Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

네트워크 보안

Red Hat Enterprise Linux 8

보안 네트워크 및 네트워크 통신 구성

Red Hat Customer Content Services

초록

네트워크의 보안을 개선하고 데이터 위반 및 침입의 위험을 줄이는 도구와 기술을 알아보십시오.

Red Hat 문서에 관한 피드백 제공
링크 복사

문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.

Jira를 통해 피드백 제출 (계정 필요)

  1. Jira 웹 사이트에 로그인합니다.
  2. 상단 탐색 모음에서 생성 을 클릭합니다.
  3. 요약 필드에 설명 제목을 입력합니다.
  4. 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
  5. 대화 상자 하단에서 생성 을 클릭합니다.

1장. OpenSSH로 두 시스템 간의 보안 통신 사용
링크 복사

SSH(Secure Shell)는 클라이언트-서버 아키텍처를 사용하여 두 시스템 간에 보안 통신을 제공하고 사용자가 서버 호스트 시스템에 원격으로 로그인할 수 있는 프로토콜입니다. FTP 또는 Telnet과 같은 다른 원격 통신 프로토콜과 달리 SSH는 로그인 세션을 암호화하여 침입자가 연결에서 암호화되지 않은 암호를 수집하지 못하도록 합니다.

1.1. SSH 및 OpenSSH
링크 복사

SSH(Secure Shell)는 원격 시스템에 로그인하고 해당 시스템에서 명령을 실행하는 프로그램입니다. SSH 프로토콜은 비보안 네트워크를 통해 신뢰할 수 없는 두 호스트 간에 안전한 암호화된 통신을 제공합니다. 보안 채널을 통해 X11 연결 및 임의의 TCP/IP 포트를 전달할 수도 있습니다.

SSH 프로토콜은 원격 쉘 로그인 또는 파일 복사에 사용할 때 두 시스템 간 통신 가로채기 및 특정 호스트의 가장과 같은 보안 위협을 완화합니다. 이는 SSH 클라이언트와 서버가 디지털 서명을 사용하여 신원을 확인하기 때문입니다. 또한 클라이언트와 서버 시스템 간의 모든 통신이 암호화됩니다.

호스트 키는 SSH 프로토콜에서 호스트를 인증합니다. 호스트 키는 OpenSSH가 처음 시작될 때 또는 호스트가 처음 부팅될 때 자동으로 생성되는 암호화 키입니다.

OpenSSH는 Linux, UNIX 및 유사한 운영 체제에서 지원하는 SSH 프로토콜의 구현입니다. OpenSSH 클라이언트와 서버 모두에 필요한 코어 파일을 포함합니다. OpenSSH 제품군은 다음 사용자 공간 툴로 구성됩니다.

  • SSH 는 원격 로그인 프로그램(SSH 클라이언트)입니다.
  • sshd 는 OpenSSH SSH 데몬입니다.
  • SCP 는 안전한 원격 파일 복사 프로그램입니다.
  • SFTP 는 안전한 파일 전송 프로그램입니다.
  • ssh-agent 는 개인 키를 캐싱하기 위한 인증 에이전트입니다.
  • ssh-addssh-agent 에 개인 키 ID를 추가합니다.
  • ssh-keygenssh 에 대한 인증 키를 생성, 관리 및 변환합니다.
  • ssh-copy-id 는 원격 SSH 서버의 authorized_keys 파일에 로컬 공개 키를 추가하는 스크립트입니다.
  • ssh-keyscan 은 SSH 공개 호스트 키를 수집합니다.

RHEL의 OpenSSH 제품군은 SSH 버전 2만 지원합니다. 이전 버전 1에서 알려진 악용에 취약하지 않은 향상된 키 교환 알고리즘이 있습니다.

Red Hat Enterprise Linux에는 일반 openssh 패키지, openssh-server 패키지, openssh-clients 패키지 등 OpenSSH 패키지가 포함되어 있습니다. OpenSSH 패키지에는 OpenSSH 가 암호화된 통신을 제공할 수 있는 여러 중요한 암호화 라이브러리를 설치하는 OpenSSL 패키지 openssl-libs 가 필요합니다.

OpenSSH는 RHEL의 코어 암호화 하위 시스템 중 하나로 시스템 전체 암호화 정책을 사용합니다. 이렇게 하면 기본 구성에서 약한 암호 제품군 및 암호화 알고리즘이 비활성화됩니다. 정책을 수정하려면 관리자가 update-crypto-policies 명령을 사용하여 설정을 조정하거나 시스템 전체 암호화 정책을 수동으로 비활성화해야 합니다. 자세한 내용은 다음 시스템 전체 암호화 정책에서 애플리케이션 제외 섹션을 참조하십시오.

OpenSSH 제품군은 클라이언트 프로그램(즉, ssh,scp, sftp) 및 서버( sshd 데몬)에 대해 두 가지 구성 파일 세트를 사용합니다.

시스템 전체 SSH 구성 정보는 /etc/ssh/ 디렉토리에 저장됩니다. /etc/ssh/ssh_config 파일에는 클라이언트 구성이 포함되어 있으며 /etc/ssh/sshd_config 파일은 기본 OpenSSH 서버 구성 파일입니다.

사용자별 SSH 구성 정보는 사용자 홈 디렉터리의 ~/.ssh/에 저장됩니다. OpenSSH 구성 파일의 자세한 목록은 시스템의 sshd(8) 도움말 페이지의 FILES 섹션을 참조하십시오.

1.2. SSH 키 쌍 생성
링크 복사

로컬 시스템에서 SSH 키 쌍을 생성하고 생성된 공개 키를 OpenSSH 서버에 복사하여 암호를 입력하지 않고 OpenSSH 서버에 로그인할 수 있습니다. 키를 생성하려는 각 사용자는 이 절차를 실행해야 합니다.

시스템을 다시 설치한 후 이전에 생성된 키 쌍을 유지하려면 새 키를 만들기 전에 ~/.ssh/ 디렉터리를 백업하십시오. 다시 설치한 후 홈 디렉터리로 복사합니다. root를 포함하여 시스템의 모든 사용자에 대해 이 작업을 수행할 수 있습니다.

사전 요구 사항

  • 키를 사용하여 OpenSSH 서버에 연결하려는 사용자로 로그인했습니다.
  • OpenSSH 서버는 키 기반 인증을 허용하도록 구성됩니다.

프로세스

  1. ECDSA 키 쌍을 생성합니다. 

    $ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/<username>/.ssh/id_ecdsa):
Enter passphrase (empty for no passphrase): <password>
Enter same passphrase again: <password>
Your identification has been saved in /home/<username>/.ssh/id_ecdsa.
Your public key has been saved in /home/<username>/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:Q/x+qms4j7PCQ0qFd09iZEFHA+SqwBKRNaU72oZfaCI <username>@<localhost.example.com>
The key's randomart image is:
+---[ECDSA 256]---+
|.oo..o=++        |
|.. o .oo .       |
|. .. o. o        |
|....o.+...       |
|o.oo.o +S .      |
|.=.+.   .o       |
|E.*+.  .  . .    |
|.=..+ +..  o     |
|  .  oo*+o.      |
+----[SHA256]-----+
    Copy to Clipboard Toggle word wrap

    ssh-keygen - t ed25519 명령을 입력하여 매개 변수 또는 Ed25519 키 쌍 없이 ssh-keygen 명령을 사용하여 RSA 키 쌍을 생성할 수도 있습니다. Ed25519 알고리즘은 FIPS-140과 호환되지 않으며 OpenSSH는 FIPS 모드에서 Ed25519 키와 함께 작동하지 않습니다.

  2. 공개 키를 원격 머신에 복사합니다. 

    $ ssh-copy-id <username>@<ssh-server-example.com>
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
<username>@<ssh-server-example.com>'s password:
…
Number of key(s) added: 1

Now try logging into the machine, with: "ssh '<username>@<ssh-server-example.com>'" and check to make sure that only the key(s) you wanted were added.
    Copy to Clipboard Toggle word wrap

    &lt ;username> @ <ssh-server-example.com >을 사용자 인증 정보로 바꿉니다.

    세션에서 ssh-agent 프로그램을 사용하지 않는 경우 이전 명령은 가장 최근에 수정된 ~/.ssh/id*.pub 공개 키를 아직 설치하지 않은 경우 복사합니다. 다른 공개 키 파일을 지정하거나 ssh-agent로 메모리에 캐시된 키보다 파일의 키 우선 순위를 지정하려면 ssh-copy-id 명령을 -i 옵션과 함께 사용합니다.

검증

  • 키 파일을 사용하여 OpenSSH 서버에 로그인합니다. 

    $ ssh -o PreferredAuthentications=publickey <username>@<ssh-server-example.com>
    Copy to Clipboard Toggle word wrap

1.3. OpenSSH 서버에서 유일한 방법으로 키 기반 인증 설정
링크 복사

시스템 보안을 강화하려면 OpenSSH 서버에서 암호 인증을 비활성화하여 키 기반 인증을 시행합니다.

사전 요구 사항

  • openssh-server 패키지가 설치되어 있어야 합니다.
  • sshd 데몬이 서버에서 실행되고 있어야 합니다.

  • 키를 사용하여 OpenSSH 서버에 이미 연결할 수 있습니다.

    자세한 내용은 SSH 키 쌍 생성 섹션을 참조하십시오.

프로세스

  1. 텍스트 편집기에서 /etc/ssh/sshd_config 구성을 엽니다. 예를 들면 다음과 같습니다. 

    # vi /etc/ssh/sshd_config
    Copy to Clipboard Toggle word wrap

  2. PasswordAuthentication 옵션을 no로 변경합니다. 

    PasswordAuthentication no
    Copy to Clipboard Toggle word wrap
  3. 새 기본 설치 이외의 시스템에서 PubkeyAuthentication 매개변수가 설정되지 않았거나 yes 로 설정되어 있는지 확인합니다.

  4. ChallengeResponseAuthentication 지시문을 no 로 설정합니다.

    해당 항목은 구성 파일에서 주석 처리되며 기본값은 yes 입니다.

  5. NFS로 마운트된 홈 디렉토리에서 키 기반 인증을 사용하려면 use_nfs_home_dirs SELinux 부울을 활성화합니다. 

    # setsebool -P use_nfs_home_dirs 1
    Copy to Clipboard Toggle word wrap
  6. 콘솔 또는 대역 외 액세스를 사용하지 않고 원격으로 연결하는 경우 암호 인증을 비활성화하기 전에 키 기반 로그인 프로세스를 테스트합니다.

  7. sshd 데몬을 다시 로드하여 변경 사항을 적용합니다. 

    # systemctl reload sshd
    Copy to Clipboard Toggle word wrap

1.4. ssh-agent를 사용하여 SSH 인증 정보 캐싱
링크 복사

SSH 연결을 시작할 때마다 암호를 입력하지 않으려면 ssh-agent 유틸리티를 사용하여 로그인 세션의 개인 SSH 키를 캐시할 수 있습니다. 에이전트가 실행 중이고 키가 잠금 해제되면 키의 암호를 다시 입력하지 않고도 이러한 키를 사용하여 SSH 서버에 로그인할 수 있습니다. 개인 키와 암호는 안전하게 유지됩니다.

사전 요구 사항

  • SSH 데몬이 실행되고 네트워크를 통해 연결할 수 있는 원격 호스트가 있습니다.
  • IP 주소 또는 호스트 이름 및 인증 정보를 통해 원격 호스트에 로그인합니다.

  • 암호를 사용하여 SSH 키 쌍을 생성하고 공개 키를 원격 시스템으로 전송했습니다.

    자세한 내용은 SSH 키 쌍 생성 섹션을 참조하십시오.

프로세스

  1. 세션에서 ssh-agent 를 자동으로 시작하는 명령을 ~/.bashrc 파일에 추가합니다.

    1. 선택한 텍스트 편집기에서 ~/.bashrc 를 엽니다. 예를 들면 다음과 같습니다. 

      $ vi ~/.bashrc
      Copy to Clipboard Toggle word wrap

    2. 다음 줄을 파일에 추가하세요. 

      eval $(ssh-agent)
      Copy to Clipboard Toggle word wrap
    3. 변경 사항을 저장하고 편집기를 종료합니다.

  2. ~/.ssh/config 파일에 다음 행을 추가합니다. 

    AddKeysToAgent yes
    Copy to Clipboard Toggle word wrap

    이 옵션과 ssh-agent 가 세션에서 시작되면 에이전트는 호스트에 처음 연결할 때만 암호를 입력하라는 메시지를 표시합니다.

검증

  • 에이전트에서 캐시된 개인 키의 해당 공개 키를 사용하는 호스트에 로그인합니다. 예를 들면 다음과 같습니다. 

    $ ssh <example.user>@<ssh-server@example.com>
    Copy to Clipboard Toggle word wrap

    암호를 입력할 필요가 없습니다.

1.5. 스마트 카드에 저장된 SSH 키로 인증
링크 복사

스마트 카드에 ECDSA 및 RSA 키를 생성 및 저장하고 OpenSSH 클라이언트의 스마트 카드로 인증할 수 있습니다. 스마트 카드 인증은 기본 암호 인증을 대체합니다.

사전 요구 사항

  • 클라이언트 측에서 opensc 패키지가 설치되고 pcscd 서비스가 실행 중입니다.

프로세스

  1. PKCS #11 URI를 포함하여 OpenSC PKCS #11 모듈에서 제공하는 모든 키를 나열하고 출력을 keys.pub 파일에 저장합니다. 

    $ ssh-keygen -D pkcs11: > keys.pub
    Copy to Clipboard Toggle word wrap

  2. 공개 키를 원격 서버로 전송합니다. 이전 단계에서 만든 keys.pub 파일과 함께 ssh-copy-id 명령을 사용합니다. 

    $ ssh-copy-id -f -i keys.pub <username@ssh-server-example.com>
    Copy to Clipboard Toggle word wrap

  3. ECDSA 키를 사용하여 < ssh-server-example.com >에 연결합니다. 키를 고유하게 참조하는 URI의 하위 집합만 사용할 수 있습니다. 예를 들면 다음과 같습니다. 

    $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $
    Copy to Clipboard Toggle word wrap

    OpenSSH는 p11-kit-proxy 래퍼를 사용하고 OpenSC PKCS #11 모듈이 p11-kit 툴에 등록되므로 이전 명령을 단순화할 수 있습니다. 

    $ ssh -i "pkcs11:id=%01" <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $
    Copy to Clipboard Toggle word wrap

    PKCS #11 URI의 id= 부분을 건너뛰면 OpenSSH는 proxy 모듈에서 사용할 수 있는 모든 키를 로드합니다. 이렇게 하면 필요한 입력 횟수가 줄어듭니다. 

    $ ssh -i pkcs11: <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $
    Copy to Clipboard Toggle word wrap

  4. 선택 사항: ~/.ssh/config 파일에서 동일한 URI 문자열을 사용하여 구성을 영구적으로 만들 수 있습니다. 

    $ cat ~/.ssh/config
IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
$ ssh <ssh-server-example.com>
Enter PIN for 'SSH key':
[ssh-server-example.com] $
    Copy to Clipboard Toggle word wrap

    이제 ssh 클라이언트 유틸리티에서 이 URI와 스마트 카드의 키를 자동으로 사용합니다.

1.6. OpenSSH의 보안 강화
링크 복사

OpenSSH를 사용할 때 보안을 강화하기 위해 시스템을 조정할 수 있습니다.

/etc/ssh/sshd_config OpenSSH 서버 구성 파일의 변경 사항을 적용하려면 sshd 데몬을 다시 로드해야 합니다. 

# systemctl reload sshd
Copy to Clipboard Toggle word wrap
주의

대부분의 보안 강화 구성 변경으로 최신 알고리즘 또는 암호 제품군을 지원하지 않는 클라이언트와의 호환성이 줄어듭니다.

비보안 연결 프로토콜 비활성화
SSH를 실제로 유효하게 하려면 OpenSSH 제품군으로 대체되는 비보안 연결 프로토콜을 사용하지 마십시오. 그렇지 않으면 Telnet을 사용하여 로그인할 때 나중에 하나의 세션이 캡처되도록 SSH를 사용하여 사용자 암호를 보호할 수 있습니다.
암호 기반 인증 비활성화
인증에 대한 암호를 비활성화하고 키 쌍만 허용하면 공격 면적이 줄어듭니다. 자세한 내용은 OpenSSH 서버에서 유일한 방법으로 키 기반 인증 설정을 참조하십시오.
보다 강력한 키 유형

ssh-keygen 명령은 기본적으로 RSA 키 쌍을 생성하지만 -t 옵션을 사용하여 ECDSA(Elliptic Curve Digital Signature Algorithm) 또는 Cryostat-Curve 25519(Ed25519) 키를 생성하도록 지시할 수 있습니다. ECDSA는 동등한 대칭 키 강도로 RSA보다 더 나은 성능을 제공합니다. 또한 더 짧은 키를 생성합니다. Ed25519 공개 키 알고리즘은 RSA, DSA 및 ECDSA보다 더 빠르고 안전하며 더 빠릅니다.

OpenSSH는 RSA, ECDSA 및 Ed25519 서버 호스트 키가 누락된 경우 자동으로 생성합니다. RHEL에서 호스트 키 생성을 구성하려면 sshd-keygen@.service 인스턴스화 서비스를 사용합니다. 예를 들어, RSA 키 유형의 자동 생성을 비활성화하려면 다음을 실행합니다. 

# systemctl mask sshd-keygen@rsa.service
# rm -f /etc/ssh/ssh_host_rsa_key*
# systemctl restart sshd
Copy to Clipboard Toggle word wrap
참고

cloud-init 방법이 활성화된 이미지에서 ssh-keygen 단위가 자동으로 비활성화됩니다. 이는 ssh-keygen 템플릿 서비스에서 cloud-init 툴을 방해하고 호스트 키 생성에 문제가 발생할 수 있기 때문입니다. 이러한 문제를 방지하려면 etc/systemd/system/sshd-keygen@.service.d/disable-sshd-keygen-if-cloud-init-active.conf 드롭인 구성 파일에서 cloud-init 가 실행 중인 경우 ssh-keygen 장치를 비활성화합니다.

SSH 연결에 대해 특정 키 유형만 허용하려면 /etc/ssh/sshd_config 에서 관련 행이 시작될 때 주석을 제거하고 sshd 서비스를 다시 로드합니다. 예를 들어 Ed25519 호스트 키만 허용하려면 해당 행은 다음과 같아야 합니다. 

# HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
Copy to Clipboard Toggle word wrap
중요

Ed25519 알고리즘은 FIPS-140과 호환되지 않으며 OpenSSH는 FIPS 모드에서 Ed25519 키와 작동하지 않습니다.

기본값 이외의 포트

기본적으로 sshd 데몬은 TCP 포트 22에서 수신 대기합니다. 포트를 변경하면 기본 포트에서 자동화된 네트워크 검사를 기반으로 하는 공격에 대한 시스템 노출이 줄어들어 모호성을 통해 보안이 향상됩니다. /etc/ssh/sshd_config 구성 파일에서 Port 지시문을 사용하여 포트를 지정할 수 있습니다.

또한 기본이 아닌 포트를 사용할 수 있도록 기본 SELinux 정책을 업데이트해야 합니다. 이렇게 하려면 policycoreutils-python-utils 패키지에서 semanage 툴을 사용합니다. 

# semanage port -a -t ssh_port_t -p tcp <port-number>
Copy to Clipboard Toggle word wrap

또한 firewalld 구성을 업데이트합니다. 

# firewall-cmd --add-port <port-number>/tcp
# firewall-cmd --remove-port=22/tcp
# firewall-cmd --runtime-to-permanent
Copy to Clipboard Toggle word wrap

이전 명령에서 < port-number>Port 지시문을 사용하여 지정된 새 포트 번호로 바꿉니다.

Root 로그인 없음

특정 사용 사례에 root 사용자로 로그인할 가능성이 필요하지 않은 경우 PermitRootLogin 구성 지시문을 /etc/ssh/sshd_config 파일에서 no 로 설정할 수 있습니다. root 사용자로 로그인할 가능성을 비활성화하여 관리자는 일반 사용자로 로그인한 후 권한이 있는 명령을 실행하는 사용자를 감사한 다음 root 권한을 얻을 수 있습니다.

또는 prohibit-passwordPermitRootLogin을 설정합니다. 

PermitRootLogin prohibit-password
Copy to Clipboard Toggle word wrap

이렇게 하면 root로 로그인하는 데 암호를 사용하는 대신 키 기반 인증을 사용하고 무차별 강제 공격을 방지하여 위험을 줄입니다.

X Security 확장 사용

Red Hat Enterprise Linux 클라이언트의 X 서버는 X Security 확장을 제공하지 않습니다. 따라서 클라이언트는 X11 전달을 사용하여 신뢰할 수 없는 SSH 서버에 연결할 때 다른 보안 계층을 요청할 수 없습니다. 대부분의 애플리케이션은 이 확장 기능을 사용하여 실행할 수 없습니다.

기본적으로 /etc/ssh/ssh_config.d/05-redhat.conf 파일의 ForwardX11Trusted 옵션은 yes로 설정되어 있으며 ssh -X remote_machine (신뢰할 수 없는 호스트)과 ssh -Y remote_machine (신뢰할 수 있는 호스트) 명령 사이에 차이가 없습니다.

시나리오에 X11 전달 기능이 전혀 필요하지 않은 경우 /etc/ssh/sshd_config 구성 파일의 X11Forwarding 지시문을 no로 설정합니다.

특정 사용자, 그룹 또는 IP 범위에 대한 SSH 액세스 제한

/etc/ssh/sshd_config 구성 파일 서버의 AllowUsersAllowGroups 지시문을 사용하면 특정 사용자, 도메인 또는 그룹만 OpenSSH 서버에 연결할 수 있습니다. AllowUsersAllowGroups를 결합하여 보다 정확하게 액세스를 제한할 수 있습니다. 예를 들면 다음과 같습니다. 

AllowUsers *@192.168.1.* *@10.0.0.* !*@192.168.1.2
AllowGroups example-group
Copy to Clipboard Toggle word wrap

이 구성에서는 다음 조건이 모두 충족되는 경우에만 연결을 허용합니다.

  • 연결의 소스 IP는 192.168.1.0/24 또는 10.0.0.0/24 서브넷에 있습니다.
  • 소스 IP는 192.168.1.2가 아닙니다.
  • 사용자는 example-group 그룹의 멤버입니다.

OpenSSH 서버는 /etc/ssh/sshd_config 의 모든 Allow 및 Deny 지시문을 전달하는 연결만 허용합니다. 예를 들어 AllowUsers 지시문이 AllowGroups 지시문에 나열된 그룹에 포함되지 않은 사용자를 나열하는 경우 사용자는 로그인할 수 없습니다.

허용 목록(허용으로 시작하는 디렉터리)을 사용하는 것은 차단 목록(거부로 시작하는 옵션)을 사용하는 것보다 더 안전합니다. allowlists는 새로운 권한 없는 사용자 또는 그룹도 차단하기 때문입니다.

시스템 전체 암호화 정책 변경

OpenSSH는 RHEL 시스템 전체 암호화 정책을 사용하며 기본 시스템 전체 암호화 정책 수준은 현재 위협 모델에 대한 보안 설정을 제공합니다. 암호화 설정을 보다 엄격하게 수행하려면 현재 정책 수준을 변경합니다. 

# update-crypto-policies --set FUTURE
Setting system policy to FUTURE
Copy to Clipboard Toggle word wrap
주의

시스템이 기존 시스템과 통신하는 경우 FUTURE 정책의 엄격한 설정으로 인해 상호 운용성 문제에 직면할 수 있습니다.

시스템 전체 암호화 정책을 통해 SSH 프로토콜의 특정 암호만 비활성화할 수도 있습니다. 자세한 내용은 보안 강화 문서의 하위 정책을 사용하여 시스템 전체 암호화 정책 사용자 지정 섹션을 참조하십시오.

시스템 전체 암호화 정책 비활성화

OpenSSH 서버에 대한 시스템 전체 암호화 정책을 비활성화하려면 /etc/sysconfig/sshd 파일에서 CRYPTO_POLICY= 변수로 행의 주석을 제거합니다. 이 변경 후 /etc/ssh/sshd_config 파일의 Ciphers, MACs, KexAlgoritms, GSSAPIKexAlgorithms 섹션에 지정하는 값은 재정의되지 않습니다.

자세한 내용은 sshd_config(5) 도움말 페이지를 참조하십시오.

OpenSSH 클라이언트에 대한 시스템 전체 암호화 정책을 비활성화하려면 다음 작업 중 하나를 수행합니다.

  • 지정된 사용자의 경우 ~/.ssh/ config 파일의 사용자별 구성으로 글로벌 ssh_ config 를 재정의합니다.
  • 전체 시스템의 경우 /etc/ssh/ssh_config.d/ 디렉터리에 있는 드롭인 구성 파일에 암호화 정책을 지정하고, 두 자리 숫자 접두사가 5보다 작도록 하여 05-redhat.conf 파일 앞에 .conf 접미사와 .conf 접미사(예: 04-crypto-policy-override.conf )를 사용합니다.

1.7. SSH 건너뛰기 호스트를 통해 원격 서버에 연결
링크 복사

건너뛰기 호스트라고도 하는 중간 서버를 통해 로컬 시스템에서 원격 서버에 연결할 수 있습니다. 건너뛰기 서버는 다른 보안 영역의 호스트를 브리지하고 여러 클라이언트-서버 연결을 관리할 수 있습니다.

사전 요구 사항

  • 건너뛰기 호스트는 로컬 시스템의 SSH 연결을 허용합니다.
  • 원격 서버는 건너뛰기 호스트의 SSH 연결을 허용합니다.

프로세스

  1. 건너뛰기 서버 또는 중간 서버를 한 번 이상 통해 연결하는 경우 ssh -J 명령을 사용하여 건너뛰기 서버를 직접 지정합니다. 예를 들면 다음과 같습니다. 

    $ ssh -J <jump-1.example.com>,<jump-2.example.com>,<jump-3.example.com> <target-server-1.example.com>
    Copy to Clipboard Toggle word wrap

    건너뛰기 서버의 사용자 이름 또는 SSH 포트가 원격 서버의 이름과 포트와 다른 경우 이전 명령에서 호스트 이름 전용 표기법을 변경합니다. 예를 들면 다음과 같습니다. 

    $ ssh -J <example.user.1>@<jump-1.example.com>:<75>,<example.user.2>@<jump-2.example.com>:<75>,<example.user.3>@<jump-3.example.com>:<75> <example.user.f>@<target-server-1.example.com>:<220>
    Copy to Clipboard Toggle word wrap

  2. 건너뛰기를 정기적으로 서버를 통해 원격 서버에 연결하면 ssh 구성 파일에 jump-server 구성을 저장합니다.

    1. 로컬 시스템에서 ~/.ssh/config 파일을 편집하여 건너뛰기를 정의합니다. 예를 들면 다음과 같습니다. 

      Host <jump-server-1>
  HostName <jump-1.example.com>
      Copy to Clipboard Toggle word wrap
      • Host 매개 변수는 ssh 명령에서 사용할 수 있는 호스트의 이름 또는 별칭을 정의합니다. 이 값은 실제 호스트 이름과 일치할 수 있지만 임의의 문자열일 수도 있습니다.
      • HostName 매개 변수는 건너뛰기 호스트의 실제 호스트 이름 또는 IP 주소를 설정합니다.

    2. ProxyJump 지시문을 사용하여 원격 서버 건너뛰기를 로컬 시스템의 ~/.ssh/config 파일에 추가합니다. 예를 들면 다음과 같습니다. 

      Host <remote-server-1>
  HostName <target-server-1.example.com>
  ProxyJump <jump-server-1>
      Copy to Clipboard Toggle word wrap

    3. 로컬 시스템을 사용하여 이동 서버를 통해 원격 서버에 연결합니다. 

      $ ssh <remote-server-1>
      Copy to Clipboard Toggle word wrap

      이 명령은 이전 구성 단계를 생략하는 경우 ssh -J jump-server1 remote-server 명령과 동일합니다.

1.8. ssh 시스템 역할과 보안 통신 구성
링크 복사

관리자는 sshd 시스템 역할을 사용하여 SSH 서버와 ssh 시스템 역할을 구성하여 Red Hat Ansible Automation Platform을 사용하여 여러 RHEL 시스템에서 동시에 SSH 클라이언트를 일관되게 구성할 수 있습니다.

sshd RHEL 시스템 역할 플레이북에서는 서버 SSH 구성 파일의 매개 변수를 정의할 수 있습니다.

이러한 설정을 지정하지 않으면 역할은 RHEL 기본값과 일치하는 sshd_config 파일을 생성합니다.

모든 경우에 부울은 관리 노드의 최종 구성에서 yesno 로 올바르게 렌더링됩니다. 목록을 사용하여 여러 줄 구성 항목을 정의할 수 있습니다. 예를 들면 다음과 같습니다. 

sshd_ListenAddress:
  - 0.0.0.0
  - '::'
Copy to Clipboard Toggle word wrap

다음과 같이 렌더링됩니다. 

ListenAddress 0.0.0.0
ListenAddress ::
Copy to Clipboard Toggle word wrap

1.8.2. sshd RHEL 시스템 역할을 사용하여 OpenSSH 서버 구성
링크 복사

sshd RHEL 시스템 역할을 사용하여 여러 OpenSSH 서버를 구성할 수 있습니다. 이렇게 하면 이름별로 제공하여 원격 사용자를 위한 보안 통신 환경이 보장됩니다.

  • 원격 클라이언트에서 들어오는 SSH 연결 관리
  • 인증 정보 확인
  • 안전한 데이터 전송 및 명령 실행
참고

SSHD 구성을 변경하는 다른 RHEL 시스템 역할과 함께 sshd RHEL 시스템 역할을 사용할 수 있습니다(예: Identity Management RHEL 시스템 역할). 구성을 덮어쓰지 않도록 sshd RHEL 시스템 역할은 네임스페이스(RHEL 8 및 이전 버전) 또는 드롭인 디렉터리(RHEL 9)를 사용하는지 확인합니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: SSH server configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure sshd to prevent root and password login except from particular subnet
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.sshd
      vars:
        sshd:
          PermitRootLogin: no
          PasswordAuthentication: no
          Match:
            - Condition: "Address 192.0.2.0/24"
              PermitRootLogin: yes
              PasswordAuthentication: yes
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    PasswordAuthentication: yes|no
    OpenSSH 서버(sshd)가 사용자 이름과 암호 조합을 사용하는 클라이언트의 인증을 수락하는지 여부를 제어합니다.
    일치:
    match 블록은 루트 사용자가 서브넷 192.0.2.0/24 에서만 암호를 사용하여 로그인할 수 있도록 허용합니다.

    플레이북에 사용된 역할 변수 및 OpenSSH 구성 옵션에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.sshd/README.md 파일 및 sshd_config(5) 매뉴얼 페이지를 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  1. SSH 서버에 로그인합니다. 

    $ ssh <username>@<ssh_server>
    Copy to Clipboard Toggle word wrap

  2. SSH 서버에서 sshd_config 파일의 내용을 확인합니다. 

    $ cat /etc/ssh/sshd_config
...
PasswordAuthentication no
PermitRootLogin no
...
Match Address 192.0.2.0/24
  PasswordAuthentication yes
  PermitRootLogin yes
...
    Copy to Clipboard Toggle word wrap

  3. 192.0.2.0/24 서브넷에서 root로 서버에 연결할 수 있는지 확인합니다.

    1. IP 주소를 확인합니다. 

      $ hostname -I
192.0.2.1
      Copy to Clipboard Toggle word wrap

      IP 주소가 192.0.2.1 - 192.0.2.254 범위 내에 있는 경우 서버에 연결할 수 있습니다.

    2. root로 서버에 연결합니다 : 

      $ ssh root@<ssh_server>
      Copy to Clipboard Toggle word wrap

ssh RHEL 시스템 역할 플레이북에서는 클라이언트 SSH 구성 파일의 매개변수를 정의할 수 있습니다.

이러한 설정을 지정하지 않으면 역할은 RHEL 기본값과 일치하는 글로벌 ssh_config 파일을 생성합니다.

모든 경우에 부울이 관리형 노드의 최종 구성에서 yes 또는 no 로 올바르게 렌더링됩니다. 목록을 사용하여 여러 줄 구성 항목을 정의할 수 있습니다. 예를 들면 다음과 같습니다. 

LocalForward:
  - 22 localhost:2222
  - 403 localhost:4003
Copy to Clipboard Toggle word wrap

다음과 같이 렌더링됩니다. 

LocalForward 22 localhost:2222
LocalForward 403 localhost:4003
Copy to Clipboard Toggle word wrap
참고

구성 옵션은 대소문자를 구분합니다.

1.8.4. ssh RHEL 시스템 역할을 사용하여 OpenSSH 클라이언트 구성
링크 복사

ssh RHEL 시스템 역할을 사용하여 여러 OpenSSH 클라이언트를 구성할 수 있습니다. 이를 통해 로컬 사용자는 이름을 확인하여 원격 OpenSSH 서버와의 보안 연결을 설정할 수 있습니다.

  • 보안 연결 시작
  • 인증 정보 프로비저닝
  • 보안 통신 채널에 사용되는 암호화 방법의 OpenSSH 서버와의 협상
  • OpenSSH 서버로 파일을 안전하게 보낼 수 있는 기능
참고

SSH 구성을 변경하는 다른 시스템 역할과 함께 ssh RHEL 시스템 역할을 사용할 수 있습니다(예: Identity Management RHEL 시스템 역할). 구성을 덮어쓰지 않도록 하려면 ssh RHEL 시스템 역할에 드롭인 디렉터리(RHEL 8 이상에서 기본값)를 사용해야 합니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: SSH client configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure ssh clients
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.ssh
      vars:
        ssh_user: root
        ssh:
          Compression: true
          GSSAPIAuthentication: no
          ControlMaster: auto
          ControlPath: ~/.ssh/.cm%C
          Host:
            - Condition: example
              Hostname: server.example.com
              User: user1
        ssh_ForwardX11: no
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    ssh_user: root
    특정 구성 관련 정보를 사용하여 관리 노드에서 root 사용자의 SSH 클라이언트 기본 설정을 구성합니다.
    압축: true
    압축이 활성화됩니다.
    ControlMaster: auto
    ControlMaster 멀티플렉싱이 auto 로 설정되어 있습니다.
    호스트
    user1 이라는 사용자로 server. example.com 호스트에 연결하기 위한 별칭 예제를 생성합니다.
    ssh_ForwardX11: no
    X11 전달이 비활성화되어 있습니다.

    플레이북에 사용된 역할 변수 및 OpenSSH 구성 옵션에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.ssh/README.md 파일 및 ssh_config(5) 매뉴얼 페이지를 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • SSH 구성 파일을 표시하여 관리 노드에 올바른 구성이 있는지 확인합니다. 

    # cat ~/root/.ssh/config
# Ansible managed
Compression yes
ControlMaster auto
ControlPath ~/.ssh/.cm%C
ForwardX11 no
GSSAPIAuthentication no
Host example
  Hostname example.com
  User user1
    Copy to Clipboard Toggle word wrap

1.8.5. 비독점 구성에 sshd RHEL 시스템 역할 사용
링크 복사

기본적으로 sshd RHEL 시스템 역할을 적용하면 전체 구성을 덮어씁니다. 이전에 다른 RHEL 시스템 역할 또는 플레이북과 같은 구성을 조정한 경우 문제가 있을 수 있습니다. 다른 옵션을 유지하면서 선택한 구성 옵션에 대해서만 sshd RHEL 시스템 역할을 적용하려면 제외된 구성을 사용할 수 있습니다.

포함되지 않은 구성을 적용할 수 있습니다.

  • 구성 스니펫을 사용하여 RHEL 8 및 이전 버전에서.
  • 드롭인 디렉터리에서 파일을 사용하여 RHEL 9 이상에서 다음을 수행합니다. 기본 구성 파일은 드롭인 디렉터리에 이미 /etc/ssh/sshd_config.d/00-ansible_system_role.conf 로 배치되어 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다.

    • RHEL 8 이상을 실행하는 관리형 노드의 경우: 

      ---
- name: Non-exclusive sshd configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure SSHD to accept environment variables
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.sshd
      vars:
        sshd_config_namespace: <my-application>
        sshd:
          # Environment variables to accept
          AcceptEnv:
            LANG
            LS_COLORS
            EDITOR
      Copy to Clipboard Toggle word wrap

    • RHEL 9 이상을 실행하는 관리형 노드의 경우: 

      - name: Non-exclusive sshd configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure sshd to accept environment variables
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.sshd
      vars:
        sshd_config_file: /etc/ssh/sshd_config.d/<42-my-application>.conf
        sshd:
          # Environment variables to accept
          AcceptEnv:
            LANG
            LS_COLORS
            EDITOR
      Copy to Clipboard Toggle word wrap

      예제 플레이북에 지정된 설정에는 다음이 포함됩니다.

      sshd_config_namespace: <my-application>
      역할은 플레이북에 지정하는 구성을 지정된 네임스페이스 아래에 있는 기존 구성 파일의 구성 스니펫에 배치합니다. 다른 컨텍스트에서 역할을 실행할 때 다른 네임스페이스를 선택해야 합니다.
      sshd_config_file: /etc/ssh/sshd_config.d/<42-my-application>.conf
      sshd_config_file 변수에서 sshd 시스템 역할이 구성 옵션을 쓰는 .conf 파일을 정의합니다. 두 자리 접두사(예: 42- )를 사용하여 구성 파일을 적용할 순서를 지정합니다.
      AcceptEnv:

      OpenSSH 서버(sshd)가 클라이언트에서 허용할 환경 변수를 제어합니다.

      • LANG: 언어 및 로케일 설정을 정의합니다.
      • LS_COLORS: 터미널에서 ls 명령에 대한 표시 색상 체계를 정의합니다.
      • EDITOR: 편집기를 열어야 하는 명령줄 프로그램의 기본 텍스트 편집기를 지정합니다.

      플레이북에 사용된 역할 변수 및 OpenSSH 구성 옵션에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.sshd/README.md 파일 및 sshd_config(5) 매뉴얼 페이지를 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • SSH 서버의 구성을 확인합니다.

    • RHEL 8 이상을 실행하는 관리형 노드의 경우: 

      # cat /etc/ssh/sshd_config
...
# BEGIN sshd system role managed block: namespace <my-application>
Match all
  AcceptEnv LANG LS_COLORS EDITOR
# END sshd system role managed block: namespace <my-application>
      Copy to Clipboard Toggle word wrap

    • RHEL 9 이상을 실행하는 관리형 노드의 경우: 

      # cat /etc/ssh/sshd_config.d/42-my-application.conf
# Ansible managed
#
AcceptEnv LANG LS_COLORS EDITOR
      Copy to Clipboard Toggle word wrap

2장. TLS 키 및 인증서 생성 및 관리
링크 복사

TLS(Transport Layer Security) 프로토콜을 사용하여 두 시스템 간에 전송되는 통신을 암호화할 수 있습니다. 이 표준은 개인 및 공개 키, 디지털 서명 및 인증서와 함께 비대칭 암호화를 사용합니다.

2.1. TLS 인증서
링크 복사

TLS(Transport Layer Security)는 클라이언트-서버 애플리케이션이 정보를 안전하게 전달할 수 있도록 하는 프로토콜입니다. TLS는 공개 키 쌍과 개인 키 쌍을 사용하여 클라이언트와 서버 간에 전송되는 통신을 암호화합니다. TLS는 SSL(Secure Sockets Layer)에 대한 후속 프로토콜입니다.

TLS는 X.509 인증서를 사용하여 호스트 이름 또는 조직과 같은 ID를 디지털 서명을 사용하여 공개 키에 바인딩합니다. X.509는 공개 키 인증서 형식을 정의하는 표준입니다.

보안 애플리케이션의 인증은 애플리케이션 인증서의 공개 키 값의 무결성에 따라 달라집니다. 공격자가 공개 키를 자체 공개 키로 교체하면 true 애플리케이션을 가장하고 안전한 데이터에 액세스할 수 있습니다. 이러한 유형의 공격을 방지하려면 모든 인증서에 CA(인증 기관)에서 서명해야 합니다. CA는 인증서에 공개 키 값의 무결성을 확인하는 신뢰할 수 있는 노드입니다.

