Sign in to follow this  
imnas

[정보] 논란이 된 댁내망 브릿지-게이트웨이의 이해 (1/3)

Recommended Posts

2015년은 크리스마스 시즌이 제게는 '브릿지-게이트웨이' 시즌이었네요.^^

그 동안 엔지니어님들과 충돌을 빚었던 문제를 이미지로 만들어 설명합니다. 제가 생각한 바가 무엇인지 파악해 주시면 고맙겠습니다.

 

그리고 인신공격은 하지 말아주세요.^^ 왜 그런가 했더니 이해관계가 얽혀 있더군요. 혹시 제가 예상한 것이 맞다면 작전상 후퇴하시길 부탁합니다. :wink: 그에 대해서는 편향된 시각이 아닌 객관적 입장에서 별도의 포스트로 다루도록 하겠습니다.

 

아래 이미지를 보시면 한 눈에 들어 올 것입니다.

net_seg.jpg

 

제가 알기로는 우리나라 댁대망 환경은 위와 같이 4가지 정도로 이용할 수 있습니다.(SKB의 경우)

 

101호. 인터넷을 PC에 직접 연결해 사용할 수 있습니다.

이러한 형태는 공인IP 하나가 할당되며, 1회선-1PC가 기본 서비스 상품입니다. 여기에 추가적으로 또다른 PC를 연결하려면, 1단말기당 5천원의 유료 IP공유 서비스를 신청해야 합니다.

 

102호. 인터넷 + IPTV 결합 상품입니다.

2개의 공인IP가 할당됩니다. 1회선-2단말기에 해당합니다. 제가 알기로는 허브를 사용하지 않고, 각각 4가닥으로 사용 가능한 것으로 알고 있습니다.(ISP로부터 공유기 임대 받거나 사설 공유기도 사용하겠죠.)

 

103호. 인터넷을 공유기에 직접 연결해 사용합니다.

기본 서비스 상품 1회선-1PC(101호)에서 PC 대신 공유기가 공인IP를 할당받습니다. 공유기 운영모드는 게이트웨이이며, 일반적으로 2개의 공유기가 '게이트웨이-브릿지' 형태로 확장 운영됩니다.

(ISP와 협의, 유료 공유서비스 외에 약관위반은 일단 논외로 합니다.)

 

104호. 인터넷을 공유기에 직접 연결해 사용합니다.

103호와 다른 점은 인터넷에 연결되는 공유기가 게이트웨이가 아닌 브릿지 운영모드로 동작합니다. 단순 허브기능으로 2개의 공인IP를 할당 받아 각각 공유기와 컴퓨터에 연결합니다.

 

 

101호 부터 104호까지는 모두 ISP의 스위치를 통해서 구성된 'WAN 세그먼트'내에 있습니다. 제가 여지껏 설명한 '브릿지-게이트웨이' 운영이란 바로 104호와 같은 형태입니다. 그러나 일부 엔지니어님들은 이러한 방식에 문제가 있다고 제기했습니다. 제가 정리차원에서 질문 및 답변 형식으로 정리합니다.

 

 

질문 )

2개의 공유기는 게이트웨이-브릿지(103호) 형태로 운영하는 것이 일반적입니다. 그렇지 않고 브릿지-게이트웨이(104호)로 변경해서 운영하면 브릿지에 연결된 기기가 인터넷에 직접 연결되어 보안상 좋지 않습니다. 왜 이런 구성을 추천하시나요?

 

그 외 여러 형태의 질문을 하실 수 있다는 전전 하에서 제가 아래와 같은 답변을 진행합니다.

(부족한 부분은 Visio로 그림이 포함된 포스트를 참조하세요.)

 

답변 1)

일반적이지는 않지만 필요에 따라 목적에 따라 사용할 수 있다고 봅니다. 브릿지-게이트웨이(104호)가 문제라면, 101호와 102도 역시 문제가 될 것입니다. 인터넷에 직접 연결되었다고 문제라면, ISP가 이러한 형태의 서비스를 제공하지 않을 것이라 생각합니다. 저는 특별한 보안 리스크는 없다고 판단합니다. 왜냐면 ISP의 기본 설정(Set a Default ISP)을 변경하면서까지 이용 가능한 방법을 소개하는 것이 아니기 때문입니다.

