japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
Cyberguard(방화벽) 메뉴얼
조회 : 7,225  


 

네트워크 주소 변환(Network Address Translation)은 외부의 호스트들로부터 내부 네트워크 주소를 감추어주고 내부 네트워크가 비공인 IP주소를 사용해도 주소 변환을 통해 인터넷을 사용할 수 있게 해 준다. 외부 네트워크에 있는 사용자는 내부 네트워크와 통신이 이루어지는 모든 트래픽이 CyberGuard Firewall의 외부 인터페이스 주소에서 출발하거나 도착하는 것처럼 보이게 된다. CyberGuard Firewall의 외부 인터페이스에는 공인 IP주소 중 하나가 할당되게 된다. 주소변환은 동적으로도 정적으로도 혹은 두 가지를 동시에 사용하여 일어날 수 있다.

동적 주소 변환(Dynamic Address Translation)

동적 주소 변환은 외부로 나가는 트래픽의 출발지 주소를 CyberGuard Firewall의 외부 인터페이스 주소로 바꾸어 주고 동적으로 포트 번호를 할당하여 내부 네트워크 주소를 감추어 주는 것을 말한다. 만일 어떤 패킷이 내부 네트워크 주소로 직접 전달되려고 한다면 CyberGuard Firewall이 잘라버리게 된다.



Interface 네트워크 인터페이스로 사용되는 디바이스 이름
Type 네트워크 인터페이스가 연결된 쪽을 나타 냄
Host Name 네트워크 인터페이스에 할당된 호스트 명을 나타 냄
IP Address 네트워크 인터페이스에 할당된 IP 주소를 나타 냄
Sub-Network Mask 서브 네트워크 마스크를 나타 냄
NAT 외부 네트워크 인터페이스에 동적 주소 변환 기능을 활성화 시킴
Pass Address 내부 클라이언트의 주소를 외부에서 볼 수 있게 할 것인지 설정

정적 주소 변환(Static Address Translation)

정적 주소 변환은 내부 네트워크에 외부 네트워크에서 접근해야 하는 서버가 존재하는 경우에 사용한다. 운영자는 CyberGuard Firewall의 주소 변환 테이블을 입력하여 외부 네트워크 사용자가 볼 공인 IP주소와 실제 내부 네트워크의 비공인 IP주소를 호스트 단위 혹은 네트워크 단위로 1:1 매핑할 수 있다. 동적 주소 변환과는 달리 내부 네트워크 사용자의 포트 번호는 변하지 않는다.



Type
  • Host : 해당 테이블의 내용을 공개 서버 주소로 간주 함
  • Network : 해당 테이블의 내용을 공개 네트워크 주소로 간주 함
  • Comment : 해당 테이블의 내용을 주석으로 간주 함
  • Global Address 외부 네트워크에서 볼 수 있는 공인 호스트 주소 혹은 네트워크 주소
    Internal Address 내부 네트워크의 실제 호스트 주소 혹은 네트워크 주소
    Sub-Network Mask NAT를 위해 Global Address와 Internal Address의 매핑 시에 사용하는 서브 네트워크 마스크
    Interface 정적 주소 변환이 일어나는 네트워크 인터페이스 디바이스 명 (디폴트: ALL)
    Comment 해당 테이블에 추가할 주석을 적을 수 있음

    주소 변환의 옵션으로 제공하고 있는 Pass Address 기능은 내부 네트워크 사용자의 IP주소를 외부에서 볼 수 있게 해 줄 것인지 혹은 CyberGuard Firewall의 외부 인터페이스 주소로 변환하여 줄 것인지 운영자가 선택할 수 있게 해 준다.


    CyberGuard Firewall은 패킷 필터링 설정을 통해 인터넷 서비스 프로토콜의 종류에 상관없이 모든 서비스에 대한 내부 네트워크로의 접근을 허가 혹은 불허할 수 있다.
    특히, 기존에 외부 라우터에 필터링 규칙을 관리하고 방화벽에서는 프록시 기능만 제공하는 타 방화벽 제품과는 달리 두 가지 기능을 모두 CyberGuard Firewall에서 지원함으로써 보안 관련 운영 및 관리를 하나의 시스템에서 수행할 수 있는 장점이 있다.



    Type 특정 인터넷 서비스를 허가할 것인지 불허할 것인지, 혹은 프록시를 통과시킬 것인지 등을 지정
    Service (필수사항) 패킷 필터링 규칙을 적용할 인터넷 서비스의 종류를 지정. 만일 메뉴에 없는 신규 서비스인 경우 해당 서비스가 사용하는 포트 번호화 프로토콜의 형식(tcp 혹은 udp)을 운영자가 직접 지정 가능
    Packet Origin (필수사항) 패킷을 보내는 호스트 혹은 네트워크를 지정. 여기서 LOCAL_HOST는 CyberGuard Firewall 시스템 자체를 가리킴
    Packet Destination (필수사항) 패킷을 받는 호스트 혹은 네트워크를 지정
       
    Timeout (seconds) 해당 서비스에 대한 응답을 기다리는 시간을 지정
    Audit these packets (디폴트) 해당 필터링 규칙에 해당되는 모든 이벤트에 대한 기록을 할 것인지 하지 않을 것인지 지정
    Enable replies 패킷에 대한 응답을 허가할 것인지 허가하지 않을 것인지 지정. 일반적으로 UDP 형의 서비스인 경우 설정할 필요가 있는 것이 있음
    Force port matching 패킷이 전달되는 세션의 출발지와 목적지 포트번호가 변경되지 않았는지 확인 후 변경되면 연결을 끊어버리는 옵션
    Validate source address (디폴트) IP 스푸핑을 이용한 해킷을 방지하기 위한 특별한 옵션
    Apply to established connections (TCP 계열 서비스만 유효) 현재의 필터링 규칙을 TCP 연결에 해당하는 서비스에 재적용. 연결이 다시 만들어짐
    Comment 현재 필터링 규칙이 명시되는 행을 주석 문으로 처리함