CA는 디지털 서명을 추가하여 공개 키에 서명하고 인증서를 발행합니다. 디지털 서명은 CA의 개인 키로 인코딩된 메시지입니다. CA의 공개 키는 CA 인증서를 배포하여 애플리케이션에 사용할 수 있습니다. 애플리케이션은 CA의 공개 키로 CA의 디지털 서명을 디코딩하여 인증서가 유효한 서명인지 확인합니다.

CA에서 서명한 인증서를 유지하려면 공개 키를 생성하여 서명을 위해 CA로 보내야 합니다. 이를 CSR(인증서 서명 요청)이라고 합니다. CSR에는 인증서에 대한 고유 이름(DN)도 포함됩니다. 두 가지 유형의 인증서에 제공할 수 있는 DN 정보에는 국가에 대한 2자 국가 코드, 주 또는 시의 전체 이름, 조직 이름, 이메일 주소, 비어 있을 수도 있습니다. 현재 많은 상용 CA는 주체 대체 이름 확장을 선호하고 CSR의 DN을 무시합니다.

RHEL은 TLS 인증서 작업을 위한 두 가지 주요 툴킷을 제공합니다. GnuTLS 및 OpenSSL. openssl 패키지에서 openssl 유틸리티를 사용하여 인증서를 생성, 읽기, 서명 및 확인할 수 있습니다. gnutls-utils 패키지에서 제공하는 certtool 유틸리티는 백엔드의 다른 모든 라이브러리 세트를 사용하여 다른 구문을 사용하여 동일한 작업을 수행할 수 있습니다.

2.2. OpenSSL을 사용하여 개인 CA 생성
링크 복사

개인 인증 기관(CA)은 시나리오에 내부 네트워크 내의 엔터티를 확인해야 하는 경우 유용합니다. 예를 들어 제어에 CA가 서명한 인증서 또는 상용 CA를 지불하지 않으려는 인증서를 기반으로 인증을 사용하여 VPN 게이트웨이를 생성할 때 개인 CA를 사용합니다. 이러한 사용 사례에서 인증서에 서명하기 위해 개인 CA는 자체 서명된 인증서를 사용합니다.

사전 요구 사항

  • sudo 를 사용하여 관리 명령을 입력할 수 있는 루트 권한 또는 권한이 있습니다. 이러한 권한이 필요한 명령은 # 로 표시됩니다.

프로세스

  1. CA의 개인 키를 생성합니다. 예를 들어 다음 명령은 256비트 Elliptic Curve Digital Signature Algorithm (ECDSA) 키를 생성합니다. 

    $ openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out <ca.key>
    Copy to Clipboard Toggle word wrap

    키 생성 프로세스의 시간은 호스트의 하드웨어 및 엔트로피, 선택한 알고리즘 및 키 길이에 따라 달라집니다.

  2. 이전 명령에서 생성된 개인 키를 사용하여 서명된 인증서를 생성합니다. 

    $ openssl req -key <ca.key> -new -x509 -days 3650 -addext keyUsage=critical,keyCertSign,cRLSign -subj "/CN=<Example_CA>" -out <ca.crt>
    Copy to Clipboard Toggle word wrap

    생성된 ca.crt 파일은 10년 동안 다른 인증서에 서명하는 데 사용할 수 있는 자체 서명된 CA 인증서입니다. 개인 CA의 경우 < Example_CA >를 공통 이름(CN)으로 모든 문자열로 교체할 수 있습니다.

  3. CA의 개인 키에 대한 보안 권한을 설정합니다. 예를 들면 다음과 같습니다. 

    # chown <root>:<root> <ca.key>
# chmod 600 <ca.key>
    Copy to Clipboard Toggle word wrap

다음 단계

  • 자체 서명된 CA 인증서를 클라이언트 시스템의 신뢰 앵커로 사용하려면 CA 인증서를 클라이언트에 복사하여 클라이언트의 시스템 전체 신뢰 저장소에 root 로 추가합니다. 

    # trust anchor <ca.crt>
    Copy to Clipboard Toggle word wrap

    자세한 내용은 3장. 공유 시스템 인증서 사용를 참조하십시오.

검증

  1. CSR(인증서 서명 요청)을 생성하고 CA를 사용하여 요청에 서명합니다. CA는 CSR을 기반으로 인증서를 생성해야 합니다. 예를 들면 다음과 같습니다. 

    $ openssl x509 -req -in <client-cert.csr> -CA <ca.crt> -CAkey <ca.key> -CAcreateserial -days 365 -extfile <openssl.cnf> -extensions <client-cert> -out <client-cert.crt>
Signature ok
subject=C = US, O = Example Organization, CN = server.example.com
Getting CA Private Key
    Copy to Clipboard Toggle word wrap

    자세한 내용은 2.5절. “개인 CA를 사용하여 OpenSSL이 있는 CSR의 인증서 발행”를 참조하십시오.

  2. 자체 서명된 CA에 대한 기본 정보를 표시합니다. 

    $ openssl x509 -in <ca.crt> -text -noout
Certificate:
…
        X509v3 extensions:
            …
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
…
    Copy to Clipboard Toggle word wrap

  3. 개인 키의 일관성을 확인합니다. 

    $ openssl pkey -check -in <ca.key>
Key is valid
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgcagSaTEBn74xZAwO
18wRpXoCVC9vcPki7WlT+gnmCI+hRANCAARb9NxIvkaVjFhOoZbGp/HtIQxbM78E
lwbDP0BI624xBJ8gK68ogSaq2x4SdezFdV1gNeKScDcU+Pj2pELldmdF
-----END PRIVATE KEY-----
    Copy to Clipboard Toggle word wrap

2.3. OpenSSL을 사용하여 TLS 서버 인증서에 대한 개인 키 및 CSR 생성
링크 복사

인증 기관(CA)의 유효한 TLS 인증서가 있는 경우에만 TLS 암호화 통신 채널을 사용할 수 있습니다. 인증서를 얻으려면 먼저 서버에 대한 개인 키와 CSR(인증서 서명 요청)을 생성해야 합니다.

프로세스

  1. 서버 시스템에서 개인 키를 생성합니다. 예를 들면 다음과 같습니다. 

    $ openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out <server-private.key>
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: 선택한 텍스트 편집기를 사용하여 CSR 생성을 간소화하는 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vim <example_server.cnf>
[server-cert]
keyUsage = critical, digitalSignature, keyEncipherment, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_name

[req]
distinguished_name = dn
prompt = no

[dn]
C = <US>
O = <Example Organization>
CN = <server.example.com>

[alt_name]
DNS.1 = <example.com>
DNS.2 = <server.example.com>
IP.1 = <192.168.0.1>
IP.2 = <::1>
IP.3 = <127.0.0.1>
    Copy to Clipboard Toggle word wrap

    extendedKeyUsage = serverAuth 옵션은 인증서 사용을 제한합니다.

  3. 이전에 만든 개인 키를 사용하여 CSR을 생성합니다. 

    $ openssl req -key <server-private.key> -config <example_server.cnf> -new -out <server-cert.csr>
    Copy to Clipboard Toggle word wrap

    -config 옵션을 생략하면 req 유틸리티에서 추가 정보를 입력하라는 메시지를 표시합니다. 예를 들면 다음과 같습니다. 

    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]: <US>
State or Province Name (full name) []: <Washington>
Locality Name (eg, city) [Default City]: <Seattle>
Organization Name (eg, company) [Default Company Ltd]: <Example Organization>
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []: <server.example.com>
Email Address []: <server@example.com>
    Copy to Clipboard Toggle word wrap

다음 단계

검증

  1. CA에서 요청된 인증서를 가져온 후 인증서의 사람이 읽을 수 있는 부분이 요구 사항과 일치하는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ openssl x509 -text -noout -in <server-cert.crt>
Certificate:
…
        Issuer: CN = Example CA
        Validity
            Not Before: Feb  2 20:27:29 2023 GMT
            Not After : Feb  2 20:27:29 2024 GMT
        Subject: C = US, O = Example Organization, CN = server.example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
…
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                DNS:example.com, DNS:server.example.com, IP Address:192.168.0.1, IP
…
    Copy to Clipboard Toggle word wrap

인증 기관(CA)의 유효한 TLS 인증서가 있는 경우에만 TLS 암호화 통신 채널을 사용할 수 있습니다. 인증서를 얻으려면 먼저 클라이언트에 대한 개인 키와 CSR(인증서 서명 요청)을 생성해야 합니다.

프로세스

  1. 클라이언트 시스템에서 개인 키를 생성합니다. 예를 들면 다음과 같습니다. 

    $ openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out <client-private.key>
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: 선택한 텍스트 편집기를 사용하여 CSR 생성을 간소화하는 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vim <example_client.cnf>
[client-cert]
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
subjectAltName = @alt_name

[req]
distinguished_name = dn
prompt = no

[dn]
CN = <client.example.com>

[clnt_alt_name]
email= <client@example.com>
    Copy to Clipboard Toggle word wrap

    extendedKeyUsage = clientAuth 옵션은 인증서 사용을 제한합니다.

  3. 이전에 만든 개인 키를 사용하여 CSR을 생성합니다. 

    $ openssl req -key <client-private.key> -config <example_client.cnf> -new -out <client-cert.csr>
    Copy to Clipboard Toggle word wrap

    -config 옵션을 생략하면 req 유틸리티에서 추가 정보를 입력하라는 메시지를 표시합니다. 예를 들면 다음과 같습니다. 

    You are about to be asked to enter information that will be incorporated
into your certificate request.
…
Common Name (eg, your name or your server's hostname) []: <client.example.com>
Email Address []: <client@example.com>
    Copy to Clipboard Toggle word wrap

다음 단계

검증

  1. 인증서의 사람이 읽을 수 있는 부분이 요구 사항과 일치하는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ openssl x509 -text -noout -in <client-cert.crt>
Certificate:
…
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                email:client@example.com
…
    Copy to Clipboard Toggle word wrap

2.5. 개인 CA를 사용하여 OpenSSL이 있는 CSR의 인증서 발행
링크 복사

시스템이 TLS 암호화 통신 채널을 설정할 수 있도록 하려면 CA(인증 기관)에서 유효한 인증서를 제공해야 합니다. 개인 CA가 있는 경우 시스템에서 인증서 서명 요청(CSR)에 서명하여 요청된 인증서를 생성할 수 있습니다.

사전 요구 사항

프로세스

  1. 선택 사항: 선택한 텍스트 편집기를 사용하여 인증서에 확장 기능을 추가할 OpenSSL 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vim <openssl.cnf>
[server-cert]
extendedKeyUsage = serverAuth

[client-cert]
extendedKeyUsage = clientAuth
    Copy to Clipboard Toggle word wrap

    이전 예제에서는 원칙만 설명하고 openssl 은 인증서에 모든 확장 기능을 자동으로 추가하지는 않습니다. CNF 파일에 필요한 확장을 추가하거나 openssl 명령의 매개변수에 추가해야 합니다.

  2. X 509 유틸리티를 사용하여 CSR을 기반으로 인증서를 생성합니다. 예를 들면 다음과 같습니다. 

    $ openssl x509 -req -in <server-cert.csr> -CA <ca.crt> -CAkey <ca.key> -CAcreateserial -days 365 -extfile <openssl.cnf> -extensions <server-cert> -out <server-cert.crt>
Signature ok
subject=C = US, O = Example Organization, CN = server.example.com
Getting CA Private Key
    Copy to Clipboard Toggle word wrap

    보안을 강화하려면 CSR에서 다른 인증서를 생성하기 전에 serial-number 파일을 삭제합니다. 이렇게 하면 일련 번호가 항상 임의의지 확인합니다. 사용자 지정 파일 이름을 지정하는 CAserial 옵션을 생략하면 serial-number 파일 이름이 인증서의 파일 이름과 동일하지만 확장자는 .srl 확장자(이전 예에서server-cert.srl )로 교체됩니다.

2.6. GnuTLS를 사용하여 개인 CA 생성
링크 복사

개인 인증 기관(CA)은 시나리오에 내부 네트워크 내의 엔터티를 확인해야 하는 경우 유용합니다. 예를 들어 제어에 CA가 서명한 인증서 또는 상용 CA를 지불하지 않으려는 인증서를 기반으로 인증을 사용하여 VPN 게이트웨이를 생성할 때 개인 CA를 사용합니다. 이러한 사용 사례에서 인증서에 서명하기 위해 개인 CA는 자체 서명된 인증서를 사용합니다.

사전 요구 사항

  • sudo 를 사용하여 관리 명령을 입력할 수 있는 루트 권한 또는 권한이 있습니다. 이러한 권한이 필요한 명령은 # 로 표시됩니다.

  • 이미 시스템에 GnuTLS를 설치했습니다. 그렇지 않은 경우 다음 명령을 사용할 수 있습니다. 

    $ yum install gnutls-utils
    Copy to Clipboard Toggle word wrap

프로세스

  1. CA의 개인 키를 생성합니다. 예를 들어 다음 명령은 256비트 ECDSA(Elliptic Curve Digital Signature Algorithm) 키를 생성합니다. 

    $ certtool --generate-privkey --sec-param High --key-type=ecdsa --outfile <ca.key>
    Copy to Clipboard Toggle word wrap

    키 생성 프로세스의 시간은 호스트의 하드웨어 및 엔트로피, 선택한 알고리즘 및 키 길이에 따라 달라집니다.

  2. 인증서에 대한 템플릿 파일을 생성합니다.

    1. 선택한 텍스트 편집기로 파일을 생성합니다. 예를 들면 다음과 같습니다. 

      $ vi <ca.cfg>
      Copy to Clipboard Toggle word wrap

    2. 필요한 인증 세부 정보를 포함하도록 파일을 편집합니다. 

      organization = "Example Inc."
state = "Example"
country = EX
cn = "Example CA"
serial = 007
expiration_days = 365
ca
cert_signing_key
crl_signing_key
      Copy to Clipboard Toggle word wrap

  3. 1단계에서 생성된 개인 키를 사용하여 서명된 인증서를 생성합니다.

    생성된 < ca.crt > 파일은 1년 동안 다른 인증서에 서명하는 데 사용할 수 있는 자체 서명된 CA 인증서입니다. < ca.crt > 파일은 공개 키(인증서)입니다. 로드된 파일 < ca.key& gt;는 개인 키입니다. 이 파일을 안전한 위치에 보관해야 합니다. 

    $ certtool --generate-self-signed --load-privkey <ca.key> --template <ca.cfg> --outfile <ca.crt>
    Copy to Clipboard Toggle word wrap

  4. CA의 개인 키에 대한 보안 권한을 설정합니다. 예를 들면 다음과 같습니다. 

    # chown <root>:<root> <ca.key>
# chmod 600 <ca.key>
    Copy to Clipboard Toggle word wrap

다음 단계

  • 자체 서명된 CA 인증서를 클라이언트 시스템의 신뢰 앵커로 사용하려면 CA 인증서를 클라이언트에 복사하여 클라이언트의 시스템 전체 신뢰 저장소에 root 로 추가합니다. 

    # trust anchor <ca.crt>
    Copy to Clipboard Toggle word wrap

    자세한 내용은 3장. 공유 시스템 인증서 사용를 참조하십시오.

검증

  1. 자체 서명된 CA에 대한 기본 정보를 표시합니다. 

    $ certtool --certificate-info --infile <ca.crt>
Certificate:
…
    	X509v3 extensions:
        	…
        	X509v3 Basic Constraints: critical
            	CA:TRUE
        	X509v3 Key Usage: critical
            	Certificate Sign, CRL Sign
    Copy to Clipboard Toggle word wrap

  2. CSR(인증서 서명 요청)을 생성하고 CA를 사용하여 요청에 서명합니다. CA는 CSR을 기반으로 인증서를 생성해야 합니다. 예를 들면 다음과 같습니다.

    1. CA의 개인 키를 생성합니다. 

      $ certtool --generate-privkey --outfile <example-server.key>
      Copy to Clipboard Toggle word wrap

    2. 선택한 텍스트 편집기에서 새 구성 파일을 엽니다. 예를 들면 다음과 같습니다. 

      $ vi <example-server.cfg>
      Copy to Clipboard Toggle word wrap

    3. 필요한 인증 세부 정보를 포함하도록 파일을 편집합니다. 

      signing_key
encryption_key
key_agreement

tls_www_server

country = "US"
organization = "Example Organization"
cn = "server.example.com"

dns_name = "example.com"
dns_name = "server.example.com"
ip_address = "192.168.0.1"
ip_address = "::1"
ip_address = "127.0.0.1"
      Copy to Clipboard Toggle word wrap

    4. 이전에 생성된 개인 키를 사용하여 요청을 생성합니다. 

      $ certtool --generate-request --load-privkey <example-server.key> --template <example-server.cfg> --outfile <example-server.crq>
      Copy to Clipboard Toggle word wrap

    5. 인증서를 생성하고 CA의 개인 키로 서명합니다. 

      $ certtool --generate-certificate --load-request <example-server.crq> --load-ca-certificate <ca.crt> --load-ca-privkey <ca.key> --outfile <example-server.crt>
      Copy to Clipboard Toggle word wrap

2.7. GnuTLS를 사용하여 TLS 서버 인증서에 대한 개인 키 및 CSR 생성
링크 복사

인증서를 받으려면 먼저 서버의 개인 키와 CSR(인증서 서명 요청)을 만들어야 합니다.

절차

  1. 서버 시스템에서 개인 키를 생성합니다. 예를 들면 다음과 같습니다. 

    $ certtool --generate-privkey --sec-param High --outfile <example-server.key>
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: 선택한 텍스트 편집기를 사용하여 CSR 생성을 간소화하는 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vim <example_server.cnf>
signing_key
encryption_key
key_agreement

tls_www_server

country = "US"
organization = "Example Organization"
cn = "server.example.com"

dns_name = "example.com"
dns_name = "server.example.com"
ip_address = "192.168.0.1"
ip_address = "::1"
ip_address = "127.0.0.1"
    Copy to Clipboard Toggle word wrap

  3. 이전에 생성한 개인 키를 사용하여 CSR을 생성합니다. 

    $ certtool --generate-request --template <example-server.cfg> --load-privkey <example-server.key> --outfile <example-server.crq>
    Copy to Clipboard Toggle word wrap

    --template 옵션을 생략하면 certool 유틸리티에서 추가 정보를 입력하라는 메시지를 표시합니다. 예를 들면 다음과 같습니다. 

    You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Generating a PKCS #10 certificate request...
Country name (2 chars): <US>
State or province name: <Washington>
Locality name: <Seattle>
Organization name: <Example Organization>
Organizational unit name:
Common name: <server.example.com>
    Copy to Clipboard Toggle word wrap

다음 단계

검증

  1. CA에서 요청된 인증서를 가져온 후 인증서의 사람이 읽을 수 있는 부분이 요구 사항과 일치하는지 확인합니다. 

    $ certtool --certificate-info --infile <example-server.crt>
Certificate:
…
        Issuer: CN = Example CA
        Validity
            Not Before: Feb  2 20:27:29 2023 GMT
            Not After : Feb  2 20:27:29 2024 GMT
        Subject: C = US, O = Example Organization, CN = server.example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
…
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Key Agreement
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                DNS:example.com, DNS:server.example.com, IP Address:192.168.0.1, IP
…
    Copy to Clipboard Toggle word wrap

인증서를 받으려면 먼저 클라이언트의 개인 키와 CSR(인증서 서명 요청)을 생성해야 합니다.

절차

  1. 클라이언트 시스템에서 개인 키를 생성합니다. 예를 들면 다음과 같습니다. 

    $ certtool --generate-privkey --sec-param High --outfile <example-client.key>
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: 선택한 텍스트 편집기를 사용하여 CSR 생성을 간소화하는 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vim <example_client.cnf>
signing_key
encryption_key

tls_www_client

cn = "client.example.com"
email = "client@example.com"
    Copy to Clipboard Toggle word wrap

  3. 이전에 생성한 개인 키를 사용하여 CSR을 생성합니다. 

    $ certtool --generate-request --template <example-client.cfg> --load-privkey <example-client.key> --outfile <example-client.crq>
    Copy to Clipboard Toggle word wrap

    --template 옵션을 생략하면 certtool 유틸리티에서 추가 정보를 입력하라는 메시지를 표시합니다. 예를 들면 다음과 같습니다. 

    Generating a PKCS #10 certificate request...
Country name (2 chars): <US>
State or province name: <Washington>
Locality name: <Seattle>
Organization name: <Example Organization>
Organizational unit name:
Common name: <server.example.com>
    Copy to Clipboard Toggle word wrap

다음 단계

검증

  1. 사용자가 읽을 수 있는 인증서 부분이 요구 사항과 일치하는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ certtool --certificate-info --infile <example-client.crt>
Certificate:
…
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                email:client@example.com
…
    Copy to Clipboard Toggle word wrap

2.9. 개인 CA를 사용하여 GnuTLS와 CSR의 인증서 발행
링크 복사

시스템이 TLS 암호화 통신 채널을 설정할 수 있도록 하려면 CA(인증 기관)에서 유효한 인증서를 제공해야 합니다. 개인 CA가 있는 경우 시스템에서 인증서 서명 요청(CSR)에 서명하여 요청된 인증서를 생성할 수 있습니다.

사전 요구 사항

절차

  1. 선택 사항: 선택한 텍스트 편집기를 사용하여 인증서에 확장 기능을 추가하기 위해 GnuTLS 구성 파일을 준비합니다. 예를 들면 다음과 같습니다. 

    $ vi <server-extensions.cfg>
honor_crq_extensions
ocsp_uri = "http://ocsp.example.com"
    Copy to Clipboard Toggle word wrap

  2. certtool 유틸리티를 사용하여 CSR을 기반으로 인증서를 생성합니다. 예를 들면 다음과 같습니다. 

    $ certtool --generate-certificate --load-request <example-server.crq> --load-ca-privkey <ca.key> --load-ca-certificate <ca.crt> --template <server-extensions.cfg> --outfile <example-server.crt>
    Copy to Clipboard Toggle word wrap

3장. 공유 시스템 인증서 사용
링크 복사

공유 시스템 인증서 스토리지를 사용하면 NSS, GnuTLS, OpenSSL 및 Java가 시스템 인증서 앵커 및 블록리스트 정보를 검색하기 위한 기본 소스를 공유할 수 있습니다.

3.1. 시스템 전체 신뢰 저장소
링크 복사

Red Hat Enterprise Linux는 TLS 인증서를 관리하기 위한 중앙 집중식 시스템을 제공합니다. 기본적으로 신뢰 저장소에는 양의 신뢰와 부정적인 신뢰가 모두 포함된 Mozilla CA 목록이 포함되어 있습니다. 이 시스템을 사용하면 코어 Mozilla CA 목록을 업데이트할 수 있습니다.

통합 시스템 전체 신뢰 저장소는 /etc/pki/ca-trust//usr/share/pki/ca-trust-source/ 디렉터리에 있습니다. /usr/share/pki/ca-trust-source/ 의 신뢰 설정은 /etc/pki/ca-trust/ 의 설정보다 우선 순위가 낮습니다.

시스템은 설치하는 하위 디렉터리를 기반으로 인증서 파일을 처리합니다. 예를 들어 신뢰 앵커는 /usr/share/pki/ca-trust-source/anchors/ 또는 /etc/pki/ca-trust/source/anchors/ 디렉터리에 속합니다.

신뢰 저장소에 새 인증서를 추가하려면 인증서가 포함된 파일을 해당 디렉터리에 복사하고 update-ca-trust 명령을 사용하여 변경 사항을 적용할 수 있습니다. 또는 trust anchor 하위 명령을 사용할 수 있습니다.

참고

계층적 암호화 시스템에서 신뢰 앵커는 다른 당사자가 신뢰할 수 있는 것으로 간주하는 신뢰할 수 있는 엔티티입니다. X.509 아키텍처에서 루트 인증서는 신뢰 체인이 파생되는 신뢰 앵커입니다. 체인 검증을 활성화하려면 신뢰 당사자가 먼저 신뢰 앵커에 액세스할 수 있어야 합니다.

3.2. 시스템 전체 신뢰 저장소에 새 인증서 추가
링크 복사

새로운 신뢰 소스를 사용하여 시스템의 애플리케이션을 승인하려면 해당 인증서를 시스템 전체 저장소에 추가하고 update-ca-trust 명령을 사용합니다.

사전 요구 사항

  • ca-certificates 패키지가 시스템에 있습니다.

절차

  1. 간단한 PEM 또는 DER 파일 형식의 인증서를 시스템에서 신뢰할 수 있는 CA 목록에 추가하고 인증서 파일을 /usr/share/pki/ca-trust-source/anchors/ 또는 /etc/pki/ca-trust/source/anchors/ 디렉터리에 복사합니다. 

    # cp <~/certificate-trust-examples/Cert-trust-test-ca.pem> /usr/share/pki/ca-trust-source/anchors/
    Copy to Clipboard Toggle word wrap

  2. 시스템 전체 신뢰 저장소 구성을 업데이트하고 update-ca-trust 명령을 사용합니다. 

    # update-ca-trust extract
    Copy to Clipboard Toggle word wrap
참고

Firefox 브라우저에서 update-ca-trust 를 이전에 실행하지 않고 추가된 인증서를 사용할 수 있지만 모든 CA를 변경한 후 update-ca-trust 명령을 입력합니다. 또한 Firefox 및 Chromium, 캐시 파일과 같은 브라우저가 브라우저의 캐시를 지우거나 현재 시스템 인증서 구성을 로드하기 위해 브라우저를 다시 시작해야 할 수도 있습니다.

3.3. trust 명령을 사용하여 신뢰할 수 있는 시스템 인증서 관리
링크 복사

해당 파일과 함께 기본 파일 작업을 사용하고 시스템 전체 신뢰 저장소에 새 인증서 추가에 설명된 대로 update-ca- trust 명령을 사용하여 시스템 전체 신뢰 저장소에서 인증서를 추가하거나 제거할 수 있습니다.

trust 명령은 공유 시스템 전체 신뢰 저장소에서 인증서를 관리하는 방법을 제공합니다. 하위 명령을 사용하여 신뢰 앵커를 나열, 추출, 추가, 제거 또는 변경할 수 있습니다.

  • trust 명령에 대한 기본 도움말을 보려면 인수 없이 또는 --help 지시문을 사용하여 입력합니다. 또한 trust 명령의 모든 하위 명령은 자세한 기본 도움말을 제공합니다. 예를 들면 다음과 같습니다. 

    $ trust list --help
usage: trust list --filter=<what>
…
    Copy to Clipboard Toggle word wrap

  • 모든 시스템 신뢰 앵커 및 인증서를 나열하려면 trust list 명령을 사용합니다. 예를 들면 다음과 같습니다. 

    $ trust list
…
pkcs11:id=%DD%04%09%07%A2%F5%7A%7D%52%53%12%92%95%EE%38%80%25%0D%A6%59;type=cert
    type: certificate
    label: SSL.com Root Certification Authority RSA
    trust: anchor
    category: authority
…
    Copy to Clipboard Toggle word wrap

  • 신뢰 앵커를 시스템 전체 신뢰 저장소에 저장하려면 trust anchor 하위 명령을 사용하고 인증서 경로를 지정합니다. & lt;path.to/certificate.crt >를 인증서 및 파일 이름의 경로로 바꿉니다. 

    # trust anchor <path.to/certificate.crt>
    Copy to Clipboard Toggle word wrap

  • 인증서를 제거하려면 인증서의 경로 또는 인증서 ID를 사용합니다. 

    # trust anchor --remove <path.to/certificate.crt>
# trust anchor --remove "pkcs11:id=<%AA%BB%CC%DD%EE>;type=cert"
    Copy to Clipboard Toggle word wrap

4장. TLS 계획 및 구현
링크 복사

TLS(Transport Layer Security)는 네트워크 통신을 보호하는 데 사용되는 암호화 프로토콜입니다. 기본 키 교환 프로토콜, 인증 방법 및 암호화 알고리즘을 구성하여 시스템 보안 설정을 강화할 때 지원되는 클라이언트 범위를 넓혀 보안을 강화해야 합니다. 반대로 엄격한 보안 설정은 클라이언트와의 호환성이 제한되어 일부 사용자가 시스템에서 잠길 수 있습니다. 가장 엄격한 사용 가능한 구성을 대상으로 하고 호환성을 위해 필요한 경우에만 완화해야 합니다.

4.1. SSL 및 TLS 프로토콜
링크 복사

SSL(Secure Sockets Layer) 프로토콜은 원래 Netscape Corporation에서 인터넷을 통한 보안 통신을 위한 메커니즘을 제공하기 위해 개발되었습니다. 그 후 이 프로토콜은 IETF(Internet Engineering Task Force)에서 채택했으며 TLS(Transport Layer Security)로 이름이 변경되었습니다.

TLS 프로토콜은 애플리케이션 프로토콜 계층과 TCP/IP와 같은 신뢰할 수 있는 전송 계층 사이에 있습니다. 애플리케이션 프로토콜과 독립적이므로 다음과 같이 다양한 프로토콜 아래에 계층화할 수 있습니다. HTTP, FTP, SMTP 등.

Expand
프로토콜 버전사용 권장 사항

SSL v2

사용하지 마십시오. 심각한 보안 취약점이 있습니다. RHEL 7 이후 코어 암호화 라이브러리에서 제거되었습니다.

SSL v3

사용하지 마십시오. 심각한 보안 취약점이 있습니다. RHEL 8 이후 코어 암호화 라이브러리에서 제거되었습니다.

TLS 1.0

사용하지 않는 것이 좋습니다. 상호 운용성을 보장하고 최신 암호화 제품군을 지원하지 않는 방식으로 완화할 수 없는 문제가 있습니다. RHEL 8에서는 LEGACY 시스템 전체 암호화 정책 프로필에서만 사용할 수 있습니다.

TLS 1.1

필요한 경우 상호 운용성을 목적으로 사용합니다. 최신 암호화 제품군을 지원하지 않습니다. RHEL 8에서는 LEGACY 정책에서만 사용할 수 있습니다.

TLS 1.2

최신 AEAD 암호화 제품군을 지원합니다. 이 버전은 모든 시스템 전체 암호화 정책에서 활성화되지만, 이 프로토콜의 선택적 부분에는 취약점이 포함되어 있으며 TLS 1.2에서는 오래된 알고리즘도 허용합니다.

TLS 1.3

권장 버전입니다. TLS 1.3은 문제가 있는 알려진 옵션을 제거하고, 협상 핸드셰이크를 더 많이 암호화하여 추가적인 프라이버시를 제공하며 보다 효율적인 최신 암호화 알고리즘을 사용하여 더 빠르게 사용될 수 있습니다. TLS 1.3은 모든 시스템 전체 암호화 정책에서도 활성화됩니다.

4.2. RHEL 8에서 TLS의 보안 고려 사항
링크 복사

RHEL 8에서는 시스템 전체 암호화 정책 때문에 암호화 관련 고려 사항이 크게 단순화됩니다. DEFAULT 암호화 정책은 TLS 1.2 및 1.3만 허용합니다. 시스템이 이전 버전의 TLS를 사용하여 연결을 협상할 수 있도록 하려면 애플리케이션에서 다음과 같은 암호화 정책을 선택하거나 update-crypto-policies 명령을 사용하여 LEGACY 정책으로 전환해야 합니다. 자세한 내용은 시스템 전체 암호화 정책 사용을 참조하십시오.

RHEL 8에 포함된 라이브러리에서 제공하는 기본 설정은 대부분의 배포에 충분히 안전합니다. TLS 구현에서는 가능한 경우 또는 기존 클라이언트 또는 서버의 연결을 방지할 수 없는 보안 알고리즘을 사용합니다. 보안 알고리즘 또는 프로토콜을 지원하지 않는 레거시 클라이언트나 서버가 연결되지 않거나 연결할 수 없는 엄격한 보안 요구 사항을 충족하는 환경에서 강화된 설정을 적용합니다.

TLS 구성을 강화하는 가장 간단한 방법은 update-crypto-policies --set FUTURE 명령을 사용하여 시스템 전체 암호화 정책 수준을 FUTURE로 전환하는 것입니다.

주의

LEGACY 암호화 정책에 대해 비활성화된 알고리즘은 RHEL 8 보안에 대한 Red Hat의 비전을 따르지 않으며 보안 속성은 신뢰할 수 없습니다. 다시 활성화하는 대신 이러한 알고리즘 사용에서 벗어나는 것이 좋습니다. 예를 들어 이전 하드웨어와의 상호 운용성을 위해 다시 활성화하기로 결정한 경우, 이를 안전하지 않은 것으로 처리하고 네트워크 상호 작용을 별도의 네트워크 세그먼트에 격리하는 등의 추가 보호 조치를 적용합니다. 공용 네트워크에서 사용하지 마십시오.

RHEL 시스템 전체 암호화 정책을 따르거나 설정에 맞는 사용자 지정 암호화 정책을 생성하기로 결정한 경우 사용자 정의 구성에서 선호하는 프로토콜, 암호화 제품군 및 키 길이에 다음 권장 사항을 사용하십시오.

4.2.1. 프로토콜
링크 복사

최신 버전의 TLS는 최상의 보안 메커니즘을 제공합니다. 이전 버전의 TLS에 대한 지원을 포함하는 강력한 이유가 없으면 시스템에서 최소 TLS 버전 1.2를 사용하여 연결을 협상할 수 있습니다.

RHEL 8은 TLS 버전 1.3을 지원하더라도 이 프로토콜의 일부 기능은 RHEL 8 구성 요소에서 완전히 지원되지는 않습니다. 예를 들어 연결 대기 시간을 줄이는 0-RTT(round Trip Time) 기능은 Apache 웹 서버에서 아직 완전히 지원하지 않습니다.

4.2.2. 암호화 제품군
링크 복사

최신의 더욱 안전한 암호화 제품군은 보안이 떨어지는 오래된 제품군보다 선호되어야 합니다. 항상 암호화 또는 인증을 전혀 제공하지 않는 eNULL 및 aNULL 암호화 제품군 사용을 비활성화합니다. 가능한 경우 심각한 단점이 있는 RC4 또는 HMAC-MD5를 기반으로 하는 암호 제품군도 비활성화해야 합니다. 즉, 의도적으로 약해졌던 수출 암호 모음에도 동일하게 적용됩니다. 따라서 쉽게 중단할 수 있습니다.

즉시 안전하지 않지만 128비트 미만의 보안을 제공하는 암호화 제품군은 짧은 유효 기간 동안 고려해서는 안 됩니다. 128비트의 보안을 사용하는 알고리즘은 적어도 몇 년 동안 중단되지 않을 수 있으므로 강력하게 권장합니다. 3DES 암호화는 168비트 사용을 알리지만 실제로 112비트의 보안을 제공합니다.

항상 서버 키가 손상된 경우에도 암호화된 데이터의 기밀성을 보장하는 PFS(forward secrecy)를 지원하는 암호화 제품군을 선호합니다. 이 규칙은 빠른 RSA 키 교환을 제한하지만 ECDHE 및 DHE를 사용할 수 있습니다. 이 둘 중 ECDHE는 더 빠르고 선호되는 선택입니다.

또한 Oracle 공격에 취약하지 않으므로 CBC-GCM 이상의 AEAD 암호를 선호해야 합니다. 또한 대부분의 경우 AES-GCM은 특히 하드웨어에 AES용 암호화 가속기가 있는 경우 CBC 모드에서 AES보다 빠릅니다.

또한 ECDSA 인증서와 함께 ECDSA 키 교환을 사용할 때는 트랜잭션이 순수 RSA 키 교환보다 훨씬 빠릅니다. 레거시 클라이언트를 지원하기 위해 서버에 두 쌍의 인증서와 키(새 클라이언트용)와 RSA 키가 있는 키(기존 클라이언트의 경우)를 설치할 수 있습니다.

4.2.3. 공개 키 길이
링크 복사

RSA 키를 사용하는 경우 항상 SHA-256에서 서명한 3072비트 이상의 키 길이를 선호하므로 true 128비트의 보안에 충분합니다.

주의

시스템의 보안은 체인에서 가장 약한 링크만큼 강력합니다. 예를 들어 강력한 암호만으로는 좋은 보안이 보장되지 않습니다. 키와 인증서는 키에 서명하는 데 CA(인증 기관)에서 사용하는 해시 기능 및 키뿐만 아니라 중요합니다.

4.3. 애플리케이션에서 TLS 구성 강화
링크 복사

RHEL에서 시스템 전체 암호화 정책은 암호화 라이브러리를 사용하는 애플리케이션에서 알려진 비보안 프로토콜, 암호 또는 알고리즘을 허용하지 않도록 하는 편리한 방법을 제공합니다.

사용자 지정 암호화 설정으로 TLS 관련 구성을 강화하려면 이 섹션에 설명된 암호화 구성 옵션을 사용하고 필요한 최소 용량의 시스템 전체 암호화 정책을 재정의할 수 있습니다.

사용할 구성이 무엇이든 관계없이 서버 애플리케이션이 서버 측 암호 순서 를 강제 적용하므로 사용할 암호 모음은 구성하는 순서에 따라 결정됩니다.

4.3.1. TLS를 사용하도록 Apache HTTP 서버 구성
링크 복사

Apache HTTP Server는 TLS 요구 사항에 따라 OpenSSLNSS 라이브러리를 모두 사용할 수 있습니다. RHEL 8에서는 eponymous 패키지를 통해 mod_ssl 기능을 제공합니다. 

# yum install mod_ssl
Copy to Clipboard Toggle word wrap

mod_ssl 패키지는 Apache HTTP Server의 TLS 관련 설정을 수정하는 데 사용할 수 있는 /etc/httpd/conf.d/ssl.conf 구성 파일을 설치합니다.

httpd-manual 패키지를 설치하여 TLS 구성을 포함하여 Apache HTTP Server 에 대한 전체 문서를 가져옵니다. /etc/httpd/conf.d/ssl.conf 구성 파일에서 사용 가능한 지시문은 /usr/share/httpd/manual/mod/mod_ssl.html 파일에 자세히 설명되어 있습니다. 다양한 설정의 예는 /usr/share/httpd/manual/ssl/ssl_howto.html 파일에 설명되어 있습니다.

/etc/httpd/conf.d/ssl.conf 구성 파일의 설정을 수정할 때 최소한 다음 세 가지 지시문을 고려해야 합니다.

SSLProtocol
이 지시문을 사용하여 허용하려는 TLS 또는 SSL 버전을 지정합니다.
SSLCipherSuite
이 지시문을 사용하여 선호하는 암호화 제품군을 지정하거나 허용하지 않을 암호화 제품군을 비활성화합니다.
SSLHonorCipherOrder
연결 클라이언트가 지정한 암호 순서를 준수하는지 확인하기 위해 이 지시문의 주석을 on 으로 설정합니다.

예를 들어 TLS 1.2 및 1.3 프로토콜만 사용하려면 다음을 수행합니다. 

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
Copy to Clipboard Toggle word wrap

자세한 내용은 다양한 유형의 서버 배포 문서의 Apache HTTP Server에서 TLS 암호화 구성 장을 참조하십시오.

4.3.2. TLS를 사용하도록 Nginx HTTP 및 프록시 서버 구성
링크 복사

Nginx 에서 TLS 1.3 지원을 활성화하려면 /etc/nginx/nginx.conf 구성 파일의 server 섹션에 있는 ssl_protocols 옵션에 TLSv1.3 값을 추가합니다. 

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ....
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers
    ....
}
Copy to Clipboard Toggle word wrap

자세한 내용은 다양한 유형의 서버 배포 문서의 Nginx 웹 서버에 TLS 암호화 추가 장을 참조하십시오.

4.3.3. TLS를 사용하도록 Dovecot 메일 서버 구성
링크 복사

TLS를 사용하도록 Dovecot 메일 서버의 설치를 구성하려면 /etc/dovecot/conf.d/10-ssl.conf 구성 파일을 수정합니다. /usr/share/doc/dovecot/SSL/DovecotConfiguration.txt 파일에서 사용 가능한 일부 기본 구성 지시문에 대한 설명은 Dovecot 표준 설치와 함께 설치됩니다.

