|
[필독] 처음 오시는 분을 위한 안내 (734) |
정은준1 |
2014-05 |
5153056 |
0 |
2014-05
5153056
1 정은준1
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1687450 |
25 |
2015-12
1687450
1 백메가
|
53760 |
intel robson이 뭔가요? (2) |
조명진 |
2007-06 |
5203 |
12 |
2007-06
5203
1 조명진
|
53759 |
제온 개조관련 문의 (5) |
컴초봉 |
2015-10 |
5203 |
0 |
2015-10
5203
1 컴초봉
|
53758 |
굴착을 해야 할 것 같은데, 견적이 얼마나 나올까요? (18) |
회원K |
2014-09 |
5203 |
0 |
2014-09
5203
1 회원K
|
53757 |
32비트 운영체제에서 초과램 사용 여부 (5) |
차평석 |
2014-08 |
5203 |
0 |
2014-08
5203
1 차평석
|
53756 |
놋북하드를 외장놋북하드케이스에 꽂아서 USB2.0으로 연결했는데 자꾸 죽네요 (1) |
김건우 |
2006-10 |
5203 |
28 |
2006-10
5203
1 김건우
|
53755 |
p410에 쓸 케이블은 어떤걸 구매해야하나요?.. (4) |
읍내노는오빠 |
2013-07 |
5203 |
0 |
2013-07
5203
1 읍내노는오빠
|
53754 |
이런 아답타 케이블을 어디서 사야하는건가요..? (5) |
대한민국 |
2014-07 |
5203 |
0 |
2014-07
5203
1 대한민국
|
53753 |
제온 쿨러 어떤게 조용할까요? (4) |
문추기 |
2006-10 |
5203 |
14 |
2006-10
5203
1 문추기
|
53752 |
케이스 질문입니다. (3) |
홍상훈 |
2006-12 |
5203 |
29 |
2006-12
5203
1 홍상훈
|
53751 |
펜4 2.8e VS 펜D 805 업글? 옆글? (3) |
권희석 |
2006-03 |
5203 |
19 |
2006-03
5203
1 권희석
|
53750 |
CentOS 파일 옮기고 있는데 도와주세요 (5) |
prasha |
2016-05 |
5203 |
0 |
2016-05
5203
1 prasha
|
53749 |
무선마우스 (MX Master) 간헐적 끊김 증상: 베터리 vs. 회로? (5) |
HALCIVXIVC |
2022-07 |
5203 |
0 |
2022-07
5203
1 HALCIVXIVC
|
53748 |
MLC라는 USB메모리카드 괜찮나요 (2) |
우승엽 |
2006-12 |
5203 |
28 |
2006-12
5203
1 우승엽
|
53747 |
PVC파이프 vs 스텐파이프 (5) |
미나리나물 |
2018-10 |
5203 |
0 |
2018-10
5203
1 미나리나물
|
53746 |
네로에서 이런 오류가 납니다 뭘까요? (2) |
임시현 |
2008-06 |
5203 |
21 |
2008-06
5203
1 임시현
|
53745 |
인덕션과 가스렌지 (16) |
pumkin |
2020-01 |
5203 |
0 |
2020-01
5203
1 pumkin
|
53744 |
SCSI 카드의 채널의 의미는 무엇입니까? (6) |
양재혁 |
2005-10 |
5203 |
6 |
2005-10
5203
1 양재혁
|
53743 |
SATA HDD --> SCSI HDD로 복사하려면 어떻게 ... (7) |
신성화 |
2007-10 |
5203 |
8 |
2007-10
5203
1 신성화
|
53742 |
라이젠 3900x, 메모리클럭에 영향받을까요? (9) |
영산회상 |
2020-09 |
5203 |
0 |
2020-09
5203
1 영산회상
|
53741 |
엘리트1600 (3) |
염재도 |
2005-10 |
5203 |
15 |
2005-10
5203
1 염재도
|
2. 퍼블릭 아이피가 여러개 있다고 NIC이 복수개 있을 이유는 없습니다. 하나의 랜 카드에 여러개의 MAC을 할당하고 여러개의 IP를 할당할 수 있습니다.
다만, 가상화 서버(?)에 바로 공인 아이피를 물리는게 좋은 정책인지는 고민하시는게 좋을 것 같습니다.