    CyberGuard Firewall의 라우팅은 시스템에 설치되어 있는 네트워크 인터페이스와 연결된 네트워크 장비들 간의 패킷이 어떻게 전달되어야 하는지를 지정한다. 특히, 초기 시스템 설치 시에 네트워킹이 제대로 이루어지는지 제일 먼저 설정하고 확인해야 하는 부분이기도 하다. CyberGuard Firewall은 대부분의 경우 내부 네트워크와 외부 네트워크 간의 유일한 연결 점에 설치되기 때문에 고객사의 네트워킹에 아주 중요한 역할을 수행한다. 따라서 보안 규칙을 적용하기 전에 완전히 확인하는 것이 좋다.
    CyberGuard Firewall은 정적 라우팅과 동적 라우팅을 모두 지원하며, 특히 이들 두 가지 방식의 라우팅을 동시에 지원한다. 따라서 내부 혹은 외부 네트워크 구조가 복잡한 고객의 경우 어떠한 라우팅을 사용할 것인지 정적인 라우팅 테이블을 어떻게 관리할 것인지 결정해야만 한다.

    • 현재 CyberGuard Firewall 은 동적 라우팅 프로토콜은 RIP만 지원 됨.

      정적 라우팅 설정



      Address for Default Route 디폴트 라우터를 지정. 일반적으로 고객사가 가지고 있는 인터넷에 연결된 외부 라우터 주소가 됨
      Type 패킷을 전달하는 형식을 지정. 일반적으로 Gateway로 설정하고, CyberGuard Firewall에 여러 네트워크 인터페이스가 설치되 있는 경우 드물게 Interface로 설정하기도 함
      Destination (필수사항) 라우팅의 목적지가 되는 네트워크 주소, 혹은 호스트 주소를 지정
      Forward To (필수사항) 패킷을 포워드할 게이트웨이 주소를 지정
      Preference (필수사항) 정적 라우팅과 동적 라우팅을 동시에 사용하는 경우 우선 순위를 지정. 0이 가장 우선 순위가 높고, 255가 가장 우선 순위기 낮다. 정적 라우팅은 디폴트가 50이고, 동적 라우팅은 디폴트가 100이므로 같은 목적지를 가진 경우 정적 라우팅이 우선 적용 됨

    CyberGuard Firewall의 Report->Audit Logs Criteria 윈도우를 사용하면 방화벽에 저장되어 있는 각종 기록들을 운영자가 원하는 항목에 관련된 사항만 뽑아 볼 수 있다.

    예를들어, Audit logs Criteria의

    Type : Network Event
    Constraint : permit

    라고 지정하고, Time Range를 적당히 지정한 후 Apply 버튼을 누르면 아래와 같은 텍스트가 출력된다.

    
    Command Line Entered: /usr/sbin/auditrpt -M -B 020612001998 -E 020613001998 -n permit 
    
    DATE: 0206, LOG NUMBER: 001, AUDIT VERSION: 4.0 
    
    MACHINE ID: UNIX_SV cyber 4.2MP 2.1 i386 
    
    DATE: 0206, LOG NUMBER: 002, AUDIT VERSION: 4.0 
    
    MACHINE ID: UNIX_SV cyber 4.2MP 2.1 i386 
    
    12:00:00:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.78.136,src intf=dec0,dst
    addr=210.116.8.21,dstintf=dec1,tcp,src port=1571,dst port=80,tcp_flags=0x2,permit,receive 12:00:00:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.76.28,src intf=dec0,dst
    addr=210.115.128.1,dstintf=dec1,tcp,src port=1249,dst port=80,tcp_flags=0x2,permit,receive 12:00:03:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.76.135,src intf=dec0,dst
    addr=203.252.3.14,dstintf=dec1,tcp,src port=1215,dst port=80,tcp_flags=0x2,permit,receive 12:00:04:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.76.135,src intf=dec0,dst
    addr=203.252.3.14,dstintf=dec1,tcp,src port=1216,dst port=80,tcp_flags=0x2,permit,receive
    12:00:05:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.78.136,src intf=dec0,dst
    addr=203.248.208.2,dstintf=dec1,tcp,src port=1573,dst port=80,tcp_flags=0x2,permit,receive 12:00:05:06:02:98,ng_permit,P-1,s,nobody:nobody,nobody:nobody,S-1,,src addr=210.122.76.135,src intf=dec0,dst
    addr=203.252.3.14,dstintf=dec1,tcp,src port=1217,dst port=80,tcp_flags=0x2,permit,receive
    ......

    맨 윗줄은 실제 로그 검색을 위해 커맨드라인에서 실행된 명령을 보여주고 있다. 따라서 여기에 나타난 명령을 Shell Window에서 실행해도 같은 출력을 얻을 수 있다.

    3번째줄부터 DATE와 MACHINE ID 쌍은 참조된 실제 로그파일과 로그의 대상 기계에 관한 정보를 가지고 있다. 실제 로그 보고서 파일은 11번째 줄부터 그 내용이 들어있고, 각 필드는 콤마(,)를 구분자로 정렬되어 있다.

