IP 테이블을 구성해야 합니까, 아니면 독립형 방화벽이면 충분합니까?

IP 테이블을 구성해야 합니까, 아니면 독립형 방화벽이면 충분합니까?

저는 두 개의 데스크탑과 Arch Linux를 실행하는 노트북을 가지고 있습니다. 아직 어떤 컴퓨터에도 iptable 규칙을 설정하지 않았는데 설정해야 하는지 궁금합니다.

내 홈 네트워크에서만 사용되며 기본적으로 구성되지 않고 유지 관리되지 않는 값싼 케이블 모뎀/라우터/방화벽으로 "보호"되는 데스크탑(기본 비밀번호를 받은 후 변경했으며 그 이후로 3년 동안 보지 않았습니다). 데스크탑은 표준 가정용 사용자 애플리케이션(예: 웹 브라우징, Skype)과 SSH 서버를 실행합니다. 내가 아는 한, 방화벽의 기본 구성은 홈 네트워크 내에서만 SSH 서버에 연결할 수 있기 때문에 들어오는 모든 연결을 차단합니다.

다른 데스크톱은 우리 대학의 방화벽 뒤에 있습니다. 더 허용적이며(캠퍼스 외부에서 SSH로 시스템에 연결할 수 있음) 유지 관리가 더 잘되기를 바랍니다. SSH 서버 외에 기기는 웹 검색 및 Skype 이외의 네트워크 관련 작업을 수행하지 않습니다.

노트북은 가정용 방화벽, 대학 방화벽 뒤에서 사용되며 때로는 호텔이나 커피숍과 같은 보안되지 않은 공용 유무선 네트워크에서도 사용됩니다.

IP 테이블을 구성할 가치가 있나요? 그만한 가치가 있다면 구성이 기계마다 달라야 합니까? 아마도 홈 네트워크를 보호하기 위해 별도의 독립형 방화벽을 설정하는 것이 가치가 있습니까?

답변1

사실, 당신은 여러 가지 다른 질문을 하고 있습니다. 귀하의 질문과 해결해야 할 사항은 다음과 같습니다.

1) 집이나 대학뿐만 아니라 커피숍, 할머니 집, 멀리 있는 호텔 등 다른 네트워크에 연결할 수 있는 노트북에는 내부 방화벽을 실행해야 합니다. LINUX/UNIX라면 iptables가 좋은 선택입니다. Microsoft 등의 경우 Windows Defender가 필요합니다. 그렇지 않으면 집이나 대학에 무엇을 가지고 있든 귀하의 장치는 적절하게 검사 및 보호되지 않는 네트워크에서 항상 취약할 것입니다.

2) 데스크탑은 정의에 따라 LAN에서 LAN으로 이동하지 않으며 정적입니다. 그러나 내부 LAN 장치가 모바일 장치(예: 랩탑)에 의해 손상되어 외부 네트워크에 노출될 수 있다는 방정식을 도입했기 때문에 LAN 장치가 필요한 이유에 대한 좋은 주장을 제시했습니다. 데스크탑에서도 iptables를 실행합니다. "트로이 목마"와 유사하게 노트북이나 모바일 장치가 감염될 수 있으며 방화벽 뒤의 로컬 LAN을 사용하여 다른 장치를 감염시킬 수 있습니다.

3) 마지막으로 우리는 집이나 대학에서 방화벽 뒤에 있는 다른 (모바일이 아닌) 장치를 종종 잊어버립니다. 예를 들어, 중국군은 네트워크 프린터를 감염시키는 데 매우 능숙합니다. 이러한 프린터에는 내부 방화벽 기능이 없으며 플러그 앤 플레이 네트워킹 소프트웨어가 실제로 로컬 라우터의 방화벽을 제거하여 장치가 포트 170, 515, 631 및/또는 9100과 같은 일반 프린터 포트를 통해 연결할 수 있도록 하기 때문에 액세스가 가능한 경우가 많습니다. , 포트 제조업체에 따라 다릅니다. 오늘날 냉장고, 화재 경보기, 텔레비전 등은 모두 근거리 통신망(Local Area Network)에 무선으로 연결되어 있습니다. 따라서 LAN이 한두 대의 장치에서 방화벽과 일부 바이러스 백신으로 보호되고 있다고 생각하지만 보안은 방화벽/라우터 규칙을 유지하고 알려지지 않은/우리를 허용하지 않는 것(또는 적어도 빨리 알아내는 것)만큼만 좋습니다. 수많은 플러그 앤 플레이 장치가 정기적으로 LAN에 연결되어 예측할 수 없는 변화가 발생합니다.

이 세 가지 시나리오는 iptables를 반드시 실행해야 함을 나타냅니다. 그리고 이 점을 미리 알아 두십시오. 데스크톱이나 노트북이 피할 수 있거나 피할 수 있었던 방식으로 손상되면 매우 "고통스러울" 것입니다.

답변2

이를 사용할지 여부는 궁극적으로 귀하에게 달려 있습니다 iptables. 당신은 그것이 무엇을 할 수 있고 무엇을 원하는지 살펴봐야 합니다. 매우 높은 수준에서는 iptables다음 세 가지 작업을 잘 수행할 수 있습니다.

  1. 인바운드 네트워크 트래픽 필터링
  2. 아웃바운드 네트워크 트래픽 필터링
  3. 트래픽 기록

일반적으로 iptables주거용 라우터 뒤에 있는 시스템에서는 구성이 필요하지 않습니다. 이러한 라우터는 기본적으로 인바운드 패킷을 차단해야 하기 때문입니다. 서비스를 인터넷(예: SSH)에 노출하고 라우터의 포트를 네트워크의 SSH 서버로 전달하기로 결정한 경우 iptables더 합리적입니다 . 소스 또는 대상 IP/네트워크 블록을 기반으로 트래픽을 필터링하고, 원치 않는 트래픽에 대한 ICMP 오류에 대한 시스템의 응답을 제어하고, 누구에게나 전송된 모든 패킷을 기록하는 데 사용할 수 있습니다.

질문은 실제로 다음과 같습니다.

  • 다른 사람이 상호 작용하는 것을 원하지 않는 서비스가 컴퓨터에 있습니까?
  • 네트워크에 있는 사람들이 연결하는 것을 원하지 않는 외부 서비스가 있습니까?
  • 얼마나 많은 로깅을 하시겠습니까?

추가 정보:

CentOS iptables 가이드

울부짖었다

man iptables검색이 거부되었습니다

관련 정보