2. 번에 대해서 재 질문좀 드리자면 개별 인스턴스가 일단 서버 역할을 안해서 inbound 로열린 포트 자체가 아예 없기 때문에 공인 아이피를 바로 물려도 보안 문제는
크게 없을것 같은데 outbound 역할만 해도 공인아이피에 바로 물리는게 보안 이슈가 있을수 있나요?
그리고 제조자 할당 mac제외하고 추가 적으로 mac을 NIC에 할당한다면 esxi 설정 등에서 해당 설정을 하면 되는것인가요?
저렇게 올인원하셨으니 호스트의 제로데이 1방에 게스트 전부가 탈탈 털리겠네요
제로데이에 탈탈 털린다고 언급하신 걸 보니 RCE 같은데, DoS도 아니고 RCE?
Intel ME 취약점 같은 펌웨어 수준의 공격은 가능하긴 하겠네요. 그리고 이런 수준의 제로데이를 가정하면 안 뚫리는 시스템 없습니다.
인터넷 공유기는 어떻게 쓰시나요. WAN 직결된 리눅스 서버인데.
아니면 ESXi 꼬박꼬박 업데이트 안 해도 마이크로 코드가 낡아서 (흑은 패치가 안 되는 구형 프로세서를 저렴하다는 이유로 중고 구매해서 쓸 수 도 있습니다) 호스트의 정보가 유출되어서 호스트를 털진 못해도 크레쉬정돈 시켜버릴 가능성 있습니다
거기다가 인간이 관리하는 이상 실수로 설정 하나 잘못했을때도 바로 외부에 노출되게 되고, 가끔 셀 명령어 주기 위해 ssh를 열었을때 공격 당할 수 도 있습니다
가능성을 언급하기 시작하면 끝이 없으니 가능한한 위험은 피하는게 낫다고 봅니다
NAT를 거치면 최저한도로 포트 안 열어주는한 직접 건들긴 힘드니 일정 이상의 안전은 확보됩니다
장기적으로 꼬박꼬박 업데이트하고, 설정 점검도 하고, 실수 없이 무결하게 관리된다고 아무도 보장할 수 없는 이상 위험한건 비추천하는게 당연한겁니다 (설령 꼬박꼬박 업데이트해도 과거의 openssl heartbleed나 이번의 Windows Printer Spooler Nightmare같이 옛날부터 있던 취약점이 오래동안 알려지지 않아 패치 안 되고 있을 가능성도 있습니다)
그리고 라우터자체를 무조건적으로 과신하진 않습니다 (당연히 그거랑 별도로 방화벽이나 침입감지정돈 설치해둡니다)
이정도만 해놔도 최저한도로 뚤려서 뭔가 하면 경고정돈 받을 수 있습니다
거기다가 굳이 호스트를 털지 않아도 저렇게 바로 공인 ip주는 시점에서 게스트자체의 보안이란 측면도 문제가 있다고 봅니다 (도대체 어떤 소프트를 돌리는지 모르겠지만, Windows의 최근 업데이트 내역을 보고 있으면 바로 외부에 노출시켜도 괜찮은지 좀 의문이기도 합니다)
그냥 가상중 하나에 라우터계열 돌린후 여기 공인 ip 다 할당시키고, 게스트의 포트랑 1:1로 할당해주는게 나아보입니다
2. 근래 제로데이 공격은 무차별 공격이 아닌, APT의 형태로 이루어짐. 특히 특별한 조건 없이 RCE가 가능한 제로데이는 부르는 게 값이기 때문에 자동화된 공격에 사용될 가능성은 없음
3. 표적 공격의 경우, NAT를 붙이건 말건 의미가 없을 뿐만 아니라, 현재 글쓴이의 상황과도 맞지 않음.
4. 위와 같은 논리로, 라우터의 취약점은 어떻게 대응할 것인지?
5. 보안을 중시하는 기업 또는 개인이 제조사 지원이 중단된 구형 시스템을 유지하는 게 가당키나 한 소리인지?
댓글을 달 때마다 밑천이 들여다 보입니다.
보안 이야기를 할 거면 차라리 레퍼런스 구성을 추천하세요.