    첫번째 필드는 해당 이벤트가 발생한 시간을 나타내며 포멧은 '시:분:초:일:월:년' 이다. 두번째 필드는 해당 이벤트에 대한 내부 이벤트 명이고, 다섯번째와 여섯번째는 해당 이벤트의 실행자와 소유자를 UID를 근거로 나타낸 것이다.9번째 필드는 출발지 주소, 11번째 필드는 도착지 주소, 13번째 필드는 프로토콜 타입(tcp/udp/icmp 등), 14번째 필드는 출발지 포트번호, 15번째 필드는 도착지 포트번호, 17번째는 해당 이벤트에 대한 CyberGuard Firewall에서의 접근허가 종류, 18번째는 ACK신호를 허용하는지에 대한 항목을 나타내고 있다.

    현재 CyberGuard Firewall에서는 로그 분석을 위한 별도의 패키지는 없으며, 양식화 되어 있는 로그 파일을 MS-Excel 과 같은 스프레트쉬트 프로그램 등으로 구분자를 콤마(,), 등호(=) 등으로 지정하여 정렬하고, 통계치 등을 분석할 수 있다.

    출발지/도착지 주소를 resolved domain name으로 표시하려면, CyberGuard Firewall에 DNS 지정을 해야하는데, 보안 상의 이유로 기본설정은 DNS가 지원되지 않는다. 만일 DNS 지정을 원하는 경우는 운영자 메뉴얼의 Split DNS 설정을 참조한다.

     

    시스템 백업과 복구는 시스템 운영자에게 가장 중요한 임무 중 하나이다. 일단 CyberGuard Firewall 환경설정이 끝나면 운영자는 CyberGuard Firewall 시스템 전체를 DAT 테이프로 백업을 해 두어야 한다.
    최초의 환경설정 이후에도 시스템에 변경내용이 많거나 너무 오래된 경우에는 정규적으로 백업을 해두는 것이 좋다. CyberGuard Firewall의 시스템 파일이 손상을 당했거나 사용자의 실수로 운영자가 원상태로 돌려놓는데 한계가 있는 경우 백업을 해 두었던 DAT 테이프로 복구를 시행한다.
    일반적으로 백업은 CyberGuard Firewall을 동작정지 시키지 않고도 시행할 수 있으나, 추천할 만하지는 못하고, 시스템을 운영자 모드(single user mode)로 전환하여 백업 과정 중에 시스템의 정보가 변환되는 것을 방지한다.

    백업과정

    복구용 부트 디스켓 만들기

    1. 고밀도 디스켓(1.44MB용량) 2장을 각각 Recovery diskette #1, Recovery diskette #2로 레이블링 한다.

    2. CyberGuard Firewall의 전원을 올린다.

    3. 다음 메시지가 화면에 나타나면 를 누른다:

      Booting CyberGuard Firewall

    4. 다음 메시지가 화면에 나타나면 현재 interactive mode로 들어간 것이다:

      Entering BOOT in interactive session… [? For help]
      [boot]#

      만일 interactive mode로 들어가지 못했다면, 시스템을 다시 리부팅한다.

    5. 다음 명령어를 입력하여 single user mode로 들어간다:

      [boot]# INITSTATE=1

    6. 다음 명령어를 입력하여 사용할 커널을 지정한다:

      [boot]# KERNEL=mUNIX

    7. 다음 명령어를 입력하여 부팅 과정을 시작한다:

      [boot]# go

    8. root로 로그인 한다.

    9. 플로피 디스크 드라이브에 Recovery diskette #1 디스켓을 넣는다.

    10. emergency_disk 스크립트를 사용하여 복구용 부트 디스켓을 만든다:

      /sbin/emergency_disk diskette1

    11. 첫번째 복구용 디스켓이 다 만들어지면, 두번째 복구용 디스켓을 넣어 달라는 메시지가 나타나게 된다. 첫번째 디스켓을 디스켓 드라이브에서 제거하고 두번째 디스켓을 넣은 후 를 누른다. 그러면 두번째 복구용 디스켓이 만들어지고 있다는 메시지가 나타난다.

    12. 복구용 디스켓 두개가 모두 만들어지면, 디스켓이 지워지지 않도록 write protection을 해 놓는다.

    하드 디스크의 백업

    1. 루트로 들어가기 위해 다음과 같이 입력한다:

      /sbin/tfadmin newlvl SYS_PRIVATE
      SYS_PRIVATE> su root
      Passwd: 루트암호입력

    2. DAT 드라이버에 4mm 테이프를 넣고, emergency_rec 스크립트를 사용하여 하드 디스크를 백업한다:

      /sbin/emergency_rec -e ctape1

      주의: 여기서 출력되는 에러 메시지는 무시해도 된다.

    3. 백업은 약 30분 정도가 소요된다. 백업이 끝나면, multi-user 모드로 들어가기 위해 다음 명령어를 입력한다.

      init 2

    CyberGuard Firewall 시스템 복구

    백업해 두었던 것을 복구에 사용하면, 백업했을 때와 복구하는 현재 사이에 변경된 내용은 모두 삭제가 된다. 즉, 백업을 했던 때로 그대로 돌아간다고 생각하면 된다.

