가상화를 통한 망분리 관련 문의드립니다.

waney   
   조회 3411   추천 0    

언제나 고차원적인 답변주시는 2cpu 회원여러분!

2020년 새해 복 많이 받으시고 하시는 일 모두 대박나시길 기원하겠습니다.


본론으로 들어서서 업무관련 한pc 내에서 망을 분리해서 사용해야할 사정이 생겨 virtualbox로 망을 분리하려고 시도중에 있습니다. 

편의를 위해 A망, B망이라고 지칭하겠습니다.(인터넷은 분리된 별도의 회선에 연결 ex. A망 : 사설인터넷, B망 : usb lte 라우터)


여기서 확인하고싶은 내용은 호스트PC와 가상화os 모두 인터넷은 가능해야하지만 

가상화로 설치된 os의 네트워크 송출신호가 B망으로만 이뤄져야 한다는 것입니다. A망에 송출되면 안됨 

그래서

-> 호스트pc에는 내장된 네트워크어댑터로 통신을 하고, 

-> 가상화os에는 usb lte 라우터만 설치해 통신을 할 생각입니다. 


상기와 같이 진행했을때 제가 생각하는 것처럼 가상화os의 인터넷 송출신호가 호스트pc의 네트워크로 전달이 차단될까요? 


고수님들의 고견 부탁드립니다.


감사합니다. 

짧은글 일수록 신중하게.
가상머신 설정에서 네트워크 꺼서 A망으로 통신을 막고,
USB 라우터를 가상OS에 마운트시켜서 드라이버 잡고 사용하면 됩니다.
     
waney 2019-12
생각한바가 맞는 듯 하네요 혹시 네트워크는 nat 으로 해야하나요 bridge로 해야할까요?
          
가상머신 네트워크를 말씀하시는건가요?
가상머신 네트워크는 끄셔야 합니다.
          
혹시 호스트에서 A망, B망에 모두 접근이 가능해야 하나요?
               
waney 2019-12
아뇨 그럴 필요는 없습니다. 호스트는 둘다 통신해도 무방하며, 가상화os에서만 B 망으로 통신을 제한하기만 하면 됩니다.
어댑터 문의드린건 가상화os에서 B망으로 통신하기 위해 어댑터를 설치해줘야할텐데.. 라는 생각에 문의드린바였는데 usb 라우터니까 별도로 설치안해도 되겠다 싶네요 ~ 답변감사드립니다.
DeepSky 2019-12
예전에 Virtual Box 기준으로 가상 OS 에서 USB LTE 라우터를 USB 장치로 인식시키면, 호스트 PC 의 USB 인식은 끊어지는 것으로 봤습니다.
( 유사한 내용으로 USB 메모리를 가상 OS에서 USB 장치로 인식시키면, 호스트 PC 의 내 컴퓨터에서 안보였습니다. )

그렇게 연결한다면, 호스트 PC 에서는 USB LTE 라우터를 통해서 네트워크가 안될 것 같네요.
또한 호스트 PC 에서 USB LTE 라우터 인식이 안되기 때문에, 호스트 PC의 가상 머신 어플리케이션 (Virtual Box 든 VMware 든) 에서 NAT 혹은 Bridege 설정이 불가할 것 같습니다.
     
waney 2019-12
헉 당연히 usb 라우터가 잘 되리라 생각했는데..

혹시 제가 잘 이해했는지 모르겠는데
가상 os usb라우터 연결 -> 호스트 usb 인식해제
이 상태에서 가상 os상의 usb 라우터 연결은 살아있었나요? 호스트가 usb 라우터로 통신할 필요는 없기때문에
라우터 연결이 살아있고 통신이 가능하다면 큰 상관없을것 같습니다만. 둘다 해제되는것이라면 문제가 되겠네요
 
그럼 별도의 네트워크 카드를 설치해서 가상os의 인터넷 망을 분리시키는건 가능할까요?
          