이런 문제가 또 발견되지 말란법도 없는게 현실입니다 (Windows만 그런게 아니라 모든 OS가 이러지 말란법 없습니다)
거기다 RCE까지 아니라도 업무용 시스템이니 Dos수준만 당해도 치명적이니 문제가 있습니다
또한 인바운드 포트가 없다고 무조건 안전하라고 보장은 없습니다 (공격하기 힘든것뿐이지 위에 적은대로 방화벽자체도 무결한게 아닌 이상 위험 부담이 있습니다)
NAT를 거치기만 해도 최저한도로 호스트 공격하는데 2가지 OS의 취약점을 찾아서 돌파해야 하고, 라우터나 다른 같은 네트워크의 기기에 백도어나 셀이라도 획득해서 호스트나 게스트를 공격해야하니 공격 난이도가 급격하게 상승합니다 (만일 아무것도 없다면 호스트나 게스트중 하나를 타겟으로 공격하면 됩니다)
NAT를 거치는게 자동화된 공격을 막기 유리하니 추천되는겁니다
설령 라우터의 취약점이 공격당하더라도 방화벽이나 침입감지 시스템을 설치해두면 어느정도 대비는 가능합니다
명확한 취약점이 있는게 아닌 이상 저런 공격을 할려면 하루,이틀만에 쉽게 뚤기 힘드니 시간이 걸리므로 저런것에 감지될 가능성이 커집니다 (랄까 WAN을 직접 호스트에 다 물리는경우 저런것 설치하기 귀찮아집니다)
그리고 라우터 보안을 애기하셨는데, 그런 논리로 말하면 ESXi등의 Host 방화벽이 뚤릴 가능성은 고려 안 하시나요? (상당한 시장 점유율을 자랑하고, 뚤리면 치명적이고, 취약점이 있다면 자동화 공격하기 좋은 이상 다양하게 존재하는 수많은 라우터를 대응하는 툴보다 횔씬 노려지기 쉽다고 봅니다)
또한 인바운드가 없으니 바로 물려도 안전하다는 논리라면 라우터도 포트 안 열어주면 인바운드 없으니 안전하고 안 뚤린다는 결론이 나옵니다
본문처럼 싱글 스레드 성능이 중요한게 아닌 경우 구 제온 중고같은걸 도입해서 저런 서버 돌리는 경우도 있고, 심지어는 하즈웰같은 유물을 도입하거나 아직도 운영중인곳 꽤 있습니다 (얼마전에도 억단위 공사할 돈 있는데도 싼 서버 구해달라고 해서 하즈웰 중고 구해서 납품했고, 고객중 자금등을 이유로 아직도 20년쯤 된 서버 굴리는곳도 꽤 있습니다)
레퍼넌스 애기하셨는데, 기본적으로 어떤 서버든간에 명확한 이유가 없는한 WAN을 바로 서버에 물리는건 추천되지 않습니다
반대로 묻고싶은데 WAN을 서버에 바로 물려도 안전하다는 근거는 뭔가 있나요? (각종 OS나 네트워크 설정해왔지만 물리지 말란건 몰라도 물리라는건 못 봤음)
지정된 포트 이외의 인바운드 연결을 차단하기 때문에 그렇습니다.
그럼 두번째, 윈도우 시스템에서 인바운드 연결을 모두 차단하려면 어떻게 할 수 있을까요? 바로 방화벽 설정을 구성하면 됩니다.
'인바운드 연결을 안 열어주면 안전하다', 100%는 아니더라도 99% 정도는 그렇다고 말할 수 있습니다.
아니면 방화벽 업체들 장사 다 접어야죠.
그리고 계속 Print Nightmare 취약점을 이야기하시는데, 이거 공격 벡터는 알고 계시는지 궁금하네요.
Print Nightmare는 MS-RPRN 프로토콜의 일부인 RpcAddPrinterDriverEx() API를 공격합니다. PRC를 통해서요.
만약 RPC를 차단하면? 아무 일도 일어나지 않습니다.
아, DoS 공격! 윈도우는 제가 잘 몰라도 리눅스는 과거 몇 차례 네트워크 스택에서 원격 DoS가 가능한 취약점이 발견되었죠.
그런데 이 취약점은 리눅스 기반의 라우터, 방화벽에서 문제가 되지 않을까요?
요즘 들어 창이 워낙 정교해지고 있기 때문에, 최근 보안 업계의 트랜드는 공격을 원천적으로 차단하는 것 보다 공격 당한 사실을 최대한 빠르게 알아내고, 공격의 영향을 받는 시스템의 범위를 축소하는 것에 방점을 두고 있습니다.
요 근래 나온 좋은 솔루션들 많죠, 돈만 내시면 됩니다. 그런데 이게 글쓴이가 원하는 답변일까요?
