LovelyJubbly 2013-04

허브에서 ssh 프로그램을 실행해 다른 서버에 접속하기 위해선
L7 어플리케이션 레이어까지 지원 되어야 하니 가능한 허브는 없지 않나 생각합니다.

회원K 2013-04

그런가요?
서버관리자의 접속 point를 웹서버의 공식 ip에서 다른거로 바꾸려고 하는데 쉽지 않네요.

이은호 2013-04

제가 의도를 잘 이해를 못했는지 몰라도,
별도로 원격접근통제시스템이 필요해 보입니다.
PROXY 시스템 같은거죠.
관리자가 메인이 되는 접속관제시스템에 접속하여 접속권한인증처리등을 수행하고,
접속관제시스템에서 일회성 동적 포트를 생성(listening)하여
접속대상서버의 특정 소켓에 연결(port forward / bouncing)시켜주는 구조를 가지고 있죠.
솔루션을 알아보셔야할 듯 합니다.

보안 때문에 관리를 위한 접속 경로를 별도로 구축하실 의도라면,

제가 관리하는 시스템의 경우에는
1. 서버 및 각종 인프라를 모두 사설IP로 설정해놓고,
2. 메인 라우터에 공인IP 대역을 모두 할당해놓습니다.
3. 라우터에서 공인IP-사설IP 1:1 NAT 설정을 통하여 외부로 서비스 합니다.
4. 시스템 관리를 위해서는 VPN으로 내부 사설 대역으로 접근합니다.

서버에는 공인IP정보가 포함되지 않고, 공인IP는 모두 라우터에서 제어하는 구조라
필요시에 특정 서버를 공인 네트워크로 연결시킬 수 있고, 해제할 수 있는 특징을 갖습니다.
보안에도 적절히 도움이 되더군요.(대신 라우터가 조금 힘들어하는 것도 같습니다)

회원K 2013-04

맞습니다.
관리자가 개발코드 업그레이드 등을 공인 ip에 연결된 네트웍으로 하면 장기적으로 문제가 될 것 같아서
망을 분리하려고 합니다.
2개의 스위치를 가지고 서버를 각각 외부망 스위치와 내부망 스위치에 연결해 두었는데,
외부망 스위치 앞에는 IPS/Firewall을 걸어서 모든 트래픽을 관제하고
내부망은VPN을 통해 개발자들만 접근가능하게 하려고 합니다.

비싼 라우터를 못 가지고 있기 때문에, 4번만. 해보려고 하는 것 입니다.
L2 Managed Switch. 델 5524로 가능할까요?
이때 사무실과 IDC를 VPN 연결하려면, 델 5524를 2개 사야 하나요?

milyman 2013-04

포티넷 장비 사시면 SSL VPN이 올라갑니다. 가장 기본라이센스로요
개발자 PC에 SSL VPN 깔아주고 VPN으로 접속하게 정책을 해줄수 있습니다.
KT 리스라고 하면 그쪽에서 기술지원이 가능하지 않을까 추측해봅니다.

회원K 2013-04

포티넷으로도 가능하지만, 아예 다른쪽을  열어버릴려고 생각했습니다.

디오 2013-04

일단 cisco에는 ssh 명령어가 있습니다. 한번도 써본적은 없지만요.

김서방 2013-04

말씀하신 vpn연결을 위한 네트워크는 아래의 형태로 만드시면 되실듯 합니다.
리눅스나 윈도우를 이용해서 vpn서버를 하나 두시고 그 서버 하단에 사설 네트워크를 구성하시면 될 듯 싶습니다.
---internet---firewall-vpn server--switch(vlan)---server(private ip)
---internet---firewall-swith(vlan)---server(public ip)
상단 방화벽에서는 서비스와 관련된 포트를 제외하고 다 막으시면 될것 같고
보안을 위해서 사무실 네트워크 대역대에서 vpn 서버를 향하는 패킷만 허용하면 기본적인 보안은 될듯 싶지 않을까 싶습니다.

이은호 님의 구성은 저희 회사와 비슷한 설정이네요.^^
보안상 안전하게 설계된 네트워크 형태중에 하나로 판단합니다.
다만 저는 서비스 하는 서버들은 별도로 DMZ망에 둡니다.
서버가 해킹당했을 경우 내부망을 보호해야 하기 때문입니다.
상단 L3 스위치가 성능이 떨어지면 살짝 문제가 되긴 합니다.
저희 회사도 저가 방화벽(L3)썼다가 네트워크가 불안해져서
얼마전에 남는 리눅스머신에 랜포트 추가해서 리눅스로 NAT 방화벽 형태로 사용 중 입니다.
wan쪽 트래픽이 거의 없는 회사라서 리눅스 머신으로 구성한 방화벽이 훨씬 안정적으로 동작하더군요.

회원K 2013-04

---internet---firewall-vpn server--switch(vlan)---server(private ip)
vpn 서버를 넣을 공간이 없습니다. 라즈베리파이 같은 것이 아니면 어려워요.
vpn 서버의 기능을 switch에서 하게 할 수는 없을까요?

김서방 2013-04

일반적으로 L2스위치는 osi 7계층중에서 layer 2에서만 동작하기 때문에 vpn접속 같은 기능을 구현할 수가 없습니다. 따라서 필요하신 기능을 구현하실려면 layer 3(L3) 스위치가 필요합니다.
보통의 경우 네트워크 구조상 상단 firewall의 경우 L3 역할을 하므로 firewall에 vpn 기능이 있다면
firewall에서 vpn설정해서 사용하면 되실겁니다.

라즈베리파이 같은 경우에는 랜포트가 1개여서 vpn을 구성하기에는 다소 어려움이 있지않을까 싶습니다.
물로 1nic으로도 구성은 가능한것으로 알고 있습니다.(대부분 ip alias를 이용하는듯 합니다.)
꼭 vpn이 필요하시다면 저가의 iptime공유기에 탑재된 vpn 기능을 사용하셔도 됩니다.

보안에 민감한 상황이 아니시라면 ssh나 sftp등을 이용해서 데이터 주고 받으시면 그나마 어느정도는
안전한 데이터 전송이 되므로 반드시 vpn을 사용하지 않으셔도 되지 않을까 생각해 봅니다.

현재 상단에 방화벽이 있다면 상단 방화벽에서 방화벽 룰만 잘 잡아서 쓰셔도 괜찮을듯 보이구요.
방화벽이 없는 상태라면 델 L2  스위치에도 접속관련한 ACL 를 사용 가능하실겁니다.
스위치 자체에 대한 접속을 컨트롤 하시면 스위치에 할당된 공인ip 에 대한 보안도 어느정도 되실 겁니다.

회원K 2013-04

그렇군요. 네트웍에 손을 놓은지 꽤 되어서
ip 대역대 관리나 포트관리를 이용해도 어느정도 가능할 것 같은데,
가끔 모바일 환경에서 접속해야 할 때...조금 난감함이 있더라구요.
사무실에 PC 1대를 따로 빼서 그것을 통해서만 들어가게 하는 방법도 찾아봐야 하겠네요.

정부에서 어느정도 이상 사이트는 망분리를 하라고 해서... 고민중인거에요.