DeepSky 2019-12
- 가상 os usb라우터 연결 -> 호스트 usb 인식해제
라는 행위가 정상적으로 이루어졌다면, 해당 USB 라우터는
- 호스트 PC : 인식 안됨 ( 장치관리자에서 안 보임 )
- 가상 OS : 인식 됨
으로 되는 것으로 알고 있습니다. ( 저도 기억이 가물가물 해서 직접 해보셔야... )

- 그럼 별도의 네트워크 카드를 설치해서...
의 경우는, 즉, 서로 다른 네트워크 카드가 각각 호스트 PC 와 가상 OS 로 운영하는 것은 가능합니다.
그 대신 호스트 PC 가 가상 OS 의 트래픽을 전혀 모른다고는 보장할 수 없습니다. 즉, 호스트 PC에서 와이어샤크나 TCP 덤프 등으로 가상 OS 와 연결된 네트워크 카드 식별이 가능하며, 이로 인해 문제가 발생하지 않는다고 할 수 없습니다.
이 문제는 위의 USB 라우터를 이용한 경우도 유사할 것으로 생각됩니다. ( 호스트 PC에 USB 덤프 프로그램으로, 가상 OS 로 전송되는 패킷 캡쳐 )
               
waney 2019-12
아 그렇군요 그럼 원천적으로 가상 os 에는 인터넷을 인가하지 않아야 하겠네요. 감사합니다.
ZSNET5 2019-12
본인이 보안담당자라면 모르겠지만, 별도의 보안담당자가 통제하는 환경이라면 시도하지 않는 편이 좋습니다.
가상 머신들 끼리 손쉽게 자료를 이동할 수 있기 때문에... 보안팀 입장에서는 망분리로 인정해 주지 않습니다.
     
waney 2019-12
편의상 망분리라는 말을 차용하긴 했지만 보안의 목적은 아닙니다^^ 단기간 여러 테스트차 소프트를 깔고 지우고 해야하는데 소프트웨어사로 설치정보가 기업의 아이피로 송출되는 것을 방지하고자 하는 목적입니다. 트라이얼 버전들이 없는 소프트들이 있어서 고민해보던 차였습니다^^
술이 2019-12
일단 버츄어박스로는 망분리 안됨.
XEN같은 VDI로 해야 분리가 가능한데 라이센스가...
일단 제가 금융인가 받을때 가상화로 망분리 시도한적 있었습니다. 인가 마지막때쯤 인터넷망과 업무망 분리시켜야 한다고 하길레 왜 구축 내용에 없던걸 요구하냐 하면서 그냥 급한데로 Hyper-V로 확 업무망 외부망 분리시킨거 만들고 인가 금융감독위 담당자한테 가능하다 확인받고 후닥 만들고 나온적이 있었습니다.
한국사람들 편법 정말 좋아하는데 외국같으면 진짜 하나도 안봐줄겁니다. 꼬투리 잡는게...
     
waney 2019-12
고견 감사합니다. 위 댓글에 답변 하신 했지만 보안상의 망분리가 아니라서 그렇습니다^^
페선생 2019-12
메인 os에서 제어가 가능하기 때문에  눈가리고 아웅 일 뿐일텐데요
     
waney 2019-12
넵 맞습니다. 호스트에서는 저장소를 공유하기에~ 고견 감사드립니다
술이 2019-12
윈도우10이라면 그냥 Hyper-V 올리고 호스트는 랜카드 두개이상 설치하면 망분리는 쉽게 되죠. 보안이 목적이 아니라면 뭐 어려울건 아닌거 같네요.


QnA
제목Page 1105/5708
2014-05   5142381   정은준1
2015-12   1676593   백메가
2017-04   3361   metaljw
2016-09   3361   대륙의삽질
2018-07   3362   어랏
2017-06   3362   김제연
2019-12   3362   galaxyfamily
2021-11   3362   LsmLands
2022-06   3362   새옹지마아
2015-02   3362   전설속의미…
2019-10   3362   Noname1
2019-06   3362   일리케
2015-02   3362   장동건2014
2016-07   3362   김건우
2019-07   3362   대한민국
2017-09   3363   Noman
2018-02   3363   최시영
2020-09   3363   화정큐삼
2017-04   3363   두cpu
2020-09   3363   Sakura24
2022-06   3363   봉래
2020-09   3363   스무프