    1. 컴퓨터가 전원이 내려져 있는지 확인한다.
    2. 플로피 디스켓 드라이브에 첫번째 복구용 부트 디스켓을 넣는다(즉, Recovery diskette #1 디스켓을 넣는다).
    3. 컴퓨터의 전원을 올린다.
    4. 첫번째 복구용 부트 디스켓이 다 읽어지면, 두번째 디스켓을 넣으라는 메시지가 출력된다. 여기서 두번째 복구용 디스켓을 넣고 를 누른다.
    5. 프로그램이 자동으로 하드 디스크가 제대로 동작되는지 확인 후 계속할 것인지를 물어 오는데 여기서 를 누른다.
    6. 백업 테이프를 DAT 드라이브에 넣은 후 테이프 드라이브의 노란 불이 켜졌다가 꺼질 때까지 기다린다.
    7. 화면에 Emergency Recovery Menu가 나타나면, Restore Disk(s)를 선택한다. 복구 과정은 약 30분 정도가 걸린다.
    8. 시스템 복구가 끝나면, 플로피 드라이브에서 디스켓을 빼내고, 시스템을 리부팅 한다.

    (주)아이네트는 고객이 구매한 CyberGuard Firewall을 아이네트의 보안 전문가들에 의해 좀더 효율적으로 원격지 관리해 줄 수 있도록 해주는 CRMS(Cyberguard firewall Remote Management Service)를 제공하고 있다. 고객이 CRMS를 아이네트에 신청하고 아래와 같이 패킷 필터링 규칙과 사용자 등록을 하면 자사의 CyberGuard Firewall을 보안 전문가들이 보안 관련 모니터링 및 정규적으로 보안 관련 감사 자료를 보고서로 작성하여 준다.

    고객의 CyberGuard Firewall에 설정해 주어야할 것들

    • 현재 사용하고 있는 CyberGuard Firewall이 버젼 3.1 이상인지 확인한다.
    • System 메뉴에서 License Keys 항목을 선택하여 화면에 나타나는 윈도우에서 Remote Administration 필드가 Yes로 되어있는지 확인한다. 만일 Remote Administration 필드가 Yes로 되어있지 않다면, (주)아이네트로 문의한다.
    • Configuration 메뉴에서 Packet Filtering Rule 항목을 선택하면 윈도우가 나타나는데 필터링 규칙 목록 중 적당한 곳에 아래와 같이 규칙을 삽입한다.

      Type Service Packet Origin Packet Destination Options
      permit rmtadm/tcp 아이네트CRMS서버주소 LOCAL_HOST No Audit
      permit rmtadm/tcp LOCAL_HOST 고객의 CyberGuard 외부 인터페이스주소 No Audit

    • Configuration 메뉴에서 Users 항목을 선택하면 윈도우가 나타나는데 사용자 목록 중 적당한 곳에서 Insert 버튼를 누르고 다음 사용자를 추가한다.

      User Information Login ID: inet Full Name: Remote Admin Security Role: Firewall Security Officer
      Authentication Authentication Method: Password Password Changes: User can change user's password Password: 아이네트에문의
      FTP Operations 모두 선택

    • 주)아이네트에 전화나 팩스를 보내어 CRMS 신청을 한다.
      • 전화: 02-531-7700 (내선# 7837)
      • 팩스: 02-538-6942 (수신 홍명화)
      • 전자우편: cyberguard@nuri.net



  • StreamWorks를 내부 네트워크 사용자가 볼 수 있게 하려면?
  • RealAudio 혹은 RealVideo 혹은 RealPlayer를 내부 네트워크 사용자가 볼 수 있게 하려면?
  • 슈퍼유저(root) 권한을 얻으려면?
  • 로그(log) 파일을 정리하려면?
  • CyberGuard Firewall v3.x 이상에서 로그 파일을 정규적으로 삭제하는 방법은?
  • In-bound 웹 트래픽에 대한 프록시 설정 방법은?
  • 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지한 경우에 긴급 처방은?
  • 패치 방법은?

    Q.StreamWorks를 내부 네트워크 사용자가 볼 수 있게 하려면?

    A. CyberGuard Firewall의 패킷 필터링 규칙 윈도우(Packet Filtering Rule Window)를 열고 포트번호 1558번을 UDP타입으로 통과시켜 주면 된다.

    Type Service Packet Origin Packet Destination Options
    permit 1558/udp ALL_INTERNAL ALL_EXTERNAL Enable replies

    주의: StreamWorks는 서비스 프로토콜 특성 상 동적인 네트워크 주소 변환(Dynamic NAT) 기능을 이용하여 연결되는 시스템에 대해서는 패킷이 올바로 전달되지 못합니다. 따라서 내부 네트워크에 비공인 주소를 할당하고 외부 네트워크에 연결하는 경우 방화벽 등을 통해 동적인 NAT 기능을 이용하는 경우 StreamWorks를 이용할 수 없습니다. 단, 정적인 NAT를 이용하여 할당을 하는 경우 사용 가능합니다.



    Q. RealAudio 혹은 RealVideo 혹은 RealPlayer를 내부 네트워크 사용자가 볼 수 있게 하려면?

    A. CyberGuard Firewall의 패킷 필터링 규칙 윈도우(Packet Filtering Rule Window)를 열고 포트번호 7070번을 TCP타입으로 내부에서 외부로 연결되는 것을 열어주고, 포트번호 6970 ~ 7170번을 UDP타입으로 외부에서 내부로 들어올 수 있도록 열어주면 된다. 여기서 UDP포트를 외부에 노출 시키므로서 보안에 문제가 된다면 UDP포트를 막아도 RealAudio를 사용할 수 있지만 음질이 떨어지는 현상은 감수해야만 한다.

    Type Service Packet Origin Packet Destination Options
    permit 7070/tcp ALL_INTERNAL ALL_EXTERNAL  
    permit 6970/udp ALL_EXTERNAL ALL_INTERNAL Enable replies
    .... .... .... .... ....
    permit 7170/udp ALL_EXTERNAL ALL_INTERNAL Enable replies

    최근 발표된 RealPlayer의 경우에는 UDP포트를 하나로 지정하여 방화벽을 통해 서비스될 수 있도록 설정이 가능한데, 이 경우에는 RealPlayer의 Preferences메뉴에서 Transport 탭을 선택하고 UDP포트 하나를 지정해 주고 방화벽에서는 이 UDP포트만을 열어주면 좋은 음질과 화질를 사용할 수 있다.