 

답변 2)

ISP L2 스위치 기준에서 보면, 101 ~ 104호에 할당되는 공인IP는 다수의 연결장치에 해당합니다. 모두 ISP의 WAN 세그먼트내에 놓인 클래스 C 체제의 공인IP에 해당하는 것이죠. 기존보다 특별히 리스크 부담이 발생한다고는 생각되지 않습니다.

 

답변 3)

아래 SKB 2015년 11월 자료를 확인한 바, 103호와 104호와 같은 네트워크 구성은 '인터넷 오피스 서비스'의 기본형과 유사합니다. 이 기본형은 유동IP 1개를 공유, 5 ~ 10개의 단말기를 연결할 수 있습니다.(허브 또는 IP공유기 앞단까지의 네트워크 구성만 제공하며, 허브 또는 IP공유기의 등은 고객부담으로 설치관리 하여야 함.) - 여기서 허브 = 브릿지모드가 되며, IP공유기는 게이트웨이 또는 브릿지가 가능하다는 얘기죠. 바꾸어 말하면 이미 브리짓모드 또는 게이트웨이에 대한 준비가 되어있다 유추할 수 있습니다.

제 166차 초고속 인터넷 이용약관(SKB) : https://goo.gl/nRGjU1

 

답변 4)

제가 가진 IT 배경지식 차원에서 처음에 저는 단순하게 접근했습니다. 인터넷은 어차피 라우터의 집합체고, 가정의 댁내망도 공인된 IP는 아니지만 인터넷인데, 꼭 103호처럼 '게이트웨이-브릿지' 구성만을 사용해야할까? 이렇게 궁금증이 생겼어요. 그래서 검색을 해보니까 이미 (104호)와 같은 네트워크 구성 형태는 2009년도에도 사용되었더군요.

바다.. 의 일상이야기라는 블로그를 방문해 보세요. http://oneniner.net/102

브릿지-게이트웨이 구성이 사용된다는 것이죠. 위의 모델이 아니어도 게이트웨이 또는 브릿지를 지원하는 모델이면 사용가능할 것입니다. 물론 저도 현재 사용 중입니다.

 

답변 5)

인터넷에 직접 연결시키는 것은 보안상 불리한 것은 사실입니다. 그러나 뛰어난 실력의 해커가 여러분의 공인IP를 가진 개인 NAS를 직접으로 공결할 확률은 거의 희박합니다. 해커도 자존심이 있답니다. 개인 시스템 정도의 해킹으로는 해커측에도 못끼기 때문이죠. 기껏해야 흉내내기 정도의 수준에 불과할 것입니다.

 

NAS 외 다른 시스템들도 자동화된 도구에 의한 접속은 끊임없이 시도되는 것이 일상적입니다. 비교적 서버 운영에 경험이 없다면, 외부에서 공격한다고 볼 수 있는데요. 기본 보안수칙과 보안권고를 준수하는 정도로도 웬만큼 리스크 부담을 줄일 수 있습니다. 항상 로그파일을 확인하고, 외부의 직접적인 공격보다는 외부에서 내부로 유입된 악성 소프트웨어, 악성코드(랜섬웨어, 비트코인)를 조심하세요.

 

다음 편에는 브릿지-게이트웨이의 응용편을 준비하겠습니다. 감사합니다!

 

최종 편집 정보 : 2015년 12월 29일 오후 9시 30분 :

일부 오타 수정, 이미지 편집.

이미지의 셋톱박스 STP를 STB로 수정 (게시판 이미지 삽입 쉽지 않네요.)

1회선당 5천원 -> 1단말기당 5천원

제목은 '3개의 글'로 묶기 위에 '(1/3)'을 추가했습니다.

오타수정.

 

[정보] 논란이 된 댁내망 브릿지-게이트웨이의 이해 (1/3)

[정보] 공유기 없이 공용 네트워크를 이용한 NAS 구축 (2/3)

[정보] 논란이 된 댁내망 브릿지-게이트웨이의 응용 (3/3)

 

부탁드립니다!.

