[Global Services]/해외서비스

일본,홍콩 서버호스팅 window 보안가이드.(IPSec를 이용하여 안전한 네트워크 구성하기)

이호스트ICT 2016. 1. 20. 09:54

안녕하세요. 이호스트데이터센터 해외 사업부 입니다.

일본, 홍콩 서버를 사용하시는 고객분들 중 윈도서버를 사용하시는 고객분들이 많이 계신데요.

widnow 보안가이드가 배포되어 공유합니다.

모쪼록 안정적인 일본,홍콩등 해외 서버 사용이 되시길 바랍니다.


Window 보안 가이드 (IPSec를 이용하여 안전한 네트워크 구성하기)

인터넷 보안 프로토콜(IPSec) IP 패킷 형식과 관련 인프라를 정의하여 강력한 종단 간 인증과 반재생, 네트워크 소통에 대한 기밀성 등을 제공합니다. 또한 필터를 이용하여 보안 접속을 허용, 거부 혹은 협상하도록 동작시킬 수 있습니다.

다음은 IPSec을 사용하여 서버의 사설 포트를 방어하고 웹 서비스는 허용하는 방법을 예로 설명한 것입니다. DMZ에 있는 웹 서버의 경우 포트 80 443 IPSec을 적용하지 않고 일반적인 사용자 접속을 허용하며 HTTP HTTPS를 제외한 모든 트래픽에 대해서는 보안을 설정하여 인트라넷의 관련자만이 웹 서버에 접근하는 것을 허용해야 하기 때문입니다.

l  해당 웹 서버 컴퓨터에서 시작을 클릭하고 실행을 클릭한 후 ‘mmc’를 입력하고 확인을 클릭합니다.

l  콘솔 창에서 콘솔을 클릭하고 스냅인 추가/제거를 클릭하고 추가 버튼을 클릭합니다.

l  독립 실행형 스냅인 추가 창에서 IP 보안 정책 관리를 선택하고 추가 버튼을 클릭합니다.



l  컴퓨터 창에서 로컬 컴퓨터를 선택하고 마침, 닫기, 확인을 클릭합니다.

l  로컬 컴퓨터의 IP 보안 정책을 마우스 오른쪽 클릭하고 IP 보안 정책 만들기를 클릭하여 마법사를 시작합니다.



l  마법사 화면에서 다음을 클릭하고 이름 항목에 원하는 이름을 입력한 후 다음을 클릭합니다.

l  보안 통신 요청 창에서 기본 응답 규칙 활성화의 체크 박스를 지우고 다음을 클릭한 후 마침을 클릭합니다.

l  다음 그림과 같은 새 IP 보안 정책 등록 정보 창이 나타납니다. 이제 동일한 인증 키를 사용하는 인트라넷 관리 컴퓨터만을 대상으로 IP 통신을 제한하는 설정을 구성합니다.



l  추가 버튼을 클릭하여 보안 규칙 마법사를 실행합니다.

l  다음 버튼을 세 번 클릭하고 인증 방법 창에서 다음 문자열을 사용하여 키 교환(미리 공유한 키) 보호를 선택하고 다음과 같은 임의의 긴 문자열을 입력합니다. Microsoft에서는 적어도 20개 이상의 문자를 입력하도록 권장합니다. 이 때 입력한 문자열은 따로 저장하여 보관하도록 합니다. 이 서버와 통신하는 다른 모든 컴퓨터에서 이 값이 필요하기 때문입니다. 문자열의 길이와 성능과는 상관이 없습니다.



인증 방법 중에서 Kerberos를 사용하는 것은 웹 서버 컴퓨터와 다른 인트라넷 컴퓨터가 모두 동일한 포리스트의 구성원일 경우에만 가능합니다. 인증서 사용 방법은 IPSec을 사용하기 위해서 Active Directory가 필요하지는 않으나 IPSec 정책에 반드시 공인된 CA(Certification Authority)를 명시하고 웹 서버와 이 컴퓨터에 연결해야 하는 다른 모든 인트라넷 컴퓨터에 인증서를 설치해야 합니다. 문자열을 이용한 키 교환 방식은 암호가 레지스트리에 텍스트 형식으로 저장되어 외부에 노출될 가능성이 있으나 구성이 간단하고 관리하는 컴퓨터가 적은 환경에서 유용합니다.

l  다음을 클릭하고 IP 필터 목록 창에서 모든 IP 소통량을 선택한 후 다음을 클릭합니다.

l  필터 동작 창에서 보안 필요를 선택합니다. 이는 결과적으로 웹 서버와 다른 컴퓨터가 서로 키 교환을 통한 인증이 되어야만 연결을 수립할 수 있음을 의미합니다.

l  다음을 클릭하고 마침을 클릭한 후 확인을 클릭합니다.