/etc/dovecot/conf.d/10-ssl.conf 구성 파일의 설정을 수정할 때 다음 세 지시문을 최소한으로 고려해야 합니다.

ssl_protocols
이 지시문을 사용하여 허용 또는 비활성화하려는 TLS 또는 SSL 버전을 지정합니다.
ssl_cipher_list
이 지시문을 사용하여 선호하는 암호화 제품군을 지정하거나 허용하지 않을 암호화 제품군을 비활성화합니다.
ssl_prefer_server_ciphers
연결 클라이언트가 지정한 암호 순서를 준수하는지 확인하기 위해 이 지시문의 주석을 제거하고 yes 로 설정합니다.

예를 들어 /etc/dovecot/conf.d/10-ssl.conf 의 다음 행에서는 TLS 1.1 이상만 허용합니다. 

ssl_protocols = !SSLv2 !SSLv3 !TLSv1
Copy to Clipboard Toggle word wrap

5장. IPsec VPN 설정
링크 복사

VPN(가상 사설 네트워크)은 인터넷을 통해 로컬 네트워크에 연결하는 방법입니다. Libreswan 에서 제공하는 IPsec 은 VPN을 생성하는 기본 방법입니다. Libreswan 은 VPN을 위한 사용자 공간 IPsec 구현입니다. VPN은 인터넷과 같은 중간 네트워크에서 터널을 설정하여 LAN과 다른 LAN 간의 통신을 활성화합니다. 보안상의 이유로 VPN 터널은 항상 인증 및 암호화를 사용합니다. 암호화 작업의 경우 LibreswanNSS 라이브러리를 사용합니다.

5.1. IPsec VPN 구현인 Libreswan
링크 복사

RHEL에서는 Libreswan 애플리케이션에서 지원하는 IPsec 프로토콜을 사용하여 VPN(Virtual Private Network)을 구성할 수 있습니다. Libreswan은 Openswan 애플리케이션의 연속이며, Openswan 설명서의 많은 예제는 Libreswan과 상호 운용할 수 있습니다.

VPN용 IPsec 프로토콜은 인터넷 키 교환(IKE) 프로토콜을 사용하여 구성됩니다. IPsec과 IKE라는 용어는 서로 바꿔 사용할 수 있습니다. IPsec VPN은 IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN 또는 IKE/IPsec VPN이라고도 합니다. L2TP( Layer 2 tunneling Protocol)도 사용하는 IPsec VPN의 변형은 일반적으로 선택적 리포지토리에서 제공하는 xl2tpd 패키지가 필요한 L2TP/IPsec VPN이라고 합니다.

Libreswan은 오픈 소스 사용자 공간 IKE 구현입니다. IKE v1 및 v2는 사용자 수준 데몬으로 구현됩니다. IKE 프로토콜도 암호화됩니다. IPsec 프로토콜은 Linux 커널에 의해 구현되며 Libreswan은 VPN 터널 구성을 추가하고 제거하도록 커널을 구성합니다.

IKE 프로토콜은 UDP 포트 500 및 4500을 사용합니다. IPsec 프로토콜은 두 가지 프로토콜로 구성됩니다.

  • 프로토콜 번호 50이 있는 ESP(Security Payload)가 캡슐화되었습니다.
  • 프로토콜 번호 51이 있는 인증된 헤더 (AH)

AH 프로토콜은 사용하지 않는 것이 좋습니다. AH 사용자는 null 암호화를 사용하여 ESP로 마이그레이션하는 것이 좋습니다.

IPsec 프로토콜은 다음과 같은 두 가지 작동 모드를 제공합니다.

  • 터널 모드(기본값)
  • 전송 모드

IKE 없이 IPsec을 사용하여 커널을 구성할 수 있습니다. 이를 수동 키링 이라고 합니다. ip xfrm 명령을 사용하여 수동 인증도 구성할 수 있지만 보안상의 이유로 이 방법은 권장되지 않습니다. Libreswan은 Netlink 인터페이스를 사용하여 Linux 커널과 통신합니다. 커널은 패킷 암호화 및 암호 해독을 수행합니다.

Libreswan은 NSS(Network Security Services) 암호화 라이브러리를 사용합니다. NSS는FIPS( Federal Information Processing Standard ) 발행 140-2와 함께 사용하도록 인증되었습니다.

중요

Libreswan 및 Linux 커널에서 구현하는 IKE/IPsec VPN은 RHEL에서 사용하는 데 권장되는 유일한 VPN 기술입니다. 이렇게하는 위험을 이해하지 않고 다른 VPN 기술을 사용하지 마십시오.

RHEL에서 Libreswan은 기본적으로 시스템 전체 암호화 정책을 따릅니다. 이렇게 하면 Libreswan이 IKEv2를 기본 프로토콜로 포함한 현재 위협 모델에 대한 보안 설정을 사용할 수 있습니다. 자세한 내용은 시스템 전체 암호화 정책 사용을 참조하십시오.

Libreswan은 IKE/IPsec이 피어 간 프로토콜이므로 "소스" 및 "대상" 또는 "서버" 및 "클라이언트"라는 용어를 사용하지 않습니다. 대신 "left" 및 "right"라는 용어를 사용하여 엔드 포인트(호스트)를 나타냅니다. 또한 대부분의 경우 두 끝점 모두에서 동일한 구성을 사용할 수 있습니다. 그러나 관리자는 일반적으로 로컬 호스트에 대해 항상 "left"를 사용하고 원격 호스트에 대해 "오른쪽"을 사용하도록 선택합니다.

leftidrightid 옵션은 인증 프로세스에서 해당 호스트를 식별하는 역할을 합니다. 자세한 내용은 ipsec.conf(5) 도움말 페이지를 참조하십시오.

5.2. Libreswan의 인증 방법
링크 복사

Libreswan은 각각 다른 시나리오에 맞는 여러 인증 방법을 지원합니다.

Pre-Shared 키(PSK)

PSK( Pre-Shared Key )는 가장 간단한 인증 방법입니다. 보안상의 이유로, 64개의 임의 문자보다 짧은 PSK를 사용하지 마십시오. FIPS 모드에서 PSK는 사용된 무결성 알고리즘에 따라 최소 요구 사항을 준수해야 합니다. authby=secret 연결을 사용하여 PSK를 설정할 수 있습니다.

원시 RSA 키

원시 RSA 키는 일반적으로 정적 host-host 또는 subnet-to-subnet IPsec 구성에 사용됩니다. 각 호스트는 다른 모든 호스트의 공개 RSA 키를 사용하여 수동으로 구성하고 Libreswan은 각 호스트 쌍 간에 IPsec 터널을 설정합니다. 이 방법은 많은 호스트에 대해 잘 확장되지 않습니다.

ipsec newhostkey 명령을 사용하여 호스트에서 원시 RSA 키를 생성할 수 있습니다. ipsec showhostkey 명령을 사용하여 생성된 키를 나열할 수 있습니다. CKA ID 키를 사용하는 연결 구성에는 leftrsasigkey= 행이 필요합니다. 원시 RSA 키에 authby=rsasig 연결 옵션을 사용합니다.

X.509 인증서

X.509 인증서 는 일반적으로 공통 IPsec 게이트웨이에 연결된 호스트로 대규모 배포에 사용됩니다. 중앙 인증 기관 (CA)은 호스트 또는 사용자의 RSA 인증서에 서명합니다. 이 중앙 CA는 개별 호스트 또는 사용자의 취소를 포함하여 신뢰 릴레이를 담당합니다.

예를 들어 openssl 명령 및 NSS certutil 명령을 사용하여 X.509 인증서를 생성할 수 있습니다. Libreswan은 leftcert= 구성 옵션에서 인증서의 닉네임을 사용하여 NSS 데이터베이스에서 사용자 인증서를 읽기 때문에 인증서를 생성할 때 nickname을 제공합니다.

사용자 정의 CA 인증서를 사용하는 경우 NSS(Network Security Services) 데이터베이스로 가져와야 합니다. ipsec import 명령을 사용하여 PKCS #12 형식의 인증서를 Libreswan NSS 데이터베이스로 가져올 수 있습니다.

주의

Libreswan에는 RFC 4945의 3.1 절에 설명된 모든 피어 인증서에 대한 주제 대체 이름(SAN)으로 인터넷 키 교환(IKE) 피어 ID가 필요합니다. require-id-on-certificate=no 연결 옵션을 설정하여 이 검사를 비활성화하면 시스템이 중간자 공격에 취약해질 수 있습니다.

SHA-1 및 SHA-2와 함께 RSA를 사용하는 X.509 인증서를 기반으로 하는 인증에 authby=rsasig 연결 옵션을 사용합니다. authby=ecdsa 및 RSA Probabilistic Signature Scheme(RSASSA-PSS)로 설정하여 SHA-2를 사용하여 ECDSA 디지털 서명에 대해 추가로 제한할 수 있습니다. authby=rsa-sha2 를 통해 SHA-2를 사용한 디지털 서명 기반 인증입니다. 기본값은 authby=rsasig,ecdsa 입니다.

인증서 및 authby= 서명 메서드가 일치해야 합니다. 이로 인해 상호 운용성이 증가하고 하나의 디지털 서명 시스템에서 인증을 유지합니다.

NULL 인증

NULL 인증은 인증없이 메시 암호화를 얻는 데 사용됩니다. 액티브 공격으로부터 보호하지만 활성 공격으로부터 보호하지 않습니다. 그러나 IKEv2는 비대칭 인증 방법을 허용하므로 Internetscale opportunistic IPsec에도 NULL 인증을 사용할 수 있습니다. 이 모델에서 클라이언트는 서버를 인증하지만 서버는 클라이언트를 인증하지 않습니다. 이 모델은 TLS를 사용하는 보안 웹 사이트와 유사합니다. NULL 인증을 위해 authby=null 을 사용합니다.

섀도우 컴퓨터 보호

앞에서 언급한 인증 방법 외에도 PPK( Post-quantum Pre-shared Key ) 방법을 사용하여 텀 컴퓨터가 통해 가능한 공격으로부터 보호할 수 있습니다. 개별 클라이언트 또는 클라이언트 그룹은 대역 외 구성된 사전 공유 키에 해당하는 PPK ID를 지정하여 자체 PPK를 사용할 수 있습니다.

IKEv1을 사전 공유 키와 함께 사용하면 정크 공격자로부터 보호됩니다. IKEv2의 재설계는 기본적으로 이러한 보호를 제공하지 않습니다. Libreswan은 압 공격으로부터 IKEv2 연결을 보호하기 위해 Post-quantum Pre-shared Key (PPK)를 사용하여 IKEv2 연결을 보호합니다.

선택적 PPK 지원을 활성화하려면 연결 정의에 ppk=yes 를 추가합니다. PPK를 요구하려면 ppk=insist 를 추가합니다. 그런 다음, 각 클라이언트에 범위를 벗어난 비밀 값이 있는 PPK ID를 제공할 수 있습니다(및 더 바람직하게 압축하는 경우). PPK는 사전 단어를 기반으로하지 않은 무작위성에서 매우 강해야합니다. PPK ID 및 PPK 데이터는 ipsec.secrets 파일에 저장됩니다. 예를 들면 다음과 같습니다. 

@west @east : PPKS "user1" "thestringismeanttobearandomstr"
Copy to Clipboard Toggle word wrap

PPKS 옵션은 정적 PPK를 나타냅니다. 이 실험적 기능은 일회성패드 기반 동적 PPK를 사용합니다. 각 연결에 따라 일회성패드의 새로운 부분이 PPK로 사용됩니다. 사용하는 경우 파일 내의 동적 PPK 부분을 0으로 덮어 쓰기하여 재사용을 방지합니다. 더 이상 일회성 패딩 자료가 남아 있지 않으면 연결이 실패합니다. 자세한 내용은 ipsec.secrets(5) 도움말 페이지를 참조하십시오.

주의

동적 PPK의 구현은 지원되지 않는 기술 프리뷰로 제공됩니다. 주의해서 사용하십시오.

5.3. Libreswan 설치
링크 복사

Libreswan IPsec/IKE 구현을 통해 VPN을 설정하려면 해당 패키지를 설치하고 ipsec 서비스를 시작하고 방화벽에서 서비스를 허용해야 합니다.

사전 요구 사항

  • AppStream 리포지토리가 활성화되어 있어야 합니다.

프로세스

  1. libreswan 패키지를 설치합니다. 

    # yum install libreswan
    Copy to Clipboard Toggle word wrap

  2. Libreswan을 다시 설치하는 경우 이전 데이터베이스 파일을 제거하고 새 데이터베이스를 생성합니다. 

    # systemctl stop ipsec
# rm /etc/ipsec.d/*db
# ipsec initnss
    Copy to Clipboard Toggle word wrap

  3. ipsec 서비스를 시작하고 부팅 시 서비스를 자동으로 시작합니다. 

    # systemctl enable ipsec --now
    Copy to Clipboard Toggle word wrap

  4. ipsec 서비스를 추가하여 IKE, ESP 및 AH 프로토콜에 500 및 4500/UDP 포트를 허용하도록 방화벽을 구성합니다. 

    # firewall-cmd --add-service="ipsec"
# firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

5.4. 호스트 대 호스트 VPN 생성
링크 복사

원시 RSA 키의 인증을 사용하여 왼쪽오른쪽 이라는 두 호스트 간에 host-to-host IPsec VPN을 생성하도록 Libreswan을 구성할 수 있습니다.

사전 요구 사항

  • Libreswan이 설치되고 ipsec 서비스가 각 노드에서 시작됩니다.

프로세스

  1. 각 호스트에 원시 RSA 키 쌍을 생성합니다. 

    # ipsec newhostkey
    Copy to Clipboard Toggle word wrap

  2. 이전 단계에서 생성된 키의 ckaid가 반환되었습니다. 왼쪽에서 다음 명령과 함께 해당 ckaid 를 사용합니다. 예를 들면 다음과 같습니다. 

    # ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d
    Copy to Clipboard Toggle word wrap

    이전 명령의 출력에서 구성에 필요한 leftrsasigkey= 행을 생성했습니다. 두 번째 호스트에서 동일한 작업을 수행합니다(오른쪽). 

    # ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03
    Copy to Clipboard Toggle word wrap

  3. /etc/ipsec.d/ 디렉터리에 새 my_host-to-host.conf 파일을 만듭니다. 이전 단계에서 ipsec showhostkey 명령의 출력에서 RSA 호스트 키를 새 파일로 작성합니다. 예를 들면 다음과 같습니다. 

    conn mytunnel
    leftid=@west
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
    Copy to Clipboard Toggle word wrap

  4. 키를 가져온 후 ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap

  5. 연결을 로드합니다. 

    # ipsec auto --add mytunnel
    Copy to Clipboard Toggle word wrap

  6. 터널을 설정합니다. 

    # ipsec auto --up mytunnel
    Copy to Clipboard Toggle word wrap

  7. ipsec 서비스가 시작될 때 터널을 자동으로 시작하려면 연결 정의에 다음 행을 추가합니다. 

    auto=start
    Copy to Clipboard Toggle word wrap
  8. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

5.5. 사이트 간 VPN 구성
링크 복사

두 개의 네트워크에 가입하여 사이트 간 IPsec VPN을 생성하려면 두 호스트 간의 IPsec 터널이 생성됩니다. 따라서 호스트는 하나 이상의 서브넷의 트래픽이 통과할 수 있도록 구성된 엔드포인트 역할을 합니다. 따라서 호스트를 네트워크의 원격 부분에 대한 게이트웨이로 간주할 수 있습니다.

사이트 간 VPN의 구성은 하나 이상의 네트워크 또는 서브넷을 구성 파일에 지정해야 한다는 점에서 호스트 간 VPN과 다릅니다.

사전 요구 사항

프로세스

  1. 호스트 간 VPN의 구성으로 파일을 새 파일에 복사합니다. 예를 들면 다음과 같습니다. 

    # cp /etc/ipsec.d/my_host-to-host.conf /etc/ipsec.d/my_site-to-site.conf
    Copy to Clipboard Toggle word wrap

  2. 이전 단계에서 만든 파일에 서브넷 구성을 추가합니다. 예를 들면 다음과 같습니다. 

    conn mysubnet
     also=mytunnel
     leftsubnet=192.0.1.0/24
     rightsubnet=192.0.2.0/24
     auto=start

conn mysubnet6
     also=mytunnel
     leftsubnet=2001:db8:0:1::/64
     rightsubnet=2001:db8:0:2::/64
     auto=start

# the following part of the configuration file is the same for both host-to-host and site-to-site connections:

conn mytunnel
    leftid=@west
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
    Copy to Clipboard Toggle word wrap
  3. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

5.6. 원격 액세스 VPN 구성
링크 복사

로드 전사는 모바일 클라이언트 및 동적으로 할당된 IP 주소가 있는 사용자를 여행하고 있습니다. 모바일 클라이언트는 X.509 인증서를 사용하여 인증합니다.

다음 예제에서는 IKEv2 에 대한 구성을 보여주며 IKEv1 XAUTH 프로토콜 사용을 방지합니다.

서버에서 다음을 수행합니다. 

conn roadwarriors
    ikev2=insist
    # support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    fragmentation=yes
    left=1.2.3.4
    # if access to the LAN is given, enable this, otherwise use 0.0.0.0/0
    # leftsubnet=10.10.0.0/16
    leftsubnet=0.0.0.0/0
    leftcert=gw.example.com
    leftid=%fromcert
    leftxauthserver=yes
    leftmodecfgserver=yes
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # pick an IP address pool to assign to remote users
    # 100.64.0.0/16 prevents RFC1918 clashes when remote users are behind NAT
    rightaddresspool=100.64.13.100-100.64.13.254
    # if you want remote clients to use some local DNS zones and servers
    modecfgdns="1.2.3.4, 5.6.7.8"
    modecfgdomains="internal.company.com, corp"
    rightxauthclient=yes
    rightmodecfgclient=yes
    authby=rsasig
    # optionally, run the client X.509 ID through pam to allow or deny client
    # pam-authorize=yes
    # load connection, do not initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=1m
    dpdtimeout=5m
    dpdaction=clear
Copy to Clipboard Toggle word wrap

모바일 클라이언트에서 로드 해커의 장치는 이전 구성의 약간의 변형을 사용합니다. 

conn to-vpn-server
    ikev2=insist
    # pick up our dynamic IP
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftcert=myname.example.com
    leftid=%fromcert
    leftmodecfgclient=yes
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this, otherwise use 0.0.0.0/0
    # rightsubnet=10.10.0.0/16
    rightsubnet=0.0.0.0/0
    fragmentation=yes
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasig
    # allow narrowing to the server’s suggested assigned IP and remote subnet
    narrowing=yes
    # support (roaming) MOBIKE clients (RFC 4555)
    mobike=yes
    # initiate connection
    auto=start
Copy to Clipboard Toggle word wrap
참고

DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

5.7. 메시 VPN 구성
링크 복사

임의의 VPN이라고도 하는 메시 VPN 네트워크는 모든 노드가 IPsec을 사용하여 통신하는 네트워크입니다. 이 설정을 사용하면 IPsec을 사용할 수 없는 노드에 대한 예외가 허용됩니다. 메시 VPN 네트워크는 두 가지 방법으로 구성할 수 있습니다.

  • IPsec을 사용하려면 다음을 수행합니다.
  • IPsec을 선호하지만 대체로 일반 텍스트 통신이 허용됩니다.

노드 간 인증은 X.509 인증서 또는 DNSSEC(DNS Security Extensions)를 기반으로 할 수 있습니다.

이러한 연결은 right=%opportunisticgroup 항목에 정의된 opportunistic IPsec 을 제외하고 일반 Libreswan 구성이므로 opportunistic IPsec에 일반 IKEv2 인증 방법을 사용할 수 있습니다. 일반적인 인증 방법은 일반적으로 공유 CA(인증 기관)를 사용하여 X.509 인증서를 기반으로 호스트가 서로 인증하는 것입니다. 클라우드 배포에서는 일반적으로 표준 절차의 일부로 클라우드에 있는 각 노드의 인증서를 발급합니다.

중요

손상된 호스트 하나로 인해 그룹 PSK도 손상될 수 있으므로 PreSharedKey(PSK) 인증을 사용하지 마십시오.

NULL 인증을 사용하여 수동 공격자로부터만 보호하는 인증 없이 노드 간에 암호화를 배포할 수 있습니다.

다음 절차에서는 X.509 인증서를 사용합니다. Dogtag Certificate System과 같은 모든 종류의 CA 관리 시스템을 사용하여 이러한 인증서를 생성할 수 있습니다. Dogtag는 각 노드의 인증서를 개인 키, 노드 인증서 및 다른 노드의 X.509 인증서의 유효성을 검사하는 데 사용되는 루트 CA 인증서가 포함된 PKCS #12 형식(.p12 파일)에서 사용할 수 있다고 가정합니다.

각 노드에는 X.509 인증서를 제외하고 동일한 구성이 있습니다. 이를 통해 네트워크의 기존 노드를 재구성하지 않고 새 노드를 추가할 수 있습니다. PKCS #12 파일에는 친숙한 이름을 참조하는 구성 파일이 모든 노드에 대해 동일할 수 있도록 "노드"라는 이름을 사용하는 "친호한 이름"이 필요합니다.

사전 요구 사항

  • Libreswan이 설치되고 ipsec 서비스가 각 노드에서 시작됩니다.

  • 새 NSS 데이터베이스가 초기화됩니다.

    1. 이전 NSS 데이터베이스가 이미 있는 경우 이전 데이터베이스 파일을 제거하십시오. 

      # systemctl stop ipsec
# rm /etc/ipsec.d/*db
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 사용하여 새 데이터베이스를 초기화할 수 있습니다. 

      # ipsec initnss
      Copy to Clipboard Toggle word wrap

프로세스

  1. 각 노드에서 PKCS #12 파일을 가져옵니다. 이 단계에서는 PKCS #12 파일을 생성하는 데 사용되는 암호가 필요합니다. 

    # ipsec import nodeXXX.p12
    Copy to Clipboard Toggle word wrap

  2. IPsec 필수(개인), IPsec 선택 사항(private-or-clear) 및 No IPsec (clear) 프로필에 대한 다음 세 가지 연결 정의를 생성합니다. 

    # cat /etc/ipsec.d/mesh.conf
conn clear
	auto=ondemand
    1 
    
	type=passthrough
	authby=never
	left=%defaultroute
	right=%group

conn private
	auto=ondemand
	type=transport
	authby=rsasig
	failureshunt=drop
	negotiationshunt=drop
	ikev2=insist
	left=%defaultroute
	leftcert=nodeXXXX
	leftid=%fromcert
    2 
    
	rightid=%fromcert
	right=%opportunisticgroup

conn private-or-clear
	auto=ondemand
	type=transport
	authby=rsasig
	failureshunt=passthrough
	negotiationshunt=passthrough
	# left
	left=%defaultroute
	leftcert=nodeXXXX
    3 
    
	leftid=%fromcert
	leftrsasigkey=%cert
	# right
	rightrsasigkey=%cert
	rightid=%fromcert
	right=%opportunisticgroup
    Copy to Clipboard Toggle word wrap
    1
    auto 변수에는 몇 가지 옵션이 있습니다.

    opportunistic IPsec과 함께 온 디맨드 연결 옵션을 사용하여 IPsec 연결을 시작하거나 항상 활성화할 필요가 없는 명시적으로 구성된 연결에 사용할 수 있습니다. 이 옵션은 커널에 트랩 XFRM 정책을 설정하여 해당 정책과 일치하는 첫 번째 패킷을 수신할 때 IPsec 연결을 시작할 수 있습니다.

    다음 옵션을 사용하여 Opportunistic IPsec 또는 명시적으로 구성된 연결을 사용하는지 여부에 관계없이 IPsec 연결을 효과적으로 구성하고 관리할 수 있습니다.

    추가 옵션
    연결 구성을 로드하고 원격 시작에 응답하기 위해 준비합니다. 그러나 연결은 로컬 측에서 자동으로 시작되지 않습니다. ipsec auto --up 명령을 사용하여 IPsec 연결을 수동으로 시작할 수 있습니다.
    시작 옵션
    연결 구성을 로드하고 원격 시작에 응답하기 위해 준비합니다. 또한 원격 피어에 대한 연결을 즉시 시작합니다. 영구 및 항상 활성 연결에 이 옵션을 사용할 수 있습니다.
    2
    leftidrightid 변수는 IPsec 터널 연결의 오른쪽과 왼쪽 채널을 식별합니다. 이러한 변수를 사용하여 구성된 경우 로컬 IP 주소의 값 또는 로컬 인증서의 제목 DN을 가져올 수 있습니다.
    3
    leftcert 변수는 사용하려는 NSS 데이터베이스의 닉네임을 정의합니다.

  3. 네트워크의 IP 주소를 해당 카테고리에 추가합니다. 예를 들어 모든 노드가 10.15.0.0/16 네트워크에 있고 모든 노드가 IPsec 암호화를 사용해야 하는 경우 다음을 수행합니다. 

    # echo "10.15.0.0/16" >> /etc/ipsec.d/policies/private
    Copy to Clipboard Toggle word wrap

  4. 특정 노드(예: 10.15.34.0/24 )가 IPsec과 함께 작동하도록 허용하려면 해당 노드를 private-or-clear 그룹에 추가합니다. 

    # echo "10.15.34.0/24" >> /etc/ipsec.d/policies/private-or-clear
    Copy to Clipboard Toggle word wrap

  5. IPsec을 clear 그룹으로 할 수 없는 호스트(예: 10.15.1.2 )를 정의하려면 다음을 사용합니다. 

    # echo "10.15.1.2/32" >> /etc/ipsec.d/policies/clear
    Copy to Clipboard Toggle word wrap

    각 새 노드의 템플릿에서 /etc/ipsec.d/policies 디렉터리에 파일을 생성하거나 Puppet 또는 Ansible을 사용하여 파일을 프로비저닝할 수 있습니다.

    모든 노드에는 예외 또는 트래픽 흐름 예상과 동일한 목록이 있습니다. 따라서 IPsec이 필요하고 다른 노드는 IPsec을 사용할 수 없기 때문에 두 개의 노드가 통신할 수 없습니다.

  6. 노드를 재시작하여 구성된 메시에 추가합니다. 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap
  7. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

검증

  1. ping 명령을 사용하여 IPsec 터널을 엽니다. 

    # ping <nodeYYY>
    Copy to Clipboard Toggle word wrap

  2. 가져온 인증서를 사용하여 NSS 데이터베이스를 표시합니다. 

    # certutil -L -d sql:/etc/ipsec.d

Certificate Nickname    Trust Attributes
                        SSL,S/MIME,JAR/XPI

west                    u,u,u
ca                      CT,,
    Copy to Clipboard Toggle word wrap

  3. 노드에서 열려 있는 터널을 확인합니다. 

    # ipsec trafficstatus
006 #2: "private#10.15.0.0/16"[1] ...<nodeYYY>, type=ESP, add_time=1691399301, inBytes=512, outBytes=512, maxBytes=2^63B, id='C=US, ST=NC, O=Example Organization, CN=east'
    Copy to Clipboard Toggle word wrap

5.8. FIPS 호환 IPsec VPN 배포
링크 복사

Libreswan을 사용하여 FIPS 호환 IPsec VPN 솔루션을 배포할 수 있습니다. 이를 위해 사용 가능한 암호화 알고리즘과 FIPS 모드에서 Libreswan에 대해 비활성화된 암호화 알고리즘을 식별할 수 있습니다.

사전 요구 사항

  • AppStream 리포지토리가 활성화되어 있어야 합니다.

프로세스

  1. libreswan 패키지를 설치합니다. 

    # yum install libreswan
    Copy to Clipboard Toggle word wrap

  2. Libreswan을 다시 설치하는 경우 이전 NSS 데이터베이스를 제거하십시오. 

    # systemctl stop ipsec
# rm /etc/ipsec.d/*db
    Copy to Clipboard Toggle word wrap

  3. ipsec 서비스를 시작하고 부팅 시 서비스를 자동으로 시작합니다. 

    # systemctl enable ipsec --now
    Copy to Clipboard Toggle word wrap

  4. ipsec 서비스를 추가하여 IKE, ESP 및 AH 프로토콜에 5004500 UDP 포트를 허용하도록 방화벽을 구성합니다. 

    # firewall-cmd --add-service="ipsec"
# firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

  5. 시스템을 FIPS 모드로 전환합니다. 

    # fips-mode-setup --enable
    Copy to Clipboard Toggle word wrap

  6. 커널이 FIPS 모드로 전환되도록 시스템을 다시 시작하십시오. 

    # reboot
    Copy to Clipboard Toggle word wrap

검증

  1. Libreswan이 FIPS 모드에서 실행 중인지 확인합니다. 

    # ipsec whack --fipsstatus
000 FIPS mode enabled
    Copy to Clipboard Toggle word wrap

  2. 또는 systemd 저널의 ipsec 유닛 항목을 확인합니다. 

    $ journalctl -u ipsec
...
Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Product: YES
Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Kernel: YES
Jan 22 11:26:50 localhost.localdomain pluto[3076]: FIPS Mode: YES
    Copy to Clipboard Toggle word wrap

  3. FIPS 모드에서 사용 가능한 알고리즘을 보려면 다음을 수행합니다. 

    # ipsec pluto --selftest 2>&1 | head -11
FIPS Product: YES
FIPS Kernel: YES
FIPS Mode: YES
NSS DB directory: sql:/etc/ipsec.d
Initializing NSS
Opening NSS database "sql:/etc/ipsec.d" read-only
NSS initialized
NSS crypto library initialized
FIPS HMAC integrity support [enabled]
FIPS mode enabled for pluto daemon
NSS library is running in FIPS mode
FIPS HMAC integrity verification self-test passed
    Copy to Clipboard Toggle word wrap

  4. FIPS 모드에서 비활성화된 알고리즘을 쿼리하려면 다음을 수행합니다. 

    # ipsec pluto --selftest 2>&1 | grep disabled
Encryption algorithm CAMELLIA_CTR disabled; not FIPS compliant
Encryption algorithm CAMELLIA_CBC disabled; not FIPS compliant
Encryption algorithm SERPENT_CBC disabled; not FIPS compliant
Encryption algorithm TWOFISH_CBC disabled; not FIPS compliant
Encryption algorithm TWOFISH_SSH disabled; not FIPS compliant
Encryption algorithm NULL disabled; not FIPS compliant
Encryption algorithm CHACHA20_POLY1305 disabled; not FIPS compliant
Hash algorithm MD5 disabled; not FIPS compliant
PRF algorithm HMAC_MD5 disabled; not FIPS compliant
PRF algorithm AES_XCBC disabled; not FIPS compliant
Integrity algorithm HMAC_MD5_96 disabled; not FIPS compliant
Integrity algorithm HMAC_SHA2_256_TRUNCBUG disabled; not FIPS compliant
Integrity algorithm AES_XCBC_96 disabled; not FIPS compliant
DH algorithm MODP1024 disabled; not FIPS compliant
DH algorithm MODP1536 disabled; not FIPS compliant
DH algorithm DH31 disabled; not FIPS compliant
    Copy to Clipboard Toggle word wrap

  5. FIPS 모드에서 허용되는 모든 알고리즘 및 암호를 나열하려면 다음을 수행합니다. 

    # ipsec pluto --selftest 2>&1 | grep ESP | grep FIPS | sed "s/^.*FIPS//"
{256,192,*128}  aes_ccm, aes_ccm_c
{256,192,*128}  aes_ccm_b
{256,192,*128}  aes_ccm_a
[*192]  3des
{256,192,*128}  aes_gcm, aes_gcm_c
{256,192,*128}  aes_gcm_b
{256,192,*128}  aes_gcm_a
{256,192,*128}  aesctr
{256,192,*128}  aes
{256,192,*128}  aes_gmac
sha, sha1, sha1_96, hmac_sha1
sha512, sha2_512, sha2_512_256, hmac_sha2_512
sha384, sha2_384, sha2_384_192, hmac_sha2_384
sha2, sha256, sha2_256, sha2_256_128, hmac_sha2_256
aes_cmac
null
null, dh0
dh14
dh15
dh16
dh17
dh18
ecp_256, ecp256
ecp_384, ecp384
ecp_521, ecp521
    Copy to Clipboard Toggle word wrap

5.9. 암호로 IPsec NSS 데이터베이스 보호
링크 복사

기본적으로 IPsec 서비스는 처음 시작하는 동안 비어 있는 암호를 사용하여 NSS(Network Security Services) 데이터베이스를 생성합니다. 보안을 강화하기 위해 암호 보호를 추가할 수 있습니다.

참고

이전 RHEL 릴리스에서는 NSS 암호화 라이브러리가 FIPS 140-2 수준 2 표준에 대해 인증되었기 때문에 FIPS 140-2 요구 사항을 충족하기 위해 IPsec NSS 데이터베이스를 암호로 보호해야 했습니다. RHEL 8에서는 NIST에서 이 표준의 수준 1에 NSS를 인증했으며 이 상태에는 데이터베이스에 대한 암호 보호가 필요하지 않습니다.

사전 요구 사항

  • /etc/ipsec.d/ 디렉터리에는 NSS 데이터베이스 파일이 포함되어 있습니다.

프로세스

  1. Libreswan에 대한 NSS 데이터베이스에 대한 암호 보호를 활성화합니다. 

    # certutil -N -d sql:/etc/ipsec.d
Enter Password or Pin for "NSS Certificate DB":
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password:
    Copy to Clipboard Toggle word wrap

  2. 이전 단계에서 설정한 암호가 포함된 /etc/ipsec.d/nsspassword 파일을 만듭니다. 예를 들면 다음과 같습니다. 

    # cat /etc/ipsec.d/nsspassword
NSS Certificate DB:_<password>_
    Copy to Clipboard Toggle word wrap

    nsspassword 파일은 다음 구문을 사용합니다. 

    <token_1>:<password1>
<token_2>:<password2>
    Copy to Clipboard Toggle word wrap

    기본 NSS 소프트웨어 토큰은 NSS Certificate DB 입니다. 시스템이 FIPS 모드에서 실행 중인 경우 토큰 이름은 NSS FIPS 140-2 Certificate DB 입니다.

  3. 시나리오에 따라 nsspassword 파일을 완료한 후 ipsec 서비스를 시작하거나 다시 시작합니다. 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap

검증

  1. NSS 데이터베이스에 비어 있지 않은 암호를 추가한 후 ipsec 서비스가 실행 중인지 확인합니다. 

    # systemctl status ipsec
● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
   Active: active (running)...
    Copy to Clipboard Toggle word wrap

  2. 저널 로그에 초기화에 성공했는지 확인하는 항목이 포함되어 있는지 확인합니다. 

    # journalctl -u ipsec
...
pluto[6214]: Initializing NSS using read-write database "sql:/etc/ipsec.d"
pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
pluto[6214]: NSS crypto library initialized
...
    Copy to Clipboard Toggle word wrap

5.10. TCP를 사용하도록 IPsec VPN 구성
링크 복사

Libreswan은 RFC 8229에 설명된 대로 IKE 및 IPsec 패킷을 TCP 캡슐화를 지원합니다. 이 기능을 사용하면 UDP를 통해 전송되는 트래픽을 방지하고 ESB(Security Payload)를 캡슐화하는 네트워크에서 IPsec VPN을 설정할 수 있습니다. TCP를 대체 또는 기본 VPN 전송 프로토콜로 사용하도록 VPN 서버와 클라이언트를 구성할 수 있습니다. TCP 캡슐화는 성능 비용이 늘어날 수 있으므로 시나리오에서 UDP가 영구적으로 차단된 경우에만 TCP를 기본 VPN 프로토콜로 사용하십시오.

사전 요구 사항

프로세스

  1. config setup 섹션의 /etc/ipsec.conf 파일에 다음 옵션을 추가합니다. 

    listen-tcp=yes
    Copy to Clipboard Toggle word wrap

  2. UDP를 처음 시도하지 못하면 TCP 캡슐화를 대체 옵션으로 사용하려면 클라이언트의 연결 정의에 다음 두 옵션을 추가합니다. 

    enable-tcp=fallback
tcp-remoteport=4500
    Copy to Clipboard Toggle word wrap

    또는 UDP가 영구적으로 차단되었음을 알고 있는 경우 클라이언트 연결 구성에서 다음 옵션을 사용합니다. 

    enable-tcp=yes
tcp-remoteport=4500
    Copy to Clipboard Toggle word wrap

ESP(Security Payload)를 하드웨어에 오프로드하면 이더넷을 통해 IPsec 연결이 빨라집니다. 기본적으로 Libreswan은 하드웨어가 이 기능을 지원하는지 감지하여 ESP 하드웨어 오프로드를 활성화합니다. 기능이 비활성화되었거나 명시적으로 활성화된 경우 자동 탐지로 다시 전환할 수 있습니다.

사전 요구 사항

  • 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다.
  • 네트워크 드라이버는 ESP 하드웨어 오프로드를 지원합니다.
  • IPsec 연결이 구성되고 작동합니다.

프로세스

  1. ESP 하드웨어 오프로드 지원을 자동으로 감지해야 하는 연결의 /etc/ipsec.d/ 디렉터리에 있는 Libreswan 구성 파일을 편집합니다.
  2. nic-offload 매개변수가 연결의 설정에 설정되지 않았는지 확인합니다.

  3. nic-offload 를 제거한 경우 ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap

검증

  1. IPsec 연결이 사용하는 이더넷 장치의 tx_ipsecrx_ipsec 카운터를 표시합니다. 

    # ethtool -S enp1s0 | grep -E "_ipsec"
     tx_ipsec: 10
     rx_ipsec: 10
    Copy to Clipboard Toggle word wrap

  2. IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다. 

    # ping -c 5 remote_ip_address
    Copy to Clipboard Toggle word wrap

  3. 이더넷 장치의 tx_ipsecrx_ipsec 카운터를 다시 표시합니다. 

    # ethtool -S enp1s0 | grep -E "_ipsec"
     tx_ipsec: 15
     rx_ipsec: 15
    Copy to Clipboard Toggle word wrap

    카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.

5.12. IPsec 연결을 가속화하도록 본딩에 ESP 하드웨어 오프로드 구성
링크 복사

하드웨어로 ESB(Security Payload)를 오프로드하면 IPsec 연결 속도가 빨라집니다. 네트워크 본딩을 장애 조치의 이유로 사용하는 경우 ESP 하드웨어 오프로드를 구성하는 절차와 일반 이더넷 장치를 사용하는 절차가 다릅니다. 예를 들어 이 시나리오에서는 본딩에 대한 오프로드 지원을 활성화하고 커널은 설정을 본딩 포트에 적용합니다.

사전 요구 사항

  • 본딩의 모든 네트워크 카드는 ESP 하드웨어 오프로드를 지원합니다. ethtool -k < interface_name > | grep "esp-hw-offload" 명령을 사용하여 각 본딩 포트가 이 기능을 지원하는지 확인합니다.
  • 본딩이 구성되고 작동합니다.
  • 본딩에서는 active-backup 모드를 사용합니다. 본딩 드라이버는 이 기능에 대해 다른 모드를 지원하지 않습니다.
  • IPsec 연결이 구성되고 작동합니다.

절차

  1. 네트워크 본딩에서 ESP 하드웨어 오프로드 지원을 활성화합니다. 

    # nmcli connection modify bond0 ethtool.feature-esp-hw-offload on
    Copy to Clipboard Toggle word wrap

    이 명령을 사용하면 bond0 연결에서 ESP 하드웨어 오프로드를 지원할 수 있습니다.

  2. bond0 연결을 다시 활성화합니다. 

    # nmcli connection up bond0
    Copy to Clipboard Toggle word wrap

  3. ESP 하드웨어 오프로드를 사용해야 하는 연결의 /etc/ipsec.d/ 디렉터리에서 Libreswan 구성 파일을 편집하고 nic-offload=yes 문을 연결 항목에 추가합니다. 

    conn example
    ...
    nic-offload=yes
    Copy to Clipboard Toggle word wrap

  4. ipsec 서비스를 다시 시작하십시오. 

    # systemctl restart ipsec
    Copy to Clipboard Toggle word wrap

검증

확인 방법은 커널 버전 및 드라이버와 같은 다양한 측면에 따라 다릅니다. 예를 들어 특정 드라이버는 카운터를 제공하지만 이름은 다를 수 있습니다. 자세한 내용은 네트워크 드라이버 설명서를 참조하십시오.