    Type Service Packet Origin Packet Destination Options
    permit 7070/tcp ALL_INTERNAL ALL_EXTERNAL  
    permit 7070/udp ALL_EXTERNAL ALL_INTERNAL Enable replies

    * 관련 정보 : RealAudio사의 Firewall 관련 세팅 도움말(http://www.realaudio.com/help/firewall/)



    Q. 슈퍼유저(root) 권한을 얻으려면?

    A. Tools 메뉴에서 Shell Window 항목을 선택한다.
    아래와 같이 순서대로 입력한다.

    $ /sbin/tfadmin newlvl SYS_PRIVATE
    SYS_PRIVATE> su root
    Password: 슈퍼유저 암호 입력

    그러면 프롬프트가 '#'으로 바뀌면서 슈퍼유저가 될 수 있다. 일단 슈퍼유저가 되면 시스템의 모든 파일에 대한 접근권한을 획득하고, 슈퍼유저만 실행 가능한 프로그램을 사용할 수 있지만, 외부로 혹은 외부에서 슈퍼유저로 직접 네트워킹하는 것은 불가능 하다.



    Q. 로그(log) 파일을 정리하려면?

    A. CyberGuard Firewall 의 로그 파일은 아래 두 디렉토리에 저장된다.

    /var/audit
    /var/audit_log

    따라서 이 두 디렉토리로 들어가 파일명이 "Z"로 끝나는 파일은 시스템이 자동으로 압축을 하여 저장한 파일이므로 삭제하거나 백업을 하여 제거하면 된다.

    삭제를 위해서는 rm 명령으로 아래와 같이 입력한다(단, 삭제를 위해서는 슈퍼유저 권한이 있어야 함).

    rm 로그파일명.Z



    Q. CyberGuard Firewall v3.x 이상에서 로그 파일을 정규적으로 삭제하는 방법은?

    A.
    1. 먼저 Tools 메뉴에서 Shell Window 를 선택하여 xterm를 화면에 띄운다.

    2. 아래와 같이 입력하여 root 권한을 획득한다.

      /sbin/tfadmin newlvl SYS_PRIVATE SYS_PRIVATE> su - Password: #

    3. root 권한을 얻은 다음 아래와 같이 입력하여 퍼블릭 사용자 권한을 다시 얻은 후 CyberGuard 가 정해진 시간에 어떤 작업을 수행하게 할지 지정하기 위해 crontab -e 명령으로 cron 테이블을 편집한다.

      # /sbin/tfadmin newlvl USER_PUBLIC USER_PUBLIC> VISUAL=vi USER_PUBLIC> export VISUAL USER_PUBLIC> crontab -e

    4. CyberGuard 의 cron 테이블은 아래와 같은 양식을 가지고 있다.

      분 시 일 월 요일 실행할쉘명령어

      만일 매주 토요일 밤 11:00 에 압축되 있는 로그 파일을 자동 삭제하고 싶다면 아래와 같이 편집하면 된다.

      0 23 * * 6 /sbin/rm /var/audit/*.Z &

      만일 매주 일요일 새벽 4:00 에 1주일 이상 지난 로그 파일을 자동 삭제하고 싶다면 아래와 같이 편집하면 된다.

      0 4 * * 0 /usr/bin/find /var/audit -mtime +7 -exec rm {} ;

      요일은 0을 일요일로 시작하여 6이 토요일을 나타내며, 일과 월은 모두 숫자로 표기된다. 즉, 1월은 1, 2월은 2 와 같다.

    5. 마지막으로 수정한 cron 테이블을 저장하기 위해 ESC 키를 누른 다음 wq를 입력한 후 Enter 키를 누른다.
    6. Shell Window 를 닫고 해당 시간이 지나면 원하는 작업이 자동으로 실행이 됐는지 확인한다.



    Q.In-bound 웹 트래픽에 대한 프록시 설정 방법은?

    A.
    1. 데스크탑에서 Proxies 를 선택한다.
    2. HTTP proxy 를 선택하고 아래에 나열한 항목을 체크한다.
      • Enable Proxy Service
      • Inbound To Firewall
      • Update Packet-Filter Rules
    3. Setup 탭을 누르고 아래 나열한 항목을 선택한다.
      • Web Server Handler : Independent
      • Port Number : 내부 웹 서버의 포트번호 (일반적으로 80)
      • External Attempt Timeout : 40
      • Authenticate outbound : No
    4. Servers 탭을 누르고 아래 나열한 항목을 선택한다.
      • Web Server : 내부 웹서버의 IP 주소 (내부 웹서버 주소가 비공인 주소인 경우 비공인 주소를 지정)
      • Allow post : 체크
      • Allow put : 체크
      • Allow delete : 체크
    5. Save 한 후 Use 버튼을 누름.
    6. 실제 외부 사용자가 내부 웹서버를 CyberGuard 프록시를 통해 접근하는 과정은 아래와 같다.
      • 웹 브라우저를 실행한다.
      • CyberGuard의 외부 인터페이스 주소와 HTTP proxy의 Setup에서 지정한 포트 번호로 URL을 지정한다.
        예) http://203.251.112.253:8100

    # 주의: 만일 CyberGuard 주소로 지정했지만 포트 번호가 틀리 다면 CyberGuard 가 HTML로된 접근거부 메시지를 출력한다.



    Q. 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지한 경우에 긴급 처방은?

    A. CyberGuard Firewall 은 파일 시스템이 꽉차면 자동으로 싱글모드로 들어가 네트워크를 차단하고 자기 방어 모드로 전환된다. 하지만, 운영자가 네트워크 이벤트에 대해 로그(log)를 남기도록 설정한 경우에는 비록 CyberGuard Firewall이 자동으로 자기 방어 모드로 전환이 되더라도 여전히 root 권한으로 로그를 남기기 때문에 파일 시스템이 꽉차서 시스템이 오동작을 하거나 정지해 버리는 응급상황이 발생할 수도 있다.