이제 HTTP HTTPS를 이용한 일반 사용자들의 웹 서버 접속을 허용하는 설정을 구성합니다.

l  IP 보안 정책 등록 정보 창에서 추가 버튼을 클릭하고 다음을 네 번 클릭합니다. 이것은 트래픽을 제한하는 것이 아니므로 어떤 인증 방법을 사용해도 상관은 없지만 웹 서버가 도메인의 구성원이 아니라면 Kerberos는 피하도록 합니다.

l  IP 필터 목록 창에서 추가를 클릭하고 이름 항목에 ‘들어오는 HTTP HTTPS 연결’이라고 입력합니다. 여기서는 TCP 포트 80 443을 통해 들어오는 연결을 위한 필터를 생성합니다.

l  추가를 클릭하고 IP 필터 마법사 창에서 다음을 클릭합니다.

l  IP 소통 원본 창의 원본 주소 항목에서 모든 IP 주소를 선택하고 다음을 클릭합니다.

l  IP 소통 대상 창의 대상 주소 항목에서 내 IP 주소를 선택하고 다음을 클릭합니다.

l  IP 프로토콜 종류 창의 프로토콜 종류 선택에서 TCP를 선택하고 다음을 클릭합니다.

l  IP 프로토콜 포트 창에서 이 포트로 항목에 80을 입력하고 다음을 클릭하고 등록 정보 편집 체크 박스를 선택하고 마침을 클릭합니다.



l  필터 등록 정보 창에서 설명 탭을 선택하고 ‘들어오는 HTTP 연결’이라고 입력하고 확인을 클릭합니다.

l  IP 필터 목록 창에서 앞의 과정을 다시 반복하여 이번에는 이 포트로 항목에 443을 입력하고 설명 탭에 ‘들어오는 HTTPS 연결’이라고 입력합니다.



l  닫기를 클릭하고 IP 필터 목록 창에서 새로 만든 필터를 선택하고 다음을 클릭합니다.

l  필터 동작 창에서 허용을 선택하고 다음, 마침을 클릭하고 닫기를 클릭합니다.



l  이제 IPSec 콘솔 창에서 새로 만든 보안 정책을 오른쪽 클릭하고 할당을 클릭하여 새 정책을 웹 서버 컴퓨터에서 활성화합니다.



외부 사용자 및 침입자는 웹 서버에 HTTP HTTPS를 통해서만 접근할 수 있으며 내부 인트라넷 관리자들은 공유 키가 설정된 컴퓨터에서만 웹 서버에 접근할 수 있습니다. 그러나 웹 서비스를 이용한 접속에는 제한이 없습니다.

 

참조사이트

http://www.ahnlab.com/

http://www.kisa.or.kr/

http://www.itworld.co.kr/


보다 안정적인 해외서버를 원하시면 정답은 이호스트데이터센터에 있습니다.


서비스 문의.


전화 : 070-7600-5521

메일 : jsyoon@ehostidc.co.kr

홈페이지문의 : center.ehostidc.co.kr

스카이프 문의  : EhostIDC Hosting Manager




* 일본 서버호스팅


Intel® Xeon® Quad Core L5520 x 2CPU

24GB DDR RAM

1TB SATA3 HDD raid 1 구성.


Intel® Xeon® Quad Core E3 1230 v2

8GB DDR RAM

1TB SATA3 HDD raid 1 구성.



* 홍콩 서버호스팅


Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz

RAM : 8GB

500GB SATA


Intel Xeon E3-1230Lv3 Core / CPU Speed : 8 x 2.8GHz

RAM : 8GB

128 SSD


2 x Intel E5-2620 Processor

32GB ECC DDR3 Memory

2 x 1TB NL SAS Hard Disk

2 IP Address



* 러시아 서버호스팅


CPU : core i3-4360 2x3.7GHz

RAM : 4G (32GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)


CPU : E3-1230v3 3.3GHz

RAM : 16G (32GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)


CPU : E5-2620v3 2.4GHz

RAM : 16G (256GB 확장가능)

HDD : 100G ssd*2 (12 disk 확장 가능)



* 네덜란드 서버호스팅


CPU : Core i3-2100 3.1GHz (2xCores)

RAM : 4GB DDR3

HDD : 2x500GB SATA

etc : IPMI, 100Mbps


CPU : Intel Xeon E3-1230v3 3.6GHz (4xCores),

RAM : 16GB DDR3,

HDD : 2x1000GB SATA3

etc : IPMI, 100Mbps


CPU : Intel Xeon E5-1650 3,5GHz 6 Сores - 2xHDD

RAM : 16 to 128 GB DDR3 ECC RAM

HDD : SSD or 500GB/3TB SATA 7200