다음 확인 단계는 Red Hat Enterprise Linux 8의 ixgbe 드라이버에서 작동합니다.

  1. 본딩의 활성 포트를 표시합니다. 

    # grep "Currently Active Slave" /proc/net/bonding/bond0
Currently Active Slave: enp1s0
    Copy to Clipboard Toggle word wrap

  2. 활성 포트의 tx_ipsecrx_ipsec 카운터를 표시합니다. 

    # ethtool -S enp1s0 | grep -E "_ipsec"
     tx_ipsec: 10
     rx_ipsec: 10
    Copy to Clipboard Toggle word wrap

  3. IPsec 터널을 통해 트래픽을 전송합니다. 예를 들어 원격 IP 주소를 ping합니다. 

    # ping -c 5 remote_ip_address
    Copy to Clipboard Toggle word wrap

  4. 활성 포트의 tx_ipsecrx_ipsec 카운터를 다시 표시합니다. 

    # ethtool -S enp1s0 | grep -E "_ipsec"
     tx_ipsec: 15
     rx_ipsec: 15
    Copy to Clipboard Toggle word wrap

    카운터 값이 증가하면 ESP 하드웨어 오프로드가 작동합니다.

5.13. RHEL 시스템 역할을 사용하여 IPsec VPN 연결 구성
링크 복사

VPN(Virtual Private Network)을 사용하여 인터넷과 같이 신뢰할 수 없는 네트워크를 통해 안전하고 암호화된 터널을 설정할 수 있습니다. 이러한 터널은 전송 중 데이터의 기밀성과 무결성을 보장합니다. 일반적인 사용 사례에는 지사 사무실을 본사에 연결하는 것이 포함됩니다.

vpn RHEL 시스템 역할을 사용하면 Libreswan IPsec VPN 구성 생성 프로세스를 자동화할 수 있습니다.

참고

vpn RHEL 시스템 역할은 PSK(사전 공유 키) 또는 인증서를 사용하여 피어를 서로 인증하는 VPN 구성만 생성할 수 있습니다.

호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

vpn RHEL 시스템 역할을 사용하면 PSK 인증을 사용하여 IPsec 호스트 간 연결 생성 프로세스를 자동화할 수 있습니다. 기본적으로 이 역할은 터널 기반 VPN을 생성합니다.

사전 요구 사항

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
              managed-node-02.example.com:
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 피어를 사용하여 YAML 사전을 정의합니다. 항목이 Ansible 관리형 노드가 아닌 경우 hostname 매개변수에서 FQDN(정규화된 도메인 이름) 또는 IP 주소를 지정해야 합니다. 예를 들면 다음과 같습니다. 

              ...
          - hosts:
              ...
              external-host.example.com:
                hostname: 192.0.2.1
    Copy to Clipboard Toggle word wrap

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은 < peer_A> -to- <peer_B >입니다(예: managed-node-01.example.com-to-managed-node-02.example.com ). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.

    auth_method: psk
    피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 PSK를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
    Copy to Clipboard Toggle word wrap

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

호스트 간 VPN은 두 장치 간에 직접, 보안 및 암호화된 연결을 설정하여 애플리케이션과 인터넷과 같은 비보안 네트워크를 통해 안전하게 통신할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

예를 들어, 인터셉트 또는 중단되는 제어 메시지의 위험을 최소화하여 보안을 강화하기 위해 데이터 트래픽과 제어 트래픽에 대해 별도의 연결을 구성할 수 있습니다. vpn RHEL 시스템 역할을 사용하면 별도의 데이터 및 컨트롤 플레인 및 PSK 인증을 사용하여 IPsec 호스트 간 연결 생성 프로세스를 자동화할 수 있습니다.

사전 요구 사항

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - name: control_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 203.0.113.1  # IP address for the control plane
              managed-node-02.example.com:
                hostname: 198.51.100.2 # IP address for the control plane
            auth_method: psk
            auto: start
          - name: data_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 10.0.0.1   # IP address for the data plane
              managed-node-02.example.com:
                hostname: 172.16.0.2 # IP address for the data plane
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 호스트를 사용하여 YAML 사전을 정의합니다. 연결 이름은 < name> - <IP_address_A> -to- <IP_address_B >입니다(예: control_plane_vpn-203.0.113.1-to-198.51.100.2 ).

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 호스트에 구성을 수동으로 생성해야 합니다.

    auth_method: psk
    호스트 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 사전 공유 키를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "control_plane_vpn-203.0.113.1-to-198.51.100.2"'
...
006 #3: "control_plane_vpn-203.0.113.1-to-198.51.100.2", type=ESP, add_time=1741860073, inBytes=0, outBytes=0, maxBytes=2^63B, id='198.51.100.2'
    Copy to Clipboard Toggle word wrap

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

사이트 간 VPN은 두 개의 개별 네트워크 간에 안전하고 암호화된 터널을 설정하여 인터넷과 같은 안전하지 않은 공용 네트워크에서 원활하게 연결합니다. 예를 들어 분기 사무실의 장치는 마치 모두 동일한 로컬 네트워크의 일부인 것처럼 회사 본사의 리소스에 액세스할 수 있습니다.

인증을 위해 PSK(사전 공유 키)는 두 피어에만 알려진 공유 시크릿을 사용하는 간단한 방법입니다. 이 접근 방식은 쉽게 배포가 가능한 우선 순위인 기본 설정에 적합합니다. 그러나 키를 엄격하게 기밀로 유지해야 합니다. 키에 대한 액세스 권한이 있는 공격자는 연결을 손상시킬 수 있습니다.

vpn RHEL 시스템 역할을 사용하면 PSK 인증을 사용하여 IPsec 사이트 간 연결 생성 프로세스를 자동화할 수 있습니다. 기본적으로 이 역할은 터널 기반 VPN을 생성합니다.

사전 요구 사항

절차

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
                subnets:
                  - 192.0.2.0/24
              managed-node-02.example.com:
                subnets:
                  - 198.51.100.0/24
                  - 203.0.113.0/24
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    호스트: &lt ;list>

    VPN을 구성하려는 게이트웨이로 YAML 사전을 정의합니다. 항목이 Ansible 관리 노드가 아닌 경우 FQDN(정규화된 도메인 이름) 또는 IP 주소를 hostname 매개변수에 지정해야 합니다. 예를 들면 다음과 같습니다. 

              ...
          - hosts:
              ...
              external-host.example.com:
                hostname: 192.0.2.1
    Copy to Clipboard Toggle word wrap

    역할은 각 관리 노드에서 VPN 연결을 구성합니다. 연결 이름은 -to- 입니다 (예: managed-node-01.example.com-to-managed-node-02.example.com ). 역할은 외부(관리되지 않음) 노드에 Libreswan을 구성할 수 없습니다. 이러한 피어에 구성을 수동으로 생성해야 합니다.

    subnets: <yaml_list_of_subnets>
    터널을 통해 연결된 CIDR(Classless inter-domain routing) 형식으로 서브넷을 정의합니다.
    auth_method: psk
    피어 간 PSK 인증을 활성화합니다. 역할은 제어 노드에서 openssl 을 사용하여 PSK를 생성합니다.
    auto: &lt ;startup_method>
    연결의 시작 메서드를 지정합니다. 유효한 값은 add,ondemand,startignore 입니다. 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오. 이 변수의 기본값은 null이며 자동 시작 작업이 없음을 의미합니다.
    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. 플레이북을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 연결이 성공적으로 시작되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    # ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
    Copy to Clipboard Toggle word wrap

    이 명령은 VPN 연결이 활성화된 경우에만 성공합니다. 플레이북의 auto 변수를 start 이외의 값으로 설정하는 경우 먼저 관리 노드에서 연결을 수동으로 활성화해야 할 수 있습니다.

IPsec 메시는 모든 서버가 다른 모든 서버와 안전하고 직접 통신할 수 있는 완전히 상호 연결된 네트워크를 생성합니다. 이는 여러 데이터 센터 또는 클라우드 공급자에 걸쳐 있는 분산 데이터베이스 클러스터 또는 고가용성 환경에 이상적입니다. 각 서버 쌍 간에 직접 암호화된 터널을 설정하면 중앙 병목 현상 없이 보안 통신을 수행할 수 있습니다.

인증의 경우 CA(인증 기관)에서 관리하는 디지털 인증서를 사용하면 안전하고 확장 가능한 솔루션이 제공됩니다. 메시의 각 호스트는 신뢰할 수 있는 CA에서 서명한 인증서를 제공합니다. 이 방법은 강력하고 검증 가능한 인증을 제공하고 사용자 관리를 단순화합니다. CA에서 액세스를 중앙에서 부여하거나 취소할 수 있으며 Libreswan은 인증서 해지 목록(CRL)에 대해 각 인증서를 확인하여 인증서가 목록에 표시되면 액세스를 거부하여 이를 시행합니다.

vpn RHEL 시스템 역할을 사용하면 관리형 노드 간의 인증서 기반 인증을 사용하여 VPN 메시 구성을 자동화할 수 있습니다.

사전 요구 사항

  • 컨트롤 노드와 관리형 노드를 준비했습니다.
  • 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
  • 관리 노드에 연결하는 데 사용하는 계정에는 sudo 권한이 있습니다.

  • 각 관리 노드에 대해 PKCS #12 파일을 준비합니다.

    • 각 파일에는 다음이 포함됩니다.

      • 서버의 개인 키
      • 서버 인증서
      • CA 인증서
      • 필요한 경우 중간 인증서
    • 파일의 이름은 < managed_node_name_as_in_the_inventory > .p12 입니다.
    • 파일은 플레이북과 동일한 디렉터리에 저장됩니다.

    • 서버 인증서에는 다음 필드가 포함되어 있습니다.

      • EKU(Extended Key Usage)는 TLS 웹 서버 인증으로 설정됩니다.
      • CN(일반 이름) 또는 SAN(주체 대체 이름)은 호스트의 FQDN(정규화된 도메인 이름)으로 설정됩니다.
      • X509v3 CRL 배포 지점에는 CRL(Certificate Revocation Lists)에 대한 URL이 포함되어 있습니다.

프로세스

  1. ~/inventory 파일을 편집하고 cert_name 변수를 추가합니다. 

    managed-node-01.example.com cert_name=managed-node-01.example.com
managed-node-02.example.com cert_name=managed-node-02.example.com
managed-node-03.example.com cert_name=managed-node-03.example.com
    Copy to Clipboard Toggle word wrap

    cert_name 변수를 각 호스트의 인증서에 사용된 CN(일반 이름) 필드 값으로 설정합니다. 일반적으로 CN 필드는 FQDN(정규화된 도메인 이름)으로 설정됩니다.

  2. 중요한 변수를 암호화된 파일에 저장합니다.

    1. 자격 증명 모음을 생성합니다. 

      $ ansible-vault create ~/vault.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>
      Copy to Clipboard Toggle word wrap

    2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다. 

      pkcs12_pwd: <password>
      Copy to Clipboard Toggle word wrap
    3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

  3. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    - name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com, managed-node-03.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Install LibreSwan
      ansible.builtin.package:
        name: libreswan
        state: present

    - name: Identify the path to IPsec NSS database
      ansible.builtin.set_fact:
        nss_db_dir: "{{ '/etc/ipsec.d/' if
          ansible_distribution in ['CentOS', 'RedHat']
          and ansible_distribution_major_version is version('8', '=')
          else '/var/lib/ipsec/nss/' }}"

    - name: Locate IPsec NSS database files
      ansible.builtin.find:
        paths: "{{ nss_db_dir }}"
        patterns: "*.db"
      register: db_files

    - name: Initialize IPsec NSS database if not initialized
      ansible.builtin.command:
        cmd: ipsec initnss
      when: db_files.matched == 0

    - name: Copy PKCS #12 file to the managed node
      ansible.builtin.copy:
        src: "~/{{ inventory_hostname }}.p12"
        dest: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        mode: 0600

    - name: Import PKCS #12 file in IPsec NSS database
      ansible.builtin.shell:
        cmd: 'pk12util -d {{ nss_db_dir }} -i /etc/ipsec.d/{{ inventory_hostname }}.p12 -W "{{ pkcs12_pwd }}"'

    - name: Remove PKCS #12 file
      ansible.builtin.file:
        path: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        state: absent

    - name: Opportunistic mesh IPsec VPN with certificate-based authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - opportunistic: true
            auth_method: cert
            policies:
              - policy: private
                cidr: default
              - policy: private
                cidr: 192.0.2.0/24
              - policy: clear
                cidr: 192.0.2.1/32
        vpn_manage_firewall: true
        vpn_manage_selinux: true
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    opportunistic: true
    여러 호스트 간에 opportunistic 메시를 활성화합니다. policies 변수는 암호화해야 하거나 암호화할 수 있는 서브넷 및 호스트 트래픽에 대해 정의하며 그 중 어느 것이 일반 텍스트 연결을 계속 사용해야 하는지 정의합니다.
    auth_method: cert
    인증서 기반 인증을 활성화합니다. 이를 위해서는 인벤토리에서 각 관리 노드 인증서의 닉네임을 지정해야 합니다.
    policies: <list_of_policies>

    YAML 목록 형식으로 Libreswan 정책을 정의합니다.

    기본 정책은 private-or-clear 입니다. 개인 으로 변경하기 위해 위의 플레이북에는 기본 cidr 항목에 대한 따라 정책이 포함되어 있습니다.

    Ansible 제어 노드가 관리형 노드와 동일한 IP 서브넷에 있는 경우 플레이북 실행 중에 SSH 연결이 손실되는 것을 방지하려면 제어 노드의 IP 주소에 대한 명확한 정책을 추가합니다. 예를 들어, Mesh를 192.0.2.0/24 서브넷에 대해 구성하고 제어 노드에서 IP 주소 192.0.2.1 을 사용하는 경우 플레이북에 표시된 대로 192.0.2.1/32 에 대한 명확한 정책이 필요합니다.

    정책에 대한 자세한 내용은 Libreswan이 설치된 시스템의 ipsec.conf(5) 도움말 페이지를 참조하십시오.

    vpn_manage_firewall: true
    역할이 관리 노드의 firewalld 서비스에서 필요한 포트를 열도록 정의합니다.
    vpn_manage_selinux: true
    역할이 IPsec 포트에 필요한 SELinux 포트 유형을 설정하도록 정의합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.vpn/README.md 파일을 참조하십시오.

  4. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  5. Playbook을 실행합니다. 

    $ ansible-playbook --ask-vault-pass ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  1. 메시의 노드에서 다른 노드를 ping하여 연결을 활성화합니다. 

    [root@managed-node-01]# ping managed-node-02.example.com
    Copy to Clipboard Toggle word wrap

  2. 연결이 활성화되어 있는지 확인합니다. 

    [root@managed-node-01]# ipsec trafficstatus
006 #2: "private#192.0.2.0/24"[1] ...192.0.2.2, type=ESP, add_time=1741938929, inBytes=372408, outBytes=545728, maxBytes=2^63B, id='CN=managed-node-02.example.com'
    Copy to Clipboard Toggle word wrap

5.14. 시스템 전체 암호화 정책에서 비활성화된 IPsec 연결 구성
링크 복사

연결에 대한 시스템 전체 암호화 정책 덮어쓰기

RHEL 시스템 전체 암호화 정책은 %default 라는 특수 연결을 생성합니다. 이 연결에는 the ikev2,espike 옵션의 기본값이 포함되어 있습니다. 그러나 연결 구성 파일에 언급된 옵션을 지정하여 기본값을 재정의할 수 있습니다.

예를 들어 다음 구성에서는 AES 및 SHA-1 또는 SHA-2와 함께 IKEv1을 사용하고 IPsec(ESP)을 AES-GCM 또는 AES-CBC와 함께 사용하는 연결을 허용합니다. 

conn MyExample
  ...
  ikev2=never
  ike=aes-sha2,aes-sha1;modp2048
  esp=aes_gcm,aes-sha2,aes-sha1
  ...
Copy to Clipboard Toggle word wrap

AES-GCM은 IPsec (ESP) 및 IKEv2에서는 사용할 수 있지만 IKEv1에는 사용할 수 없습니다.

모든 연결에 대한 시스템 전체 암호화 정책 비활성화

모든 IPsec 연결에 대한 시스템 전체 암호화 정책을 비활성화하려면 /etc/ipsec.conf 파일에서 다음 행을 주석 처리하십시오. 

include /etc/crypto-policies/back-ends/libreswan.config
Copy to Clipboard Toggle word wrap

그런 다음 연결 구성 파일에 ikev2=never 옵션을 추가합니다.

5.15. IPsec VPN 구성 문제 해결
링크 복사

IPsec VPN 구성과 관련된 문제는 여러 가지 주요 이유로 발생합니다. 이러한 문제가 발생하면 문제의 원인이 다음 시나리오에 해당하는지 확인하고 해당 솔루션을 적용할 수 있습니다.

기본 연결 문제 해결

VPN 연결에 대한 대부분의 문제는 관리자가 구성 옵션과 일치하지 않는 엔드포인트를 구성한 새로운 배포에서 발생합니다. 또한 작동 중인 구성은 새로 호환되지 않는 값 때문에 갑자기 작동을 중지할 수 있습니다. 이는 관리자가 구성을 변경한 결과일 수 있습니다. 또는 관리자가 암호화 알고리즘과 같은 특정 옵션에 대해 다양한 기본값을 사용하여 펌웨어 업데이트 또는 패키지 업데이트를 설치할 수 있습니다.

IPsec VPN 연결이 설정되었는지 확인하려면 다음을 수행하십시오. 

# ipsec trafficstatus
006 #8: "vpn.example.com"[1] 192.0.2.1, type=ESP, add_time=1595296930, inBytes=5999, outBytes=3231, id='@vpn.example.com', lease=100.64.13.5/32
Copy to Clipboard Toggle word wrap

출력이 비어 있거나 연결 이름이 인 항목이 표시되지 않으면 터널이 손상됩니다.

문제가 연결에 있는지 확인하려면 다음을 수행하십시오.

  1. vpn.example.com 연결을 다시 로드합니다. 

    # ipsec auto --add vpn.example.com
002 added connection description "vpn.example.com"
    Copy to Clipboard Toggle word wrap

  2. 다음으로 VPN 연결을 시작합니다. 

    # ipsec auto --up vpn.example.com
    Copy to Clipboard Toggle word wrap

방화벽 관련 문제

가장 일반적인 문제는 IPsec 엔드포인트 중 하나 또는 엔드포인트 간 라우터에 있는 방화벽은 모든 IKE(Internet Key Exchange) 패킷을 삭제하는 것입니다.

  • IKEv2의 경우 다음 예제와 유사한 출력은 방화벽에 문제가 있음을 나타냅니다. 

    # ipsec auto --up vpn.example.com
181 "vpn.example.com"[1] 192.0.2.2 #15: initiating IKEv2 IKE SA
181 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: sent v2I1, expected v2R1
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 0.5 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 1 seconds for response
010 "vpn.example.com"[1] 192.0.2.2 #15: STATE_PARENT_I1: retransmission; will wait 2 seconds for
...
    Copy to Clipboard Toggle word wrap

  • IKEv1의 경우 시작 명령의 출력은 다음과 같습니다. 

    # ipsec auto --up vpn.example.com
002 "vpn.example.com" #9: initiating Main Mode
102 "vpn.example.com" #9: STATE_MAIN_I1: sent MI1, expecting MR1
010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 0.5 seconds for response
010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 1 seconds for response
010 "vpn.example.com" #9: STATE_MAIN_I1: retransmission; will wait 2 seconds for response
...
    Copy to Clipboard Toggle word wrap

IPsec 설정에 사용되는 IKE 프로토콜은 암호화되므로 tcpdump 도구를 사용하여 제한된 문제 하위 집합만 해결할 수 있습니다. 방화벽이 IKE 또는 IPsec 패킷을 삭제하는 경우 tcpdump 유틸리티를 사용하여 원인을 찾을 수 있습니다. 그러나 tcpdump 는 IPsec VPN 연결의 다른 문제를 진단할 수 없습니다.

  • eth0 인터페이스에서 VPN과 암호화된 모든 데이터의 협상을 캡처하려면 다음을 수행합니다. 

    # tcpdump -i eth0 -n -n esp or udp port 500 or udp port 4500 or tcp port 4500
    Copy to Clipboard Toggle word wrap

일치하지 않는 알고리즘, 프로토콜 및 정책

VPN 연결에서는 엔드포인트에 IKE 알고리즘, IPsec 알고리즘 및 IP 주소 범위가 일치해야 합니다. 불일치가 발생하면 연결에 실패합니다. 다음 방법 중 하나를 사용하여 일치하지 않는 경우 알고리즘, 프로토콜 또는 정책을 조정하여 수정합니다.

  • 원격 엔드포인트가 IKE/IPsec을 실행 중이 아닌 경우 이를 나타내는 ICMP 패킷이 표시됩니다. 예를 들면 다음과 같습니다. 

    # ipsec auto --up vpn.example.com
...
000 "vpn.example.com"[1] 192.0.2.2 #16: ERROR: asynchronous network error report on wlp2s0 (192.0.2.2:500), complainant 198.51.100.1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
...
    Copy to Clipboard Toggle word wrap

  • 일치하지 않는 알고리즘의 예: 

    # ipsec auto --up vpn.example.com
...
003 "vpn.example.com"[1] 193.110.157.148 #3: dropping unexpected IKE_SA_INIT message containing NO_PROPOSAL_CHOSEN notification; message payloads: N; missing payloads: SA,KE,Ni
    Copy to Clipboard Toggle word wrap

  • 일치하지 않는 IPsec 알고리즘의 예: 

    # ipsec auto --up vpn.example.com
...
182 "vpn.example.com"[1] 193.110.157.148 #5: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_256 group=MODP2048}
002 "vpn.example.com"[1] 193.110.157.148 #6: IKE_AUTH response contained the error notification NO_PROPOSAL_CHOSEN
    Copy to Clipboard Toggle word wrap

    일치하지 않는 IKE 버전으로 인해 원격 끝점이 응답 없이 요청을 삭제할 수 있습니다. 이는 방화벽이 모든 IKE 패킷을 삭제하는 것과 동일합니다.

  • IKEv2에 대한 일치하지 않는 IP 주소 범위의 예(트래픽 선택기 - TS라고 함): 

    # ipsec auto --up vpn.example.com
...
1v2 "vpn.example.com" #1: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}
002 "vpn.example.com" #2: IKE_AUTH response contained the error notification TS_UNACCEPTABLE
    Copy to Clipboard Toggle word wrap

  • IKEv1에 대한 일치하지 않는 IP 주소 범위의 예: 

    # ipsec auto --up vpn.example.com
...
031 "vpn.example.com" #2: STATE_QUICK_I1: 60 second timeout exceeded after 0 retransmits.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    Copy to Clipboard Toggle word wrap

  • IKEv1에서 PreSharedKeys (PSK)를 사용할 때 양측이 동일한 PSK에 배치하지 않으면 전체 IKE 메시지는 읽을 수 없게 됩니다. 

    # ipsec auto --up vpn.example.com
...
003 "vpn.example.com" #1: received Hash Payload does not match computed value
223 "vpn.example.com" #1: sending notification INVALID_HASH_INFORMATION to 192.0.2.23:500
    Copy to Clipboard Toggle word wrap

  • IKEv2에서 mismatched-PSK 오류로 인해 AUTHENTICATION_FAILED 메시지가 표시됩니다. 

    # ipsec auto --up vpn.example.com
...
002 "vpn.example.com" #1: IKE SA authentication request rejected by peer: AUTHENTICATION_FAILED
    Copy to Clipboard Toggle word wrap

최대 전송 단위

IKE 또는 IPsec 패킷을 차단하는 방화벽 이외의 네트워킹 문제의 가장 일반적인 원인은 암호화된 패킷의 증가된 패킷 크기와 관련이 있습니다. 네트워크 하드웨어 조각은 최대 전송 단위(MTU)보다 큰 패킷(예: 1500바이트)입니다. 종종 조각이 손실되고 패킷을 다시 설정하지 못하는 경우가 많습니다. 이로 인해 크기가 작은 패킷을 사용하는 ping 테스트가 작동할 때 간헐적인 오류가 발생하지만 다른 트래픽은 실패합니다. 이 경우 SSH 세션을 설정할 수 있지만 원격 호스트에 'ls -al /usr' 명령을 입력하여 바로 터미널이 중지됩니다.

이 문제를 해결하려면 터널 구성 파일에 mtu=1400 옵션을 추가하여 MTU 크기를 줄입니다.

또는 TCP 연결의 경우 MSS 값을 변경하는 iptables 규칙을 활성화합니다. 

# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Copy to Clipboard Toggle word wrap

이전 명령에서 시나리오의 문제를 해결하지 않으면 set-mss 매개변수에 더 작은 크기를 직접 지정합니다. 

# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
Copy to Clipboard Toggle word wrap

NAT(네트워크 주소 변환)

IPsec 호스트가 NAT 라우터 역할을 할 때 실수로 패킷을 다시 매핑할 수 있습니다. 다음 예제 구성에서는 문제를 보여줍니다. 

conn myvpn
    left=172.16.0.1
    leftsubnet=10.0.2.0/24
    right=172.16.0.2
    rightsubnet=192.168.0.0/16
…
Copy to Clipboard Toggle word wrap

주소가 172.16.0.1인 시스템에는 NAT 규칙이 있습니다. 

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
Copy to Clipboard Toggle word wrap

주소 10.0.2.33의 시스템이 패킷을 192.168.0.1로 보내는 경우 라우터는 IPsec 암호화를 적용하기 전에 소스 10.0.2.33을 172.16.0.1로 변환합니다.

그런 다음 소스 주소가 10.0.2.33인 패킷이 더 이상 conn myvpn 설정과 일치하지 않으며 IPsec은 이 패킷을 암호화하지 않습니다.

이 문제를 해결하려면 라우터의 대상 IPsec 서브넷 범위에 대해 NAT를 제외하는 규칙을 삽입합니다. 예를 들면 다음과 같습니다. 

iptables -t nat -I POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/16 -j RETURN
Copy to Clipboard Toggle word wrap

커널 IPsec 하위 시스템 버그

예를 들어 버그로 인해 IKE 사용자 공간과 IPsec 커널이 동기화 해제되는 경우 커널 IPsec 하위 시스템이 실패할 수 있습니다. 이러한 문제를 확인하려면 다음을 수행합니다. 

$ cat /proc/net/xfrm_stat
XfrmInError                 0
XfrmInBufferError           0
...
Copy to Clipboard Toggle word wrap

이전 명령의 출력에 0이 아닌 값은 문제가 있음을 나타냅니다. 이 문제가 발생하면 새 지원 케이스를 열고 해당 IKE 로그와 함께 이전 명령의 출력을 연결합니다.

Libreswan 로그

기본적으로 syslog 프로토콜을 사용하는 Libreswan 로그입니다. journalctl 명령을 사용하여 IPsec과 관련된 로그 항목을 찾을 수 있습니다. 로그에 대한 해당 항목은 pluto IKE 데몬에 의해 전송되므로 "pluto" 키워드를 검색합니다. 예를 들면 다음과 같습니다. 

$ journalctl -b | grep pluto
Copy to Clipboard Toggle word wrap

ipsec 서비스의 실시간 로그를 표시하려면 다음을 수행합니다. 

$ journalctl -f -u ipsec
Copy to Clipboard Toggle word wrap

기본 수준의 로깅으로 구성 문제가 표시되지 않는 경우 /etc/ipsec.conf 파일의 config setup 섹션에 plutodebug=all 옵션을 추가하여 디버그 로그를 활성화합니다.

디버그 로깅은 많은 항목을 생성하며 journald 또는 syslogd 서비스 rate-limits the syslog 메시지를 제한할 수 있습니다. 전체 로그가 있는지 확인하려면 로깅을 파일로 리디렉션합니다. /etc/ipsec.conf를 편집하고 config setup 섹션에 logfile=/var/log/pluto.log를 추가합니다.

5.16. control-center를 사용하여 VPN 연결 구성
링크 복사

그래픽 인터페이스와 함께 Red Hat Enterprise Linux를 사용하는 경우 GNOME 제어 센터에서 VPN 연결을 구성할 수 있습니다.

사전 요구 사항

  • NetworkManager-libreswan-gnome 패키지가 설치되어 있습니다.

프로세스

  1. Super 키를 누른 상태에서 Settings 를 입력하고 Enter 를 눌러 control-center 애플리케이션을 엽니다.
  2. 왼쪽에서 Network 항목을 선택합니다.
  3. + 아이콘을 클릭합니다.
  4. VPN 을 선택합니다.

  5. ID 메뉴 항목을 선택하여 기본 구성 옵션을 확인합니다.

    일반

    gateway - 원격 VPN 게이트웨이의 이름 또는 IP 주소입니다.

    인증

    유형

    • IKEv2 (Certificate)- 클라이언트는 인증서로 인증됩니다. 더 안전합니다(기본값).

    • IKEv1(XAUTH) - 클라이언트는 사용자 이름 및 암호 또는 PSK(사전 공유 키)로 인증됩니다.

      다음 구성 설정은 고급 섹션에서 사용할 수 있습니다.

      그림 5.1. VPN 연결의 고급 옵션

      Networking vpn 고급 옵션
      View larger image
      Networking vpn 고급 옵션
      주의

      gnome-control-center 애플리케이션을 사용하여 IPsec 기반 VPN 연결을 구성할 때 고급 대화 상자에 구성이 표시되지만 변경 사항은 허용하지 않습니다. 결과적으로 사용자는 고급 IPsec 옵션을 변경할 수 없습니다. 대신 nm-connection-editor 또는 nmcli 툴을 사용하여 고급 속성 구성을 수행합니다.

      식별

    • Domain - 필요한 경우 도메인 이름을 입력합니다.

      보안

    • Phase1 알고리즘 - Libre s wan 매개변수와 같이 - 암호화된 채널을 인증하고 설정하는 데 사용할 알고리즘을 입력합니다.

    • Phase2 알고리즘 - esp Libreswan 매개변수에 해당합니다 - IPsec 협상에 사용할 알고리즘을 입력합니다.

      PFS를 지원하지 않는 이전 서버와의 호환성을 확인하려면 PFS(Perfect Forward Secrecy)를 해제 하려면 PFS 필드를 선택합니다.

    • Phase1 Lifetime - ikelifetime Libreswan 매개변수 - 트래픽을 암호화하는 데 사용되는 키의 유효 기간에 해당합니다.

    • Phase2 Lifetime - salifetime Libreswan 매개변수 - 만료되기 전에 특정 연결 인스턴스가 얼마나 오래되어야 하는지에 해당합니다.

      보안상의 이유로 암호화 키를 수시로 변경해야 합니다.

    • 원격 네트워크 - rightsubnet Libreswan 매개변수 - VPN을 통해 도달해야 하는 대상 프라이빗 원격 네트워크에 해당합니다.

      범위를 좁 수 있도록 좁은 필드를 확인합니다. IKEv2 협상에서만 효과가 있습니다.

    • 조각화 활성화 - IKE 조각화를 허용할지 여부에 관계없이 fragmentation Libreswan 매개변수에 해당합니다. 유효한 값은 yes (기본값) 또는 no 입니다.
    • Mobike 활성화 - mobike Libreswan 매개변수에 해당합니다. - Cryostat 및 Multihoming Protocol (MOBIKE, RFC 4555)을 허용할지 여부에 따라 연결을 처음부터 다시 시작할 필요없이 끝점을 마이그레이션할 수 있습니다. 이는 유선, 무선 또는 모바일 데이터 연결 간에 전환하는 모바일 장치에서 사용됩니다. 값은 no (기본값) 또는 yes 입니다.

  6. IPv4 메뉴 항목을 선택합니다.

    IPv4 방법

    • Automatic (DHCP) - 연결하는 네트워크가 DHCP 서버를 사용하여 동적 IP 주소를 할당하는 경우 이 옵션을 선택합니다.
    • Link-Local Only - 연결된 네트워크에 DHCP 서버가 없고 IP 주소를 수동으로 할당하지 않는 경우 이 옵션을 선택합니다. 임의의 주소는 접두사 169.254/16RFC 3927 에 따라 할당됩니다.
    • 수동 - IP 주소를 수동으로 할당하려는 경우 이 옵션을 선택합니다.

    • disable - IPv4 는 이 연결에 대해 비활성화되어 있습니다.

      DNS

      DNS 섹션에서 AutomaticON 인 경우 OFF 로 전환하여 IP를 쉼표로 분리하는 데 사용할 DNS 서버의 IP 주소를 입력합니다.

      라우트

      경로 섹션에서 AutomaticON 인 경우 DHCP의 경로가 사용되지만 정적 경로도 추가할 수 있습니다. OFF 인 경우 정적 경로만 사용됩니다.

    • address - 원격 네트워크 또는 호스트의 IP 주소를 입력합니다.
    • 넷마스크 - 위에서 입력한 IP 주소의 넷마스크 또는 접두사 길이입니다.
    • gateway - 위에서 입력한 원격 네트워크 또는 호스트로 이어지는 게이트웨이의 IP 주소입니다.

    • metric - 네트워크 비용, 이 경로에 제공할 기본 값입니다. 더 낮은 값이 더 높은 값보다 우선합니다.

      이 연결은 네트워크의 리소스에만 사용

      연결이 기본 경로가 되지 않도록 하려면 이 확인란을 선택합니다. 이 옵션을 선택하면 연결을 통해 자동으로 학습되거나 여기에 입력된 경로로 특별히 예정된 트래픽만 연결을 통해 라우팅됩니다.

  7. VPN 연결에서 IPv6 설정을 구성하려면 IPv6 메뉴 항목을 선택합니다.

    IPv6 방법

    • 자동 - IPv6 SLAAC(상태 비저장 주소 자동 구성)를 사용하여 하드웨어 주소 및RA(라우터 알림)를 기반으로 자동, 상태 비저장 구성을 만들려면 이 옵션을 선택합니다.
    • 자동, DHCP만 - 이 옵션을 선택하여 RA를 사용하지 않고 DHCPv6 에서 정보를 직접 요청하여 상태 저장 구성을 생성합니다.
    • Link-Local Only - 연결된 네트워크에 DHCP 서버가 없고 IP 주소를 수동으로 할당하지 않는 경우 이 옵션을 선택합니다. 임의의 주소는 FE80::0 접두사를 사용하여 RFC 4862 에 따라 할당됩니다.
    • 수동 - IP 주소를 수동으로 할당하려는 경우 이 옵션을 선택합니다.

    • disable - 이 연결에 대해 IPv6 가 비활성화되어 있습니다.

      DNS,경로,이 연결을 네트워크의 리소스에만 사용하는 것은 IPv4 설정에 공통입니다.

  8. VPN 연결 편집을 완료하면 추가 버튼을 클릭하여 구성을 사용자 지정하거나 Apply 버튼을 클릭하여 기존 연결을 위해 저장합니다.
  9. 프로필을 ON 으로 전환하여 VPN 연결을 활성화합니다.
  10. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.

5.17. nm-connection-editor를 사용하여 VPN 연결 구성
링크 복사

Red Hat Enterprise Linux를 그래픽 인터페이스와 함께 사용하는 경우 nm-connection-editor 애플리케이션에서 VPN 연결을 구성할 수 있습니다.

사전 요구 사항

  • NetworkManager-libreswan-gnome 패키지가 설치되어 있습니다.

  • IKEv2(Internet Key Exchange 버전 2) 연결을 구성하는 경우:

    • 인증서는 IPsec 네트워크 보안 서비스(NSS) 데이터베이스로 가져옵니다.
    • NSS 데이터베이스에서 인증서의 닉네임을 알고 있습니다.

프로세스

  1. 터미널을 열고 다음을 입력합니다. 

    $ nm-connection-editor
    Copy to Clipboard Toggle word wrap
  2. + 버튼을 클릭하여 새 연결을 추가합니다.
  3. IPsec 기반 VPN 연결 유형을 선택하고 생성 을 클릭합니다.

  4. VPN 탭에서 다음을 수행합니다.

    1. VPN 게이트웨이의 호스트 이름 또는 IP 주소를 게이트웨이 필드에 입력하고 인증 유형을 선택합니다. 인증 유형에 따라 다른 추가 정보를 입력해야 합니다.

      • IKEv2(Certifiate) 는 더 안전한 인증서를 사용하여 클라이언트를 인증합니다. 이 설정에는 IPsec NSS 데이터베이스에 있는 인증서의 닉네임이 필요합니다.

      • IKEv1(XAUTH) 은 사용자 이름 및 암호(사전 공유 키)를 사용하여 사용자를 인증합니다. 이 설정을 사용하려면 다음 값을 입력해야 합니다.

        • 사용자 이름
        • 암호
        • 그룹 이름
        • Secret

    2. 원격 서버가 IKE 교환의 로컬 식별자를 지정하는 경우 Remote ID 필드에 정확한 문자열을 입력합니다. 원격 서버에서 Libreswan을 실행하면 이 값은 서버의 leftid 매개변수에 설정됩니다.

      nm connection editor vpn tab

    3. 선택 사항: 고급 버튼을 클릭하여 추가 설정을 구성합니다. 다음 설정을 구성할 수 있습니다.

      • 식별

        • domain - 필요한 경우 도메인 이름을 입력합니다.

      • 보안

        • Phase1 알고리즘 은 like Libre s wan 매개변수에 해당합니다. 암호화 채널을 인증하고 설정하는 데 사용할 알고리즘을 입력합니다.

        • Phase2 알고리즘esp Libreswan 매개변수에 해당합니다. IPsec 협상에 사용할 알고리즘을 입력합니다.

          PFS를 지원하지 않는 이전 서버와의 호환성을 확인하려면 PFS(Perfect Forward Secrecy)를 해제 하려면 PFS 필드를 선택합니다.

        • Phase1 Lifetimeikelifetime Libreswan 매개변수에 해당합니다. 이 매개변수는 트래픽을 암호화하는 데 사용된 키가 유효한 시간을 정의합니다.
        • Phase2 Lifetimesalifetime Libreswan 매개변수에 해당합니다. 이 매개 변수는 보안 연관이 유효한 기간을 정의합니다.

      • 연결

        • 원격 네트워크는 rightsubnet Libreswan 매개변수에 해당하며 VPN을 통해 도달해야 하는 대상 프라이빗 원격 네트워크를 정의합니다.

          범위를 좁 수 있도록 좁은 필드를 확인합니다. IKEv2 협상에서만 효과가 있습니다.

        • 조각화 는 Libreswan 매개변수에 해당하고 IKE 조각화를 허용할지 여부를 정의합니다. 유효한 값은 yes (기본값) 또는 no 입니다.
        • Enable Mobikemobike Libreswan 매개변수에 해당합니다. 매개 변수는 MTU 및 Multihoming Protocol(RFC 4555)(RFC 4555)을 허용하여 연결을 처음부터 다시 시작할 필요 없이 끝점을 마이그레이션할지 여부를 정의합니다. 이는 유선, 무선 또는 모바일 데이터 연결 간에 전환하는 모바일 장치에서 사용됩니다. 값은 no (기본값) 또는 yes 입니다.

  5. IPv4 Settings 탭에서 IP 할당 방법을 선택하고 선택적으로 추가 정적 주소, DNS 서버, 검색 도메인 및 경로를 설정합니다.

    IPsec IPv4 tab

  6. 연결을 저장합니다.
  7. nm-connection-editor 를 종료합니다.
  8. DHCP 또는 SLAAC(상태 비저장 주소 자동 구성)가 있는 네트워크에서 이 호스트를 사용하는 경우 연결이 리디렉션될 수 있습니다. 자세한 내용 및 완화 단계는 연결이 터널을 우회하지 못하도록 전용 라우팅 테이블에 VPN 연결 할당을 참조하십시오.
참고

+ 버튼을 클릭하여 새 연결을 추가하면 NetworkManager 가 해당 연결에 대한 새 구성 파일을 만든 다음 기존 연결을 편집하는 데 사용되는 동일한 대화 상자를 엽니다. 이러한 대화 상자의 차이점은 기존 연결 프로필에 세부 정보 메뉴 항목이 있다는 것입니다.

