똑같지는 않지만 유형은 똑같으니 주의하시길 바랍니다
본론으로 넘어가서
직원PC가 사내망을 넘어가서 외부와 통신을 하려고 합니다
보통의 경우 직원PC->방화벽->외부망 을 통하지만 이번의 경우는 직원PC-> 방화벽 -> DMZ -> 외부망 순으로 가게됩니다
실습하기
네트워크 어댑터 확인
Astaro의 설정입니다
사원PC(WinXP)
DMZ(CentOS)
인터페이스부터 확인하겠습니다
DMZ
External(밖으로 나가는문)
Internal(내부의 첫번째관문)
설정이 잘맞나 확인해줍니다
방화벽
방화벽 설정을 해주겠습니다. 전에 설정대로 하셨던 분은 이렇게 되어있을겁니다
방화벽은 해당 설정한 서비스 빼고 전부 걸러준다는 뜻이기 때문에 예외사항을 추가시켜 줘야 합니다
1. DMZ네트워크에서
2. DNS와 웹서핑 서비스를 하겠습니다
3. 모든대상에게
저장해줍니다
디폴트값이 off이기 때문에 수동으로 켜줍니다
위처럼 HTTP서비스도 추가시켜줍니다
같이해줘도 무방합니다
ICMO탭에서 해당 체크를 하지 않으면 게이트웨이가 ping을 버리기 때문에 통신이 되지 않습니다
DNS
DNS서비스를 추가시키겠습니다
폴더아이콘 누르셔서 드래그앤 드랍하시고 적용하시면 됩니다
NAT
외부 공인망과 연결하려면 NAT는 필수입니다
왜 NAT가 필요하신지 모르시는분은
클릭 <- NAT에 대한 요점정리입니다
하셔서 NAT에 대한 개념을 잡고 오시기 바랍니다
NAT를 화면처럼 추가시켜줍니다
NAT탭으로 이동합니다
원래는 없어야 정상입니다(저는 미리 했어요)
새 NAT규칙을 눌러줍니다
똑같이 설정하고 목적지를 다음으로 변경 란에 + 버튼을 눌러줍니다(따로 설정해야합니다)
이렇게 설정하시면 파란색 밑줄처럼 따로 생기게 됩니다
그러면 이렇게 추가된 것을 확인하실 수 있습니다
DMZ가 될 CentOS 네트워크 설정
CentOS가 DMZ역할을 제대로 하도록 eth0을 수정해주겠습니다
CentOS의 IP를 확인합니다
CentOS는 현재 VM net2번 네트워크 어댑터에 물려있습니다
CentOS의 VMnet2번 확인
vi편집기로 해당 경로에 있는 lfcfg-eth0을 열어줍니다
DEVICE eth0 공용입니다
IPADDR = CentOS IP
BROADCAST = CentOS에서 ifconfig치면 나옵니다
GATEWAY=아래 사진 참고
HWADDR: 맥주소이며 CentOS의 ifconfig에 있습니다
설정을 완료했으니 네트워크를 restart해줍니다
외부로 잘 나가는지 확인
잘갑니다
DMZ에서 또한 잘나갑니다
외부에 도메인을 입력해서 직접 접속하는 모습입니다
-----이렇게 기본적인 셋팅은 완료되었습니다------
직접 웹서버를 올려보자!
아파치서버를 시작해줍니다
저같은경우 이미 켜져있기 때문에 restart를 했고 보통분들은
service httpd start 해주시면 되겠습니다
아파치서버는 일종의 웹서버라고 보시면 됩니다
열려있으니 들어가봐야겠죠?
자기 자신의 서버에서 열었으니 주소는 localhost가 되겠습니다
아무설정도 안하신분은 아파치서버의 페이지가 나옵니다
메인페이지(index) 수정하기
해당 경로에 있는 index.html을 열어줍니다
아파치서버는 index.html을 기본 메인페이지로 잡고 있습니다
열어준 index.html파일을 html양식에 맞게 수정하시면 되겠습니다
외부 PC에서 접속해보기
vmware 상단 메뉴에서 edit - Virtual Network Editor를 눌러서
Bridged에 밑줄친 부분처럼 Realtek인지 확인합니다
3번 어댑터를 Bridged로 바꿔줍니다
바꾸고 확인을 하면 잠시동안 끊긴 것을 확인하실 수 있습니다
그리고 기다리시면 IP를 새롭게 받아오는 것을 확인하실 수 있습니다
그리고 VMware가 아닌 저의 윈도우화면에서 해당 주소로 들어가면 이렇게 웹페이지로 접속이 되게 됩니다
오늘까지는 기본 설정이였습니다
어느정도 기초적인 네트워크 지식이 있어야 이해하기 편하셨을겁니다
내일부터는 이것을 가지고 직접 공격하는 글을 써보겠습니다
오타나 질문은 댓글, 방명록 혹은 rednooby@gmail.com 으로 보내주시면 최대한 빨리 확인해서 답변드리겠습니다