    이러한 경우에는 운영자가 직접 시스템을 정지한 후 재부팅하여 응급처치를 수행하기 위한 싱글모드로 들어가 로그 파일이나 기타 파일 시스템을 크게 잡아 먹는 파일을 삭제해 주어야 한다. 이러한 응급처치 방법은 아래와 같다.

    1. 일단 CyberGuard Firewall에 연결된 네트워크 선을 뽑는다. (즉, CyberGuard Firewall 하드웨어 뒷면에 있는 이더넷 포트를 뽑는다. 네트워킹으로 인한 더이상의 악영향을 방지하기 위함)

    2. GUI 가 화면에 나타나 있는 경우:

      Shell Window 를 띄운 다음 아래와 같이 입력한다.

      
           /sbin/tfadmin newlvl SYS_PRIVATE
           SYS_PRIVATE> su -
           Password: 슈퍼유저암호입력
           #
           # sycn; sync; sync; shutdown -y now
      

      를 입력하여 시스템을 정지 시키고, 시스템이 정지되면 시스템의 전원을 내렸다가 다시 전원을 올린다.

      GUI 가 죽고, 콘솔상의 텍스트 모드로 떠 있는 경우:

      Enter 키를 여러번 누르면 로그인 프롬프트가 뜨는데 여기서 cgadmin 혹은 FSO 권한을 가진 다른 ID를 입력한 후 암호를 입력하면 $ 프롬프트가 나타난다. 그 다음 아래와 같이 입력한다.

      
           $ su -
           Password: 슈퍼유저암호입력
           # sycn; sync; sync; shutdown -y now
      
      만일 로그인 프롬프트도 화면에 나타나지 않는다면, 최악의 경우를 대비해 백업을 해둔 것이 있는지 확인 한 후 CyberGuard Firewall의 전원을 내렸다. 다시 전원을 올린다.

    3. CyberGuard Firewall 이 다시 부팅이 되면서 부팅 후 약 30초후 아래와 같은 메시지가 화면 제일 상단에 나타나면 Spacebar 를 누른다.

      
           Booting CyberGuard Firewall...
      

      그러면 아래와 같이 프롬프트가 나타나게 된다.

      
           Entering BOOT in interactive session... [? for help]
           [boot] #
      

    4. '[boot] #' 프롬프트에서 아래와 같이 차례로 입력한다.

      
           [boot] # INITSTATE=1
           [boot] # KERNEL=mUNIX
           [boot] # go
      

    5. 시스템이 다시 계속 부팅과정을 진행하게 되는데 부팅이 되면 시스템은 싱글 사용자 모드로 전환되어 로그인 프롬프트가 화면에 나타난다. 여기서 cgadmin 혹은 FSO 권한을 가진 사용자 ID를 입력한 후 해당 암호를 입력한다.

    6. 다시 슈퍼유저 권한을 위해 아래와 같이 입력한다.

      
           $ su -
           Password: 슈퍼유저암호입력
           #
      

    7. 이제 시스템에서 응급처치를 위한 준비가 다 되었다. 아래 명령을 입력하여 로그 파일이 있는 디렉토리로 이동한다.

      
           # cd /var/audit
      

    8. ls 명령을 사용하여 적당한 파일을 rm 명령으로 삭제한다. 만일 30일 이상 지난 파일을 삭제하고자 하는 경우 아래와 같이 입력 하면 된다.

      
           # find /var/audit -mtime +30 -exec rm {} ;
      

    9. 'df -k' 명령을 사용하여 /var 파티션이 충분한 여유공간이 확보 되었는지 확인한 후 아래 명령을 사용하여 시스템을 재부팅 한다.

      
           # sycn; sycn; sync; shutdown -y now
      

    10. 만일 /var/audit_log 디렉토리에도 불필요한 로그 파일이 많이 쌓여 있는 경우 과정 8부터 반복한다.



    Q. 패치 방법은?

    1. 먼저 cgadmin 이외에 FSO(Firewall System Officer) 자격을 가진 시스템 계정이 있는지 확인한 후 데스크 탑 화면에서 Tools 메뉴를 선택한다.
    2. Shell Window 를 실행한 후 아래 명령 입력한다.

      $ /sbin/tfadmin newlvl SYS_PRIVATE
      SYS_PRIVATE> su
      Password: (암호입력)
      # /sbin/tfadmin newlvl NETWORK
      NETWORK> chmod 777 .
      NETWORK> ftp ftp.nuri.net
      ftp> cd /cyberguard/patch/unix

    3. 자신의 시스템에 맞는 패치 파일을 다운로드 한다.
    4. 압축을 풀기 위해 아래 명령을 입력한다(예: 패치파일 P4x0p5.Z을 다운로드한 경우).

      NETWORK> uncompress P4x0p5.Z

    5. 패치 파일을 적당한 파일 양식으로 변환하기 위해 아래 명령을 입력한다.