DHCP 서버와 SLAAC(상태 비저장 주소 자동 구성) 모두 클라이언트의 라우팅 테이블에 경로를 추가할 수 있습니다. 예를 들어 악의적인 DHCP 서버는 이 기능을 사용하여 VPN 터널 대신 물리적 인터페이스를 통해 트래픽을 리디렉션하도록 VPN 연결이 있는 호스트를 강제 수행할 수 있습니다. 이 취약점은 tunnelVision이라고도 하며 CVE-2024-3661 취약점 문서에 설명되어 있습니다.

이 취약점을 완화하기 위해 전용 라우팅 테이블에 VPN 연결을 할당할 수 있습니다. 이렇게 하면 DHCP 구성 또는 SLAAC가 VPN 터널을 위해 의도된 네트워크 패킷의 라우팅 결정을 조작할 수 없습니다.

사용자 환경에 하나 이상의 조건이 적용되는 경우 단계를 따르십시오.

  • 하나 이상의 네트워크 인터페이스에서 DHCP 또는 SLAAC를 사용합니다.
  • 네트워크에서는 잘못된 DHCP 서버를 방지하는 DHCP 스누핑과 같은 메커니즘을 사용하지 않습니다.
중요

VPN을 통해 전체 트래픽을 라우팅하면 호스트가 로컬 네트워크 리소스에 액세스할 수 없습니다.

사전 요구 사항

  • NetworkManager 1.40.16-18 이상을 사용합니다.

프로세스

  1. 사용할 라우팅 테이블을 결정합니다. 다음 단계는 표 75을 사용합니다. 기본적으로 RHEL은 테이블 1-254를 사용하지 않으며 이 테이블 중 하나를 사용할 수 있습니다.

  2. VPN 경로를 전용 라우팅 테이블에 배치하도록 VPN 연결 프로필을 구성합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.route-table 75 ipv6.route-table 75
    Copy to Clipboard Toggle word wrap

  3. 이전 명령에서 사용한 테이블에 대해 우선순위가 낮은 값을 설정합니다. 

    # nmcli connection modify <vpn_connection_profile> ipv4.routing-rules "priority 32345 from all table 75" ipv6.routing-rules "priority 32345 from all table 75"
    Copy to Clipboard Toggle word wrap

    우선순위 값은 1에서 32766 사이의 모든 값일 수 있습니다. 값이 작을수록 우선순위가 높습니다.

  4. VPN 연결을 다시 연결합니다. 

    # nmcli connection down <vpn_connection_profile>
# nmcli connection up <vpn_connection_profile>
    Copy to Clipboard Toggle word wrap

검증

  1. 표 75에 IPv4 경로를 표시합니다. 

    # ip route show table 75
...
192.0.2.0/24 via 192.0.2.254 dev vpn_device proto static metric 50
default dev vpn_device proto static scope link metric 50
    Copy to Clipboard Toggle word wrap

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv4.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

  2. 표 75에 IPv6 경로를 표시합니다. 

    # ip -6 route show table 75
...
2001:db8:1::/64 dev vpn_device proto kernel metric 50 pref medium
default dev vpn_device proto static metric 50 pref medium
    Copy to Clipboard Toggle word wrap

    출력은 원격 네트워크에 대한 경로와 기본 게이트웨이가 라우팅 테이블 75에 할당되므로 모든 트래픽이 터널을 통해 라우팅되는지 확인합니다. VPN 연결 프로필에 ipv4.never-default true 를 설정하면 기본 경로가 생성되지 않으므로 이 출력에 표시되지 않습니다.

MACsec을 사용하여 두 장치(포인트 간) 간의 통신을 보호할 수 있습니다. 예를 들어 분기 사무실은 중앙 사무실과 Metro-Ethernet 연결을 통해 연결되어 있으므로 사무실을 연결하는 두 호스트에서 MACsec을 구성하여 보안을 강화할 수 있습니다.

6.1. MACsec을 통한 보안 향상 방법
링크 복사

MACsec(Media Access Control Security)은 다음과 같이 이더넷 링크를 통해 다양한 트래픽 유형을 보호하는 계층 2 프로토콜입니다.

  • DHCP(Dynamic Host Configuration Protocol)
  • 주소 확인 프로토콜(ARP)
  • IPv4 및 IPv6 트래픽
  • TCP 또는 UDP와 같은 IP를 통한 모든 트래픽

MACsec은 기본적으로 Cryostat-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증하며 사전 공유 키를 사용하여 참가자 호스트 간 연결을 설정합니다. 사전 공유 키를 변경하려면 MACsec을 사용하는 모든 네트워크 호스트에서 NM 구성을 업데이트해야 합니다.

MACsec 연결은 이더넷 네트워크 카드, VLAN 또는 터널 장치와 같은 이더넷 장치를 상위로 사용합니다. 암호화된 연결을 사용하여 다른 호스트와만 통신하도록 MACsec 장치에서만 IP 구성을 설정하거나 상위 장치에 IP 구성을 설정할 수도 있습니다. 후자의 경우 상위 장치를 사용하여 암호화되지 않은 연결 및 암호화된 연결에 MACsec 장치를 사용하여 다른 호스트와 통신할 수 있습니다.

MACsec은 특별한 하드웨어가 필요하지 않습니다. 예를 들어 호스트와 스위치 간의 트래픽만 암호화하려는 경우를 제외하고 모든 스위치를 사용할 수 있습니다. 이 시나리오에서는 스위치도 MACsec을 지원해야 합니다.

즉, 두 가지 일반적인 시나리오에 대해 MACsec을 구성할 수 있습니다.

  • host-to-host
  • host-to-switch 및 switch-to-other-hosts
중요

MACsec은 동일한 물리적 LAN 또는 가상 LAN에 있는 호스트 간에만 사용할 수 있습니다.

OSI(Open Systems Interconnection) 모델의 계층 2라고도 하는 링크 계층에서 통신 보안을 위해 MACsec 보안 표준을 사용하면 다음과 같은 주요 이점이 있습니다.

  • 계층 2에서 암호화하면 계층 7에서 개별 서비스를 암호화할 필요가 없습니다. 이렇게 하면 각 호스트의 각 끝점에 대해 많은 수의 인증서를 관리하는 것과 관련된 오버헤드가 줄어듭니다.
  • 라우터 및 스위치와 같이 직접 연결된 네트워크 장치 간의 지점 간 보안입니다.
  • 애플리케이션 및 상위 계층 프로토콜에 필요한 변경 사항이 없습니다.

6.2. nmcli를 사용하여 MACsec 연결 구성
링크 복사

nmcli 유틸리티를 사용하여 MACsec을 사용하도록 이더넷 인터페이스를 구성할 수 있습니다. 예를 들어 이더넷을 통해 연결된 두 호스트 간에 MACsec 연결을 생성할 수 있습니다.

절차

  1. MACsec을 구성하는 첫 번째 호스트에서 다음을 수행합니다.

    • 사전 공유 키에 대해 연결 연결 키(CAK) 및 연결 연결 키 이름(CKN)을 만듭니다.

      1. 16바이트 16진수 CAK를 생성합니다. 

        # dd if=/dev/urandom count=16 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
50b71a8ef0bd5751ea76de6d6c98c03a
        Copy to Clipboard Toggle word wrap

      2. 32바이트 16진수 CKN을 생성합니다. 

        # dd if=/dev/urandom count=32 bs=1 2> /dev/null | hexdump -e '1/2 "%04x"'
f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
        Copy to Clipboard Toggle word wrap
  2. 두 호스트 모두에서 MACsec 연결을 통해 연결하려고 합니다.

  3. MACsec 연결을 생성합니다. 

    # nmcli connection add type macsec con-name macsec0 ifname macsec0 connection.autoconnect yes macsec.parent enp1s0 macsec.mode psk macsec.mka-cak 50b71a8ef0bd5751ea76de6d6c98c03a macsec.mka-ckn f2b4297d39da7330910a74abc0449feb45b5c0b9fc23df1430e1898fcf1c4550
    Copy to Clipboard Toggle word wrap

    macsec.mka-cakmacsec.mka-ckn 매개변수에서 이전 단계에서 생성된 CAK 및 CKN을 사용합니다. MACsec 보호 네트워크의 모든 호스트에서 값이 동일해야 합니다.

  4. MACsec 연결에서 IP 설정을 구성합니다.

    1. IPv4 설정을 구성합니다. 예를 들어 정적 IPv4 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 macsec0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify macsec0 ipv4.method manual ipv4.addresses '192.0.2.1/24' ipv4.gateway '192.0.2.254' ipv4.dns '192.0.2.253'
      Copy to Clipboard Toggle word wrap

    2. IPv6 설정을 구성합니다. 예를 들어 정적 IPv6 주소, 네트워크 마스크, 기본 게이트웨이 및 DNS 서버를 macsec0 연결로 설정하려면 다음을 입력합니다. 

      # nmcli connection modify macsec0 ipv6.method manual ipv6.addresses '2001:db8:1::1/32' ipv6.gateway '2001:db8:1::fffe' ipv6.dns '2001:db8:1::fffd'
      Copy to Clipboard Toggle word wrap

  5. 연결을 활성화합니다. 

    # nmcli connection up macsec0
    Copy to Clipboard Toggle word wrap

검증

  1. 트래픽이 암호화되었는지 확인합니다. 

    # tcpdump -nn -i enp1s0
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: 암호화되지 않은 트래픽을 표시합니다. 

    # tcpdump -nn -i macsec0
    Copy to Clipboard Toggle word wrap

  3. MACsec 통계 표시: 

    # ip macsec show
    Copy to Clipboard Toggle word wrap

  4. 각 보호 유형에 대한 개별 카운터 표시: 무결성 전용(암호화) 및 암호화(encrypt) 

    # ip -s macsec show
    Copy to Clipboard Toggle word wrap

7장. firewalld 사용 및 구성
링크 복사

방화벽은 외부에서 원하지 않는 트래픽으로부터 시스템을 보호하는 방법입니다. 사용자는 방화벽 규칙 집합을 정의하여 호스트 시스템에서 들어오는 네트워크 트래픽을 제어할 수 있습니다. 이러한 규칙은 들어오는 트래픽을 정렬하고 차단하거나 통과하는 데 사용됩니다.

firewalld 는 D-Bus 인터페이스를 사용하여 사용자 지정 가능한 동적 방화벽을 제공하는 방화벽 서비스 데몬입니다. 동적이므로 규칙이 변경될 때마다 방화벽 데몬을 다시 시작할 필요 없이 규칙을 생성, 변경 및 삭제할 수 있습니다.

firewalld 를 사용하여 대부분의 일반적인 경우에 필요한 패킷 필터링을 구성할 수 있습니다. firewalld 가 시나리오를 다루지 않거나 규칙을 완전히 제어하려면 nftables 프레임워크를 사용합니다.

firewalld 는 영역, 정책 및 서비스의 개념을 사용하여 트래픽 관리를 단순화합니다. 영역은 네트워크를 논리적으로 분리합니다. 네트워크 인터페이스 및 소스를 영역에 할당할 수 있습니다. 정책은 영역 간 트래픽 흐름을 거부하거나 허용하는 데 사용됩니다. 방화벽 서비스는 들어오는 트래픽을 특정 서비스에 대해 허용하는 데 필요한 모든 설정을 처리하는 사전 정의된 규칙이며 영역 내에 적용됩니다.

서비스는 네트워크 통신에 하나 이상의 포트 또는 주소를 사용합니다. 방화벽은 포트를 기반으로 통신을 필터링합니다. 서비스에 대한 네트워크 트래픽을 허용하려면 포트를 열어야 합니다. firewalld 는 명시적으로 open으로 설정되지 않은 포트의 모든 트래픽을 차단합니다. trusted와 같은 일부 영역에서 기본적으로 모든 트래픽을 허용합니다.

firewalld 는 별도의 런타임 및 영구 구성을 유지 관리합니다. 이를 통해 런타임 전용 변경 사항이 허용됩니다. firewalld 를 다시 로드하거나 다시 시작한 후에는 런타임 구성이 유지되지 않습니다. 시작 시 영구 구성에서 채워집니다.

nftables 백엔드가 있는 firewalld--direct 옵션을 사용하여 사용자 정의 nftables 규칙을 firewalld 에 전달하는 것을 지원하지 않습니다.

7.1. firewalld, nftables 또는 iptables를 사용하는 경우
링크 복사

RHEL 8에서는 시나리오에 따라 다음 패킷 필터링 유틸리티를 사용할 수 있습니다.

  • firewalld: firewalld 유틸리티는 일반적인 사용 사례에 대한 방화벽 구성을 간소화합니다.
  • nftables: nftables 유틸리티를 사용하여 전체 네트워크에 대해 과 같이 복잡하고 성능이 중요한 방화벽을 설정합니다.
  • iptables: Red Hat Enterprise Linux의 iptables 유틸리티는 레거시 백엔드 대신 nf_tables 커널 API를 사용합니다. nf_tables API는 이전 버전과의 호환성을 제공하므로 iptables 명령을 사용하는 스크립트가 여전히 Red Hat Enterprise Linux에서 작동합니다. 새 방화벽 스크립트의 경우 nftables 를 사용합니다.
중요

다른 방화벽 관련 서비스(firewalld,nftables 또는 iptables)가 서로 영향을 미치지 않도록 하려면 RHEL 호스트에서 해당 서비스 중 하나만 실행하고 다른 서비스를 비활성화합니다.

7.2. 방화벽 영역
링크 복사

firewalld 유틸리티를 사용하여 해당 네트워크 내의 인터페이스 및 트래픽과 함께 있는 신뢰 수준에 따라 네트워크를 다른 영역으로 분리할 수 있습니다. 연결은 하나의 영역의 일부일 수 있지만 많은 네트워크 연결에 해당 영역을 사용할 수 있습니다.

firewalld 는 영역과 관련하여 엄격한 원칙을 따릅니다.

  1. 트래픽 수신은 하나의 영역만 포함됩니다.
  2. 트래픽은 하나의 영역만 송신합니다.
  3. 영역은 신뢰 수준을 정의합니다.
  4. 기본적으로 Intrazone 트래픽(동일한 영역 내)이 허용됩니다.
  5. 영역 간 트래픽은 기본적으로 거부됩니다.

규칙 4와 5는 원칙 3의 결과입니다.

원칙 4는 영역 옵션 --remove-forward 를 통해 구성할 수 있습니다. 원칙 5는 새로운 정책을 추가하여 구성할 수 있습니다.

NetworkManager 는 인터페이스의 영역을 firewalld 에 알립니다. 다음 유틸리티를 사용하여 인터페이스에 영역을 할당할 수 있습니다.

  • NetworkManager
  • firewall-config 유틸리티
  • firewall-cmd 유틸리티
  • RHEL 웹 콘솔

RHEL 웹 콘솔, firewall-configfirewall-cmd 는 적절한 NetworkManager 구성 파일만 편집할 수 있습니다. 웹 콘솔, firewall-cmd 또는 firewall-config 를 사용하여 인터페이스 영역을 변경하면 요청이 NetworkManager 로 전달되고firewalld 에서 처리되지 않습니다.

/usr/lib/firewalld/zones/ 디렉터리는 사전 정의된 영역을 저장하고 사용 가능한 네트워크 인터페이스에 즉시 적용할 수 있습니다. 이러한 파일은 수정된 경우에만 /etc/firewalld/zones/ 디렉토리에 복사됩니다. 사전 정의된 영역의 기본 설정은 다음과 같습니다.

블록
  • 적합한 대상: 들어오는 네트워크 연결은 IPv4 에 대한 icmp-host-prohibited 메시지와 icmp6-adm-adm-prohibited IPv6 로 거부됩니다.
  • 허용: 시스템 내에서 시작된 네트워크 연결만 수행합니다.
dmz
  • 적합한 대상: DMZ의 컴퓨터는 내부 네트워크에 대한 액세스 제한으로 공개적으로 액세스할 수 있습니다.
  • 허용: 선택한 연결만 제공됩니다.
drop

적합한 대상: 들어오는 네트워크 패킷은 알림 없이 삭제됩니다.

  • 허용: 나가는 네트워크 연결만 가능합니다.
external
  • 적합한 대상: 특히 라우터에 대해 마스커레이딩이 활성화된 외부 네트워크입니다. 네트워크에서 다른 컴퓨터를 신뢰하지 않는 경우입니다.
  • 허용: 선택한 연결만 제공됩니다.
  • 적합한 대상: 네트워크상의 다른 컴퓨터를 주로 신뢰하는 홈 환경.
  • 허용: 선택한 연결만 제공됩니다.
internal
  • 적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 내부 네트워크입니다.
  • 허용: 선택한 연결만 제공됩니다.
public
  • 적합한 대상: 네트워크에서 다른 컴퓨터를 신뢰하지 않는 공용 영역입니다.
  • 허용: 선택한 연결만 제공됩니다.
trusted
  • 허용: 모든 네트워크 연결
작업

적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 작업 환경.

  • 허용: 선택한 연결만 제공됩니다.

이러한 영역 중 하나는 기본 영역으로 설정됩니다. 인터페이스 연결이 NetworkManager 에 추가되면 기본 영역에 할당됩니다. 설치 시 firewalld 의 기본 영역은 퍼블릭 영역입니다. 기본 영역을 변경할 수 있습니다.

참고

네트워크 영역 이름을 자체 설명하여 사용자가 신속하게 이해할 수 있도록 합니다.

보안 문제를 방지하려면 기본 영역 구성을 검토하고 요구 사항 및 위험 평가에 따라 불필요한 서비스를 비활성화합니다.

7.3. 방화벽 정책
링크 복사

방화벽 정책은 원하는 네트워크 보안 상태를 지정합니다. 다양한 유형의 트래픽에 대해 수행할 규칙과 작업을 간략하게 설명합니다. 일반적으로 정책에는 다음 유형의 트래픽에 대한 규칙이 포함됩니다.

  • 들어오는 트래픽
  • 나가는 트래픽
  • 전송 트래픽
  • 특정 서비스 및 애플리케이션
  • NAT(네트워크 주소 변환)

방화벽 정책은 방화벽 영역의 개념을 사용합니다. 각 영역은 허용되는 트래픽을 결정하는 특정 방화벽 규칙 세트와 연결됩니다. 정책은 상태 저장되지 않은 방식으로 방화벽 규칙을 적용합니다. 즉, 트래픽의 한 방향만 고려합니다. firewalld 의 상태 저장 필터링으로 인해 트래픽 반환 경로는 암시적으로 허용됩니다.

정책은 Ingress 영역 및 송신 영역과 연결됩니다. Ingress 영역은 트래픽이 시작된 위치(received)입니다. 송신 영역은 트래픽이 떠나는 위치입니다(sent).

정책에 정의된 방화벽 규칙은 방화벽 영역을 참조하여 여러 네트워크 인터페이스에 일관된 구성을 적용할 수 있습니다.

7.4. 방화벽 규칙
링크 복사

방화벽 규칙을 사용하여 네트워크 트래픽을 허용하거나 차단하는 특정 구성을 구현할 수 있습니다. 따라서 네트워크 트래픽 흐름을 제어하여 시스템을 보안 위협으로부터 보호할 수 있습니다.

방화벽 규칙은 일반적으로 다양한 속성을 기반으로 특정 기준을 정의합니다. 속성은 다음과 같습니다.

  • 소스 IP 주소
  • 대상 IP 주소
  • 전송 프로토콜 (TCP, UDP, …​)
  • 포트
  • 네트워크 인터페이스

firewalld 유틸리티는 방화벽 규칙을 영역(예: 공용,내부 및 기타) 및 정책으로 구성합니다. 각 영역에는 특정 영역과 연결된 네트워크 인터페이스에 대한 트래픽 자유 수준을 결정하는 자체 규칙 세트가 있습니다.

7.5. 방화벽 직접 규칙
링크 복사

firewalld 서비스는 다음을 포함하여 규칙을 구성하는 여러 방법을 제공합니다.

  • 일반 규칙
  • 직접 규칙

이러한 차이점 중 하나는 각 방법이 기본 백엔드(iptables 또는 nftables)와 상호 작용하는 방법입니다.

직접 규칙은 iptables 와 직접 상호 작용을 허용하는 고급 하위 수준 규칙입니다. firewalld 의 구조화된 영역 기반 관리를 바이패스하여 더 많은 제어 권한을 부여합니다. raw iptables 구문을 사용하여 firewall-cmd 명령을 사용하여 직접 규칙을 수동으로 정의합니다. 예를 들어 firewall-cmd --direct --add-rule ipv4는 INPUT 0 -s 198.51.100.1 -j DROP. 이 명령은 198.51.100.1 소스 IP 주소에서 트래픽을 삭제하는 iptables 규칙을 추가합니다.

그러나 직접 규칙을 사용하면 단점도 있습니다. 특히 nftables 가 기본 방화벽 백엔드인 경우입니다. 예를 들면 다음과 같습니다.

  • 직접 규칙은 유지 관리하기가 더 어렵고 nftables 기반 firewalld 구성과 충돌할 수 있습니다.
  • 직접 규칙은 원시 표현식 및 stateful 오브젝트와 같은 nftables 에서 찾을 수 있는 고급 기능을 지원하지 않습니다.
  • 직접적인 규칙은 미래 지향적인 것이 아닙니다. iptables 구성 요소는 더 이상 사용되지 않으며 결국 RHEL에서 제거됩니다.

이전 이유로 firewalld 직접 규칙을 nftables 로 교체할 수 있습니다. 자세한 내용을 보려면 Knowledgebase 솔루션에서 firewalld 직접 규칙을 nftables로 교체하는 방법을 검토하십시오.

7.6. 사전 정의된 firewalld 서비스
링크 복사

사전 정의된 firewalld 서비스는 하위 수준 방화벽 규칙에 대해 기본 추상화 계층을 제공합니다. SSH 또는 HTTP와 같은 일반적으로 사용되는 네트워크 서비스를 해당 포트 및 프로토콜에 매핑하여 수행할 수 있습니다. 매번 수동으로 지정하는 대신 이름이 사전 정의된 서비스를 참조할 수 있습니다. 이를 통해 방화벽 관리가 간소화되고 오류가 발생하기 쉽고 직관적입니다.

  • 사용 가능한 사전 정의된 서비스를 보려면 다음을 수행합니다. 

    # firewall-cmd --get-services
RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp amqps apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent cockpit collectd condor-collector cratedb ctdb dds...
    Copy to Clipboard Toggle word wrap

  • 사전 정의된 특정 서비스를 추가로 검사하려면 다음을 수행합니다. 

    # sudo firewall-cmd --info-service=RH-Satellite-6
RH-Satellite-6
  ports: 5000/tcp 5646-5647/tcp 5671/tcp 8000/tcp 8080/tcp 9090/tcp
  protocols:
  source-ports:
  modules:
  destination:
  includes: foreman
  helpers:
    Copy to Clipboard Toggle word wrap

    예제 출력은 RH-Satellite-6 사전 정의된 서비스가 포트 5000/tcp 5646-5647/tcp 5671/tcp 8000/tcp 8080/tcp 9090/tcp에서 수신 대기함을 보여줍니다. 또한 RH-Satellite-6 는 사전 정의된 다른 서비스의 규칙을 상속합니다. 이 경우에는 foreman입니다.

사전 정의된 각 서비스는 /usr/lib/firewalld/services/ 디렉터리에 이름이 동일한 XML 파일로 저장됩니다.

7.7. firewalld 영역 작업
링크 복사

영역은 들어오는 트래픽을 보다 투명하게 관리하는 개념을 나타냅니다. 영역은 네트워킹 인터페이스에 연결되거나 다양한 소스 주소가 할당됩니다. 각 영역에 대해 개별적으로 방화벽 규칙을 관리하므로 복잡한 방화벽 설정을 정의하고 트래픽에 적용할 수 있습니다.

방화벽 설정을 수정하고 특정 네트워크 인터페이스 또는 특정 방화벽 영역과 연결하여 네트워크 보안을 강화할 수 있습니다. 영역에 대한 세분화된 규칙 및 제한을 정의하면 원하는 보안 수준에 따라 인바운드 및 아웃바운드 트래픽을 제어할 수 있습니다.

예를 들어 다음과 같은 이점을 얻을 수 있습니다.

  • 민감한 데이터 보호
  • 무단 액세스 방지
  • 잠재적인 네트워크 위협 완화

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. 사용 가능한 방화벽 영역을 나열합니다. 

    # firewall-cmd --get-zones
    Copy to Clipboard Toggle word wrap

    firewall-cmd --get-zones 명령은 시스템에서 사용할 수 있는 모든 영역을 표시하지만 특정 영역에 대한 세부 정보는 표시하지 않습니다. 모든 영역에 대한 자세한 정보를 보려면 firewall-cmd --list-all-zones 명령을 사용합니다.

  2. 이 구성에 사용할 영역을 선택합니다.

  3. 선택한 영역에 대한 방화벽 설정을 수정합니다. 예를 들어 SSH 서비스를 허용하고 ftp 서비스를 제거하려면 다음을 수행합니다. 

    # firewall-cmd --add-service=ssh --zone=<your_chosen_zone>
# firewall-cmd --remove-service=ftp --zone=<same_chosen_zone>
    Copy to Clipboard Toggle word wrap

  4. 방화벽 영역에 네트워크 인터페이스를 할당합니다.

    1. 사용 가능한 네트워크 인터페이스를 나열합니다. 

      # firewall-cmd --get-active-zones
      Copy to Clipboard Toggle word wrap

      영역의 작업은 해당 구성과 일치하는 네트워크 인터페이스 또는 소스 주소 범위가 있는지에 따라 결정됩니다. 기본 영역은 분류되지 않은 트래픽에 대해 활성 상태이지만 트래픽이 규칙과 일치하지 않는 경우 항상 활성 상태인 것은 아닙니다.

    2. 선택한 영역에 네트워크 인터페이스를 할당합니다. 

      # firewall-cmd --zone=<your_chosen_zone> --change-interface=<interface_name> --permanent
      Copy to Clipboard Toggle word wrap

      영역에 네트워크 인터페이스를 할당하는 것은 특정 인터페이스(물리적 또는 가상)의 모든 트래픽에 일관된 방화벽 설정을 적용하는 데 더 적합합니다.

      firewall-cmd 명령을 --permanent 옵션과 함께 사용하는 경우 종종 NetworkManager 연결 프로필을 업데이트하여 방화벽 구성을 영구적으로 변경해야 합니다. firewalld 와 NetworkManager 간의 통합은 일관된 네트워크 및 방화벽 설정을 보장합니다.

검증

  1. 선택한 영역에 대한 업데이트된 설정을 표시합니다. 

    # firewall-cmd --zone=<your_chosen_zone> --list-all
    Copy to Clipboard Toggle word wrap

    명령 출력은 할당된 서비스, 네트워크 인터페이스 및 네트워크 연결(소스)을 포함한 모든 영역 설정을 표시합니다.

7.7.2. 기본 영역 변경
링크 복사

시스템 관리자는 구성 파일의 네트워킹 인터페이스에 영역을 할당합니다. 인터페이스가 특정 영역에 할당되지 않은 경우 기본 영역에 할당됩니다. firewalld 서비스를 다시 시작할 때마다 firewalld 는 기본 영역에 대한 설정을 로드하여 활성화합니다. 다른 모든 영역에 대한 설정은 유지되며 사용할 준비가 되어 있습니다.

일반적으로 영역은 NetworkManager 연결 프로필의 connection.zone 설정에 따라 NetworkManager에 의해 인터페이스에 할당됩니다. 또한 재부팅 후 NetworkManager는 해당 영역의 "활성화" 할당을 관리합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

기본 영역을 설정하려면 다음을 수행합니다.

  1. 현재 기본 영역을 표시합니다. 

    # firewall-cmd --get-default-zone
    Copy to Clipboard Toggle word wrap

  2. 새 기본 영역을 설정합니다. 

    # firewall-cmd --set-default-zone <zone_name>
    Copy to Clipboard Toggle word wrap
    참고

    이 절차에서는 --permanent 옵션이 없어도 영구적인 설정입니다.

7.7.3. 영역에 네트워크 인터페이스 할당
링크 복사

사용 중인 인터페이스의 영역을 변경하여 다양한 영역에 대해 다양한 규칙 집합을 정의한 다음 설정을 빠르게 변경할 수 있습니다. 여러 인터페이스를 사용하면 각 인터페이스를 통해 들어오는 트래픽을 구분하도록 특정 영역을 설정할 수 있습니다.

절차

특정 인터페이스에 영역을 할당하려면 다음을 수행합니다.

  1. 활성 영역과 여기에 할당된 인터페이스를 나열합니다. 

    # firewall-cmd --get-active-zones
    Copy to Clipboard Toggle word wrap

  2. 인터페이스를 다른 영역에 할당합니다. 

    # firewall-cmd --zone=zone_name --change-interface=interface_name --permanent
    Copy to Clipboard Toggle word wrap

7.7.4. 소스 추가
링크 복사

들어오는 트래픽을 특정 영역으로 라우팅하려면 소스를 해당 영역에 추가합니다. 소스는 IP 주소이거나 클래스 없는 도메인 간 라우팅(CIDR) 표기법의 IP 마스크일 수 있습니다.

참고

중복되는 네트워크 범위를 사용하여 여러 영역을 추가하는 경우 영역 이름으로 영숫자로 정렬되며 첫 번째 영역만 고려됩니다.

  • 현재 영역에 소스를 설정하려면 다음을 수행합니다. 

    # firewall-cmd --add-source=<source>
    Copy to Clipboard Toggle word wrap

  • 특정 영역의 소스 IP 주소를 설정하려면 다음을 수행합니다. 

    # firewall-cmd --zone=zone-name --add-source=<source>
    Copy to Clipboard Toggle word wrap

다음 절차에서는 신뢰할 수 있는 영역의 192.168.2.15 에서 들어오는 모든 트래픽을 허용합니다.

절차

  1. 사용 가능한 모든 영역을 나열합니다. 

    # firewall-cmd --get-zones
    Copy to Clipboard Toggle word wrap

  2. 영구 모드에서 소스 IP를 신뢰할 수 있는 영역에 추가합니다. 

    # firewall-cmd --zone=trusted --add-source=192.168.2.15
    Copy to Clipboard Toggle word wrap

  3. 새 설정을 영구적으로 설정합니다. 

    # firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

7.7.5. 소스 제거
링크 복사

영역에서 소스를 제거하면 소스에서 시작된 트래픽은 더 이상 해당 소스에 지정된 규칙을 통해 전달되지 않습니다. 대신 트래픽이 시작된 인터페이스와 연결된 영역의 규칙 및 설정으로 대체되거나 기본 영역으로 이동합니다.

절차

  1. 필수 영역에 허용된 소스를 나열합니다. 

    # firewall-cmd --zone=zone-name --list-sources
    Copy to Clipboard Toggle word wrap

  2. 영역에서 소스를 영구적으로 제거합니다. 

    # firewall-cmd --zone=zone-name --remove-source=<source>
    Copy to Clipboard Toggle word wrap

  3. 새 설정을 영구적으로 설정합니다. 

    # firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

7.7.6. nmcli를 사용하여 연결에 영역 할당
링크 복사

nmcli 유틸리티를 사용하여 NetworkManager 연결에 firewalld 영역을 추가할 수 있습니다.

절차

  1. NetworkManager 연결 프로필에 영역을 할당합니다. 

    # nmcli connection modify profile connection.zone zone_name
    Copy to Clipboard Toggle word wrap

  2. 연결을 활성화합니다. 

    # nmcli connection up profile
    Copy to Clipboard Toggle word wrap

7.7.7. ifcfg 파일에서 네트워크 연결에 수동으로 영역을 할당
링크 복사

NetworkManager 에서 연결을 관리하는 경우 해당 연결을 사용하는 영역을 알고 있어야 합니다. 모든 네트워크 연결 프로필의 경우 이동식 장치가 있는 컴퓨터의 위치에 따라 다양한 방화벽 설정의 유연성을 제공하는 영역을 지정할 수 있습니다. 따라서 회사 또는 집과 같은 다른 위치에 대해 영역 및 설정을 지정할 수 있습니다.

절차

  • 연결 영역을 설정하려면 /etc/sysconfig/network-scripts/ifcfg-connection_name 파일을 편집하고 이 연결에 영역을 할당하는 행을 추가합니다. 

    ZONE=zone_name
    Copy to Clipboard Toggle word wrap

7.7.8. 새 영역 생성
링크 복사

사용자 지정 영역을 사용하려면 새 영역을 생성하고 사전 정의된 영역과 마찬가지로 사용합니다. 새 영역에는 --permanent 옵션이 필요합니다. 그러지 않으면 명령이 작동하지 않습니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

프로세스

  1. 새 영역을 생성합니다. 

    # firewall-cmd --permanent --new-zone=zone-name
    Copy to Clipboard Toggle word wrap

  2. 새 영역을 사용할 수 있도록 설정합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

    명령은 이미 실행 중인 네트워크 서비스를 중단하지 않고 최근 방화벽 구성에 변경 사항을 적용합니다.

검증

  • 새 영역이 영구 설정에 추가되었는지 확인합니다. 

    # firewall-cmd --get-zones --permanent
    Copy to Clipboard Toggle word wrap

7.7.9. 웹 콘솔을 사용하여 영역 활성화
링크 복사

RHEL 웹 콘솔을 통해 특정 인터페이스 또는 IP 주소 범위에 사전 정의된 기존 방화벽 영역을 적용할 수 있습니다.

사전 요구 사항

  • RHEL 8 웹 콘솔을 설치했습니다.
  • cockpit 서비스를 활성화했습니다.

  • 사용자 계정이 웹 콘솔에 로그인할 수 있습니다.

    자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.

절차

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    Edit firewall rules and zones in the web console

    Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

  4. 방화벽 섹션에서 새 영역 추가 를 클릭합니다.

  5. 영역 추가 대화 상자의 신뢰 수준 옵션에서 영역을 선택합니다.

    웹 콘솔은 firewalld 서비스에 사전 정의된 모든 영역을 표시합니다.

  6. 인터페이스 부분에서 선택한 영역이 적용되는 인터페이스 또는 인터페이스를 선택합니다.

  7. 허용된 주소 부분에서 영역이 적용되는지 여부를 선택할 수 있습니다.

    • 전체 서브넷

    • 또는 다음 형식의 IP 주소 범위:

      • 192.168.1.0
      • 192.168.1.0/24
      • 192.168.1.0/24, 192.168.1.0

  8. 영역 추가 버튼을 클릭합니다.

    Add a firewall zone

검증

  • 방화벽 섹션에서 구성을 확인합니다.

    Active zones

7.7.10. 웹 콘솔을 사용하여 영역 비활성화
링크 복사

웹 콘솔을 사용하여 방화벽 구성에서 방화벽 영역을 비활성화할 수 있습니다.

사전 요구 사항

  • RHEL 8 웹 콘솔을 설치했습니다.
  • cockpit 서비스를 활성화했습니다.

  • 사용자 계정이 웹 콘솔에 로그인할 수 있습니다.

    자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.

프로세스

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    cockpit edit rules and zones

    Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

  4. 제거하려는 영역에서 옵션 아이콘을 클릭합니다.

    cockpit delete zone

  5. 삭제를 클릭합니다.

이제 영역이 비활성화되어 인터페이스에 영역에 구성된 열린 서비스 및 포트가 포함되지 않습니다.

7.7.11. 영역 대상을 사용하여 들어오는 트래픽에 대한 기본 동작 설정
링크 복사

모든 영역에 대해 추가로 지정되지 않은 들어오는 트래픽을 처리하는 기본 동작을 설정할 수 있습니다. 이러한 동작은 영역의 대상을 설정하여 정의됩니다. 4가지 옵션이 있습니다.

  • ACCEPT: 특정 규칙에 의해 허용되지 않는 경우를 제외하고 들어오는 모든 패킷을 수락합니다.
  • REJECT: 특정 규칙에서 허용되는 패킷을 제외한 모든 들어오는 패킷을 거부합니다. firewalld 가 패킷을 거부하면 소스 시스템에 거부에 대한 정보가 표시됩니다.
  • DROP: 특정 규칙에서 허용되는 경우를 제외한 들어오는 모든 패킷을 삭제합니다. firewalld 가 패킷을 삭제하면 소스 시스템에 패킷 드롭에 대한 정보가 표시되지 않습니다.
  • 기본값: REJECT 와 유사하지만 특정 시나리오에서 특별한 의미가 있습니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

프로세스

영역의 대상을 설정하려면 다음을 수행합니다.

  1. 특정 영역에 대한 정보를 나열하여 기본 대상을 확인합니다. 

    # firewall-cmd --zone=zone-name --list-all
    Copy to Clipboard Toggle word wrap

  2. 영역에 새 대상을 설정합니다. 

    # firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>
    Copy to Clipboard Toggle word wrap

7.7.12. IP 세트를 사용하여 허용 목록에 대한 동적 업데이트 구성
링크 복사

예측할 수 없는 조건에서도 IP 세트의 특정 IP 주소 또는 범위를 유연하게 허용하도록 거의 실시간 업데이트를 수행할 수 있습니다. 이러한 업데이트는 보안 위협 탐지 또는 네트워크 동작 변경과 같은 다양한 이벤트에 의해 트리거될 수 있습니다. 일반적으로 이러한 솔루션은 자동화를 활용하여 수동 작업을 줄이고 상황에 신속하게 대응하여 보안을 개선합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

프로세스

  1. 의미 있는 이름으로 IP 세트를 생성합니다. 

    # firewall-cmd --permanent --new-ipset=allowlist --type=hash:ip
    Copy to Clipboard Toggle word wrap

    allowlist 라는 새 IP 세트에는 방화벽에서 허용할 IP 주소가 포함되어 있습니다.

  2. IP 세트에 동적 업데이트를 추가합니다. 

    # firewall-cmd --permanent --ipset=allowlist --add-entry=198.51.100.10
    Copy to Clipboard Toggle word wrap

    이 구성은 방화벽에서 네트워크 트래픽을 전달할 수 있는 새로 추가된 IP 주소로 허용 목록 IP 세트를 업데이트합니다.

  3. 이전에 생성한 IP 세트를 참조하는 방화벽 규칙을 생성합니다. 

    # firewall-cmd --permanent --zone=public --add-source=ipset:allowlist
    Copy to Clipboard Toggle word wrap

    이 규칙이 없으면 IP 세트가 네트워크 트래픽에 영향을 미치지 않습니다. 기본 방화벽 정책이 우선합니다.

  4. 방화벽 구성을 다시 로드하여 변경 사항을 적용합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

검증

  1. 모든 IP 세트를 나열합니다. 

    # firewall-cmd --get-ipsets
allowlist
    Copy to Clipboard Toggle word wrap

  2. 활성 규칙을 나열합니다. 

    # firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s1
  sources: ipset:allowlist
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  ...
    Copy to Clipboard Toggle word wrap

    명령줄 출력의 소스 섹션에서는 특정 방화벽 영역에 대한 액세스 허용 또는 거부되는 트래픽(호스트, 인터페이스, IP 세트, 서브넷 등)에 대한 인사이트를 제공합니다. 이 경우 허용 목록 IP 세트에 포함된 IP 주소는 공용 영역의 방화벽을 통해 트래픽을 전달할 수 있습니다.

  3. IP 세트의 내용을 살펴봅니다. 

    # cat /etc/firewalld/ipsets/allowlist.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
  <entry>198.51.100.10</entry>
</ipset>
    Copy to Clipboard Toggle word wrap

다음 단계

  • 스크립트 또는 보안 유틸리티를 사용하여 위협 정보 피드를 가져오고 이에 따라 허용 목록을 자동화된 방식으로 업데이트합니다.

7.8. firewalld를 사용하여 네트워크 트래픽 제어
링크 복사

firewalld 패키지는 사전 정의된 많은 서비스 파일을 설치하고 더 추가하거나 사용자 지정할 수 있습니다. 그런 다음 이러한 서비스 정의를 사용하여 사용하는 프로토콜과 포트 번호를 모르는 상태에서 서비스의 포트를 열거나 닫을 수 있습니다.

7.8.1. CLI를 사용하여 사전 정의된 서비스로 트래픽 제어
링크 복사

트래픽을 제어하는 가장 간단한 방법은 firewalld 에 사전 정의된 서비스를 추가하는 것입니다. 그러면 필요한 모든 포트가 열리고 서비스 정의 파일 에 따라 다른 설정을 수정합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

프로세스

  1. firewalld 의 서비스가 아직 허용되지 않았는지 확인합니다. 

