DMZ (Demilitarized Zone)란?

출차 : https://www.techtarget.com/searchsecurity/definition/DMZ

DMZ (DeMilitarized Zone, 비무장 지대)는 네트워크 보안에서 중요한 개념으로, 외부 네트워크(인터넷)와 내부 네트워크(예: 기업의 사설 네트워크) 사이에 위치하는 보안 영역을 말합니다. DMZ의 주요 목적은 외부에서의 공격으로부터 내부 네트워크를 보호하는 동시에, 제한적이지만 외부 네트워크와의 통신을 허용하는 것입니다.

 

DMZ의 주요 특징

• 분리된 영역
  
  • DMZ는 보안상의 이유로 내부 네트워크와 완전히 분리된 별도의 네트워크 영역입니다.
  • 이는 외부 공격자가 DMZ 내의 시스템에 접근하더라도 내부 네트워크로의 추가 침투를 어렵게 만듭니다.
• 공개 서비스 배치
  • 웹 서버, 이메일 서버, DNS 서버와 같이 외부 사용자에게 서비스를 제공하는 시스템은 DMZ에 배치됩니다.
  • 이를 통해 이러한 서비스들이 보안 위험에 노출되더라도 내부 네트워크는 안전하게 보호될 수 있습니다.
• 보안 정책 및 장비
  • DMZ는 방화벽, IDS/IPS(침입 탐지 및 방지 시스템), VPN 게이트웨이 등과 같은 다양한 보안 장비와 정책에 의해 보호됩니다.
  • 일반적으로 내부 네트워크와 외부 네트워크 사이에 최소 두 개의 방화벽(하나는 외부 네트워크와 DMZ 사이, 다른 하나는 DMZ와 내부 네트워크 사이)이 구성됩니다.
• 접근 제어
  • DMZ 내의 시스템은 매우 엄격한 접근 제어 정책 하에 운영됩니다.
  • 필요한 최소한의 통신 포트와 서비스만이 허용되며, 모든 트래픽은 보안 장비에 의해 검사됩니다.

 

DMZ 구성의 예

• 이중 방화벽 구성
  • 가장 일반적인 DMZ 구성 방식으로, 외부 네트워크와 DMZ 사이에 하나의 방화벽을 배치하고, DMZ와 내부 네트워크 사이에 또 다른 방화벽을 배치합니다.
  • 이 방식은 DMZ에 있는 서비스에 대한 보안을 강화하고, 내부 네트워크로의 무단 접근을 방지합니다.

 

VPN과 DMZ의 차이

• 보안 목적의 차이
  • DMZ는 외부에 공개된 서비스를 안전하게 제공하기 위한 것이며, VPN은 원격 위치에서 사설 네트워크에 안전하게 접근하기 위한 것입니다.
• 구현 방식의 차이
  • DMZ는 물리적 또는 논리적으로 분리된 네트워크 영역에 서비스를 배치하는 구조를 가지고 있으며, VPN은 암호화된 통신 채널을 통한 네트워크 접근을 제공합니다.
• 함께 사용되는 경우
  • DMZ와 VPN은 서로 다른 목적으로 설계되었지만, 함께 사용될 수 있습니다.
  • 예를 들어, 조직은 DMZ 내에 위치한 서비스에 대한 안전한 접근을 위해 VPN을 사용할 수 있습니다.
  • 이는 외부에서 DMZ 내의 서비스에 접근할 때 추가적인 보안 계층을 제공합니다.

 

DMZ를 구현할 때 사용하는 iptables에 대해

리눅스의 iptables는 네트워크 트래픽을 관리하고 제어하는 데 사용되는 매우 강력한 도구입니다. iptables는 리눅스 운영 체제의 일부로서, 패킷 필터링 및 네트워크 주소 변환(NAT) 기능을 제공합니다. 

주요 특징

• 패킷 필터링 
  • iptables는 들어오는(incoming), 나가는(outgoing), 그리고 시스템을 통과하는(forwarded) 네트워크 패킷에 대한 규칙을 설정하여 트래픽을 제어합니다. 
  • 이를 통해 보안을 강화하고 원치 않는 트래픽을 차단할 수 있습니다.
• 다양한 규칙 설정
  • 사용자는 특정 소스 또는 목적지 IP 주소, 포트 번호, 프로토콜 타입 등에 기반하여 세부적인 규칙을 설정할 수 있습니다.
• 체인(Chains)과 테이블(Tables)
  •  iptables는 여러 체인을 사용합니다. 주요 체인으로는 INPUT, FORWARD, OUTPUT이 있으며, 각각의 체인은 특정 종류의 트래픽을 처리합니다.
  • 또한, 이러한 체인들은 여러 테이블에 속하는데, 대표적인 테이블로는 filter, nat, mangle 등이 있습니다.
• NAT(Network Address Translation)
  • iptables는 NAT 규칙을 설정하여 프라이빗 네트워크가 인터넷과 같은 외부 네트워크와 통신할 수 있도록 합니다. 이는 IP 주소를 변환하는 과정을 통해 이루어집니다.

• 로깅 및 모니터링: 네트워크 활동을 추적하고 로깅하는 기능을 제공하여 보안 모니터링 및 문제 해결에 도움을 줍니다.

Prerouting VS Postrouting

PREROUTING과 POSTROUTING은 리눅스의 iptables 네트워크 라우팅 시스템에서 사용되는 두 개의 중요한 체인입니다. 이들은 패킷이 처리되는 단계에 따라 적용되며, 주로 Network Address Translation (NAT)과 관련된 작업에 사용됩니다. 

#iptables 문법 구조
iptables [제어옵션] INPUT -s [발신지] --sport [발신지포트] -d [목적지] --dport [목적지포트] -j [정책]

PREROUTING 체인

• 이 체인은 패킷이 라우팅 결정을 받기 전에 적용됩니다.
• 즉, 패킷이 네트워크 인터페이스를 통해 들어오고, 아직 어떤 목적지로 라우팅될지 결정되기 전에 PREROUTING 규칙이 적용됩니다.
• PREROUTING 체인의 주요 사용 사례는 Destination NAT (DNAT)입니다.
• 예를 들어, 포트 포워딩이나 특정 호스트 또는 서비스로의 트래픽 리디렉션에 사용됩니다. 
• 이는 외부에서 들어오는 트래픽의 목적지 IP 주소나 포트를 변경할 때 유용합니다.

POSTROUTING 체인

• POSTROUTING 체인은 패킷이 라우팅 결정을 받고 최종 목적지로 전송되기 직전에 적용됩니다.
• 즉, 패킷이 내부 네트워크에서 외부 네트워크로 나가기 전에 이 체인의 규칙이 적용됩니다.
• POSTROUTING 체인의 주된 사용 사례는 Source NAT (SNAT)입니다. 이는 내부 네트워크의 프라이빗 IP 주소를 공용 IP 주소로 변환하여 외부 네트워크로의 아웃바운드 트래픽을 가능하게 합니다.
• 이는 종종 인터넷에 접속하기 위해 사용되며, 패킷의 소스 주소를 변경하는 데 사용됩니다.