      NETWORK> chmod 777 /var/spool/pkg
      NETWORK> pkgtrans /home/cginet/network/P4x0p5 /var/spool/pkg P4x0p5

    6. 데스크 탑의 메뉴 System을 선택한 후 'Shutdown System and Reboot'를 선택한다.
    7. 시스템이 재부팅 되는 과정 중에 아래 메시지가 나오면 를 누른다.

      Booting CyberGuard Firewall [Hit any key in 5 seconds to cancel]
      [boot]#

    8. 시스템 관리 모드로 들어가기 위해 아래 명령을 입력한다.

      [boot]# KERNEL=mUNIX
      [boot]# INITSTATE=1
      [boot]# go

    9. 로그인 프롬프트가 나타나면 FSO 자격을 가진 아이디(예: cginet)으로 로그인 한다.
    10. 슈퍼유저 권한을 얻기 위해 아래 명령을 입력한다.

      $ su -
      Password: (암호 입력)

    11. 변환된 패치 파일을 이용해 실제 패치를 수행하기 위해 아래 명령을 입력한다.

      # pkgadd P4x0p5

    12. 패치가 완료되면 아래 명령을 통해 시스템 서비스 모드로 전환한다.

      # init 6

    13. 패치는 끝나고 CyberGuard 시스템이 부팅된다.


    1. 방화벽이 설치될 네트워크의 구성도를 그린다.

      (예, [그림])


    2. 초기 시스템 환경설정을 한다. 환경설정을 위해, 설치를 하는 지역의 time zone, 방화벽 시스템의 호스트(혹은 노드) 명, 공인 도메인 명, 방화벽 내부/외부 인터페이스에 할당될 IP주소 및 서브 네트워크 마스크 등.
    3. 모든 사용자의 계정 및 암호 할당

    환경설정 과정(Configuration Procedure)

    1. 백업 및 복구 방법에 설명되어 있는대로 긴급 부트 디스크를 만든다.
    2. Host Names 윈도우에 방화벽에서 환경설정 시에 사용할 호스트들의 이름을 추가한다. 일반적으로 추가할 호스트 명은 ISP의 호스트 명과 해당 IP주소로 네트워킹 테스트를 위해 사용되고, 내부 네트워크의 각종 서버들(메일서버, 웹서버 등)의 이름도 추가한다.
    3. 방화벽 환경설정 시에 사용되는 네트워크 명은 Network Names 윈도우에 추가한다.
    4. 방화벽이 인터넷에 직접 연결된 경우 내부 네트워크 주소를 감추기 위해서 NAT를 사용하고 내부 네트워크의 비공인 IP주소를 사용한다.
    5. Network Ping Test 도구를 사용하여 설치한 방화벽이 내부 호스트, ISP 호스트, 인터넷에 있는 호스트들과 제대로 통신이 되는지 확인한다. 주의할 점은 인터넷에 있는 호스트들과 통신을 위해서는 라우팅이 먼저 설치가 되야 된다. (즉, 라우터 세팅이 선결 되어야 함)
    6. 내부 호스트와 ISP 호스트가 방화벽으로 라우팅할 수 있도록 세팅한다.
    7. Alerts and Activities 윈도우에서 옵션들을 선택하여 해킹 위협이나 중대한 사항을 알아내고 대처할 수 있도록 한다.
    8. Packet-Filtering Rules 윈도우를 사용하여 방화벽을 통해 내부 호스트와 ISP 호스트간에 어떤 패킷을 통과시킬 것인지 결정한다.
    9. FSO(firewall security officer) 역할을 해야할 운영자의 로그인 관련 정보를 설정한다.
      • 사용자를 관리하기 위해서 운영자는 다음 사항을 결정한다:
      • 누가 방화벽에 로그인 할 것인가?
      • 누가 언제 사용자의 패스워드를 지정할 것인가?
      • 얼마나 오랫동안 패스워드를 사용하게 할 것인가?
      • 얼마나 높은 보안 수준이 사용자에게 필요한가?
      • 사용자에게 어떤 FTP 오퍼레이션을 허용할 것인가?
    10. 내부 메일 서버와 SMTP 프록시를 사용하려면, Proxies 윈도우에서 SMTP 프록시를 설정한다.
    11. 내부 메일 서버가 없는 경우에는 방화벽에 메일 서버를 설치한다. 메일 주소는 방화벽 주소로 하고 방화벽 내부에 애일리어스(aliases) 파일을 사용하여 해당 메일을 내부의 적당한 호스트에 전달한다. 보내는 메일의 경우 송신자 호스트 주소 대신 방화벽의 주소를 지정한다.
    12. 내부 웹서버가 있는 경우 HTTP 프록시를 설정하고 내부와 외부에서 제대로 접근이 되는지 확인한다.
    13. 인터넷에 좀더 보안이 강화된 접속을 하고 싶은 경우에는 방화벽에 설치되어 있는 ftp 같은 보안을 위해 수정된 어플리케이션을 사용하든지 SOCKS를 설정한다.
    14. 방화벽에서 name system을 사용하고 싶은 경우에는 DNS 설정을 해야 한다.
    15. 백업 및 복구 방법에 설명된 대로 방화벽 시스템을 백업 한다.

     


    CyberGuard Firewall의 GUI는 최소한 800x600 해상도에 256색을 요구한다. 만일 현재 화면 해상도가 적당하지 않으면 Display Setup 윈도우가 나타날 것이다. 이 윈도우를 사용하여 X 클라이언트 호스트 비디오 모니터를 설정한다.

    주의: 해상도가 맞지 않으면 화면이 보이지 않게 된다.