    # firewall-cmd --list-services
ssh dhcpv6-client
    Copy to Clipboard Toggle word wrap

    명령은 기본 영역에서 활성화된 서비스를 나열합니다.

  2. firewalld 에서 사전 정의된 모든 서비스를 나열합니다. 

    # firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
    Copy to Clipboard Toggle word wrap

    명령은 기본 영역에 사용 가능한 서비스 목록을 표시합니다.

  3. firewalld 에서 허용하는 서비스 목록에 서비스를 추가합니다. 

    # firewall-cmd --add-service=<service_name>
    Copy to Clipboard Toggle word wrap

    명령은 지정된 서비스를 기본 영역에 추가합니다.

  4. 새 설정을 영구적으로 설정합니다. 

    # firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

    명령은 이러한 런타임 변경 사항을 방화벽의 영구 구성에 적용합니다. 기본적으로 이러한 변경 사항은 기본 영역의 구성에 적용됩니다.

검증

  1. 모든 영구 방화벽 규칙을 나열합니다. 

    # firewall-cmd --list-all --permanent
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
    Copy to Clipboard Toggle word wrap

    명령은 기본 방화벽 영역(공용)의 영구 방화벽 규칙을 사용하여 전체 구성을 표시합니다.

  2. firewalld 서비스의 영구 구성의 유효성을 확인합니다. 

    # firewall-cmd --check-config
success
    Copy to Clipboard Toggle word wrap

    영구 구성이 유효하지 않으면 명령에서 추가 세부 정보와 함께 오류를 반환합니다. 

    # firewall-cmd --check-config
Error: INVALID_PROTOCOL: 'public.xml': 'tcpx' not from {'tcp'|'udp'|'sctp'|'dccp'}
    Copy to Clipboard Toggle word wrap

    영구 구성 파일을 수동으로 검사하여 설정을 확인할 수도 있습니다. 기본 설정 파일은 /etc/firewalld/firewalld.conf 입니다. 영역별 구성 파일은 /etc/firewalld/zones/ 디렉터리에 있으며 정책은 /etc/firewalld/policies/ 디렉터리에 있습니다.

7.8.2. 웹 콘솔을 사용하여 방화벽에서 서비스 활성화
링크 복사

기본적으로 서비스는 기본 방화벽 영역에 추가됩니다. 더 많은 네트워크 인터페이스에서 방화벽 영역을 사용하는 경우 먼저 영역을 선택한 다음 포트로 서비스를 추가해야 합니다.

RHEL 8 웹 콘솔에는 사전 정의된 firewalld 서비스가 표시되고 활성 방화벽 영역에 추가할 수 있습니다.

중요

RHEL 8 웹 콘솔은 firewalld 서비스를 구성합니다.

웹 콘솔은 웹 콘솔에 나열되지 않은 일반 firewalld 규칙을 허용하지 않습니다.

사전 요구 사항

  • RHEL 8 웹 콘솔을 설치했습니다.
  • cockpit 서비스를 활성화했습니다.

  • 사용자 계정이 웹 콘솔에 로그인할 수 있습니다.

    자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.

프로세스

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    cockpit edit rules and zones

    Edit rules and zones 버튼이 표시되지 않으면 관리자 권한으로 웹 콘솔에 로그인합니다.

  4. 방화벽 섹션에서 서비스를 추가할 영역을 선택하고 서비스 추가 를 클릭합니다.

    cockpit add services

  5. 서비스 추가 대화 상자에서 방화벽에서 활성화할 서비스를 찾습니다.

  6. 시나리오에 따라 서비스를 활성화합니다.

    cockpit add service

  7. 서비스 추가를 클릭합니다.

이 시점에서 RHEL 8 웹 콘솔에 서비스가 영역의 서비스 목록에 표시됩니다.

7.8.3. 웹 콘솔을 사용하여 사용자 정의 포트 구성
링크 복사

RHEL 웹 콘솔을 통해 서비스에 대한 사용자 지정 포트를 구성할 수 있습니다.

사전 요구 사항

  • RHEL 8 웹 콘솔을 설치했습니다.
  • cockpit 서비스를 활성화했습니다.

  • 사용자 계정이 웹 콘솔에 로그인할 수 있습니다.

    자세한 내용은 웹 콘솔 설치 및 활성화를 참조하십시오.

  • firewalld 서비스가 실행 중입니다.

프로세스

  1. RHEL 8 웹 콘솔에 로그인합니다.

    자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

  2. 네트워킹 을 클릭합니다.

  3. Edit rules and zones 버튼을 클릭합니다.

    cockpit edit rules and zones

    Edit rules and zones 버튼이 표시되지 않으면 관리 권한으로 웹 콘솔에 로그인합니다.

  4. 방화벽 섹션에서 사용자 지정 포트를 구성할 영역을 선택하고 서비스 추가 를 클릭합니다.

    RHEL web console: Add services

  5. 서비스 추가 대화 상자에서 사용자 지정 포트 라디오 버튼을 클릭합니다.

  6. TCP 및 UDP 필드에서 예제에 따라 포트를 추가합니다. 다음 형식으로 포트를 추가할 수 있습니다.

    • 22와 같은 포트 번호
    • 5900-5910과 같은 포트 번호 범위
    • nfs, rsync와 같은 별칭
    참고

    각 필드에 여러 값을 추가할 수 있습니다. 값은 쉼표 없이 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다. 8080,8081,http

  7. TCP filed에 포트 번호를 추가한 후, UDP 가 제출되었거나 둘 다되면 Name 필드에서 서비스 이름을 확인합니다.

    Name 필드에는 이 포트가 예약된 서비스 이름이 표시됩니다. 이 포트를 자유롭게 사용할 수 있고 이 포트에서 서버가 통신할 필요가 없는 경우 이름을 다시 작성할 수 있습니다.

  8. 이름 필드에 정의된 포트를 포함한 서비스의 이름을 추가합니다.

  9. 포트 추가 버튼을 클릭합니다.

    RHEL web console: Add ports

설정을 확인하려면 방화벽 페이지로 이동하여 영역의 서비스 목록에서 서비스를 찾습니다.

RHEL web console: Active zones

7.9. 영역 간 전달된 트래픽 필터링
링크 복사

firewalld 를 사용하면 서로 다른 firewalld 영역 간의 네트워크 데이터 흐름을 제어할 수 있습니다. 규칙과 정책을 정의하면 이러한 영역 간에 이동할 때 트래픽이 허용되거나 차단되는 방법을 관리할 수 있습니다.

정책 오브젝트 기능은 firewalld 에서 전달 및 출력 필터링 기능을 제공합니다. firewalld 를 사용하여 다른 영역 간 트래픽을 필터링하여 로컬 호스트 VM에 대한 액세스를 통해 호스트를 연결할 수 있습니다.

7.9.1. 정책 오브젝트와 영역 간의 관계
링크 복사

정책 오브젝트를 사용하면 사용자가 서비스, 포트 및 리치 규칙과 같은 firewalld 기본 기능을 정책에 연결할 수 있습니다. 상태 저장 및 비방향 방식으로 영역 간에 전달되는 트래픽에 정책 오브젝트를 적용할 수 있습니다. 

# firewall-cmd --permanent --new-policy myOutputPolicy

# firewall-cmd --permanent --policy myOutputPolicy --add-ingress-zone HOST

# firewall-cmd --permanent --policy myOutputPolicy --add-egress-zone ANY
Copy to Clipboard Toggle word wrap

HOSTANY 은 ingress 및 egress 영역 목록에 사용되는 심볼릭 영역입니다.

  • HOST 심볼릭 영역은 firewalld를 실행 중인 호스트에 대한 대상이 있거나 있는 트래픽에 대한 정책을 허용합니다.
  • ANY 심볼릭 영역은 현재 및 향후 모든 영역에 정책을 적용합니다. ANY 심볼릭 영역은 모든 영역에 대한 와일드카드 역할을 합니다.

7.9.2. 우선순위를 사용하여 정책 정렬
링크 복사

동일한 트래픽 세트에 여러 정책을 적용할 수 있으므로 적용할 수 있는 정책에 대한 우선 순위를 생성하려면 우선순위를 사용해야 합니다.

정책을 정렬하려면 우선순위를 설정하려면 다음을 수행합니다. 

# firewall-cmd --permanent --policy mypolicy --set-priority -500
Copy to Clipboard Toggle word wrap

위의 예에서 -500 은 우선순위가 낮지만 우선순위가 높습니다. 따라서 -500은 -100 이전에 실행됩니다.

낮은 숫자 우선순위 값은 우선순위가 높고 먼저 적용됩니다.

정책 오브젝트 기능을 사용하면 사용자가 Podman과 firewalld 영역 간의 트래픽을 필터링할 수 있습니다.

참고

Red Hat은 기본적으로 모든 트래픽을 차단하고 Podman 유틸리티에 필요한 선택적 서비스를 여는 것이 좋습니다.

프로세스

  1. 새 방화벽 정책을 생성합니다. 

    # firewall-cmd --permanent --new-policy podmanToAny
    Copy to Clipboard Toggle word wrap

  2. Podman에서 다른 영역으로의 모든 트래픽을 차단하고 Podman에서 필요한 서비스만 허용합니다. 

    # firewall-cmd --permanent --policy podmanToAny --set-target REJECT
# firewall-cmd --permanent --policy podmanToAny --add-service dhcp
# firewall-cmd --permanent --policy podmanToAny --add-service dns
# firewall-cmd --permanent --policy podmanToAny --add-service https
    Copy to Clipboard Toggle word wrap

  3. 새 Podman 영역을 생성합니다. 

    # firewall-cmd --permanent --new-zone=podman
    Copy to Clipboard Toggle word wrap

  4. 정책의 수신 영역을 정의합니다. 

    # firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podman
    Copy to Clipboard Toggle word wrap

  5. 다른 모든 영역에 대한 송신 영역을 정의합니다. 

    # firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANY
    Copy to Clipboard Toggle word wrap

    송신 영역을 ANY로 설정하면 Podman에서 다른 영역으로 필터링합니다. 호스트에 필터링하려면 송신 영역을 HOST로 설정합니다.

  6. firewalld 서비스를 다시 시작합니다. 

    # systemctl restart firewalld
    Copy to Clipboard Toggle word wrap

검증

  • Podman 방화벽 정책을 다른 영역에 확인합니다. 

    # firewall-cmd --info-policy podmanToAny
podmanToAny (active)
  ...
  target: REJECT
  ingress-zones: podman
  egress-zones: ANY
  services: dhcp dns https
  ...
    Copy to Clipboard Toggle word wrap

7.9.4. 정책 오브젝트의 기본 대상 설정
링크 복사

정책에 --set-target 옵션을 지정할 수 있습니다. 다음 대상을 사용할 수 있습니다.

  • ACCEPT - 패킷을 수락
  • DROP - 원하지 않는 패킷을 삭제합니다.
  • REJECT - ICMP 응답을 사용하여 원하지 않는 패킷을 거부

  • CONTINUE (기본값) - 패킷에는 다음 정책 및 영역의 규칙이 적용됩니다. 

    # firewall-cmd --permanent --policy mypolicy --set-target CONTINUE
    Copy to Clipboard Toggle word wrap

검증

  • 정책에 대한 정보 확인 

    # firewall-cmd --info-policy mypolicy
    Copy to Clipboard Toggle word wrap

7.10. firewalld를 사용하여 NAT 구성
링크 복사

firewalld 를 사용하면 다음 NAT(네트워크 주소 변환) 유형을 구성할 수 있습니다.

  • 마스커레이딩
  • 대상 NAT(DNAT)
  • 리디렉션

7.10.1. 네트워크 주소 변환 유형
링크 복사

다음은 다양한 NAT(네트워크 주소 변환) 유형입니다.

마스커레이딩

이러한 NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어, 인터넷 서비스 공급자(ISP)는 10.0.0.0/8 과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 연결할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.

마스커레이딩은 나가는 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 나가는 인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩을 사용합니다.

대상 NAT(DNAT)
이 NAT 유형을 사용하여 들어오는 패킷의 대상 주소와 포트를 다시 작성합니다. 예를 들어 웹 서버가 개인 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에 DNAT 규칙을 설정하여 수신 트래픽을 이 서버로 리디렉션할 수 있습니다.
리디렉션
이 유형은 패킷을 로컬 시스템의 다른 포트로 리디렉션하는 특수한 DNAT의 경우입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 들어오는 트래픽을 이 특정 포트로 리디렉션할 수 있습니다.

7.10.2. IP 주소 마스커레이딩 구성
링크 복사

시스템에서 IP 마스커레이딩을 활성화할 수 있습니다. IP 마스커레이딩은 인터넷에 액세스할 때 게이트웨이 뒤에 있는 개별 머신을 숨깁니다.

절차

  1. IP 마스커레이드가 활성화되어 있는지 확인하려면 (예: 외부 영역의 경우) 다음 명령을 root 로 입력합니다. 

    # firewall-cmd --zone=external --query-masquerade
    Copy to Clipboard Toggle word wrap

    이 명령은 활성화된 경우 종료 상태 0 으로 yes 를 출력합니다. 그렇지 않으면 종료 상태 1no 를 출력합니다. zone 이 생략되면 기본 영역이 사용됩니다.

  2. IP 마스커레이딩을 사용하려면 root 로 다음 명령을 입력합니다. 

    # firewall-cmd --zone=external --add-masquerade
    Copy to Clipboard Toggle word wrap
  3. 이 설정을 영구적으로 설정하려면 명령에 --permanent 옵션을 전달합니다.

  4. IP 마스커레이딩을 비활성화하려면 root 로 다음 명령을 입력합니다. 

    # firewall-cmd --zone=external --remove-masquerade
    Copy to Clipboard Toggle word wrap

    이 설정을 영구적으로 만들려면 --permanent 옵션을 명령에 전달합니다.

7.10.3. DNAT를 사용하여 들어오는 HTTP 트래픽 전달
링크 복사

대상 네트워크 주소 변환(DNAT)을 사용하여 들어오는 트래픽을 하나의 대상 주소 및 포트에서 다른 대상 주소로 보낼 수 있습니다. 일반적으로 외부 네트워크 인터페이스에서 특정 내부 서버 또는 서비스로 들어오는 요청을 리디렉션하는 데 유용합니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. 들어오는 HTTP 트래픽을 전달합니다. 

    # firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toaddr=198.51.100.10:toport=8080 --permanent
    Copy to Clipboard Toggle word wrap

    이전 명령은 다음 설정으로 DNAT 규칙을 정의합니다.

    • --zone=public - DNAT 규칙을 구성하는 방화벽 영역입니다. 필요한 모든 영역에 맞게 조정할 수 있습니다.
    • --add-forward-port - 포트 전달 규칙을 추가 중임을 나타내는 옵션입니다.
    • port=80 - 외부 대상 포트입니다.
    • proto=tcp - TCP 트래픽을 전달함을 나타내는 프로토콜입니다.
    • toaddr=198.51.100.10 - 대상 IP 주소입니다.
    • toport=8080 - 내부 서버의 대상 포트입니다.
    • --permanent - 재부팅 시 DNAT 규칙을 유지할 수 있는 옵션입니다.

  2. 방화벽 구성을 다시 로드하여 변경 사항을 적용합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

검증

  • 사용한 방화벽 영역에 대한 DNAT 규칙을 확인합니다. 

    # firewall-cmd --list-forward-ports --zone=public
port=80:proto=tcp:toport=8080:toaddr=198.51.100.10
    Copy to Clipboard Toggle word wrap

    또는 해당 XML 구성 파일을 확인합니다. 

    # cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="cockpit"/>
  <forward-port port="80" protocol="tcp" to-port="8080" to-addr="198.51.100.10"/>
  <forward/>
</zone>
    Copy to Clipboard Toggle word wrap

리디렉션 메커니즘을 사용하여 사용자가 URL에 포트를 지정할 필요 없이 내부적으로 비표준 포트에서 실행되는 웹 서비스를 만들 수 있습니다. 결과적으로 URL은 더 간단하며 더 나은 검색 환경을 제공하는 반면 비표준 포트는 여전히 내부적으로 또는 특정 요구 사항에 사용됩니다.

사전 요구 사항

  • firewalld 서비스가 실행 중입니다.

절차

  1. NAT 리디렉션 규칙을 생성합니다. 

    # firewall-cmd --zone=public --add-forward-port=port=<standard_port>:proto=tcp:toport=<non_standard_port> --permanent
    Copy to Clipboard Toggle word wrap

    이전 명령은 다음 설정으로 NAT 리디렉션 규칙을 정의합니다.

    • --zone=public - 규칙을 구성하는 방화벽 영역입니다. 필요한 모든 영역에 맞게 조정할 수 있습니다.
    • --add-forward-port=port= <non_standard_port > - 들어오는 트래픽을 처음 수신하는 소스 포트를 사용하여 포트 전달(리렉션) 규칙을 추가 중임을 나타내는 옵션입니다.
    • proto=tcp - TCP 트래픽을 리디렉션함을 나타내는 프로토콜입니다.
    • toport=<standard_port > - 소스 포트에서 수신한 후 들어오는 트래픽을 리디렉션해야 하는 대상 포트입니다.
    • --permanent - 다시 부팅 시 규칙을 유지할 수 있는 옵션입니다.

  2. 방화벽 구성을 다시 로드하여 변경 사항을 적용합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

검증

  • 다음을 사용한 방화벽 영역의 리디렉션 규칙을 확인합니다. 

    # firewall-cmd --list-forward-ports
port=8080:proto=tcp:toport=80:toaddr=
    Copy to Clipboard Toggle word wrap

    또는 해당 XML 구성 파일을 확인합니다. 

    # cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="cockpit"/>
  <forward-port port="8080" protocol="tcp" to-port="80"/>
  <forward/>
</zone>
    Copy to Clipboard Toggle word wrap

7.11. 리치 규칙 우선순위 지정
링크 복사

리치 규칙은 방화벽 규칙을 정의하는 보다 고급적이고 유연한 방법을 제공합니다. 리치 규칙은 서비스, 포트 등이 복잡한 방화벽 규칙을 표현하기에 충분하지 않은 경우 특히 유용합니다.

리치 규칙의 개념:

세분성 및 유연성
보다 구체적인 기준에 따라 네트워크 트래픽에 대한 자세한 조건을 정의할 수 있습니다.
규칙 구조

리치 규칙은 제품군(IPv4 또는 IPv6)과 조건 및 작업으로 구성됩니다. 

rule family="ipv4|ipv6" [conditions] [actions]
Copy to Clipboard Toggle word wrap
conditions
이러한 규칙을 사용하면 특정 기준이 충족되는 경우에만 리치 규칙을 적용할 수 있습니다.
작업
조건과 일치하는 네트워크 트래픽에 발생하는 작업을 정의할 수 있습니다.
여러 조건 결합
보다 구체적이고 복잡한 필터링을 생성할 수 있습니다.
계층적 제어 및 재사용 가능
리치 규칙을 영역 또는 서비스와 같은 다른 방화벽 메커니즘과 결합할 수 있습니다.

기본적으로 리치 규칙은 규칙 동작을 기반으로 구성됩니다. 예를 들어 거부 규칙은 허용 규칙보다 우선합니다. 리치 규칙의 priority 매개 변수는 관리자가 리치 규칙과 실행 순서를 세부적으로 제어할 수 있습니다. priority 매개변수를 사용하는 경우 규칙은 우선 순위 값으로 오름차순으로 정렬됩니다. 더 많은 규칙에 동일한 우선 순위가 있는 경우 규칙 작업에 따라 순서가 결정되며, 작업이 동일한 경우 순서가 정의되지 않을 수 있습니다.

7.11.1. 우선순위 매개변수가 규칙을 다른 체인으로 구성하는 방법
링크 복사

리치 규칙의 priority 매개변수를 -3276832767 사이의 임의의 숫자로 설정할 수 있으며 더 낮은 숫자 값은 우선 순위가 높습니다.

firewalld 서비스는 우선 순위 값을 기반으로 다른 체인으로 규칙을 구성합니다.

  • 우선순위가 0보다 낮습니다. 규칙은 _pre 접미사가 있는 체인으로 리디렉션됩니다.
  • 우선순위가 0보다 높습니다. 규칙은 _post 접미사가 있는 체인으로 리디렉션됩니다.
  • 우선 순위 0: 작업에 따라 규칙은 _log,_deny 또는 _allow 작업을 사용하여 체인으로 리디렉션됩니다.

이러한 하위 체인 내에서 firewalld 는 우선순위 값을 기반으로 규칙을 정렬합니다.

7.11.2. 리치 규칙의 우선 순위 설정
링크 복사

다음은 다른 규칙에서 허용되거나 거부되지 않는 모든 트래픽을 기록하기 위해 priority 매개변수를 사용하는 리치 규칙을 생성하는 예입니다. 이 규칙을 사용하여 예기치 않은 트래픽에 플래그를 지정할 수 있습니다.

절차

  • 우선 순위가 매우 낮은 리치 규칙을 추가하여 다른 규칙과 일치하지 않는 모든 트래픽을 기록합니다. 

    # firewall-cmd --add-rich-rule='rule priority=32767 log prefix="UNEXPECTED: " limit value="5/m"'
    Copy to Clipboard Toggle word wrap

    이 명령은 로그 항목 수를 분당 5 개로 제한합니다.

검증

  • 이전 단계에서 생성된 명령을 사용하여 nftables 규칙을 표시합니다. 

    # nft list chain inet firewalld filter_IN_public_post
table inet firewalld {
  chain filter_IN_public_post {
    log prefix "UNEXPECTED: " limit rate 5/minute
  }
}
    Copy to Clipboard Toggle word wrap

영역 내 전달은 firewalld 영역 내의 인터페이스 또는 소스 간 트래픽 전달을 활성화하는 firewalld 기능입니다.

7.12.1. 기본 타겟이 ACCEPT로 설정된 영역 내 전달과 영역의 차이점
링크 복사

영역 내 전달이 활성화된 경우 단일 firewalld 영역 내의 트래픽이 하나의 인터페이스 또는 소스에서 다른 인터페이스 또는 소스로 전달될 수 있습니다. zone은 인터페이스 및 소스의 신뢰 수준을 지정합니다. 신뢰 수준이 동일한 경우 트래픽은 동일한 영역 내에 유지됩니다.

참고

firewalld 의 기본 영역에서 영역 내 전달을 활성화하면 현재 기본 영역에 추가된 인터페이스와 소스에만 적용됩니다.

firewalld 는 다른 영역을 사용하여 들어오고 나가는 트래픽을 관리합니다. 각 영역에는 고유한 규칙과 동작 세트가 있습니다. 예를 들어 신뢰할 수 있는 영역은 기본적으로 전달된 모든 트래픽을 허용합니다.

다른 영역에는 기본 동작이 다를 수 있습니다. 표준 영역에서 영역의 대상이 기본값으로 설정된 경우 전달된 트래픽은 일반적으로 기본적으로 삭제됩니다.

영역 내의 다양한 인터페이스 또는 소스 간에 트래픽이 전달되는 방법을 제어하려면 해당 영역의 대상을 적절하게 이해하고 구성해야 합니다.

7.12.2. 이더넷과 Wi-Fi 네트워크 간에 트래픽 전달을 위해 영역 내 전달
링크 복사

intra-zone 전달을 사용하여 동일한 firewalld 영역 내의 인터페이스와 소스 간에 트래픽을 전달할 수 있습니다. 이 기능은 다음과 같은 이점을 제공합니다.

  • 유선 및 무선 장치 간의 원활한 연결(W lp 0s 20에 연결된 이더넷 네트워크와 Wi-Fi 네트워크 간에 트래픽을 전달할 수 있음)
  • 유연한 작업 환경 지원
  • 프린터, 데이터베이스, 네트워크 연결 스토리지 등 여러 장치 또는 네트워크에서 액세스하고 사용하는 공유 리소스
  • 효율적인 내부 네트워킹(예: 원활한 통신, 대기 시간 감소, 리소스 접근성 등)

개별 firewalld 영역에 대해 이 기능을 활성화할 수 있습니다.

프로세스

  1. 커널에서 패킷 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
    Copy to Clipboard Toggle word wrap

  2. 영역 내 전달을 활성화할 인터페이스가 내부 영역에만 할당되도록 합니다. 

    # firewall-cmd --get-active-zones
    Copy to Clipboard Toggle word wrap

  3. 인터페이스가 현재 내부 가 아닌 다른 영역에 할당된 경우 다시 할당합니다. 

    # firewall-cmd --zone=internal --change-interface=interface_name --permanent
    Copy to Clipboard Toggle word wrap

  4. 내부 영역에 enp1s0wlp0s20 인터페이스를 추가합니다. 

    # firewall-cmd --zone=internal --add-interface=enp1s0 --add-interface=wlp0s20
    Copy to Clipboard Toggle word wrap

  5. 영역 내 전달을 활성화합니다. 

    # firewall-cmd --zone=internal --add-forward
    Copy to Clipboard Toggle word wrap

검증

다음 확인에서는 nmap-ncat 패키지가 두 호스트 모두에 설치되어 있어야 합니다.

  1. 영역 전달을 활성화한 호스트의 enp1s0 인터페이스와 동일한 네트워크에 있는 호스트에 로그인합니다.

  2. ncat 로 echo 서비스를 시작하여 연결을 테스트합니다. 

    # ncat -e /usr/bin/cat -l 12345
    Copy to Clipboard Toggle word wrap
  3. wlp0s20 인터페이스와 동일한 네트워크에 있는 호스트에 로그인합니다.

  4. enp1s0 과 동일한 네트워크에 있는 호스트에서 실행 중인 에코 서버에 연결합니다. 

    # ncat <other_host> 12345
    Copy to Clipboard Toggle word wrap
  5. 어떤 것을 입력하고 Enter 키를 누릅니다. 텍스트가 다시 전송되었는지 확인합니다.

7.13. RHEL 시스템 역할을 사용하여 firewalld 구성
링크 복사

RHEL 시스템 역할은 Ansible 자동화 유틸리티의 콘텐츠 집합입니다. 이 콘텐츠는 Ansible 자동화 유틸리티와 함께 여러 시스템을 한 번에 원격으로 관리할 수 있는 일관된 구성 인터페이스를 제공합니다.

rhel-system-roles 패키지에는 rhel-system-roles.firewall RHEL 시스템 역할이 포함되어 있습니다. 이 역할은 firewalld 서비스의 자동 구성을 위해 도입되었습니다.

방화벽 RHEL 시스템 역할을 사용하면 다양한 firewalld 매개변수를 구성할 수 있습니다. 예를 들면 다음과 같습니다.

  • 영역
  • 패킷을 허용해야 하는 서비스
  • 포트에 대한 트래픽 액세스 권한 부여, 거부 또는 삭제
  • 영역의 포트 또는 포트 범위 전달

7.13.1. 방화벽 RHEL 시스템 역할을 사용하여 firewalld 설정 재설정
링크 복사

시간이 지남에 따라 방화벽 구성을 업데이트하면 의도하지 않은 보안 위험이 발생할 수 있습니다. 방화벽 RHEL 시스템 역할을 사용하면 firewalld 설정을 자동으로 기본 상태로 재설정할 수 있습니다. 이렇게 하면 의도하지 않거나 안전하지 않은 방화벽 규칙을 효율적으로 제거하고 관리를 단순화할 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Reset firewalld example
  hosts: managed-node-01.example.com
  tasks:
    - name: Reset firewalld
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.firewall
      vars:
        firewall:
          - previous: replaced
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    이전: 교체

    기존 사용자 정의 설정을 모두 제거하고 firewalld 설정을 기본값으로 재설정합니다. 이전:replaced 매개변수를 다른 설정과 결합하면 firewall 역할은 새 설정을 적용하기 전에 기존 설정을 모두 제거합니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.firewall/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 제어 노드에서 이 명령을 실행하여 관리 노드의 모든 방화벽 구성이 기본값으로 재설정되었는지 원격으로 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-all-zones'
    Copy to Clipboard Toggle word wrap

방화벽 RHEL 시스템 역할을 사용하여 하나의 로컬 포트에서 다른 로컬 포트로 들어오는 트래픽 전달을 원격으로 구성할 수 있습니다.

예를 들어 여러 서비스가 동일한 시스템에 공존하고 동일한 기본 포트가 필요한 환경이 있는 경우 포트 충돌이 발생할 수 있습니다. 이러한 충돌로 인해 서비스가 중단되고 다운타임이 발생할 수 있습니다. 방화벽 RHEL 시스템 역할을 사용하면 트래픽을 대체 포트로 효율적으로 전달하여 구성을 수정하지 않고도 서비스를 동시에 실행할 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure firewalld
  hosts: managed-node-01.example.com
  tasks:
    - name: Forward incoming traffic on port 8080 to 443
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.firewall
      vars:
        firewall:
          - forward_port: 8080/tcp;443;
            state: enabled
            runtime: true
            permanent: true
    Copy to Clipboard Toggle word wrap

    예제 플레이북에 지정된 설정은 다음과 같습니다.

    forward_port: 8080/tcp;443
    TCP 프로토콜을 사용하여 로컬 포트 8080으로 들어오는 트래픽은 포트 443으로 전달됩니다.
    runtime: true

    런타임 구성에서 변경 사항을 활성화합니다. 기본값은 true 로 설정됩니다.

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.firewall/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 제어 노드에서 다음 명령을 실행하여 관리 노드에서 forwarded-ports를 원격으로 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --list-forward-ports'
managed-node-01.example.com | CHANGED | rc=0 >>
port=8080:proto=tcp:toport=443:toaddr=
    Copy to Clipboard Toggle word wrap

7.13.3. 방화벽 RHEL 시스템 역할을 사용하여 firewalld DMZ 영역 구성
링크 복사

시스템 관리자는 방화벽 RHEL 시스템 역할을 사용하여 enp1s0 인터페이스에서 dmz 영역을 구성하여 HTTPS 트래픽을 영역에 허용할 수 있습니다. 이렇게 하면 외부 사용자가 웹 서버에 액세스할 수 있습니다.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다. 

    ---
- name: Configure firewalld
  hosts: managed-node-01.example.com
  tasks:
    - name: Creating a DMZ with access to HTTPS port and masquerading for hosts in DMZ
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.firewall
      vars:
        firewall:
          - zone: dmz
            interface: enp1s0
            service: https
            state: enabled
            runtime: true
            permanent: true
    Copy to Clipboard Toggle word wrap

    플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.firewall/README.md 파일을 참조하십시오.

  2. 플레이북 구문을 확인합니다. 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

  3. Playbook을 실행합니다. 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

검증

  • 제어 노드에서 다음 명령을 실행하여 관리 노드의 dmz 영역에 대한 정보를 원격으로 확인합니다. 

    # ansible managed-node-01.example.com -m ansible.builtin.command -a 'firewall-cmd --zone=dmz --list-all'
managed-node-01.example.com | CHANGED | rc=0 >>
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0
  sources:
  services: https ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
    Copy to Clipboard Toggle word wrap

8장. nftables 시작하기
링크 복사

시나리오가 firewalld 에서 다루는 일반적인 패킷 필터링 사례에 속하지 않거나 규칙을 완전히 제어하려는 경우 nftables 프레임워크를 사용할 수 있습니다.

nftables 프레임워크는 패킷을 분류하고 iptables,ip6tables,arptables,ebtablesipset 유틸리티의 후속 조치입니다. 이전의 패킷 필터링 툴에 비해 편의성, 기능 및 성능이 크게 향상되었으며 주요 개선 사항은 다음과 같습니다.

  • 선형 처리 대신 기본 제공 조회 테이블
  • IPv4IPv6 프로토콜 모두를 위한 단일 프레임워크
  • 전체 규칙 세트를 가져오고, 업데이트하고, 저장하는 대신 트랜잭션을 통해 배치된 커널 규칙 세트 업데이트
  • 규칙 세트(nftrace) 및 모니터링 추적 이벤트( nft 툴에서) 디버깅 및 추적 지원
  • 프로토콜별 확장 없이 보다 일관되고 컴팩트한 구문
  • 타사 애플리케이션을 위한 Netlink API

nftables 프레임워크는 테이블을 사용하여 체인을 저장합니다. 체인에는 작업을 수행하기 위한 개별 규칙이 포함되어 있습니다. nft 유틸리티는 이전 패킷 필터링 프레임워크의 모든 도구를 대체합니다. libnftables 라이브러리를 사용하여 libnftnl 라이브러리를 통해 nftables Netlink API와 낮은 수준의 상호 작용을 수행할 수 있습니다.

규칙 세트 변경의 영향을 표시하려면 nft list ruleset 명령을 사용합니다. 커널 규칙 세트를 지우려면 nft flush ruleset 명령을 사용합니다. 이는 동일한 커널 인프라를 사용하므로 iptables-nft 명령으로 설치한 규칙 세트에도 영향을 미칠 수 있습니다.

8.1. nftables 테이블, 체인 및 규칙 생성 및 관리
링크 복사

nftables 규칙 세트를 표시하고 관리할 수 있습니다.

8.1.1. nftables 테이블의 기본 사항
링크 복사

nftables 의 테이블은 체인, 규칙, 세트 및 기타 오브젝트 컬렉션을 포함하는 네임스페이스입니다.

각 테이블에는 할당된 주소 제품군이 있어야 합니다. 주소 제품군은 이 테이블이 처리하는 패킷 유형을 정의합니다. 테이블을 만들 때 다음 주소 제품군 중 하나를 설정할 수 있습니다.

  • ip: IPv4 패킷만 일치시킵니다. 주소 제품군을 지정하지 않는 경우 기본값입니다.
  • ip6: IPv6 패킷만 일치시킵니다.
  • inet: IPv4 및 IPv6 패킷을 모두 일치시킵니다.
  • arp: IPv4 주소 확인 프로토콜(ARP) 패킷과 일치합니다.
  • 브리지: 브리지 장치를 통과하는 패킷과 일치합니다.
  • netdev: 수신의 패킷과 일치합니다.

테이블을 추가하려면 사용할 형식이 방화벽 스크립트에 따라 다릅니다.

  • 네이티브 구문의 스크립트에서 다음을 사용합니다. 

    table <table_address_family> <table_name> {
}
    Copy to Clipboard Toggle word wrap

  • 쉘 스크립트에서 다음을 사용합니다. 

    nft add table <table_address_family> <table_name>
    Copy to Clipboard Toggle word wrap

8.1.2. nftables 체인의 기본 사항
링크 복사

테이블은 규칙용 컨테이너인 체인으로 구성됩니다. 다음 두 가지 규칙 유형이 있습니다.

  • 기본 체인: 기본 체인을 네트워킹 스택의 패킷 진입점으로 사용할 수 있습니다.
  • 일반 체인: 규칙 구성을 개선하기 위해 일반 체인을 점프 대상으로 사용할 수 있습니다.

테이블에 기본 체인을 추가하려면 사용할 형식이 방화벽 스크립트에 따라 다릅니다.

  • 네이티브 구문의 스크립트에서 다음을 사용합니다. 

    table <table_address_family> <table_name> {
  chain <chain_name> {
    type <type> hook <hook> priority <priority>
    policy <policy> ;
  }
}
    Copy to Clipboard Toggle word wrap

  • 쉘 스크립트에서 다음을 사용합니다. 

    nft add chain <table_address_family> <table_name> <chain_name> { type <type> hook <hook> priority <priority> \; policy <policy> \; }
    Copy to Clipboard Toggle word wrap

    쉘이 명령 끝부분으로 해석되지 않도록 하려면 \ 이스케이프 문자 앞에 \ 이스케이프 문자를 배치합니다.

두 예 모두 기본 체인을 생성합니다. 일반 체인을 만들려면 중괄호에 매개 변수를 설정하지 마십시오.

체인 유형

다음은 체인 유형과 이를 사용할 수 있는 주소 제품군 및 후크와 관련된 개요입니다.

Expand
유형가족에 대한 주소후크설명

filter

all

all

표준 체인 유형

nat

IP , ip 6,inet

PREROUT ING,input,output,postrouting

이 유형의 체인은 연결 추적 항목을 기반으로 네이티브 주소 변환을 수행합니다. 첫 번째 패킷만 이 체인 유형을 통과합니다.

라우트

IP , ip 6

output

이 체인 유형을 통과하는 허용되는 패킷으로 인해 IP 헤더의 관련 부분이 변경된 경우 새 경로 조회가 발생합니다.

체인 우선순위

priority 매개 변수는 패킷이 동일한 후크 값으로 체인을 트래버스하는 순서를 지정합니다. 이 매개변수를 정수 값으로 설정하거나 표준 우선순위 이름을 사용할 수 있습니다.

다음 매트릭스는 표준 우선 순위 이름과 해당 숫자 값에 대한 개요와 사용 가능한 주소 제품군 및 후크를 보여줍니다.

Expand
텍스트 값숫자 값가족에 대한 주소후크

Raw

-300

IP , ip 6,inet

all

mangle

-150

IP , ip 6,inet

all

dstnat

-100

IP , ip 6,inet

PREROUTING

-300

Bridge

PREROUTING

filter

0

ip, ip6, inet, arp, netdev

all

-200

Bridge

all

보안

50

IP , ip 6,inet

all

srcnat

100

IP , ip 6,inet

POSTROUTING

300

Bridge

POSTROUTING

out

100

Bridge

output

체인 정책

체인 정책은 이 체인의 규칙이 작업을 지정하지 않는 경우 nftables 가 패킷을 수락하거나 삭제해야 하는지 여부를 정의합니다. 체인에서 다음 정책 중 하나를 설정할 수 있습니다.

  • 허용 (기본값)
  • drop

8.1.3. nftables 규칙의 기본 사항
링크 복사

규칙은 이 규칙이 포함된 체인을 전달하는 패킷에서 수행할 작업을 정의합니다. 규칙에 일치하는 표현식도 포함된 경우 nftables 는 이전 표현식이 모두 적용되는 경우에만 작업을 수행합니다.

체인에 규칙을 추가하려면 사용할 형식이 방화벽 스크립트에 따라 다릅니다.

  • 네이티브 구문의 스크립트에서 다음을 사용합니다. 

    table <table_address_family> <table_name> {
  chain <chain_name> {
    type <type> hook <hook> priority <priority> ; policy <policy> ;
      <rule>
  }
}
    Copy to Clipboard Toggle word wrap

  • 쉘 스크립트에서 다음을 사용합니다. 

    nft add rule <table_address_family> <table_name> <chain_name> <rule>
    Copy to Clipboard Toggle word wrap

    이 shell 명령은 체인 끝에 새 규칙을 추가합니다. 체인 시작 부분에 규칙을 추가하려면 nft add 대신 nft insert 명령을 사용합니다.

8.1.4. nft 명령을 사용하여 테이블, 체인 및 규칙 관리
링크 복사

명령줄 또는 쉘 스크립트에서 nftables 방화벽을 관리하려면 nft 유틸리티를 사용합니다.

중요

이 절차의 명령은 일반적인 워크플로우를 나타내지 않으며 최적화되지 않습니다. 이 절차에서는 nft 명령을 사용하여 일반적으로 테이블, 체인 및 규칙을 관리하는 방법만 보여줍니다.

프로세스

  1. 테이블이 IPv4 및 IPv6 패킷을 모두 처리할 수 있도록 inet 주소 제품군을 사용하여 nftables_svc 라는 테이블을 만듭니다. 

    # nft add table inet nftables_svc
    Copy to Clipboard Toggle word wrap

  2. 들어오는 네트워크 트래픽을 처리하는 INPUT INPUT 이라는 기본 체인을 inet nftables_svc 테이블에 추가합니다. 

    # nft add chain inet nftables_svc INPUT { type filter hook input priority filter \; policy accept \; }
    Copy to Clipboard Toggle word wrap

    쉘이 명령 마지막으로 해석되지 않도록 하려면 \ 문자를 사용하여 together을 이스케이프합니다.

  3. INPUT 체인에 규칙을 추가합니다. 예를 들어 포트 22 및 443에서 수신되는 TCP 트래픽을 허용하고 INPUT 체인의 마지막 규칙으로 IMP(Internet Control Message Protocol) 포트에 연결할 수 없는 다른 트래픽을 거부합니다. 