Dateno님 말마따나 서버 살 돈 없어서 중고나 알아보는 업체들이 일어나지도 않은 보안 침해 사고를 막기 위한 돈을 쓸까요?
기껏해야 '상단에 라우터나 방화벽 하나 더 붙이세요' 라고 말하면서 무슨 얼어죽을 놈의 보안입니까?
답변을 달 거면 조건을 자세히 설명하거나, 아니면 그냥 단정짓는 어투로 말하지 마세요.
이미 저를 포함한 여러 회원님들이 지적하지 않았던가요?
추신: 방화벽이 많을수록 보안이 더 강화된다고 생각할 수도 있죠.
Best Practice입니다.
인/아웃을 다 감시하고, 필요하다면 양쪽을 다 제어할 수 있게 해주는 좀 더 상위의 개념을 가지고 있다고보는게 맞는거같습니다
그리고 그걸 1차적으로 방어해주기떄문에 서버에 WAN 물리지말고, NAT 거치라고 권하는겁니다 (설령 설정 실수나 기타 문제로 열리거나, 뚤려있는게 있더라도 막힙니다)
그리고 계속 말하지만 관리자가 인바운드를 안 열어줘도 뭔가 있을 수 있는겁니다 (확율은 낮지만, 절대라고 보장은 못하니 다중으로 방어하는것뿐입니다) (처음부터 기본 설정으로 뭔가 열려있는데, 관리자가 기본 설정 쓰느라 안 건드려서 안 닫혀있는등의 설정 오류가 가장 흔함)
1중으로 막는것보단 2,3중으로 막는게 더 안전한건 당연하니 그렇게 하라고 권하고 있는겁니다 (이 모든게 다 다른 제조사의 다른 OS로 구성된다면 최종적으로 돌파할려면 모든 타입 OS의 공격에 성공해야하는데, 대부분의 경우 여기까지 하면 이미 시간 vs 수확의 효율상 수지타산이 안 맞습니다)
물른 너무 과도하게 존재하면 성능 하락이나 예상치 못한 작동 문제를 일으키는 경우도 있지만, 최저한도로 Embedded수준의 ESXi Host의 방화벽 딸랑 1개만 믿는거보단 낫다고 봅니다
printer spooler nightmare 애기한건 10년 넘게 있어도 알려지지 않다가 최근에 발견된 치명적이고, 광범위로 적용되는 원격 실행이 가능한 취약점이기때문입니다 (공격 성공하면 system계정 권한으로 스크립트 실행해서 백도어등을 원하는만큼 설치 가능하므로 최악의 경우 10년 넘게 누군가는 실컷 써먹었을지도 모릅니다)
동일하게 ESXi의 방화벽에 첫버전부터 있었는데 지금까지 알려지지 않은 취약점이 있어서 돌파 가능하지 말란법이 없습니다
간단한 가상 시나리오로 방화벽에 취약점이 있어서 그걸 이용해 해당 프로세서를 크레쉬 시켜서 방화벽이 작동하지 않게 만들고, 그 과정에서 특정 정해진 주소의 정보를 획득 가능한 코드를 완성했다고 가정해보면 그걸 이용해서 관리자 정보를 획득밎 방화벽을 무력화하여 접속에 성공할 수 도 있는겁니다 (한때는 격리된 네트워크가 안전하다고 생각되었지만, 스틱스넷등이 나온것처럼 불가능하다고 단정지을 수 없습니다)
이때 서버가 직접 외부 네트워크에 노출되지 않는다면 공격을 시도하는것자체가 힘들어지고, 설령 자체 방화벽이 무력화되어도 1차적으로 방어가 됩니다
참고로 printer spooler nightmare 자세한 정보는 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 를 확인하면 나오는데, 위험 평가가 무려 8점대입니다
공유폴더나 프린터가 1개라도 있으면 그걸 이용해서 RPC에 접근이 가능한 공격이라 로컬에 발판이 될 감염된 기기가 1개라도 있으면 쉽게 공격이 가능하고, 위 링크에도 나오듯이 낮은 권한과 낮은 난이도로 치명적 수준의 권한을 획득할 수 있습니다
