DMZ
간단히 이야기하면, 외부망과 내부망 사이에 만약 서버를 둔다고 하면, 이 서버가 DMZ 에 있다고 한다.
- DMZ 는 외부망에 service 를 제공하는 host 들을 한곳에 몰아넣고, 이들은 외부망에 대해서 자신들이 서비스하는 port 만 열도록 하는 것이다. 이렇게 하므로써 다른 port 로 인해 발생할 수 있는 공격 당할 확률을 감소시킬 수 있다.
- DMZ 안에 들어가는 server 들의 예
- Web server
- Mail server
- FTP server
- VoIP server
- 내부망(internal network) 보다 secure 하지 않고, 외부망(public internet) 보다 insecure 하지 않다.
- 내부망에서도 특정 host 에서만 제한된 접근이 가능하도록 한다.
- DMZ를 이용해도 packet analyzer 를 이용한 sniffing, e-mail spoofing 같은 내부 공격(internal attacks) 은 막을 수 없다.
DMZ 조건
- LAN과는 다른 subnet 에 있어야 한다.
DMZ 를 통해 얻을 수 있는 이익
- 외부로 노출되는 부분을 최소화로 열고, 나머지들을 firewall 로 막을 수 있다.(DMZ --> LAN)
- 공격자가 실질적은 공격을 위해 LAN의 정확한 주소를 얻는데에 대해 시간을 벌 수 있다.
DMZ 에 대한 설명
DMZ 구성, 두개의 firewall 이용
- 이 방법이 가장 안전하다. 2개의 device 를 뚫어야 하기 때문이다.(compromised)
- 1번째 방화벽은 `외부망-->DMZ` 를 위해 구성하고, 2번째 방화벽은 `내부망-->DMZ` 에 대해 구성한다.
- 그리고 이 2개의 방화벽을 각기 다른 vendor 의 제품을 이용한다. 그러면 하나의 제품에서 security hole 이 발견되도, 다른 하나에서 안전할 수 있다.
- 단점: 관리가 어렵고, 비용이 크다.
댓글 없음:
댓글 쓰기