현재 위치

›› Forums ›› 이슈 ›› 토론, 토의

회사에 서버를 돌려야 하는데 보안이 문제입니다

supos의 이미지
글쓴이: supos / 작성시간: 목, 2008/04/10 - 1:47오전

전직원이 4명인 작은 소프트웨어 회사에 다니고 있습니다.
회사의 개발 및 유지관리 업무상 소스관리툴, 이슈트랙커 등이 필요합니다.
그래서 회사 내부에 서버를 하나 돌리고 있으며 페도라를 설치하여 svn, trac 등을 사용하고 있습니다. 처음에는 보안에 자신이 없어서 서버를 내부에서만 돌리려고 했는데, 집에서나 외부에서도 업무상 서버에 접속해야할 필요성이 생겨서 서버를 외부 접속 가능하게 하려고 합니다.
물론 22, 80 포트만을 열어놓고 사용하겠지만 회사에 서버 관리자도 따로 없고 누가 들어와서 자료를 가져갈까 걱정입니다.
이런 경우 어떻게 하는게 좋을까요. 누가 서버에 들어왔다가 나가도 저는 모를 것 같구요. 어떻게 로그를 보는지도 모릅니다.
저희 회사 입장이라면 어떻게 하면 안심하고 외부에서 서버를 사용할 수 있을지 조언을 구하고 싶습니다. 보안 관리 대행 서비스 같은 것이 있다면 좋을 것 같습니다만...
제가 아는게 없어서 질문이 너무 막연한 것이 아닌지 모르겠습니다.

Forums: 
토론, 토의
mycluster의 이미지

글쓴이: mycluster / 작성시간: 목, 2008/04/10 - 1:55오전

돈을 좀 들이실 생각이 있으신지요? 큰 돈은 아니고...

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

supos의 이미지

글쓴이: supos / 작성시간: 목, 2008/04/10 - 9:12오전

어차피 제가 직접 할 수 있는 능력이 되지 않으니 돈을 들여야 할 것으로 생각하고 있습니다.
어떤 방법이 있는지요.

mycluster의 이미지

글쓴이: mycluster / 작성시간: 목, 2008/04/10 - 9:36오전

가장 심플한 방법으로 제가 http://kldp.org/node/92662 에서 말한 방식으로 구축할 수 있습니다.

바로 서버에 접속하도록 할 경우는 22번 포트와 80번 포트를 열어주는게 맞지만, 그 내용에 대해서는
별로 안내켜 하신다고 하니, 일단은 접속을 위한 Windows 시스템을 구성하는 것이 가장 손쉬운 방법입니다.
물론 XP를 한대 두고, 원격접속을 열어준다음에 그 XP로 접속한 후 다시 회사내부에서 SSH로만 접속해도
되지만, 이럴경우 1명만 접속이 가능하다는 것이 문제고, 누가 어디서 접속했는지를 알기는 힙듭니다.

이를 위해서 외부에서 터미널 서버에 접속할 수 있도록 암호화된 SSL기반의 RDP접속과 웹을 통한 접속을
지원해주는 Connection Broker를 만드는 것이 가장 좋은 방법이고, 지금 생각하고 계신 정도의 규모면
다음의 장비와 솔루션이 필요할 듯 합니다.

1. SSL Gateway - Windows XP
2. Connection Broker & Web 서비스 접속 - Windows XP
3. Active Directory Server - Windows 2003

이렇게 3대의 시스템을 구축하게 되면, 외부에서 RDP를 접속할때, SSL기반의 웹으로 접속해서 내부로
들어오는 시스템을 연결할 수 있고, 회사내의 모든 PC(리눅스 및 PC들)에 들어갈 수 있습니다.

현재 사용하고 계신 회사내부의 PC에 설치해서 사용해도 되고, 아니면 1대의 시스템을 별도로 만든다음에
가상화 기반(쓸만한 공짜 솔루션이 있음)을 만들어도 됩니다.

이를 위해서 필요한 예산으로는 Connection Broker의 Client License가 일인당 15만원 정도 되니, 동시
접속을 4명 다 할 생각이면 60만원 정도 들거고, 그 외, OS라이선스 등은 알아서 처리하시면 될 것 같습니다.

보통은 비싸게(?) 받고 구축해주는 일을 하는데, 규모도 작다고 하시니 필요하시면 시간내시면 제가 설치법부터
알려드리도록 하지요... 뭐 금새 할 수 있을겁니다. mycluster012_at_naver.com 으로 연락한번 주세요.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

suapapa의 이미지

글쓴이: suapapa / 작성시간: 목, 2008/04/10 - 10:24오전

ssh 포트만 열어 두시고,
(ssh는 꼭 키를 사용해 로그인 하도록 하세요)

터널링으로 다른 포트들에 안전하게 접근하실 수 있습니다.

linlin의 이미지

글쓴이: linlin / 작성시간: 목, 2008/04/10 - 1:51오후

그리고... 추가적으로 사원들이 쓰는 윈도우 피씨도 보안에 신경을 쓰셔야 합니다. 실제 침입을 하고 싶다면 윈도우 피씨를 노리는게 더 쉽기 때문입니다. 아마도 Administrator 권한으로 돌아가고 있을 가능성이 높으니 이메일 같은 것으로 적당히 trojan을 집어넣기도 쉽고 일단 키로거나 화면 가로채기 등등의 기법으로 계정/비번 정보를 얻은 다음 리눅스 서버에 접근하는 것이 쉬울테니까요.

기본적으로 윈도우 피씨 계정 암호와 리눅스 서버 계정 암호는 다르게 하는것이 필요하고 특히 이메일 첨부파일 관리에 주의하셔야 합니다. 또 usb 메모리도 포트에 꽂자마자 프로그램이 실행되는 점을 악용해서 trojan을 설치할 수 있습니다. 불편하더라도 윈도우를 일반 계정으로 돌리는 것이 도움이 되고 특히 중요한 파일들은 피씨에 카피를 하지 않도록 다른 사원분들께 잘 주지시키는 것도 중요하지 싶습니다. 비스타는 써보지 않아서 잘 모르겠는데 윈도우 피씨에 비스타 설치도 알아보시는게 좋지 않을까 싶습니다. 지금까지 들리는 얘기로는 비스타의 보안이 상당히 괜찮다는 평가가 지배적입니다.

웃는 남자의 이미지

글쓴이: 웃는 남자 / 작성시간: 목, 2008/04/10 - 2:25오후

복잡할거 없이 그냥 VPN서버 하나 구축해서 돌리면 되겠네요.
차후 외부에 추가로 개방할 서비스에 대한 확장도 용이해지구요.
어플라이언스 VPN장비를 구입하면 더 편하겠고 아니면 openvpn 으로 직접 구축해보세요.

Nothing left after Nirvana.

----------------------------------------
Nothing left after Nirvana.

wkpark의 이미지

글쓴이: wkpark / 작성시간: 목, 2008/04/10 - 2:19오후

see also http://wiki.kldp.org/wiki.php/OpenVPN

온갖 참된 삶은 만남이다 --Martin Buber

둘러보기