https://kb.cert.org/static-bigvince-prod-kb-eb/383432_PrintNightmare%20Flowchart-v9.png 대충 이런식으로 공격 가능 유무가 결정된다고 보면 됩니다
그 그림까지 게그겠지만, 최저한도로 중요한 서버에 아무 방어 수단 없이 회선을 물리라는걸 권할 이유는 없다고 봅니다 (거기다 투자 비용대 효율도 저울질해야 합니다)
굳이 비싼 장비 대량 도배 안 해도 최저한도로 저렴한거라도 1대 물려두면 ESXi에 대한 공격용 툴을 써서 직접 공격하거나, 외부에서 스캔하는걸 막아주는 정돈 기능할꺼고, 이정도면 투자대 효율상 괜찮은 편이라고 생각합니다 (이미 알고 계시겠지만, 서버 정보를 알아내기 힘들게 하는것만 해도 보안상 큰 보템이 되고, 인바운드 없는 상태에서 서버를 NAT같은걸로 격리해버리면 Host의 정보를 알아내기 매우 힘듭니다)
저런 최저한도의 장비, 꾸준한 모니터링및 업데이트, 설정 재검토, 비번 관리 습관 개선 (추론 가능하거나, 간단한 비번 사용, 메모지로 써서 붙여두거나하는 노답질 금지)만 해도 흔한 공격 90%는 막을 수 있는게 현실이다보니 자꾸 강조하는것뿐입니다
강조하느라 과장한 표현을 적긴했는데, 어떤 이유에서든 WAN-Server (아니면 DMZ 설정) 이러는건 추천하고 싶진 않습니다 (거기다가 저런일 발생할 가능성이 0%라는 보장은 못하는게 현실입니다)
다양한 벤더의 방화벽이 많을수록 안전한데, 왜 많은 대기업들이 이렇게 간단한 전략을 채택하지 않은 걸까요? 잘 생각해 보시길 바랍니다.
방화벽을 돌파하는 공격이 현실적으로 불가능하기 때문에, 공격자들은 내부에서 공격을 시작하는 방법을 선호하게 되었다는 것 정도만 짚고 넘어가겠습니다.
그 외에 휴먼 에러의 경우에는 충분히 가능성이 있다고 생각합니다.
다만, ESXi 호스트의 매니지먼트 네트워크를 외부에 노출한다는 비상식적인 가정에는 동의할 수가 없네요. 애초에 인터페이스를 외부에 노출시킨 상황에서 인바운드가 없다는 가정이 깨진 건데 말입니다.
마지막으로, dateno님의 의견이 댓글만큼 과격하지 않다는 것은 잘 았았으니, 저도 한 마디만 하겠습니다.
QnA에 답글을 작성하기 전에 말뽄새를 먼저 다듬으세요. 혹시 지금까지 일하시면서 사수분께 지적받은 적이 없나요?
"포트 안 열어도 서버를 직결하는 시점에서 공격당하기 딱 좋습니다
저렇게 올인원하셨으니 호스트의 제로데이 1방에 게스트 전부가 탈탈 털리겠네요"
이건 뭐 싸우자는 것도 아니고.. ㅎㅎ
사실 이 정도 했으면 슬슬 사람이 변할 법도 한데, 처음부터 끝까지 한결같은 모습이 보기 좋습니다.
코드 200줄에 1개쯤 버그가 있다고 가정하고, 컴파일 과정에서 90%가 사라진다고 가정하면 2000줄에 1개의 버그는 그대로 남게 되고, 이중 다시 10%가 공격에 쓰일 가능성이 있다고 가정하면 불과 20000줄에 1개씩 공격할 요소가 존재하는게 됩니다
다시 이중 10%가 치명적 문제를 일으킬 가능성이 있다고 가정해도 라이브러리 1개에 수~수십개는 존재한다는 결론이 나옵니다
상용 방화벽이라도 어차피 오픈소스에 기대지 않는 제품따윈 이젠 없다시피하니 문제는 조금 더 심각해집니다
그리고 어느쪽이냐면 공격의 난이도의 문제라고 봅니다
모든 공격은 시간:효율이 중요한데 같은 수확을 얻는데 필요한 수고가 1인거랑 10000인것중 어느걸 공격할지는 뻔한겁니다 (어차피 타겟이 될 서버등은 넘쳐흐르는게 현실)
반대로 보안 투자(비용&시간)도 마찬가지로 효율을 고려하게 됩니다
NAT 거치고, 방화벽이나 침입감지 시스템을 설치하는것도 이 수고를 키워서 포기하게 만들고, 설령 포기 안 하더라도 공격과정을 발견하고 대처하기 위한거겠죠
