|
[필독] 처음 오시는 분을 위한 안내 (735) |
정은준1 |
2014-05 |
5139477 |
0 |
2014-05
5139477
1 정은준1
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1674028 |
25 |
2015-12
1674028
1 백메가
|
66842 |
약먹은(?) 튜리온 (14) |
김남수 |
2005-12 |
5681 |
30 |
2005-12
5681
1 김남수
|
66841 |
A3 지원 레이져 프린터 문의드립니다. (1) |
조용주 |
2006-04 |
5681 |
26 |
2006-04
5681
1 조용주
|
66840 |
혹시 에니메이션 학과를 다니는 분이나 졸업하신 분들 조언 구합니다. (6) |
메이트 |
2011-11 |
5681 |
0 |
2011-11
5681
1 메이트
|
66839 |
윈도우 2003입문 서적관련입니다 (2) |
Sico |
2009-03 |
5681 |
0 |
2009-03
5681
1 Sico
|
66838 |
하드디스크 파일 유지한상태로 레이드카드만 교체할수 있나요? (2) |
곽선호 |
2006-03 |
5681 |
6 |
2006-03
5681
1 곽선호
|
66837 |
AGP 2x 4x 8x 호환성에 대해.. (3) |
박찬민 |
2008-02 |
5681 |
8 |
2008-02
5681
1 박찬민
|
66836 |
eSATA 외장 하드 딜레이 시작 (1) |
유호준 |
2012-09 |
5681 |
0 |
2012-09
5681
1 유호준
|
66835 |
가상머신 공유기 제작-2 (1) |
방o효o문 |
2011-10 |
5681 |
0 |
2011-10
5681
1 방o효o문
|
66834 |
노코나용 쿨러 어디서 구입해야 하나요 (2) |
강정혁 |
2005-06 |
5681 |
9 |
2005-06
5681
1 강정혁
|
66833 |
AMD CPU 질문입니다 (3) |
김윤술 |
2011-12 |
5681 |
0 |
2011-12
5681
1 김윤술
|
66832 |
삼보 averatec 6600 시리즈 노트북에서 문제인데요.. (2) |
이정동 |
2007-04 |
5681 |
27 |
2007-04
5681
1 이정동
|
66831 |
D945GCLF2 메인보드 내장그래픽 해상도관련 (1) |
안형곤 |
2009-02 |
5681 |
0 |
2009-02
5681
1 안형곤
|
66830 |
인텔 ssd pro 1500 사용중인데요. rma질문드립니다. (5) |
다온 |
2016-12 |
5681 |
0 |
2016-12
5681
1 다온
|
66829 |
Micro gen8에 i7-3770t를 붙힐수있습니까?.. (10) |
송진현 |
2016-01 |
5681 |
0 |
2016-01
5681
1 송진현
|
66828 |
옥션발 sas dell SAS 5/i 최신 바이오스 좀 구해주세요 |
박승진 |
2007-10 |
5681 |
14 |
2007-10
5681
1 박승진
|
66827 |
튼튼한 서버 뭐가 좋을까요? (10) |
초보IT |
2016-03 |
5681 |
0 |
2016-03
5681
1 초보IT
|
66826 |
s-ata하드를 ide처럼 쓸 수 있나요? (4) |
이상철 |
2005-06 |
5681 |
5 |
2005-06
5681
1 이상철
|
66825 |
DRIVER_IRQS_LESS_OR_NOT_EQUAL 이것의 해답 좀 부탁드립니다. (8) |
최영철 |
2005-11 |
5681 |
14 |
2005-11
5681
1 최영철
|
66824 |
소켓775 보드중에서 램 8GB이상 장착가능한 보드 없을까요? (5) |
박병희 |
2007-10 |
5681 |
7 |
2007-10
5681
1 박병희
|
66823 |
전원 5초간 들어온 후 꺼집니다. (2) |
김동률 |
2006-06 |
5681 |
38 |
2006-06
5681
1 김동률
|
그리고, esxi 에 들어가서 위 고정 ip 로만 접속할 수 있게 하면 (체크되어 있는 전 항목). 외부에서는 그 어떤 포트로토 접근할 수가 없습니다. 모든 포트가 닫혀 있는데 아무것도 못하죠. ^^
ec2 의 windows2013 은 원격터미널을 제공해 주고 그거로 접속하심 됩니다. 거기다 ESXi client 깔고 접근하심 되요.
이게 참 웃긴게.. 제가 ec2 없이 그냥 오픈된 상태로 쓰고 있었을 때 root 계정을 비활성화 하고, 다른 계정을 생성해서 그걸 root 권한 줬거든요. 그런데도 어느날 서버가 접속이 안되더라고요. 뭔가 OS 적인 결함을 이용한것 같습니다. 그래서 결국 IDC 가서 esxi 초기화를 했습니다.
