박문형 2022-12

제조사마다 틀리지만 그렇다고 볼 수는 있습니다..

간단히

밖에서 보면 공유기 WAN 포트의 IP를 하나 밖에 안보이고 내부 포트는 DHCP 로 사설 IP 대역으로 돌려져 있는 것이니까요..

그리고 보통 들어오는 가정용 인터넷 라인들은 인터넷 통신사에서 사용하는 방화벽으로 어느 정도는 다 보안에 대한 처리가 되어 있습니다..

그리고 자세히 따지기 시작하면 한도 끝도 없기 때문에 보안 관련 공부를 해보시던지  좋은 방화벽 하나 구해서 완벽하게 익히세요..

방화벽과 해킹은 계속 발전 하는 것이고 따라서 방화벽 솔류션 업체에서는 수시로 방화벽 프로그램을 보완하고 있으며

실제 방화벽기기의 가격은 하드웨어 가격보다는 소프트웨어 유지 보수 가격의 비중이 더 높다라고 생각하시면 됩니다..

방화벽의 기초는 포트를 막고 열고 하는 것으로 부터 시작한다고 생각합니다..

Uinx 2022-12

접속만 어렵게 하는 정도면 충분하다고 봅니다.
그 외는 장터에서 파는 방화벽 사는게 좋다고 생각합니다.

dateno1 2022-12

자신이 털리지만 않는다면 방어해주긴합니다

다만 오래되서 업데이트 안 해주는 모델 쓰면 자신이 털려서 좀비가 된후 하위 장비를 다 가루(?)로 만들어버릴 수 도 있습니다

관문? 가 아니라 그대로의 의미로도 쓰입니다 (GW(Gateway) )라고도 표현하니까요)

술이 2022-12

DMZ를 NAT로 해줘서 방어해줄뿐이지 방화벽이라고는 하지 않습니다.
이유는 방화벽은 아웃바운드까지 통제를 하는걸 방화벽이라고 하지 대부분의 공유기는 아웃바운드 통제를 안합니다. 일부 필터기능이 있지만 방화벽처럼 여러 룰을 오브젝트별로 분류를 못하기 때문에 방화벽 기능으로는 불가라고 봐야됩니다.

김준연 2022-12

공유기의 성격을 알려면 공유기의 영문 이름, 즉 Broadband Router라는 이름을 봐야 합니다. 이름 그대로 가정용 인터넷(Broadband)을 연결하는 목적의 라우터(Router)입니다. 즉 공유기라는 물건은 기본적으로 가정 및 소규모 사무실에 맞게 기능을 축소해 놓은 라우터입니다.

라우터의 특성인 NAT 때문에 기본적으로는 외부망(인터넷)에서 내부망(공유기 내부에 연결된 장치들)을 쉽게 들여다 볼 수는 없고, 라우터 내부의 소프트웨어를 이용하여 방화벽을 구성할 수도 있기는 합니다만 어디까지나 인터넷 공유기의 기능은 매우 제한적이기에 이 자체가 상업적인 수준으로 먹힐 정도의 신뢰성을 보장하는 것은 아닙니다. 또한 불편하다고 보안에 구멍을 뻥뻥 뚫는 설정을 하고, 보안 패치가 안 된 구 버전 펌웨어를 고집하면 뚫릴 위험은 늘 존재합니다.

정리하면, 공유기는 라우터로서의 최소한의 기능을 갖추고는 있기에 보안 기능이 없는 것은 아니지만 이게 무슨 전문적인 방화벽이나 대형 라우터 수준으로 뛰어난 것은 결코 아니며, 설정을 엉망으로 하면 그 보안도 더 믿을 수 없는 것이 되고 맙니다. 개인이 할 수 있는 것은 외부에서 내부로 침투할 수 있는 예외사항은 아예 설정하지도 말고, 펌웨어 업데이트를 잘 하여 운영체제나 내부 탑재 기능의 보안 허점을 빨리 막는 것 뿐입니다.

미친골리 2022-12

최근 언론에 문제가 된 홈네트워크 보안이슈와도 매우 관계가 있는 내용입니다.
홈네트워크에는 최근(6~7년전부터) 사용하지 않던 홈게이트웨이라는 기기가 있는데
해당기기는 공유기의 기능을 가지고 있죠.
그런데 이 제품의 기능 중 NAT가 있다고 해서 이제품을 설치하지 않아 보안이슈가 발생한 것처럼 언론을 호도한 분들이 계십니다.

페선생 2022-12

없는것보다는 훨 낳습니다

송주환 2022-12

시중의 거의 모든 인터넷 공유기는 리눅스 위에서 굴러갑니다. 그리고 리눅스 커널의 네트워크 서브시스템에는 netfilter가 있고, 이 녀석이 패킷 필터링과 조작을 수행합니다.
그러니까 모든 공유기는 리눅스 기반의 소프트웨어 방화벽을 가지고 있습니다.
그렇지만 대부분의 사용자는 CLI와 iptables(nftables) 문법에 익숙하지 않기 때문에 공유기 제조사는 GUI로 된 인터페이스를 제공합니다. 그리고 이 GUI는 netfilter의 기능 중 극히 일부만을 사용자에게 노출합니다.
이 한계를 극복하려고 루팅과 dd-wrt 등의 커스텀 펌웨어를 덮기도 하지만, 그렇다고 해서 소프트웨어 방화벽의 근본적인 한계가 사라지지는 않습니다.

바로 처리 성능과 제한된 기능이죠. Netfilter가 완전무결한 물건이었다면 모든 리눅스 서버들은 앞단에 방화벽 없이 사용되었을 것입니다. 하지만 현실은 그렇지 않죠. 왜일까요?
먼저 netfilter를 쓰게 되면 규칙의 수가 증가할수록 스루풋이 떨어집니다. 상용 방화벽은 규칙의 갯수에 따른 성능 영향이 없습니다.
그리고 netfilter는 기본적인 패킷 필터링, mangle 기능을 제공합니다. BPF를 통해 임의의 기능을 추가할 수도 있긴 하지만 어렵고 성능 영향이 여전히 존재합니다.
요 근래의 NGFW들은 네트워크 가시성과 추가적인 인사이트 기능을 제공합니다. IPS/IDS 기능이 통합된 지도 오랜 시간이 흘렀습니다.
리눅스에서는 이러한 기능을 netfilter 단독으로 지원할 수 없습니다. Snort/suricata 등을 쓰더라도 성능 이슈가 여전히 꼬리표처럼 따라다닙니다.
장애 시 기술 지원도 문제가 됩니다.인터넷 공유기로 전문적인 방화벽 장비에 준하는 기능을 제공하는 것은 이론상 가능합니다. 그러나 현실적으로 아주 어려우며 성능도 나오지 않을 것입니다.

그러니까 공유기는 전문 방화벽을 대신할 수 없습니다.
공유기는 고전적인 의미에서의 방화벽이 가진 기능의 일부를 제공할 뿐이며, 그것으로 보안성 향상을 담보할 수도 없습니다. 자동화된 공격에 대한 제한적인 방어를 기대할 수 있는 정도지요.