ESXi 최근 버전 기준으로 설치하면 기본으로 VSwitch 분리 안 해줘요 (옛날부터 저럤던것 같긴한데, 5대 이하는 이미 생각이 안 남)
기본값이 1개의 스위치가 있고, 이게 기본값이고, 메니지먼트도 여기 붙어있습니다
만일 이 상태에서 설정하는 사람이 기본 설정을 그대로 쓰거나, 이걸 안 열려있는 상태라고 생각하면 WAN을 꽃는 순간 전세계에 노출됩니다 (덤으로 기본값은 자체 생성한 인증서 써서 암호화 하는거라 중간자 공격으로 인증서 갈아치워도 잘 모를 가능성까지 존재합니다)
거기다가 설령 저걸 변경하더라도 변경이 끝날때까지 수분 (저런식으로 도입하는 단계라서 설치하는 사람이 잘 몰라서 헤매면 수십분이 될 수 도 있음)간 그대로 노출됩니다
애초에 인바운드가 없고, 아웃만 있는 시점에서 공인 ip를 직접 부여할 필요없이, 각 클라의 트래핑을 각각의 공인ip로 route만 하면 되는 수준의 문제니 굳이 위험부담이 있을 가능성을 감수하고 서버에 직접 WAN 물릴 필요성이 있는지도 의문입니다 (소스: 게스트 -> 타겟:회선 이런식으로 싹 다 흘러가게 설정하면 끝이라고 봅니다)
보안에 대해서 좀 과장한 표현을 쓰는건 습관이 되버려서 그런 측면이 있습니다 (보안에 대해서 신경 쓰고, 투자 좀 하라니 그냥 설명하면 안전불감증을 발동하는 인간이 넘처흘러서 최악의 시나리오정도 설명해야 그제서야 반응하는 경우가 너무 많네요)
그리고 이런건 1번 구축하면 서비스 중단 없이 손되기 힘든 부분이라 처음 구축할때부터 약간 과할정도로 안전 신경쓰는게 맞다고 봅니다
여기는 아니지만 다른 커뮤에서 몇일전에도 웹서버를 DMZ나 바로 WAN에 물렸을때 보안빼고 문제될게 있냐는 두통을 유발하는 질문글이 보이더군요 (안 그래도 흔한 공격툴의 주요 목표중 하나가 웹서버인데 보안이란 2글자의 개념은 어디로 간걸까요)
이외에도 보안땜에 업데이트하라니까 징징거리는 인간들이라던가 관심조차 없는 인간등 설득하는것도 지쳤습니다
덕분에 IT망진국으로 꾸준히 C&C서버 순위에서 상위권을 벗어나지 못하고 있고 (국제 망신), 좀비되어서 브루탈등 시도하는것 차단하는것도 지칠 수준입니다 (아직도 15~17년에 패치된 익스플로잇 기반으로 하는 공격에 당해서 저렇게 되거나 함)
그리고 포트가 열린게 없을수록 안전하다는 주의이긴 하지만, 외부의 접속 없이 인터넷만 하는게 목적이라면 굳이 외부에 노출시키지 않아도 된다고 생각합니다.
40스레드 정도면
굳이 듀얼로 가지말고
10980같은거로 셋팅해서
스토맂단을 성능으로만 셋팅해서도 충분할겁니다
어정쩡한 듀얼로 오버되는거 보다는
최신에 가까운거로 싱글 쓰는게 좋습니다
더 최신이 있으면 그걸로 가려고 했는데 ㄷㄷ
듀얼보드면 서버용 보드인데 서버용 보드가 오버되는 경우는 매우 특이한 케이스입니다.
2. 포트 하나만 있어도 됩니다. Esxi 내부의 Vswitch가 내부적으로 스위칭 해줍니다. 싱글랜이어도 문제는 없습니다.
다만 esxi의 vmkernel nic(ESXI 관리페이지 접속하는 부분)는 외부 노출을 권장드리지 않으므로 하나는 관리 전용 포트, 하나는 외부망 전용 포트로 사용할 수 있도록 듀얼랜이면 좋을 것 같습니다.
#2 : 현재는 인텔 스케일러블 2세대 시스템이 가장 최신입니다.. (몇 달 안에 3세대가 나오기는 할 것입니다..)
성능이 쓸만한 제품은 새 것으로 CPU 1개당 몇백에서 천만원 넘는 것들이 존재합니다..
조립 시스템 보다는 벤더 제품을 추천하며 DELL 이나 HP 제품 알아보세요..
