이미 방화벽/포트 규칙이 있는 게이트웨이 라우터 뒤에서 UFW를 실행하는 것이 정말로 필요합니까?
이 예에서는 Natted 방화벽 게이트웨이 라우터 뒤에 있는 인터넷 액세스 가능한(Linux) 서버에서 UFW를 실행하는 방법에 대해 설명합니다.
구체적으로 설명해주세요. 단지 해커가 있다고 해서 그렇다고 대답하지 마세요! (이것은 유효한 답변이지만)
내부 보호용인가요? 그렇다면, 그리고 내 LAN을 신뢰할 수 있다는 것을 알고 있는데, UFW를 실행할 수 없나요?
답변1
궁극적으로 이는 유닉스/리눅스 문제가 아닌 보안 문제입니다.
기술적으로 대답은 '아니오'입니다. 작동하기 위해 실행할 필요가 없습니다(실행 중인 다른 항목에 따라 다름).
저는 모뎀/라우터/액세스 포인트가 인바운드 연결을 허용하지 않도록 설정되어 있기 때문에 홈 네트워크에서 호스트 방화벽을 실행하지 않습니다. 그리고 여러분처럼 저도 홈 LAN을 "신뢰"합니다.
하지만 이건 내꺼야집난초. 흥미로운 데이터도 없고 이에 대해 할 말이 없습니다.끌어 들이다해커, 주로 운전자에 대한 방어입니다.
다음 위협은 웹 브라우저를 통해 전달되는 악성 코드입니다. 그것은 당신을 의미합니다할 수 없다홈 네트워크를 믿으십시오. 이 경우 누군가가 웹 서버(교차 스크립트 등)를 하이재킹하면 컴퓨터에 일종의 봇이 생기고 네트워크를 스캔하여 복사본을 만듭니다. 기밀로 분류된 "비밀" 네트워크(네트워크 자체가 아니라 그 안의 데이터가 기밀이라는 의미)를 보유한 정부 시설이 있었는데, 시설이 심각한 감염을 겪었고 시스템에 있는 모든 것이 감염되어 시설에서 나가는 데 심각한 어려움을 겪고 있었습니다. 기계의 모양을 바꿀 수 있기 때문에 빠르게 확산되고 있습니다. 그러나 이는 Active Directory [1]의 거의 모든 Windows 컴퓨터에 대한 단일 문화 및 보안 문제입니다.
아마도 이것은 당신에게 문제가 될 수도 있고 아닐 수도 있습니다. 그것이 당신이 내려야 할 평가입니다.
궁극적으로 열려 있는 인바운드 포트가 거의 없고 실행 중인 네트워크 서비스가 최소화되며 기타 모범적인 보안 관행이 있는 홈 네트워크에서는 호스트 기반 방화벽이 상당한 보안 이점을 제공하지 않습니다.
그러나 모든 유형의 PII가 있는 비즈니스에서는 조금 더 노력해야 합니다.
이는 다음을 의미합니다.. 우리 모두는 호스트 기반 방화벽을 실행해야 합니다. 우리는 우리를 대신하여 컴퓨터가 어떤 네트워크 활동을 시작하고 처리하는지 알아야 합니다.
하지만 바쁘고 정신없으니...
답변2
Petro가 말한 것 외에도 UFW에서 실행하는 규칙에 따라 달라질 수 있다고 생각합니다. 내 의견은 LAN 내의 어떤 워크스테이션도 완전히 신뢰하지 않는다는 것입니다. 워크스테이션은 백도어 바이러스에 감염되어 해커가 내부에서 네트워크를 공격할 수 있습니다. 따라서 감염된 워크스테이션이 서버를 공격하는 것을 막을 수 있는 펌웨어를 갖추는 것이 좋습니다. 반면, LAN 장치에서 ssh와 같은 작업을 허용하는 규칙을 구현하려는 경우 UFW의 장점은 줄어듭니다.
우리 집의 UTM은 VLAN의 손쉬운 구현을 지원하므로 UTM이 서브넷 간 트래픽을 검사하고 방화벽을 수행할 수 있습니다. 이를 통해 장치를 다양한 신뢰 수준에 둘 수 있습니다. 웹 기반 서버는 가장 낮은 신뢰 수준(사실상 DMZ)에 있고, KVM 호스트는 가장 높은 신뢰 수준으로 별도의 VLAN에 있고, 백업 서버는 사설 VLAN에 있고, 최종 사용자 장치는 네 번째 VLAN에 있습니다. VLAN. 집에서는 과분하지만 이것은 제가 직장에서 테스트하고 그대로 두는 설정입니다.