제글에 사용된 '참조 링크'에 대해 직접적인 평가는 하지 말아 주시길 부탁합니다. 정보를 공유한 '개인의 의견'을 본 포럼에서 왈가불가 함부로 대하는 것은 '정보를 공유한 개인'에 대한 예의가 아니라 생각합니다. 예제로써 참조만 하시고 평가는 하지 말아주세요.

Edited by Guest

Share this post


Link to post
Share on other sites

답변 5에 대한것에 대해 반론 하나만 할께요.

 

다른 쓰레드에서 어떤분이 한번 말씀해 주셨죠.

 

해커가 NAS를 해킹하는건 데이터 때문만이 아닙니다. 요즘엔 비트코인같은 채굴용으로 하는 추세입니다. 시놀로지나 XPEnology 에서도 발생했던 일입니다. 보안 결함 뚫고 마이닝용으로 해킹해서 썼었던 일이죠. 저도 발생했던 일이라서 잘압니다. 공유기 밑단에 연결 되어 있었는데도 말이죠.

 

인터넷에 직접 연결 되어있다면 보안에 더 취약하기에 언제 발생할지 모를 일입니다.

 

공인ip로 노출되어 있다면 계속해서 공격들어옵니다. 위에 적으셨다시피 자동화된 도구에의해 끊임없이 시도하죠.

 

그래서 되도록 노출 안하는게 보안상 좋은거죠. 그래서 nas는 악성소프트웨어가 깔릴일보다는 노출되지 않는 환경이 중요합니다. nas에 악성소프트가 깔일일이 있을까요. 평범하게 쓰는이상. 다른 프로그램을 깔줄 안다면 보안문제야 알고있을 실력이겠죠.

 

브릿지 - 게이트 웨이는 자신의 모뎀이나 네트워크 환경. 또는 공인ip에 직접 연결되어야 하는 환경에서 이용할수 있다는건 수차례 이야기 한 상황이니 따로 말 안하겠습니다.

 

네트워크는 자신이 처한 환경이 다 다르기 때문에 그에 맞춘 세팅이 최고인겁니다. 필요에의해 쓰시면 됩니다. 보통은 isp-게이트웨이 이고 필요에 따라서 앞단에 붙이든 뒷단에 붙이든 하면 된다는 것이죠.

 

각자의 필요성에 의해 쓰시면 되는겁니다.

Share this post


Link to post
Share on other sites

제글에 대해 다른 의견을 주시는 것은 언제든 환영합니다.

죄송하게도 브라인드 처리되는 댓글은 제가 확인하지 않는다는 점을 고려해 주세요. 제가 읽지는 않지만 개인의견으로써는 존중합니다.

 

부탁드립니다! 제글에 사용된 '참조 링크'에 대해 혹시라도 직접적인 평가는 하지 말아 주시길 부탁합니다. 정보를 공유한 '개인의 의견'을 본 포럼에서 왈가불가 함부로 대하는 것은 '정보를 공유한 개인'에 대한 예의가 아니라 생각합니다.

 

예제로써 참조만 하시고 평가는 하지 말시길 부탁드립니다.

 

#. 오타나 맞춤법 등 표기상의 오류가 발견되는 경우 해당 내용은 수정 편집됩니다. 그 외에 특별히 중요한 부분을 편집한 경우 페이지 상단 또는 하단에 변경사항을 알려드립니다.

Share this post


Link to post
Share on other sites

그냉 내 글에는 댓글 달지 마라고 마지막에 쓰세요. 포럼이 아니라 블로그를 운영하시던지.

 

포럼에 대해서 완전 잘못 이해하고 있네요.

 

특히 초보분들은 imnas 님글 그대로 믿지 마세요. 자금까지 겪어본바 정보가 정확하지 않습니다. 개인 의견이라고 생각하시기 바랍니다. 정보공유가 아니에요. 이건 예의 문제가 아닙니다. 심각한 문제입니다. 잘못된 정보를 포럼에 올리고 반론조차 용납하지 않고 블라인드 처리까지 하는데 포럼이 아니라 개인 블로그일뿐입니다.

 

이러니 사람들이 여기 안있는거죠. 포럼을 개인 블로그화하는 능력. 참 대단하긴합니다.

 

어쨌든 초보분은 꼭 주의하세요. 다 맞는것도 다 틀린것도 아니니 걸러서 들으시기 바랍니다.

 

진짜 전 여기까지 할랍니다.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this