#3 : 사용하시려는 소프트웨어가 상용인지 알아보시고 견적을 받아보세요..
소프트웨어 가격도 만만치 않을 듯합니다..
#4 : 10G 이상 되는 랜카드에서는 일반적으로 가상화가 지원됩니다.. (사용하려는 소프트웨어와 호환성 확인 필요)
#5 : 가상화 시스템은 여러개의 가상화된 OS가 한꺼번에 돌아가기에 디스크 I/O가 높아야 합니다.. RAID 시스템을 고려 해야 합니다..
#6 : 사무실에서 돌리게 된다면 보안쪽에 투자 하셔야 합니다.. 방화벽 쪽을 알아보셔야 됩니다..
요즘 최신 제품은 벤더 쪽에서 먼저 판매되는게 어느 정도 정착된 듯합니다..
cpu : 제온 w-3175x (2.8c/56th)
https://ark.intel.com/content/www/us/en/ark/products/189452/intel-xeon-w3175x-processor-38-5m-cache-3-10-ghz.html
board : wc621d8a ( 제온 w지원 오버됩니다. 저희는 4Ghz, 초반까지 진행했습니다만,
이 제품으로 오버해서 판매하시는 고객님께서는 5Ghz까지 가능하다는 의견입니다.
https://www.asrockrack.com/general/productdetail.asp?Model=WC621D8A-2T#Specifications
관련 정보 추가.
https://quasarzone.com/bbs/qc_bench/views/33755
듀얼및 쿼드 오버클럭은 지원하는 보드가 없습니다.
3175x는 중고를 쉽게 구할수 있을겁니다.
그럼.
1. 저런 제품군은 보통 오버 불가에요
2. VLAN같은걸로 나눈후 가상 스위치로 할당해보세요 (다만 물리적인 대역폭의 상한은 연결된 포트에 비례합니다)
코어가 많은 서버용 제온 CPU는 멀티쓰레드 작업 성능이 좋은거고 단일 코어 성능에서는 가성비가 많이 떨어질겁니다.
CPU 끝발 좋은 PC여러 대를 사시는 게 가성비 면에서 좋을 것 같네요.
https://ark.intel.com/content/www/kr/ko/ark.html#@PanelLabel595
지금은 구형이지만 가격은 적당해보일 E5 V4 계열이 있고,
제온 스케일러블의 경우 현재 3세대까지 나와 있는걸로 보이네요.
아래 페이지에서 필터 검색으로 소켓 LGA3647, 최소코어수 10으로 찾아서 코어수 역순 정렬한 다음에 최대 터보주파수 높은 순으로
적절한 프로세서를 찾아가는 방법도 있을것 같습니다.
https://ark.intel.com/content/www/kr/ko/ark/search/featurefilter.html?productType=873&1_Filter-SocketsSupported=3640&3_CoreCount-Min=10
프로세서가 엄청 많네요...
적절한 모델 찾으시면 벤더사 서버 견적문의
조립식이면 아마도 슈마보드+랙형 or 타워형 케이스
다나와에 출시된 신형 제온CPU는 2세대까지 있고, 아래 링크서 높은가격순으로 정렬하면 아마도 제일싼 소비자가격 확인이 가능할것 같고요.
http://prod.danawa.com/list/?cate=11336852&searchOption=searchMaker=3156/searchAttributeValue=229145/innerSearchKeyword=
HEDT 라인업에서는 3175X 같은 모델이 있긴 한데, 서비스용으로 사용하는 것은 추천하지 않습니다. 다만, 사용하시는 응용의 목적을 고려해서 선택할 수도 있을 것으로 보입니다.
2. 가상화를 사용한다면 물리 포트가 많이 필요하지는 않습니다. WAN을 리눅스 호스트에 연결하고, Macvlan 혹은 veth를 이용하여 하나의 포트에 여러 가상 포트를 만들고, 공인 IP를 지정하면 됩니다. 마지막으로 PBR을 설정하면 끝. 단, 회선 수만큼의 물리 포트는 필요합니다.
ESXi를 사용한다면 라우터 역할을 하는 VM을 싱단에 위치시켜야 하나, 구성 방법은 동일합니다.
프로그램의 목적과 시스템 구성이 명확하지 않아 더 자세한 답변을 드리긴 어렵습니다. 현재 상황과 목적을 보다 구체적으로 알려주시면 도움이 되는 답변을 얻을 가능성이 높아질 수 있으니, 참고하여 주세요.