제가 쓴 이 방법으로 하면 돈 한푼 안들이고 완벽하게 막을수 있습니다.
ps) ec2 에서 windows 2013 서버로 생성하시고요, (1) 그 서버에서도 유저를 하나 만들고 administrator 권한을 주고, (2) administrator 계정을 원격 접속 막고, (3) 유저 비번 3회 오류시 5분간 잠금 (너무 길게 잡으면 나 조차도 접속을 못함 ;;) (4) 비밀번호는 숫자+영문자+특수문자 조합 12자리 이상. 이거 까지 하면 정말 완벽해 집니다. 아무래도 윈도우 비번이 브루투스 공격으로 뚫는데 시간을 걸리는게 마우스로 클릭해서 커서를 놓고.. 이런게 자동화가 좀 힘들어서 그런거 같기도 하고요.
(3) 로컬보안설정 > Account Policies > Password Policy > Account Lockout Policy > 3회, 5~10분으로 설정
(2) 이 순서대로 하면 됩니다.
1. Start | Run | Gpedit.msc if editing the local policy or chose the appropriate policy and edit it.
2. Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignment.
3. Find and double click "Deny logon through Remote Desktop Services"
4. Add the user and / or the group that you would like to dny access.
5. Click ok.
속도가 좀 많이 느리긴 합니다만...이것도 괜찮네요.
근데...1년간 무료라고 나오는군요. 이후에는 유료로 전환될지도 모르겠습니다.
여튼...좋은 정보 감사합니다.
1년 지나면 알짤없이 과금 됩니다.
http://aws.amazon.com/ko/free/
여기서 도움 많이 받았으니 저도 좀 풀어야죠 ^^
그리고, linux 의 경우 fail2ban 이란걸 깔면 브루투스 공격 및 기타 각종 공격이 막아 지더군요. 가령 비밀번호 3회 틀리면 그 IP 를 영구히 막아 버릴수 있습니다. 이거도 한번 알아 보시구요.
아마존에서 Windows 2013, Redhat 두가지 생성할 수 있는데 Windows 2013 만 생성하고 Redhat 은 생성하지 마세요. 30GB 까지만 무료입니다. 즉, Redhat 까지 생성하면 과금이 됩니다. 사용량이 없을때 한달에 3천원 정도 나오더군요. Windows 2013은 ESXi client 설치하느라 필요하지만 Redhat 은 ESXi 에서 생성하면 되므로 그다지 쓸떼가 없긴 합니다.
아마존 EC2 계정의 서비스로 router/firewall 을 만들어서 실제의 서버에 연결하도록 하는방식?
승훈님의 질문에 대한 저의 답입니다.
물리적으로 방화벽을 분리하기 전까지 제가 사용했던 방법 입니다.
1. Esxi에 방화벽용 VM을 생성합니다.(Pfsense,untangle,MS FTMG 등등)
2. Esxi서버는 위에서 생성한 방화벽의 사설망 IP를 부여합니다.(대부분은 NAT방화벽으로 셋업합니다)
3. 방화벽에 포트 포워딩을 하던지 1:1 NAT를 하던지 해서 esxi서버는 외부 접속이 가능하게 하고
4. 방화벽 룰은 특정네트워크나 호스트 IP 만 esxi서버로 향하도록 합니다.
위의 방법말고 VPN을 이용하는 방법도 있습니다.
VM을 생성하고 방화벽에서 지원하는 VPN서버를 구동하고 외부에서는 무조건 VPN에 접속해서 esxi서버에
접근하는 방식입니다. 위에서 3,4번 셋업 대신에 VPN서버를 셋업해야겠지요.
근데 만약 router VM 이 다운되면 ESXi에도 접속이 안되는거죠?
Pfsense로 6개월 이상 운영해봤는데 한 번도 다운된 적은 없었습니다.
esxi 업그레이드 하고 재부팅 할 때 아무것도 안되는 상황들이 조금은 불편해서
현재는 pfsense방화벽을 외부로 두고 사용 중 입니다.
SBC로 그런 라우터를 만들어서 파는건 어떤지 ㅎㅎ 구상중입니다.
제가 상상을 해보니... 브룻포스로 패스워드를 헤킹했는데 로그인이 안되는 그런 현상?
그냥 놔두어도 될것 같습니다만... 어떻게 생각하시나요?
아무래도 외부로 노출되는 서버는 신경을 많이 쓸 수밖에 없잖습니까..
좀 고민되는 사항이네요...
error
5/13/2015 11:18:06 PM
root 으로 로그인에 성공하면 위와 같이 나옵니다...
그리고 root 으로 fail 하면 이렇게 나오네요...
Cannot login root@222.69.94.13
error
5/13/2015 12:25:48 AM
root
선별적 통과를 시키는 firewall 보다 더 강한 보안방식입니다.
해커가 ec2 서버에 로그인을 하지 못하는 이상 그 어떤 방법으로도 접근이 불가능합니다.
해킹시도가 무진장 오지만 아직까지는 뚫린 적이 없긴한데 혹시 털리면 어쩌나... 고민이긴 합니다.
딱히 대책이 아직 없어서 그냥 쓰고 있네요.
ESXi 서버란게 파악되면 해커들이 집중적으로 뚫기 시작합니다...
요즘 중국애들 자동화 톨로 해킹 엄청나게 하는거 같습니다.
linux 이상한 IP 접속 시도 들어오면 다 중국이더군요..
ec2가 12개월이 무료라고 되어있습니다.
무제한 평생무료는 아닐듯하기도하여 고민되는 부분입니다.