    [그림] Display Setup 윈도우

    화면 해상도를 설정하려면:

    1. (선택사양) Display Setup 윈도우가 자동으로 화면에 나타나지 않으면 /usr/bin/X11/gsetvideo를 실행한다.
    2. Hardware Detected 항목에 있는 제작사와 칩셋 정보를 확인한다.
    3. Vendor 항목에서 적당한 제작사를 선택하고 Chipset 항목에서 적당한 비디오 카드를 선택한다.
    4. Resolution 항목에서 최소한 800x600을 선택하고, Monitor 항목에서는 70 Hz 이상을 선택한다. Colors 항목에서는 256을 선택하도록 한다.
    5. Test 버튼을 누르면, 화면 테스트에 대한 설명을 하는 윈도우가 나타난다.
    6. Continue 버튼을 누르면 테스트 화면이 나타난다.
    7. 테스트 화면이 제대로 보이지 않으면 설정 값을 변경하여 다시 반복한다.
    8. 테스트가 제대로 완료되면 Save 버튼을 누른다.
    9. OK 버튼를 눌러 설정 값을 시스템에 반영한다.
    10. Cancel 버튼를 눌러 Display Setup 윈도우를 닫는다. 변경한 화면 설정 값은 바로 반영이 되고 CyberGuard Start-up 윈도우가 화면에 나타날 것이다.

    만일, 화면에 아무것도 안보이고 복구가 불가능할 때:

    1. CyberGuard Firewall이 부팅이 되어 정상 작동하고 있는 상태에서 <ALT> + <Prt Scr> + <p> 를 동시에 누른다.
    2. 잠시 후 화면에 텍스트로 로그인 화면이 나타나면, FSO 사용자 계정(cgadmin 혹은 기타 계정)으로 로그인 한다.
    3. /sbin/tfadmin newlvl SYS_PRIVATE 명령으로 root 권한을 얻는다.
    4. /usr/X/default 디렉토리에서 다음 명령을 입력한다. (기존 Xwinconfig 파일을 다른 이름으로 변경하여 추후 백업 용으로 사용하는 것이 좋다) cp Xwinconfig.ini Xwinconfig
    5. cd / 명령으로 루트 디렉토리로 이동한 후 아래 명령을 입력하여 시스템을 리부팅 한다. sync; sync; sync; sync; reboot
    6. CyberGuard Firewall 이 실행되면서 화면에 새로 해상도를 잡는 화면이 나타나면, 적당한 값을 설정하고 저장한다.



    시스템 시작 윈도우(Welcome Window)

    1. 시스템이 시작되면 화면에 나타나는 윈도우이다. 방화벽 시스템에 로그인 하기 위해서 사용자 ID로 cgadmin 이라고 입력한다.
    2. OK 버튼을 누른다.
    3. 사용자 패스워드로 cgadmin에 할당된 암호를 입력한다.
    4. OK 버튼을 누른다.

    시스템 시작 윈도우에서 운영자 인증과정을 통과하면, CyberGuard Firewall 운영자 데스크탑 화면에 출력될 것이다.


    CyberGuard Firewall은 설정된 날짜와 시간 값을 이용하여 시스템에 모든 활동 사항에 대한 기록을 표시하기 때문에, 추후 시스템을 모니터링 하거나 감사 기록을 분석할 때 중요하다. 또한, 해커로부터 공격이 일어난 시간, 사용자의 사용기간 초과 등에 대한 보안 관련 기능을 조정하고자 할 때도 그 규칙의 적용 기준이 된다.

    Month, Day, Year 월, 일, 년을 지정함(2020년까지 가능)
    Hour, Min, Sec 시, 분, 초를 지정함(오전/오후를 위한 AM/PM 표시)
    TZ 시스템의 Time Zone을 표시함(대한민국은 KST)
    Set System Time 지정한 날짜와 시간을 저장
    Show Current Time 지정하기 이전의 본래 시스템 날짜와 시간으로 되돌림
    24-hour clock 24시간 표기법으로 시간을 표시
    Auto update (디폴트) 자동으로 날짜와 시간을 가게 함
    Zone Time Zone에 해당하는 지리적 위치 표시
    Offset 국제 표준시인 그린이치로부터 동쪽으로 경과되는 시간을 표시(대한민국은 -9:00)
    DST 서머타임이 적용되는지를 표시
    Format Time Zone을 나타내는 약자 표시(대한민국은 KST)
    Rule 실제 시스템에서 사용되는 Time Zone 지정 규칙을 표시
    Selection 현재 지정한 Time Zone이 표시
    Show Time Zone 현재 지정한 Time Zone으로 시간을 변경

    설정한 값을 지정하기 위해서는 Save 버튼을 누르고, 원래 상태로 돌아가고 싶은 경우는 Revert 버튼을 누른


    [원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=880


    이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

     
    (주) 수퍼유저

     
       
     


    『신개념 4단계 리눅스기술지원 시스템 공개』

    CentOS 리눅스 전문서적 국내최초출시

     
    회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
    ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
    ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
    ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
    ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
    Copyright ⓒ (주)수퍼유저. All rights reserved.

     아 이 디
     비밀번호
    회원 가입 | 비밀번호 찾기

    블로그~
     
    ▷ 네트웍
    SMS
    MRTG
    개념및 프로토콜
    네트웍 장비
    ACL
    책제목
    리눅스서버관리실무바이블v3.0


    저자 박성수
    페이지수 2,032 pages
    펴낸곳(주)수퍼유저

    리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
    책제목
    리눅스보안관리실무(2/E)


    저자홍석범
    페이지수 820 pages
    펴낸곳(주)수퍼유저

    리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.