    # nft add rule inet nftables_svc INPUT tcp dport 22 accept
# nft add rule inet nftables_svc INPUT tcp dport 443 accept
# nft add rule inet nftables_svc INPUT reject with icmpx type port-unreachable
    Copy to Clipboard Toggle word wrap

    표시된 대로 nft add 규칙 명령을 입력하면 nft 는 명령을 실행할 때와 동일한 순서로 규칙을 추가합니다.

  4. 처리를 포함한 현재 규칙 세트를 표시합니다. 

    # nft -a list table inet nftables_svc
table inet nftables_svc { # handle 13
  chain INPUT { # handle 1
    type filter hook input priority filter; policy accept;
    tcp dport 22 accept # handle 2
    tcp dport 443 accept # handle 3
    reject # handle 4
  }
}
    Copy to Clipboard Toggle word wrap

  5. handle 3을 사용하여 기존 규칙 앞에 규칙을 삽입합니다. 예를 들어 포트 636에서 TCP 트래픽을 허용하는 규칙을 삽입하려면 다음을 입력합니다. 

    # nft insert rule inet nftables_svc INPUT position 3 tcp dport 636 accept
    Copy to Clipboard Toggle word wrap

  6. handle 3을 사용하여 기존 규칙 뒤에 규칙을 추가합니다. 예를 들어 포트 80에서 TCP 트래픽을 허용하는 규칙을 삽입하려면 다음을 입력합니다. 

    # nft add rule inet nftables_svc INPUT position 3 tcp dport 80 accept
    Copy to Clipboard Toggle word wrap

  7. handles를 사용하여 규칙 세트를 다시 표시합니다. 나중에 추가된 규칙이 지정된 위치에 추가되었는지 확인합니다. 

    # nft -a list table inet nftables_svc
table inet nftables_svc { # handle 13
  chain INPUT { # handle 1
    type filter hook input priority filter; policy accept;
    tcp dport 22 accept # handle 2
    tcp dport 636 accept # handle 5
    tcp dport 443 accept # handle 3
    tcp dport 80 accept # handle 6
    reject # handle 4
  }
}
    Copy to Clipboard Toggle word wrap

  8. handle 6을 사용하여 규칙을 제거합니다. 

    # nft delete rule inet nftables_svc INPUT handle 6
    Copy to Clipboard Toggle word wrap

    규칙을 제거하려면 처리를 지정해야 합니다.

  9. 규칙 세트를 표시하고 제거된 규칙이 더 이상 존재하지 않는지 확인합니다. 

    # nft -a list table inet nftables_svc
table inet nftables_svc { # handle 13
  chain INPUT { # handle 1
    type filter hook input priority filter; policy accept;
    tcp dport 22 accept # handle 2
    tcp dport 636 accept # handle 5
    tcp dport 443 accept # handle 3
    reject # handle 4
  }
}
    Copy to Clipboard Toggle word wrap

  10. INPUT 체인에서 나머지 모든 규칙을 제거하십시오. 

    # nft flush chain inet nftables_svc INPUT
    Copy to Clipboard Toggle word wrap

  11. 규칙 세트를 표시하고 INPUT 체인이 비어 있는지 확인합니다. 

    # nft list table inet nftables_svc
table inet nftables_svc {
  chain INPUT {
    type filter hook input priority filter; policy accept
  }
}
    Copy to Clipboard Toggle word wrap

  12. INPUT 체인을 삭제합니다. 

    # nft delete chain inet nftables_svc INPUT
    Copy to Clipboard Toggle word wrap

    또한 이 명령을 사용하여 규칙이 포함된 체인을 삭제할 수도 있습니다.

  13. 규칙 세트를 표시하고 INPUT 체인이 삭제되었는지 확인합니다. 

    # nft list table inet nftables_svc
table inet nftables_svc {
}
    Copy to Clipboard Toggle word wrap

  14. nftables_svc 테이블을 삭제합니다. 

    # nft delete table inet nftables_svc
    Copy to Clipboard Toggle word wrap

    이 명령을 사용하여 체인이 계속 포함된 테이블을 삭제할 수도 있습니다.

    참고

    전체 규칙 세트를 삭제하려면 별도의 명령에서 모든 규칙, 체인 및 테이블을 수동으로 삭제하는 대신 nft flush ruleset 명령을 사용합니다.

8.2. iptables에서 nftables로 마이그레이션
링크 복사

방화벽 구성이 여전히 iptables 규칙을 사용하는 경우 iptables 규칙을 nftables 로 마이그레이션할 수 있습니다.

8.2.1. firewalld, nftables 또는 iptables 사용 시기
링크 복사

RHEL 8에서는 시나리오에 따라 다음 패킷 필터링 유틸리티를 사용할 수 있습니다.

  • firewalld: firewalld 유틸리티는 일반적인 사용 사례에 대한 방화벽 구성을 간소화합니다.
  • nftables: nftables 유틸리티를 사용하여 전체 네트워크에 대해 복잡하고 성능에 중요한 방화벽을 설정합니다.
  • iptables: Red Hat Enterprise Linux의 iptables 유틸리티는 레거시 백엔드 대신 nf_tables 커널 API를 사용합니다. nf_tables API는 이전 버전과의 호환성을 제공하므로 iptables 명령을 사용하는 스크립트는 Red Hat Enterprise Linux에서 계속 작동합니다. 새 방화벽 스크립트의 경우 nftables 를 사용합니다.
중요

다른 방화벽 관련 서비스(firewalld,nftables 또는 iptables)가 서로 영향을 미치지 않도록 하려면 RHEL 호스트에서 해당 서비스 중 하나만 실행하고 다른 서비스를 비활성화합니다.

8.2.2. nftables 프레임워크의 개념
링크 복사

iptables 프레임워크와 비교하여 nftables 는 보다 현대적이고 효율적이며 유연한 대안을 제공합니다. nftables 프레임워크는 iptables 를 통해 고급 기능과 개선 사항을 제공하여 규칙 관리를 단순화하고 성능을 향상시킵니다. 이로 인해 nftables 가 복잡하고 고성능 네트워킹 환경을 위한 최신 대안으로 사용할 수 있습니다.

테이블 및 네임스페이스
nftables 에서 테이블은 관련 방화벽 체인, 세트, 흐름 테이블 및 기타 오브젝트를 함께 그룹화하는 조직 단위 또는 네임스페이스를 나타냅니다. nftables 에서는 테이블이 방화벽 규칙 및 관련 구성 요소를 구성하는 보다 유연한 방법을 제공합니다. iptables 에서는 테이블이 특정 목적에 따라 보다 효율적으로 정의되었습니다.
테이블 제품군
nftables 의 각 테이블은 특정 제품군(ip,ip6,inet,arp,bridge 또는 netdev)과 연결되어 있습니다. 이 연결은 테이블이 처리할 수 있는 패킷을 결정합니다. 예를 들어 ip 제품군의 테이블은 IPv4 패킷만 처리합니다. 반면 inet 은 테이블 가정의 특별한 경우입니다. IPv4 및 IPv6 패킷을 모두 처리할 수 있으므로 프로토콜 간에 통합된 접근 방식을 제공합니다. 특수 테이블 제품군의 또 다른 경우는 netdev 입니다. 네트워크 장치에 직접 적용되는 규칙에 사용되어 장치 수준에서 필터링이 가능하기 때문입니다.
기본 체인

nftables 의 기본 체인은 패킷 처리 파이프라인에서 구성 가능한 진입점으로, 사용자가 다음을 지정할 수 있습니다.

  • 체인의 유형 (예: "filter"
  • 패킷 처리 경로의 후크 지점(예: "input", "output", "forward")
  • 체인의 우선순위

이러한 유연성을 통해 규칙이 네트워크 스택을 통과할 때 패킷에 적용되는 시기와 방법을 정확하게 제어할 수 있습니다. 체인의 특수 사례는 패킷 헤더를 기반으로 커널에 의해 이루어진 라우팅 결정에 영향을 미치는 데 사용되는 경로 체인입니다.

규칙 처리를 위한 가상 머신

nftables 프레임워크는 내부 가상 시스템을 사용하여 규칙을 처리합니다. 이 가상 머신은 어셈블리 언어 작업과 유사한 명령을 실행합니다(기록으로 데이터를 로드하고 비교 수행 등). 이러한 메커니즘은 매우 유연하고 효율적인 규칙 처리를 허용합니다.

nftables 의 개선 사항은 해당 가상 머신에 대한 새로운 지침으로 도입될 수 있습니다. 일반적으로 새 커널 모듈과 libnftnl 라이브러리 및 nft 명령줄 유틸리티를 업데이트해야 합니다.

또는 커널 수정 없이도 기존 지침을 혁신적으로 결합하여 새로운 기능을 도입할 수 있습니다. nftables 규칙의 구문은 기본 가상 시스템의 유연성을 반영합니다. 예를 들어 meta 마크가 tcp dport 맵을 설정하는 규칙 { 22: 1, 80: 2 } 는 TCP 대상 포트가 22인 경우 패킷의 방화벽 표시를 1로 설정하고 포트가 80인 경우 2로 설정합니다. 이것은 복잡한 논리를 간결하게 표현 할 수있는 방법을 보여줍니다.

복잡한 필터링 및 확인 맵

nftables 프레임워크는 IP 주소, 포트, 기타 데이터 유형 및 가장 중요한 조합에서 iptables 에서 사용되는 ipset 유틸리티의 기능을 통합하고 확장합니다. 이러한 통합을 통해 nftables 내에서 직접 대규모의 동적 데이터 세트를 쉽게 관리할 수 있습니다. 다음으로 nftables 는 모든 데이터 유형에 대한 여러 값 또는 범위를 기반으로 일치하는 패킷을 기본적으로 지원하므로 복잡한 필터링 요구 사항을 처리하는 기능이 향상됩니다. nftables 를 사용하면 패킷 내의 모든 필드를 조작할 수 있습니다.

nftables 에서 세트는 이름이 지정되거나 익명일 수 있습니다. 명명된 세트는 여러 규칙에서 참조하고 동적으로 수정할 수 있습니다. 익명 세트는 규칙 내에서 인라인으로 정의되며 변경할 수 없습니다. 세트에는 다양한 유형의 조합(예: IP 주소 및 포트 번호 쌍)이 포함된 요소가 포함될 수 있습니다. 이 기능을 사용하면 복잡한 기준과 일치하는 유연성이 향상됩니다. 세트를 관리하기 위해 커널은 특정 요구 사항(성능, 메모리 효율성 등)에 따라 가장 적절한 백엔드를 선택할 수 있습니다. 세트는 키-값 쌍이 있는 맵으로 기능할 수도 있습니다. value 부분은 데이터 포인트(패치 헤더에 쓸 값) 또는 이동할 정성 또는 체인으로 사용할 수 있습니다. 이를 통해 "verdict maps"라는 복잡하고 동적인 규칙 동작을 사용할 수 있습니다.

유연한 규칙 형식

nftables 규칙의 구조는 간단합니다. 조건 및 작업은 왼쪽에서 오른쪽으로 순차적으로 적용됩니다. 이 직관적인 형식을 사용하면 규칙을 만들고 문제를 해결할 수 있습니다.

규칙의 조건은 논리적으로( AND 연산자를 사용하여) 함께 연결되므로 규칙이 일치하도록 모든 조건을 "true"로 평가해야 합니다. 조건이 하나라도 실패하면 평가가 다음 규칙으로 이동합니다.

nftables 의 작업은 삭제 또는 수락 과 같은 최종 작업이 될 수 있으므로 패킷에 대한 추가 규칙 처리를 중지합니다. 카운터 로그 메타 마크 세트 0x3 과 같은 터미널이 아닌 작업은 특정 작업(패킷, 로깅, 마크 설정 등)을 수행하지만 후속 규칙을 평가할 수 있습니다.

8.2.3. 더 이상 사용되지 않는 iptables 프레임워크의 개념
링크 복사

적극적으로 유지 관리되는 nftables 프레임워크와 유사하게 더 이상 사용되지 않는 iptables 프레임워크를 사용하면 다양한 패킷 필터링 작업, 로깅 및 감사, NAT 관련 구성 작업 등을 수행할 수 있습니다.

iptables 프레임워크는 각 테이블이 특정 목적을 위해 설계된 여러 테이블로 구성되어 있습니다.

filter
기본 테이블은 일반 패킷 필터링을 보장합니다.
nat
NAT(Network Address Translation)의 경우 패킷의 소스 및 대상 주소 변경을 포함합니다.
mangle
특정 패킷 변경을 위해 고급 라우팅 결정에 대해 패킷 헤더를 수정할 수 있습니다.
Raw
연결 추적 전에 수행해야 하는 구성의 경우

이러한 테이블은 별도의 커널 모듈로 구현되며, 각 테이블은 INPUT,OUTPUT, FORWARD 와 같은 고정된 내장 체인 세트를 제공합니다. 체인은 패킷이 평가되는 일련의 규칙입니다. 이러한 체인은 커널의 패킷 처리 흐름의 특정 지점에 연결됩니다. 체인은 여러 테이블 간에 이름이 동일하지만 실행 순서는 해당 후크 우선 순위에 따라 결정됩니다. 우선순위는 커널에서 내부적으로 관리되므로 규칙이 올바른 순서로 적용되는지 확인합니다.

원래 iptables 는 IPv4 트래픽을 처리하도록 설계되었습니다. 그러나 IPv6 프로토콜을 도입하면 비슷한 기능( iptables)을 제공하고 사용자가 IPv6 패킷에 대한 방화벽 규칙을 생성하고 관리할 수 있도록 ip6tables 유틸리티를 도입해야 합니다. 동일한 논리를 통해 arptables 유틸리티는 ARP(Address Resolution Protocol)를 처리하기 위해 생성되었으며 ebtables 유틸리티는 이더넷 브리징 프레임을 처리하기 위해 개발되었습니다. 이러한 툴은 iptables 의 패킷 필터링 기능을 다양한 네트워크 프로토콜에 적용하고 포괄적인 네트워크 범위를 제공할 수 있도록 합니다.

iptables 의 기능을 개선하기 위해 확장 기능을 개발하기 시작했습니다. 기능 확장은 일반적으로 사용자 공간 동적 공유 오브젝트(DSO)와 페어링되는 커널 모듈로 구현됩니다. 확장 기능으로 방화벽 규칙에 더 정교한 작업을 수행할 수 있는 "matches" 및 "대상"이 도입되었습니다. 확장 기능을 사용하면 복잡한 일치 및 대상을 활성화할 수 있습니다. 예를 들어 특정 계층 4 프로토콜 헤더 값을 일치시키거나 조작하고, rate-limiting을 수행하고 할당량을 적용할 수 있습니다. 일부 확장 기능은 기본 iptables 구문의 제한 사항을 해결하도록 설계되었습니다(예: "multiport" 일치 확장). 이 확장을 사용하면 단일 규칙이 일치되지 않은 여러 포트를 일치시켜 규칙 정의를 단순화하고 필요한 개별 규칙 수를 줄일 수 있습니다.

ipsetiptables 에 대한 특별한 종류의 기능 확장입니다. iptables 와 함께 사용하여 IP 주소, 포트 번호 및 패킷과 일치시킬 수 있는 기타 네트워크 관련 요소 컬렉션을 생성하는 커널 수준 데이터 구조입니다. 이러한 세트는 방화벽 규칙을 작성하고, 작성하고, 관리하는 프로세스를 크게 간소화, 최적화 및 가속화합니다.

8.2.4. iptables 및 ip6tables 규칙 세트를 nftables로 변환
링크 복사

iptables-restore-translateip6tables-restore-translate 유틸리티를 사용하여 iptablesip6tables 규칙 세트를 nftables 로 변환합니다.

사전 요구 사항

  • nftablesiptables 패키지가 설치됩니다.
  • 시스템에는 iptablesip6tables 규칙이 구성되어 있습니다.

절차

  1. iptablesip6tables 규칙을 파일에 작성합니다. 

    # iptables-save >/root/iptables.dump
# ip6tables-save >/root/ip6tables.dump
    Copy to Clipboard Toggle word wrap

  2. 덤프 파일을 nftables 명령으로 변환합니다. 

    # iptables-restore-translate -f /root/iptables.dump > /etc/nftables/ruleset-migrated-from-iptables.nft
# ip6tables-restore-translate -f /root/ip6tables.dump > /etc/nftables/ruleset-migrated-from-ip6tables.nft
    Copy to Clipboard Toggle word wrap
  3. 및 필요한 경우 생성된 nftables 규칙을 수동으로 업데이트합니다.

  4. 생성된 파일을 로드할 nftables 서비스를 활성화하려면 /etc/sysconfig/nftables.conf 파일에 다음을 추가합니다. 

    include "/etc/nftables/ruleset-migrated-from-iptables.nft"
include "/etc/nftables/ruleset-migrated-from-ip6tables.nft"
    Copy to Clipboard Toggle word wrap

  5. iptables 서비스를 중지하고 비활성화합니다. 

    # systemctl disable --now iptables
    Copy to Clipboard Toggle word wrap

    사용자 지정 스크립트를 사용하여 iptables 규칙을 로드한 경우 스크립트가 더 이상 자동으로 시작되지 않고 재부팅하여 모든 테이블을 플러시해야 합니다.

  6. nftables 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now nftables
    Copy to Clipboard Toggle word wrap

검증

  • nftables 규칙 세트를 표시합니다. 

    # nft list ruleset
    Copy to Clipboard Toggle word wrap

8.2.5. 단일 iptables 및 ip6tables 규칙을 nftables로 변환
링크 복사

Red Hat Enterprise Linux는 iptables-translateip6tables-translate 유틸리티를 제공하여 iptables 또는 ip6tables 규칙을 nftables 에 해당하는 규칙으로 변환합니다.

사전 요구 사항

  • nftables 패키지가 설치되어 있어야 합니다.

절차

  • iptables 또는 ip6tables 대신 iptables-translate 또는 ip6tables-translate 유틸리티를 사용하여 해당 nftables 규칙을 표시합니다. 예를 들면 다음과 같습니다. 

    # iptables-translate -A INPUT -s 192.0.2.0/24 -j ACCEPT
nft add rule ip filter INPUT ip saddr 192.0.2.0/24 counter accept
    Copy to Clipboard Toggle word wrap

    일부 확장 기능에는 해당 지원이 누락되어 있는 경우도 있습니다. 이 경우 유틸리티는 # 기호가 앞에 오는 untranslated 규칙을 출력합니다. 예를 들면 다음과 같습니다. 

    # iptables-translate -A INPUT -j CHECKSUM --checksum-fill
nft # -A INPUT -j CHECKSUM --checksum-fill
    Copy to Clipboard Toggle word wrap

8.2.6. 일반적인 iptables 및 nftables 명령 비교
링크 복사

다음은 일반적인 iptablesnftables 명령을 비교한 것입니다.

  • 모든 규칙 나열:

    Expand
    iptablesnftables

    iptables-save

    nft list ruleset

  • 특정 테이블 및 체인 나열:

    Expand
    iptablesnftables

    iptables -L

    nft list table ip filter

    iptables -L INPUT

    nft 목록 체인 IP 필터 INPUT

    iptables -t nat -L PREROUTING

    nft 목록 체인 IP nat PREROUTING

    nft 명령은 테이블 및 체인을 사전 생성하지 않습니다. 사용자가 수동으로 생성한 경우에만 존재합니다.

    firewalld에서 생성한 규칙 나열: 

    # nft list table inet firewalld
# nft list table ip firewalld
# nft list table ip6 firewalld
    Copy to Clipboard Toggle word wrap

8.3. nftables를 사용하여 NAT 구성
링크 복사

nftables 에서는 다음 NAT(네트워크 주소 변환) 유형을 구성할 수 있습니다.

  • masquerading
  • 소스 NAT(SNAT)
  • 대상 NAT(DNAT)
  • 리디렉션
중요

iifnameoifname 매개변수에만 실제 인터페이스 이름을 사용할 수 있으며 대체 이름(altname)은 지원되지 않습니다.

8.3.1. NAT 유형
링크 복사

이는 다른 NAT(네트워크 주소 변환) 유형입니다.

masquerading 및 source NAT(SNAT)

이러한 NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어, 인터넷 서비스 공급자(ISP)는 10.0.0.0/8 과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 연결할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.

마스커레이딩과 SNAT는 서로 매우 비슷합니다. 차이점은 다음과 같습니다.

  • 마스커레이딩은 나가는 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 나가는 인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩을 사용합니다.
  • SNAT는 패킷의 소스 IP 주소를 지정된 IP로 설정하고 나가는 인터페이스의 IP를 동적으로 조회하지 않습니다. 따라서 SNAT는 마스커레이딩보다 빠릅니다. 나가는 인터페이스에서 고정 IP 주소를 사용하는 경우 SNAT를 사용합니다.
대상 NAT(DNAT)
이 NAT 유형을 사용하여 들어오는 패킷의 대상 주소와 포트를 다시 작성합니다. 예를 들어 웹 서버가 개인 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에 DNAT 규칙을 설정하여 수신 트래픽을 이 서버로 리디렉션할 수 있습니다.
리디렉션
이 유형은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 DNAT의 특별한 사례입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 들어오는 트래픽을 이 특정 포트로 리디렉션할 수 있습니다.

8.3.2. nftables를 사용하여 마스커레이딩 구성
링크 복사

마스커레이딩을 사용하면 라우터가 인터페이스를 통해 전송된 패킷의 소스 IP를 인터페이스의 IP 주소로 동적으로 변경할 수 있습니다. 즉, 인터페이스에 새 IP가 할당되면 nftables 는 소스 IP를 교체할 때 새 IP를 자동으로 사용합니다.

ens3 인터페이스를 통해 호스트를 떠나는 패킷의 소스 IP를 ens3 의 IP 세트로 교체합니다.

절차

  1. 테이블을 생성합니다. 

    # nft add table nat
    Copy to Clipboard Toggle word wrap

  2. 사전 설정 및 사 후 체인 을 테이블에 추가합니다. 

    # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
    Copy to Clipboard Toggle word wrap
    중요

    prerouting 체인에 규칙을 추가하지 않더라도 nftables 프레임워크를 사용하려면 들어오는 패킷 응답과 일치해야 합니다.

    쉘에서 음수 우선 순위 값을 nft 명령의 옵션으로 해석하지 못하도록 -- 옵션을 nft 명령에 전달해야 합니다.

  3. ens3 인터페이스에서 나가는 패킷과 일치하는 postrouting 체인에 규칙을 추가합니다. 

    # nft add rule nat postrouting oifname "ens3" masquerade
    Copy to Clipboard Toggle word wrap

8.3.3. nftables를 사용하여 소스 NAT 구성
링크 복사

라우터에서 SNAT(Source NAT)를 사용하면 인터페이스를 통해 전송된 패킷의 IP를 특정 IP 주소로 변경할 수 있습니다. 그런 다음 라우터는 발신 패킷의 소스 IP를 대체합니다.

절차

  1. 테이블을 생성합니다. 

    # nft add table nat
    Copy to Clipboard Toggle word wrap

  2. 사전 설정 및 사 후 체인 을 테이블에 추가합니다. 

    # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
    Copy to Clipboard Toggle word wrap
    중요

    체인에 규칙을 추가하지 않더라도 nftables 프레임워크를 사용하려면 이 체인이 발신 패킷 응답과 일치해야 합니다.

    쉘에서 음수 우선 순위 값을 nft 명령의 옵션으로 해석하지 못하도록 -- 옵션을 nft 명령에 전달해야 합니다.

  3. ens3 을 통해 나가는 패킷의 소스 IP를 192.0.2.1 로 대체하는 후 라우팅 체인에 규칙을 추가합니다. 

    # nft add rule nat postrouting oifname "ens3" snat to 192.0.2.1
    Copy to Clipboard Toggle word wrap

8.3.4. nftables를 사용하여 대상 NAT 구성
링크 복사

대상 NAT(DNAT)를 사용하면 라우터의 트래픽을 인터넷에서 직접 액세스할 수 없는 호스트로 리디렉션할 수 있습니다.

예를 들어, DNAT를 사용하면 라우터가 포트 80443 으로 전송된 들어오는 트래픽을 IP 주소 192.0.2.1 이 있는 웹 서버로 리디렉션합니다.

절차

  1. 테이블을 생성합니다. 

    # nft add table nat
    Copy to Clipboard Toggle word wrap

  2. 다음 표에 다음 체인을 추가합니다. 

    # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
# nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
    Copy to Clipboard Toggle word wrap
    중요

    postrouting 체인에 규칙을 추가하지 않더라도 nftables 프레임워크에는 이 체인이 발신 패킷 응답과 일치해야 합니다.

    쉘이 음수 우선순위 값을 nft 명령의 옵션으로 해석하지 못하도록 -- 옵션을 nft 명령에 전달해야 합니다.

  3. 라우터의 ens3 인터페이스에서 IP 주소 192.0.2.1 을 사용하여 웹 서버로 들어오는 트래픽을 포트 80443 으로 리디렉션하는 이전 체인에 규칙을 추가합니다. 

    # nft add rule nat prerouting iifname ens3 tcp dport { 80, 443 } dnat to 192.0.2.1
    Copy to Clipboard Toggle word wrap

  4. 환경에 따라 SNAT 또는 마스커레이딩 규칙을 추가하여 웹 서버에서 발신자로 반환되는 패킷의 소스 주소를 변경합니다.

    1. ens3 인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩 규칙을 추가합니다. 

      # nft add rule nat postrouting oifname "ens3" masquerade
      Copy to Clipboard Toggle word wrap

    2. ens3 인터페이스에서 고정 IP 주소를 사용하는 경우 SNAT 규칙을 추가합니다. 예를 들어 ens3 에서 198.51.100.1 IP 주소를 사용하는 경우 다음을 실행합니다. 

      # nft add rule nat postrouting oifname "ens3" snat to 198.51.100.1
      Copy to Clipboard Toggle word wrap

  5. 패킷 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
    Copy to Clipboard Toggle word wrap

8.3.5. nftables를 사용하여 리디렉션 구성
링크 복사

리디렉션 기능은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 대상 DNAT(네트워크 주소 변환)의 특수한 사례입니다.

예를 들어 로컬 호스트의 포트 22 로 전송된 수신 및 전달된 트래픽을 포트 2222 로 리디렉션할 수 있습니다.

프로세스

  1. 테이블을 생성합니다. 

    # nft add table nat
    Copy to Clipboard Toggle word wrap

  2. 테이블에 사전 체인을 추가합니다. 

    # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
    Copy to Clipboard Toggle word wrap

    쉘이 음수 우선순위 값을 nft 명령의 옵션으로 해석하지 못하도록 -- 옵션을 nft 명령에 전달해야 합니다.

  3. 포트 22에서 들어오는 트래픽을 포트 22 로 리디렉션하는 사전 아웃 체인에 규칙을 추가합니다. 

    # nft add rule nat prerouting tcp dport 22 redirect to 2222
    Copy to Clipboard Toggle word wrap

8.4. nftables 스크립트 작성 및 실행
링크 복사

nftables 프레임워크를 사용할 때의 주요 이점은 스크립트 실행이 atomic이라는 것입니다. 즉, 시스템이 전체 스크립트를 적용하거나 오류가 발생하면 실행을 방지합니다. 이렇게 하면 방화벽이 항상 일관된 상태로 유지됩니다.

또한 nftables 스크립트 환경을 사용하면 다음을 수행할 수 있습니다.

  • 댓글 추가
  • 변수 정의
  • 기타 규칙 세트 파일 포함

nftables 패키지를 설치하면 Red Hat Enterprise Linux가 /etc/nftables/ 디렉터리에 *.nft 스크립트가 자동으로 생성됩니다. 이러한 스크립트에는 서로 다른 용도로 테이블 및 빈 체인을 만드는 명령이 포함되어 있습니다.

8.4.1. 지원되는 nftables 스크립트 형식
링크 복사

nftables 스크립팅 환경에서 다음 형식으로 스크립트를 작성할 수 있습니다.

  • nft list ruleset 명령과 동일한 형식은 규칙 세트를 표시합니다. 

    #!/usr/sbin/nft -f

# Flush the rule set
flush ruleset

table inet example_table {
  chain example_chain {
    # Chain for incoming packets that drops all packets that
    # are not explicitly allowed by any rule in this chain
    type filter hook input priority 0; policy drop;

    # Accept connections to port 22 (ssh)
    tcp dport ssh accept
  }
}
    Copy to Clipboard Toggle word wrap

  • nft 명령과 동일한 구문: 

    #!/usr/sbin/nft -f

# Flush the rule set
flush ruleset

# Create a table
add table inet example_table

# Create a chain for incoming packets that drops all packets
# that are not explicitly allowed by any rule in this chain
add chain inet example_table example_chain { type filter hook input priority 0 ; policy drop ; }

# Add a rule that accepts connections to port 22 (ssh)
add rule inet example_table example_chain tcp dport ssh accept
    Copy to Clipboard Toggle word wrap

8.4.2. nftables 스크립트 실행
링크 복사

nft 유틸리티에 전달하거나 스크립트를 직접 실행하여 nftables 스크립트를 실행할 수 있습니다.

프로세스

  • nft 유틸리티에 전달하여 nftables 스크립트를 실행하려면 다음을 입력합니다. 

    # nft -f /etc/nftables/<example_firewall_script>.nft
    Copy to Clipboard Toggle word wrap

  • nftables 스크립트를 직접 실행하려면 다음을 수행합니다.

    1. 이 작업을 수행하는 동안 다음을 수행합니다.

      1. 스크립트가 다음 shebang 시퀀스로 시작하는지 확인합니다. 

        #!/usr/sbin/nft -f
        Copy to Clipboard Toggle word wrap
        중요

        -f 매개변수를 생략하면 nft 유틸리티에서 스크립트를 읽지 않고 다음을 표시합니다. 오류: 구문 오류, 예기치 않은 줄 바꿈, 문자열이 필요합니다.

      2. 선택 사항: 스크립트 소유자를 root 로 설정합니다. 

        # chown root /etc/nftables/<example_firewall_script>.nft
        Copy to Clipboard Toggle word wrap

      3. 소유자가 스크립트를 실행할 수 있도록 설정합니다. 

        # chmod u+x /etc/nftables/<example_firewall_script>.nft
        Copy to Clipboard Toggle word wrap

    2. 스크립트를 실행합니다. 

      # /etc/nftables/<example_firewall_script>.nft
      Copy to Clipboard Toggle word wrap

      출력이 표시되지 않으면 시스템이 스크립트를 성공적으로 실행했습니다.

중요

nft 가 스크립트를 성공적으로 실행하고 규칙, 누락된 매개 변수 또는 스크립트의 기타 문제를 잘못 배치하면 방화벽이 예상대로 작동하지 않을 수 있습니다.

8.4.3. nftables 스크립트에서 주석 사용
링크 복사

nftables 스크립팅 환경은 줄 끝 부분에 # 문자 오른쪽에 있는 모든 항목을 주석으로 해석합니다.

주석은 줄 시작 시 또는 명령 옆에 있을 수 있습니다. 

...
# Flush the rule set
flush ruleset

add table inet example_table  # Create a table
...
Copy to Clipboard Toggle word wrap

8.4.4. nftables 스크립트에서 변수 사용
링크 복사

nftables 스크립트에서 변수를 정의하려면 define 키워드를 사용합니다. 단일 값과 익명 세트를 변수에 저장할 수 있습니다. 더 복잡한 시나리오의 경우 세트 또는 확인 맵을 사용합니다.

단일 값이 있는 변수

다음 예제에서는 enp1s0 값이 있는 INET_DEV 변수를 정의합니다. 

define INET_DEV = enp1s0
Copy to Clipboard Toggle word wrap

$ 기호 뒤에 변수 이름을 입력하여 스크립트에서 변수를 사용할 수 있습니다. 

...
add rule inet example_table example_chain iifname $INET_DEV tcp dport ssh accept
...
Copy to Clipboard Toggle word wrap
익명 세트가 포함된 변수

다음 예제에서는 익명 세트가 포함된 변수를 정의합니다. 

define DNS_SERVERS = { 192.0.2.1, 192.0.2.2 }
Copy to Clipboard Toggle word wrap

$ 기호 뒤에 변수 이름을 작성하여 스크립트의 변수를 사용할 수 있습니다. 

add rule inet example_table example_chain ip daddr $DNS_SERVERS accept
Copy to Clipboard Toggle word wrap
참고

중괄호에는 변수가 집합을 표시함을 나타내기 때문에 규칙에서 사용할 때 특수한 의미가 있습니다.

8.4.5. nftables 스크립트에 파일 포함
링크 복사

nftables 스크립팅 환경에서는 include 문을 사용하여 다른 스크립트를 포함할 수 있습니다.

절대 경로 또는 상대 경로 없이 파일 이름만 지정하면 nftables 에는 기본 검색 경로의 파일(Red Hat Enterprise Linux에서 /etc 로 설정됨)이 포함됩니다.

예 8.1. 기본 검색 디렉터리에서 파일 포함

기본 검색 디렉터리의 파일을 포함하려면 다음을 수행합니다. 

include "example.nft"
Copy to Clipboard Toggle word wrap

예 8.2. 디렉터리에서 모든 *.nft 파일 포함

/etc/nftables/rulesets/ 디렉터리에 저장된 *.nft 로 끝나는 모든 파일을 포함하려면 다음을 수행합니다. 

include "/etc/nftables/rulesets/*.nft"
Copy to Clipboard Toggle word wrap

include 문이 점으로 시작하는 파일과 일치하지 않습니다.

8.4.6. 시스템이 부팅될 때 nftables 규칙 자동 로드
링크 복사

nftables systemd 서비스는 /etc/sysconfig/nftables.conf 파일에 포함된 방화벽 스크립트를 로드합니다.

사전 요구 사항

  • nftables 스크립트는 /etc/nftables/ 디렉터리에 저장됩니다.

프로세스

  1. /etc/sysconfig/nftables.conf 파일을 편집합니다.

    • nftables 패키지 설치와 함께 /etc/nftables/ 에 생성된 *.nft 스크립트를 수정한 경우 이러한 스크립트의 include 문의 주석을 제거합니다.

    • 새 스크립트를 작성한 경우 include 문을 추가하여 이러한 스크립트를 포함합니다. 예를 들어 nftables 서비스가 시작될 때 /etc/nftables/.nft 스크립트를 로드하려면 다음을 추가합니다. 

      include "/etc/nftables/_example_.nft"
      Copy to Clipboard Toggle word wrap

  2. 선택 사항: 시스템을 재부팅하지 않고 nftables 서비스를 시작하여 방화벽 규칙을 로드합니다. 

    # systemctl start nftables
    Copy to Clipboard Toggle word wrap

  3. nftables 서비스를 활성화합니다. 

    # systemctl enable nftables
    Copy to Clipboard Toggle word wrap

8.5. nftables 명령에서 세트 사용
링크 복사

nftables 프레임워크는 기본적으로 세트를 지원합니다. 예를 들어 규칙이 여러 IP 주소, 포트 번호, 인터페이스 또는 기타 일치 기준과 일치해야 하는 경우 세트를 사용할 수 있습니다.

8.5.1. nftables에서 익명 세트 사용
링크 복사

익명 집합에는 규칙에서 직접 사용하는 { 22, 80, 443 } 과 같이 중괄호로 묶은 쉼표로 구분된 값이 포함되어 있습니다. IP 주소 및 기타 일치 조건에도 익명 세트를 사용할 수 있습니다.

익명 세트의 단점은 집합을 변경하려면 규칙을 교체해야 한다는 것입니다. 동적 솔루션의 경우 nftables에서 명명된 세트 사용에 설명된 대로 이름이 지정된 세트를 사용합니다.

사전 요구 사항

  • inet 제품군의 example_chain 체인과 example_table 테이블이 있습니다.

프로세스

  1. 예를 들어 포트 22,80443 으로 들어오는 트래픽을 허용하는 example_table 에서 example_chain 에 규칙을 추가하려면 다음을 수행합니다. 

    # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
    Copy to Clipboard Toggle word wrap

  2. 선택 사항: example_table 에 모든 체인과 해당 규칙을 표시합니다. 

    # nft list table inet example_table
table inet example_table {
  chain example_chain {
    type filter hook input priority filter; policy accept;
    tcp dport { ssh, http, https } accept
  }
}
    Copy to Clipboard Toggle word wrap

8.5.2. nftables에서 named set 사용
링크 복사

nftables 프레임워크는 변경 가능한 이름이 설정된 세트를 지원합니다. 명명된 세트는 테이블 내의 여러 규칙에서 사용할 수 있는 요소 목록 또는 범위입니다. 익명 세트를 통한 또 다른 이점은 세트를 사용하는 규칙을 교체하지 않고도 이름이 지정된 세트를 업데이트할 수 있다는 것입니다.

명명된 세트를 만들 때 집합에 포함된 요소 유형을 지정해야 합니다. 다음 유형을 설정할 수 있습니다.

  • 192.0.2.1 또는 192.0.2.0/24 와 같은 IPv4 주소 또는 범위가 포함된 세트의 ipv4_addr.
  • 2001:db8:1::1 또는 2001:db8:1::1 /64 와 같은 IPv6 주소 또는 범위가 포함된 세트의 ipv6_addr
  • 52:54:00:6b:66:42 와 같은 미디어 액세스 제어(MAC) 주소 목록이 포함된 세트의 ether_addr
  • inet_prototcp 와 같은 인터넷 프로토콜 유형 목록이 포함된 세트의 경우입니다.
  • ssh 와 같은 인터넷 서비스 목록이 포함된 세트의 inet_service.
  • 패킷 표시 목록을 포함하는 세트의 마크 입니다. 패킷 표시는 모든 양의 32비트 정수 값(0 ~ 2147483647)일 수 있습니다.

사전 요구 사항

  • example_chain 체인과 example_table 테이블이 있습니다.

프로세스

  1. 빈 세트를 만듭니다. 다음 예제에서는 IPv4 주소에 대한 세트를 생성합니다.

    • 여러 개별 IPv4 주소를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다. 

      # nft add set inet example_table example_set { type ipv4_addr \; }
      Copy to Clipboard Toggle word wrap

    • IPv4 주소 범위를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다. 

      # nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }
      Copy to Clipboard Toggle word wrap
    중요

    쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.

  2. 선택 사항: 세트를 사용하는 규칙을 생성합니다. 예를 들어 다음 명령은 example_tableexample_chain 에 규칙을 추가하여 example_set 의 IPv4 주소에서 모든 패킷을 삭제합니다. 

    # nft add rule inet example_table example_chain ip saddr @example_set drop
    Copy to Clipboard Toggle word wrap

    example_set 은 여전히 비어 있기 때문에 규칙은 현재 적용되지 않습니다.

  3. IPv4 주소를 example_set 에 추가합니다.

    • 개별 IPv4 주소를 저장하는 세트를 생성하는 경우 다음을 입력합니다. 

      # nft add element inet example_table example_set { 192.0.2.1, 192.0.2.2 }
      Copy to Clipboard Toggle word wrap

    • IPv4 범위를 저장하는 세트를 생성하는 경우 다음을 입력합니다. 

      # nft add element inet example_table example_set { 192.0.2.0-192.0.2.255 }
      Copy to Clipboard Toggle word wrap

      IP 주소 범위를 지정하면 위 예제의 192.0.2.0/24 와 같은 CIDR(Classless Inter-Domain Routing) 표기법을 사용할 수 있습니다.

8.5.3. 동적 세트를 사용하여 패킷 경로의 항목 추가
링크 복사

nftables 프레임워크의 동적 세트를 사용하면 패킷 데이터에서 요소를 자동으로 추가할 수 있습니다. 예를 들어 IP 주소, 대상 포트, MAC 주소 등이 있습니다. 이 기능을 사용하면 이러한 요소를 실시간으로 수집하고 거부 목록을 만들고, 목록을 금지하고, 보안 위협에 즉시 대응할 수 있도록 다른 요소를 사용할 수 있습니다.

사전 요구 사항

  • inet 제품군의 example_chain 체인과 example_table 테이블이 있습니다.

프로세스

  1. 빈 세트를 만듭니다. 다음 예제에서는 IPv4 주소에 대한 세트를 생성합니다.

    • 여러 개별 IPv4 주소를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다. 

      # nft add set inet example_table example_set { type ipv4_addr \; }
      Copy to Clipboard Toggle word wrap

    • IPv4 주소 범위를 저장할 수 있는 세트를 생성하려면 다음을 수행합니다. 

      # nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }
      Copy to Clipboard Toggle word wrap
      중요

      쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.

  2. 들어오는 패킷의 소스 IPv4 주소를 example_set 세트에 동적으로 추가하는 규칙을 만듭니다. 

    # nft add rule inet example_table example_chain set add ip saddr @example_set
    Copy to Clipboard Toggle word wrap

    명령은 example_chain 규칙 체인에 새 규칙을 생성하고 example_table 은 패킷의 소스 IPv4 주소를 example_set 에 동적으로 추가합니다.

검증

  • 규칙이 추가되었는지 확인합니다. 

    # nft list ruleset
...
table ip example_table {
	set example_set {
		type ipv4_addr
		elements = { 192.0.2.250, 192.0.2.251 }
	}

	chain example_chain {
    type filter hook input priority 0
		add @example_set { ip saddr }
	}
}
    Copy to Clipboard Toggle word wrap

    명령은 현재 nftables 에 로드된 전체 규칙 세트를 표시합니다. IP가 적극적으로 규칙을 트리거하고 있으며 example_set 이 관련 주소로 업데이트되고 있음을 보여줍니다.

다음 단계

동적 IP 세트가 있으면 다양한 보안, 필터링 및 트래픽 제어 목적으로 사용할 수 있습니다. 예를 들면 다음과 같습니다.

  • 블록, 제한 또는 네트워크 트래픽 로그
  • 신뢰할 수 있는 사용자를 금지하기 위해 허용 목록과 결합
  • 자동 시간 초과를 사용하여 초과 차단 방지

8.6. nftables 명령에 verdict 맵 사용
링크 복사

사전이라고도 하는 정성 맵을 사용하면 nft 가 일치 기준을 작업에 매핑하여 패킷 정보를 기반으로 작업을 수행할 수 있습니다.

8.6.1. nftables에서 익명 맵 사용
링크 복사

익명 맵은 규칙에서 직접 사용하는 { match_criteria : action } 구문입니다. 문에는 쉼표로 구분된 여러 매핑이 포함될 수 있습니다.

익명 맵의 단점은 맵을 변경하려면 규칙을 교체해야 한다는 것입니다. 동적 솔루션의 경우 nftables에서 이름이 지정된 맵 사용에 설명된 대로 이름이 지정된 맵 을 사용합니다.

예를 들어 익명 맵을 사용하여 IPv4 및 IPv6 프로토콜의 TCP 및 UDP 패킷을 다른 체인으로 라우팅하여 들어오는 TCP 및 UDP 패킷을 별도로 계산할 수 있습니다.

프로세스

  1. 새 테이블을 만듭니다. 

    # nft add table inet example_table
    Copy to Clipboard Toggle word wrap

  2. example_tabletcp_packets 체인을 생성합니다. 

    # nft add chain inet example_table tcp_packets
    Copy to Clipboard Toggle word wrap

  3. 이 체인의 트래픽을 계산하는 tcp_packets 에 규칙을 추가합니다. 

    # nft add rule inet example_table tcp_packets counter
    Copy to Clipboard Toggle word wrap

  4. example_tableudp_packets 체인을 생성 

    # nft add chain inet example_table udp_packets
    Copy to Clipboard Toggle word wrap

  5. 이 체인의 트래픽을 계산하는 udp_packets 에 규칙을 추가합니다. 

    # nft add rule inet example_table udp_packets counter
    Copy to Clipboard Toggle word wrap

  6. 들어오는 트래픽에 대한 체인을 생성합니다. 예를 들어 수신 트래픽을 필터링하는 example_tableincoming_traffic 라는 체인을 만들려면 다음을 수행합니다. 

    # nft add chain inet example_table incoming_traffic { type filter hook input priority 0 \; }
    Copy to Clipboard Toggle word wrap

  7. anonymous 맵이 있는 규칙을 incoming_traffic:에 추가합니다. 

    # nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }
    Copy to Clipboard Toggle word wrap

    익명 맵은 패킷을 구분하고 프로토콜을 기반으로 다른 카운터 체인으로 보냅니다.

  8. 트래픽 카운터를 나열하려면 example_table 을 표시합니다. 

    # nft list table inet example_table
table inet example_table {
  chain tcp_packets {
    counter packets 36379 bytes 2103816
  }

  chain udp_packets {
    counter packets 10 bytes 1559
  }

  chain incoming_traffic {
    type filter hook input priority filter; policy accept;
    ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }
  }
}
    Copy to Clipboard Toggle word wrap

    tcp_packetsudp_packets 체인의 카운터는 수신된 패킷 수와 바이트를 모두 표시합니다.

8.6.2. nftables에서 이름이 지정된 맵 사용
링크 복사

nftables 프레임워크는 이름이 지정된 맵을 지원합니다. 이러한 맵은 테이블 내의 여러 규칙에서 사용할 수 있습니다. 익명 맵을 통한 또 다른 이점은 해당 맵을 사용하는 규칙을 교체하지 않고도 이름이 지정된 맵을 업데이트할 수 있다는 것입니다.

이름이 지정된 맵을 생성할 때 요소 유형을 지정해야 합니다.

  • 일치하는 부분이 있는 맵의 ipv4_addr 에는 192.0.2.1 과 같은 IPv4 주소가 포함되어 있습니다.
  • 일치하는 부분이 있는 맵의 ipv6_addr 에는 2001:db8:1::1 과 같은 IPv6 주소가 포함됩니다.
  • 일치하는 부분이 있는 맵의 ether_addr 에는 52:54:00:6b:66:42 와 같은 MAC( Media Access Control) 주소가 포함됩니다.
  • inet_proto 일치하는 부분이 있는 맵의 경우 tcp 와 같은 인터넷 프로토콜 유형이 포함되어 있습니다.
  • inet_service 일치하는 맵의 경우 ssh 또는 22 와 같은 인터넷 서비스 이름 포트 번호가 포함되어 있습니다.
  • 일치하는 부분이 패킷 마크 를 포함하는 맵에 대해 마크합니다. 패킷 마크는 모든 양의 32비트 정수 값(0 ~ 2147483647)일 수 있습니다.
  • 카운터 값에 일치하는 부분이 포함된 맵의 카운터입니다. 카운터 값은 양의 64비트 정수 값일 수 있습니다.
  • 일치하는 부분이 할당량 값이 포함된 맵의 할당량입니다. 할당량 값은 양의 64비트 정수 값일 수 있습니다.

예를 들어 소스 IP 주소를 기반으로 들어오는 패킷을 허용하거나 삭제할 수 있습니다. IP 주소와 작업이 맵에 동적으로 저장되는 동안 이름이 지정된 맵을 사용하여 이 시나리오를 구성하려면 단일 규칙만 필요합니다.

프로세스

  1. 테이블을 만듭니다. 예를 들어 IPv4 패킷을 처리하는 example_table 이라는 테이블을 만들려면 다음을 수행합니다. 

    # nft add table ip example_table
    Copy to Clipboard Toggle word wrap

  2. 체인을 생성합니다. 예를 들어 example_table 에서 example_chain 이라는 체인을 만들려면 다음을 수행합니다. 

    # nft add chain ip example_table example_chain { type filter hook input priority 0 \; }
    Copy to Clipboard Toggle word wrap
    중요

    쉘이 명령의 마지막으로 message를 해석하지 못하도록 하려면 백슬래시를 사용하여 together을 이스케이프해야 합니다.

  3. 빈 맵을 생성합니다. 예를 들어 IPv4 주소에 대한 맵을 생성하려면 다음을 수행합니다. 

    # nft add map ip example_table example_map { type ipv4_addr : verdict \; }
    Copy to Clipboard Toggle word wrap

  4. 맵을 사용하는 규칙을 생성합니다. 예를 들어 다음 명령은 example_tableexample_chain 에 규칙을 추가하여 example_map 에 모두 정의된 IPv4 주소에 작업을 적용합니다. 

    # nft add rule example_table example_chain ip saddr vmap @example_map
    Copy to Clipboard Toggle word wrap

  5. IPv4 주소와 해당 작업을 example_map 에 추가합니다. 

    # nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }
    Copy to Clipboard Toggle word wrap

    이 예제에서는 IPv4 주소의 매핑을 작업에 정의합니다. 위에서 생성한 규칙과 함께 방화벽은 192.0.2.1 의 패킷을 수락하고 192.0.2.2 에서 패킷을 삭제합니다.

  6. 선택 사항: 다른 IP 주소와 action 문을 추가하여 맵을 개선합니다. 

    # nft add element ip example_table example_map { 192.0.2.3 : accept }
    Copy to Clipboard Toggle word wrap

  7. 선택 사항: 맵에서 항목을 제거합니다. 

    # nft delete element ip example_table example_map { 192.0.2.1 }
    Copy to Clipboard Toggle word wrap

  8. 선택 사항: 규칙 세트를 표시합니다. 

    # nft list ruleset
table ip example_table {
  map example_map {
    type ipv4_addr : verdict
    elements = { 192.0.2.2 : drop, 192.0.2.3 : accept }
  }

  chain example_chain {
    type filter hook input priority filter; policy accept;
    ip saddr vmap @example_map
  }
}
    Copy to Clipboard Toggle word wrap

8.7. 예제: nftables 스크립트를 사용하여 LAN 및 DMZ 보호
링크 복사

RHEL 라우터의 nftables 프레임워크를 사용하여 내부 LAN의 네트워크 클라이언트와 DMZ의 웹 서버를 인터넷 및 기타 네트워크에서 무단 액세스로부터 보호하는 방화벽 스크립트를 작성하고 설치합니다.

중요

이 예제는 설명 목적으로만 사용되며 특정 요구 사항이 있는 시나리오를 설명합니다.

방화벽 스크립트는 네트워크 인프라 및 보안 요구 사항에 따라 크게 달라집니다. 이 예제를 사용하여 자체 환경에 대한 스크립트를 작성할 때 nftables 방화벽의 개념을 알아봅니다.

8.7.1. 네트워크 조건
링크 복사

이 예제의 네트워크에는 다음과 같은 조건이 있습니다.

  • 라우터는 다음 네트워크에 연결되어 있습니다.

    • 인터페이스 enp1s0을 통한 인터넷
    • 인터페이스 enp7s0을 통한 내부 LAN
    • enp8s0까지 DMZ
  • 라우터의 인터넷 인터페이스에는 정적 IPv4 주소(203.0.113.1)와 IPv6 주소(2001:db8:a::1)가 할당되어 있습니다.
  • 내부 LAN의 클라이언트는 10.0.0.0/24 범위의 개인 IPv4 주소만 사용합니다. 결과적으로 LAN에서 인터넷으로 전송되는 경우 소스 네트워크 주소 변환(SNAT)이 필요합니다.
  • 내부 LAN의 관리자 PC는 IP 주소 10.0.0.10010.0.0.200 을 사용합니다.
  • DMZ는 198.51.100.0/242001:db8:b::/56 범위의 공용 IP 주소를 사용합니다.
  • DMZ의 웹 서버는 IP 주소 198.51.100.52001:db8:b::5 를 사용합니다.
  • 라우터는 LAN 및 DMZ의 호스트에 대한 캐싱 DNS 서버 역할을 합니다.

8.7.2. 방화벽 스크립트에 대한 보안 요구 사항
링크 복사

다음은 example 네트워크의 nftables 방화벽에 대한 요구 사항입니다.

  • 라우터는 다음을 수행할 수 있어야 합니다.

    • DNS 쿼리를 반복적으로 확인합니다.
    • 루프백 인터페이스에서 모든 연결을 수행합니다.

  • 내부 LAN의 클라이언트는 다음을 수행할 수 있어야 합니다.

    • 라우터에서 실행 중인 캐싱 DNS 서버를 쿼리합니다.
    • DMZ의 HTTPS 서버에 액세스합니다.
    • 인터넷의 모든 HTTPS 서버에 액세스합니다.
  • 관리자 PC는 SSH를 사용하여 DMZ의 라우터 및 모든 서버에 액세스할 수 있어야 합니다.

  • DMZ의 웹 서버는 다음을 수행할 수 있어야 합니다.

    • 라우터에서 실행 중인 캐싱 DNS 서버를 쿼리합니다.
    • 인터넷의 HTTPS 서버에 액세스하여 업데이트를 다운로드합니다.

  • 인터넷의 호스트는 다음을 수행할 수 있어야 합니다.

    • DMZ의 HTTPS 서버에 액세스합니다.

  • 또한 다음 보안 요구 사항이 있습니다.

    • 명시적으로 허용되지 않는 연결 시도를 삭제해야 합니다.
    • 삭제된 패킷은 기록되어야 합니다.

8.7.3. 파일에 삭제된 패킷 로깅 구성
링크 복사

기본적으로 systemd 는 삭제된 패킷과 같은 커널 메시지를 저널에 기록합니다. 또한 이러한 항목을 별도의 파일에 기록하도록 rsyslog 서비스를 구성할 수 있습니다. 로그 파일이 무한하게 증가하지 않도록 하려면 순환 정책을 구성합니다.

사전 요구 사항

  • rsyslog 패키지가 설치되어 있습니다.
  • rsyslog 서비스가 실행 중입니다.

프로세스

  1. 다음 콘텐츠를 사용하여 /etc/rsyslog.d/nftables.conf 파일을 생성합니다. 

    :msg, startswith, "nft drop" -/var/log/nftables.log
& stop
    Copy to Clipboard Toggle word wrap

    이 구성을 사용하여 rsyslog 서비스는 /var/log/messages 대신 /var/log/nftables.log 파일에 패킷을 기록합니다.

  2. rsyslog 서비스를 다시 시작하십시오. 

    # systemctl restart rsyslog
    Copy to Clipboard Toggle word wrap

  3. 크기가 10MB를 초과하면 /etc/logrotate.d/nftables 파일을 다음 내용으로 생성하여 /var/log/nftables.log 를 순환합니다. 

    /var/log/nftables.log {
  size +10M
  maxage 30
  sharedscripts
  postrotate
    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
  endscript
}
    Copy to Clipboard Toggle word wrap

    maxage 30 설정은 logrotate 가 다음 순환 작업 중에 30일이 지난 순환 로그를 제거하도록 정의합니다.

8.7.4. nftables 스크립트 작성 및 활성화
링크 복사

이 예는 RHEL 라우터에서 실행되고 DMZ의 내부 LAN 및 웹 서버에서 클라이언트를 보호하는 nftables 방화벽 스크립트입니다. 네트워크 및 예제에 사용되는 방화벽의 요구 사항에 대한 자세한 내용은 방화벽 스크립트에 대한 네트워크 조건보안 요구 사항을 참조하십시오.

주의

nftables 방화벽 스크립트는 데모 목적으로만 사용됩니다. 환경 및 보안 요구 사항에 맞게 조정하지 않고 사용하지 마십시오.

사전 요구 사항

프로세스

  1. 다음 콘텐츠를 사용하여 /etc/nftables/firewall.nft 스크립트를 생성합니다. 

    # Remove all rules
flush ruleset


# Table for both IPv4 and IPv6 rules
table inet nftables_svc {

  # Define variables for the interface name
  define INET_DEV = enp1s0
  define LAN_DEV  = enp7s0
  define DMZ_DEV  = enp8s0


  # Set with the IPv4 addresses of admin PCs
  set admin_pc_ipv4 {
    type ipv4_addr
    elements = { 10.0.0.100, 10.0.0.200 }
  }


  # Chain for incoming trafic. Default policy: drop
  chain INPUT {
    type filter hook input priority filter
    policy drop

    # Accept packets in established and related state, drop invalid packets
    ct state vmap { established:accept, related:accept, invalid:drop }

    # Accept incoming traffic on loopback interface
    iifname lo accept

    # Allow request from LAN and DMZ to local DNS server
    iifname { $LAN_DEV, $DMZ_DEV } meta l4proto { tcp, udp } th dport 53 accept

    # Allow admins PCs to access the router using SSH
    iifname $LAN_DEV ip saddr @admin_pc_ipv4 tcp dport 22 accept

    # Last action: Log blocked packets
    # (packets that were not accepted in previous rules in this chain)
    log prefix "nft drop IN : "
  }


  # Chain for outgoing traffic. Default policy: drop
  chain OUTPUT {
    type filter hook output priority filter
    policy drop

    # Accept packets in established and related state, drop invalid packets
    ct state vmap { established:accept, related:accept, invalid:drop }

    # Accept outgoing traffic on loopback interface
    oifname lo accept

    # Allow local DNS server to recursively resolve queries
    oifname $INET_DEV meta l4proto { tcp, udp } th dport 53 accept

    # Last action: Log blocked packets
    log prefix "nft drop OUT: "
  }


  # Chain for forwarding traffic. Default policy: drop
  chain FORWARD {
    type filter hook forward priority filter
    policy drop

    # Accept packets in established and related state, drop invalid packets
    ct state vmap { established:accept, related:accept, invalid:drop }

    # IPv4 access from LAN and internet to the HTTPS server in the DMZ
    iifname { $LAN_DEV, $INET_DEV } oifname $DMZ_DEV ip daddr 198.51.100.5 tcp dport 443 accept

    # IPv6 access from internet to the HTTPS server in the DMZ
    iifname $INET_DEV oifname $DMZ_DEV ip6 daddr 2001:db8:b::5 tcp dport 443 accept

    # Access from LAN and DMZ to HTTPS servers on the internet
    iifname { $LAN_DEV, $DMZ_DEV } oifname $INET_DEV tcp dport 443 accept

    # Last action: Log blocked packets
    log prefix "nft drop FWD: "
  }


  # Postrouting chain to handle SNAT
  chain postrouting {
    type nat hook postrouting priority srcnat; policy accept;

    # SNAT for IPv4 traffic from LAN to internet
    iifname $LAN_DEV oifname $INET_DEV snat ip to 203.0.113.1
  }
}
    Copy to Clipboard Toggle word wrap

  2. /etc/sysconfig/nftables.conf 파일에 /etc/nftables/firewall.nft 스크립트를 포함합니다. 

    include "/etc/nftables/firewall.nft"
    Copy to Clipboard Toggle word wrap

  3. IPv4 전달을 활성화합니다. 

    # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
# sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
    Copy to Clipboard Toggle word wrap

  4. nftables 서비스를 활성화하고 시작합니다. 

    # systemctl enable --now nftables
    Copy to Clipboard Toggle word wrap

검증

  1. 선택 사항: nftables 규칙 세트를 확인합니다. 

    # nft list ruleset
...
    Copy to Clipboard Toggle word wrap

  2. 방화벽에서 금지하는 액세스를 수행합니다. 예를 들어 DMZ에서 SSH를 사용하여 라우터에 액세스하려고 합니다. 

    # ssh router.example.com
ssh: connect to host router.example.com port 22: Network is unreachable
    Copy to Clipboard Toggle word wrap

  3. 로깅 설정에 따라 다음을 검색합니다.

    • 차단된 패킷의 systemd 저널: 

      # journalctl -k -g "nft drop"
Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...
      Copy to Clipboard Toggle word wrap

    • 차단된 패킷의 /var/log/nftables.log 파일입니다. 

      Oct 14 17:27:18 router kernel: nft drop IN : IN=enp8s0 OUT= MAC=... SRC=198.51.100.5 DST=198.51.100.1 ... PROTO=TCP SPT=40464 DPT=22 ... SYN ...
      Copy to Clipboard Toggle word wrap

8.8. nftables를 사용하여 연결 수 제한
링크 복사

nftables 를 사용하여 연결 수를 제한하거나 지정된 양의 연결을 설정하여 시스템 리소스를 너무 많이 사용하지 못하도록 하는 IP 주소를 차단할 수 있습니다.

8.8.1. nftables를 사용하여 연결 수 제한
링크 복사

nft 유틸리티의 ct count 매개변수를 사용하면 IP 주소당 동시 연결 수를 제한할 수 있습니다. 예를 들어 이 기능을 사용하여 각 소스 IP 주소가 호스트에 대한 두 개의 병렬 SSH 연결만 설정할 수 있도록 구성할 수 있습니다.

프로세스

  1. inet 주소 제품군을 사용하여 filter 테이블을 생성합니다. 

    # nft add table inet filter
    Copy to Clipboard Toggle word wrap

  2. inet 필터 테이블에 입력 체인을 추가합니다. 

    # nft add chain inet filter input { type filter hook input priority 0 \; }
    Copy to Clipboard Toggle word wrap

  3. IPv4 주소에 대한 동적 세트를 생성합니다. 

    # nft add set inet filter limit-ssh { type ipv4_addr\; flags dynamic \;}
    Copy to Clipboard Toggle word wrap

  4. IPv4 주소에서 SSH 포트(22)에 동시에 들어오는 연결만 허용하는 입력 체인에 규칙을 추가하고 동일한 IP에서 추가 연결을 모두 거부합니다. 

    # nft add rule inet filter input tcp dport ssh ct state new add @limit-ssh { ip saddr ct count over 2 } counter reject
    Copy to Clipboard Toggle word wrap

검증

  1. 동일한 IP 주소에서 호스트로의 두 개 이상의 새 동시 SSH 연결을 설정합니다. 두 연결이 이미 설정된 경우 nftables는 SSH 포트에 대한 연결을 거부합니다.

  2. limit-ssh 동적 세트를 표시합니다. 

    # nft list set inet filter limit-ssh
table inet filter {
  set limit-ssh {
    type ipv4_addr
    size 65535
    flags dynamic
    elements = { 192.0.2.1 ct count over 2 , 192.0.2.2 ct count over 2 }
  }
}
    Copy to Clipboard Toggle word wrap

    elements 항목에는 현재 규칙과 일치하는 주소가 표시됩니다. 이 예제에서 요소는 SSH 포트에 대한 활성 연결이 있는 IP 주소를 나열합니다. 출력은 활성 연결 수를 표시하지 않거나 연결이 거부된 경우입니다.

1분 이내에 10개 이상의 IPv4 TCP 연결을 설정하는 호스트를 일시적으로 차단할 수 있습니다.

프로세스

  1. IP 주소 제품군을 사용하여 필터 테이블을 생성합니다. 

    # nft add table ip filter
    Copy to Clipboard Toggle word wrap

  2. 필터 테이블에 입력 체인을 추가합니다. 

    # nft add chain ip filter input { type filter hook input priority 0 \; }
    Copy to Clipboard Toggle word wrap

  3. 1분 이내에 10개 이상의 TCP 연결을 설정하려는 소스 주소에서 모든 패킷을 삭제하는 규칙을 추가합니다. 

    # nft add rule ip filter input ip protocol tcp ct state new, untracked meter ratemeter { ip saddr timeout 5m limit rate over 10/minute } drop
    Copy to Clipboard Toggle word wrap

    timeout 5m 매개변수는 계측이 오래된 항목으로 채워지지 않도록 nftables 가 5분 후에 자동으로 항목을 제거하도록 정의합니다.

검증

  • 측정기의 내용을 표시하려면 다음을 입력합니다. 

    # nft list meter ip filter ratemeter
table ip filter {
  meter ratemeter {
    type ipv4_addr
    size 65535
    flags dynamic,timeout
    elements = { 192.0.2.1 limit rate over 10/minute timeout 5m expires 4m58s224ms }
  }
}
    Copy to Clipboard Toggle word wrap

8.9. nftables 규칙 디버깅
링크 복사

nftables 프레임워크는 관리자가 규칙을 디버깅하고 패킷이 일치하는 경우 다양한 옵션을 제공합니다.

8.9.1. 카운터를 사용하여 규칙 생성
링크 복사

규칙이 일치하는지 확인하려면 카운터를 사용할 수 있습니다.

사전 요구 사항

  • 규칙을 추가하려는 체인이 있습니다.

프로세스

  1. counter 매개 변수를 사용하여 새 규칙을 체인에 추가합니다. 다음 예제에서는 포트 22에서 TCP 트래픽을 허용하는 카운터가 포함된 규칙을 추가하고 이 규칙과 일치하는 패킷 및 트래픽을 계산합니다. 

    # nft add rule inet example_table example_chain tcp dport 22 counter accept
    Copy to Clipboard Toggle word wrap

  2. 카운터 값을 표시하려면 다음을 수행합니다. 

    # nft list ruleset
table inet example_table {
  chain example_chain {
    type filter hook input priority filter; policy accept;
    tcp dport ssh counter packets 6872 bytes 105448565 accept
  }
}
    Copy to Clipboard Toggle word wrap

8.9.2. 기존 규칙에 카운터 추가
링크 복사

규칙이 일치하는지 확인하려면 카운터를 사용할 수 있습니다.

사전 요구 사항

  • 카운터를 추가하려는 규칙이 있습니다.

프로세스

  1. 프로세스를 포함하여 체인의 규칙을 표시합니다. 

    # nft --handle list chain inet example_table example_chain
table inet example_table {
  chain example_chain { # handle 1
    type filter hook input priority filter; policy accept;
    tcp dport ssh accept # handle 4
  }
}
    Copy to Clipboard Toggle word wrap

  2. 규칙을 교체하지만 카운터 매개 변수를 사용하여 카운터 를 추가합니다. 다음 예제에서는 이전 단계에서 표시되는 규칙을 교체하고 카운터를 추가합니다. 

    # nft replace rule inet example_table example_chain handle 4 tcp dport 22 counter accept
    Copy to Clipboard Toggle word wrap

  3. 카운터 값을 표시하려면 다음을 수행합니다. 

    # nft list ruleset
table inet example_table {
  chain example_chain {
    type filter hook input priority filter; policy accept;
    tcp dport ssh counter packets 6872 bytes 105448565 accept
  }
}
    Copy to Clipboard Toggle word wrap

8.9.3. 기존 규칙과 일치하는 패킷 모니터링
링크 복사

nft monitor 명령과 함께 nftables 의 추적 기능을 사용하면 관리자가 규칙과 일치하는 패킷을 표시할 수 있습니다. 이 규칙과 일치하는 패킷을 모니터링하는 데 사용하는 규칙에 대한 추적을 활성화할 수 있습니다.

사전 요구 사항

  • 카운터를 추가하려는 규칙이 있습니다.

프로세스

  1. 프로세스를 포함하여 체인의 규칙을 표시합니다. 

    # nft --handle list chain inet example_table example_chain
table inet example_table {
  chain example_chain { # handle 1
    type filter hook input priority filter; policy accept;
    tcp dport ssh accept # handle 4
  }
}
    Copy to Clipboard Toggle word wrap

  2. 규칙을 교체하지만 meta nftrace set 1 매개변수를 사용하여 추적 기능을 추가합니다. 다음 예제에서는 이전 단계에서 표시된 규칙을 교체하고 추적을 활성화합니다. 

    # nft replace rule inet example_table example_chain handle 4 tcp dport 22 meta nftrace set 1 accept
    Copy to Clipboard Toggle word wrap

  3. nft monitor 명령을 사용하여 추적을 표시합니다. 다음 예제에서는 명령의 출력을 필터링하여 inet example_table example_chain 을 포함하는 항목만 표시합니다. 

    # nft monitor | grep "inet example_table example_chain"
trace id 3c5eb15e inet example_table example_chain packet: iif "enp1s0" ether saddr 52:54:00:17:ff:e4 ether daddr 52:54:00:72:2f:6e ip saddr 192.0.2.1 ip daddr 192.0.2.2 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 49710 ip protocol tcp ip length 60 tcp sport 56728 tcp dport ssh tcp flags == syn tcp window 64240
trace id 3c5eb15e inet example_table example_chain rule tcp dport ssh nftrace set 1 accept (verdict accept)
...
    Copy to Clipboard Toggle word wrap
    주의

    추적이 활성화된 규칙 수 및 일치하는 트래픽 양에 따라 nft monitor 명령은 많은 출력을 표시할 수 있습니다. grep 또는 기타 유틸리티를 사용하여 출력을 필터링합니다.

8.10. nftables 규칙 세트 백업 및 복원
링크 복사

nftables 규칙을 파일에 백업하고 나중에 복원할 수 있습니다. 또한 관리자는 규칙과 함께 파일을 사용하여 규칙을 다른 서버로 전송할 수도 있습니다.

8.10.1. 파일에 nftables 규칙 세트 백업
링크 복사

nft 유틸리티를 사용하여 파일에 설정된 nftables 규칙을 백업할 수 있습니다.

프로세스

  • nftables 규칙을 백업하려면 다음을 수행합니다.

    • nft 목록 규칙 세트 형식으로 생성된 형식: 

      # nft list ruleset > file.nft
      Copy to Clipboard Toggle word wrap

    • JSON 형식의 경우: 

      # nft -j list ruleset > file.json
      Copy to Clipboard Toggle word wrap

8.10.2. 파일에서 nftables 규칙 세트 복원
링크 복사

파일에서 nftables 규칙 세트를 복원할 수 있습니다.

프로세스

  • nftables 규칙을 복원하려면 다음을 수행합니다.

    • 복원할 파일이 nft 목록 규칙 세트로 생성되거나 nft 명령이 직접 포함된 형식인 경우: 

      # nft -f file.nft
      Copy to Clipboard Toggle word wrap

    • 복원할 파일이 JSON 형식인 경우: 

      # nft -j -f file.json
      Copy to Clipboard Toggle word wrap

9장. 네트워크 서비스 보안
링크 복사

Red Hat Enterprise Linux 8은 다양한 유형의 네트워크 서버를 지원합니다. 이러한 네트워크 서비스는 서비스 거부 공격(DoS), 분산 서비스 거부 공격(DDoS), 스크립트 취약점 공격 및 버퍼 오버플로 공격과 같은 다양한 유형의 공격에 시스템 보안을 노출할 수 있습니다.

공격에 대한 시스템 보안을 강화하려면 사용하는 활성 네트워크 서비스를 모니터링하는 것이 중요합니다. 예를 들어 네트워크 서비스가 시스템에서 실행되는 경우 데몬은 네트워크 포트에서 연결을 수신 대기하므로 보안이 저하될 수 있습니다. 네트워크를 통한 공격에 대한 노출을 제한하려면 사용하지 않는 모든 서비스를 꺼야 합니다.

9.1. rpcbind 서비스 보안
링크 복사

rpcbind 서비스는 NIS(Network Information Service) 및 NFS(Network File System)와 같은 RPC(원격 프로시저 호출) 서비스를 위한 동적 포트 할당 데몬입니다. 인증 메커니즘이 약하고 제어하는 서비스에 다양한 포트를 할당할 수 있으므로 rpcbind 를 보호하는 것이 중요합니다.

모든 네트워크에 대한 액세스를 제한하고 서버의 방화벽 규칙을 사용하여 특정 예외를 정의하여 rpcbind 를 보호할 수 있습니다.

참고
  • NFSv2NFSv3 서버에는 rpcbind 서비스가 필요합니다.
  • NFSv4 에서는 rpcbind 서비스가 필요하지 않습니다.

사전 요구 사항

  • rpcbind 패키지가 설치되어 있습니다.
  • firewalld 패키지가 설치되고 서비스가 실행 중입니다.

프로세스

  1. 방화벽 규칙을 추가합니다. 예를 들면 다음과 같습니다.

    • TCP 연결을 제한하고 111 포트를 통해 192.168.0.0/24 호스트에서 패키지를 수락합니다. 

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
      Copy to Clipboard Toggle word wrap

    • TCP 연결을 제한하고 111 포트를 통해 로컬 호스트에서 패키지를 수락합니다. 

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
      Copy to Clipboard Toggle word wrap

    • UDP 연결을 제한하고 111 포트를 통해 192.168.0.0/24 호스트에서 패키지를 수락합니다. 

      # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
      Copy to Clipboard Toggle word wrap

      방화벽 설정을 영구적으로 설정하려면 방화벽 규칙을 추가할 때 --permanent 옵션을 사용합니다.

  2. 방화벽을 다시 로드하여 새 규칙을 적용합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

검증

  • 방화벽 규칙을 나열합니다. 

    # firewall-cmd --list-rich-rule
rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
    Copy to Clipboard Toggle word wrap

9.2. NetNamespace.mountd 서비스 보안
링크 복사

rpc.mountd 데몬은 NFS 마운트 프로토콜의 서버 측을 구현합니다. NFS 마운트 프로토콜은 NFS 버전 2(RFC 9.14) 및 NFS 버전 3(RFC 1813)에서 사용됩니다.

서버에 방화벽 규칙을 추가하여 rpc.mountd 서비스를 보호할 수 있습니다. 모든 네트워크에 대한 액세스를 제한하고 방화벽 규칙을 사용하여 특정 예외를 정의할 수 있습니다.

사전 요구 사항

  • Net Namespace.mountd 패키지가 설치되어 있어야 합니다.
  • firewalld 패키지가 설치되어 서비스가 실행 중입니다.

절차

  1. 서버에 방화벽 규칙을 추가합니다. 예를 들면 다음과 같습니다.

    • 192.168.0.0/24 호스트에서 mountd 연결을 수락합니다. 

      # firewall-cmd --add-rich-rule 'rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop'
      Copy to Clipboard Toggle word wrap

    • 로컬 호스트에서 mountd 연결을 수락합니다. 

      # firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="127.0.0.1" service name="mountd" accept'
      Copy to Clipboard Toggle word wrap

      방화벽 설정을 영구적으로 설정하려면 방화벽 규칙을 추가할 때 --permanent 옵션을 사용합니다.

  2. 방화벽을 다시 로드하여 새 규칙을 적용합니다. 

    # firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

검증

  • 방화벽 규칙을 나열합니다. 

    # firewall-cmd --list-rich-rule
rule family="ipv4" service name="mountd" source address="192.168.0.0/24" invert="True" drop
rule family="ipv4" source address="127.0.0.1" service name="mountd" accept
    Copy to Clipboard Toggle word wrap

9.3. NFS 서비스 보안
링크 복사

Kerberos를 사용하여 모든 파일 시스템 작업을 인증하고 암호화하여 네트워크 파일 시스템 버전 4(NFSv4)를 보호할 수 있습니다. NAT(Network Address Translation) 또는 방화벽으로 NFSv4를 사용하는 경우 /etc/default/nfs 파일을 수정하여 위임을 해제할 수 있습니다. 위임은 서버에서 파일 관리를 클라이언트에 위임하는 기술입니다. 반면 NFSv2 및 NFSv3에서는 파일을 잠금 및 마운트하는 데 Kerberos를 사용하지 않습니다.

NFS 서비스는 모든 버전의 NFS에서 TCP를 사용하여 트래픽을 전송합니다. 이 서비스는 RPCSEC_GSS 커널 모듈의 일부로 Kerberos 사용자 및 그룹 인증을 지원합니다.

NFS를 사용하면 원격 호스트가 네트워크를 통해 파일 시스템을 마운트하고 로컬에 마운트된 것처럼 해당 파일 시스템과 상호 작용할 수 있습니다. 중앙 집중식 서버의 리소스를 병합하고 파일 시스템을 공유할 때 /etc/nfsmount.conf 파일의 NFS 마운트 옵션을 추가로 사용자 지정할 수 있습니다.

9.3.1. NFS 서버 보안을 위한 내보내기 옵션
링크 복사

NFS 서버는 /etc/exports 파일에 있는 호스트로 내보낼 디렉터리 및 호스트의 목록 구조를 결정합니다.

/etc/exports 파일에서 다음 내보내기 옵션을 사용할 수 있습니다.

ro
NFS 볼륨을 읽기 전용으로 내보냅니다.
rw
NFS 볼륨에서 읽기 및 쓰기 요청을 허용합니다. 쓰기 액세스를 허용하면 공격 위험이 증가하기 때문에 이 옵션을 주의해서 사용하십시오. 시나리오에 rw 옵션을 사용하여 디렉터리를 마운트해야 하는 경우 가능한 위험을 줄이기 위해 모든 사용자가 쓸 수 없는지 확인합니다.
root_squash
uid/gid 0의 요청을 anonymous uid/gid 에 매핑합니다. 이는 bin 사용자 또는 직원 그룹과 같이 동일하게 민감한 다른 uid 또는 gid에는 적용되지 않습니다.
no_root_squash
루트 스쿼시를 끕니다. 기본적으로 NFS 공유에서는 root 사용자를 권한이 없는 사용자 계정인 nobody 사용자로 변경합니다. 이렇게 하면 생성된 모든 루트 파일의 소유자가 nobody 로 변경되어 setuid 비트가 설정된 프로그램 업로드가 방지됩니다. no_root_squash 옵션을 사용하는 경우 원격 루트 사용자는 공유 파일 시스템의 파일을 변경하고 다른 사용자를 위해 trojans의 애플리케이션을 유지할 수 있습니다.
보안
내보내기를 예약된 포트로 제한합니다. 기본적으로 서버는 예약된 포트를 통해서만 클라이언트 통신을 허용합니다. 그러나 모든 사용자가 여러 네트워크의 클라이언트에서 루트 사용자가 되기 때문에 예약된 포트를 통한 통신이 권한이 있다고 가정하는 것은 거의 안전하지 않습니다. 따라서 예약된 포트에 대한 제한은 제한된 값입니다. Kerberos, 방화벽 및 특정 클라이언트에 대한 내보내기 제한에 의존하는 것이 좋습니다.
주의

/etc/exports 파일의 구문에 있는 추가 공백으로 인해 구성이 크게 변경될 수 있습니다.

다음 예에서 /tmp/nfs/ 디렉터리는 bob.example.com 호스트와 공유되며 읽기 및 쓰기 권한이 있습니다. 

/tmp/nfs/     bob.example.com(rw)
Copy to Clipboard Toggle word wrap

다음 예제는 이전 예제와 동일하지만 읽기 전용 권한으로 bob.example.com 호스트에 동일한 디렉토리를 공유하며 호스트 이름 이후의 단일 공백 문자로 읽기 및 쓰기 권한으로 전 세계에 공유합니다. 

/tmp/nfs/     bob.example.com (rw)
Copy to Clipboard Toggle word wrap

showmount -e < hostname > 명령을 입력하여 시스템의 공유 디렉토리를 확인할 수 있습니다.

또한 NFS 서버를 내보낼 때 다음과 같은 모범 사례를 고려하십시오.

  • 홈 디렉토리를 내보내는 것은 일부 애플리케이션이 일반 텍스트 또는 약하게 암호화된 형식으로 암호를 저장하므로 위험합니다. 애플리케이션 코드를 검토하고 개선하여 위험을 줄일 수 있습니다.
  • 일부 사용자는 SSH 키에 암호를 설정하지 않고 다시 홈 디렉터리에 대한 위험을 초래합니다. 암호 사용을 강제하거나 Kerberos를 사용하여 이러한 위험을 줄일 수 있습니다.
  • NFS 내보내기를 필수 클라이언트로만 제한합니다. NFS 서버에서 showmount -e 명령을 사용하여 서버가 내보내는 내용을 검토합니다. 특히 필요하지 않은 항목을 내보내지 마십시오.
  • 불필요한 사용자가 서버에 로그인하여 공격 위험을 줄일 수 없습니다. 서버에 액세스할 수 있는 사용자와 사용자를 주기적으로 확인할 수 있습니다.
주의

파일 시스템의 하위 디렉터리 내보내기는 안전하지 않으므로 전체 파일 시스템을 내보냅니다. 공격자는 부분적으로 내보낸 파일 시스템의 내보내기되지 않은 부분에 액세스할 수 있습니다.

9.3.2. NFS 클라이언트 보안을 위한 마운트 옵션
링크 복사

다음 옵션을 mount 명령에 전달하여 NFS 기반 클라이언트의 보안을 강화할 수 있습니다.

nosuid
nosuid 옵션을 사용하여 set-user-tekton 또는 set -group-tekton 비트를 비활성화합니다. 이렇게 하면 setuid 프로그램을 실행하여 원격 사용자가 더 높은 권한을 얻지 못하며, setuid 옵션과 반대로 이 옵션을 사용할 수 있습니다.
noexec
클라이언트의 모든 실행 파일을 비활성화하려면 noexec 옵션을 사용합니다. 이를 사용하여 사용자가 실수로 공유 파일 시스템에 저장된 파일을 실행하지 못하도록 합니다.
nodev
nodev 옵션을 사용하여 클라이언트의 장치 파일을 하드웨어 장치로 처리하지 않도록 합니다.
resvport
resvport 옵션을 사용하여 예약된 포트에 대한 통신을 제한하고 권한 있는 소스 포트를 사용하여 서버와 통신할 수 있습니다. 예약된 포트는 권한 있는 사용자 및 root 사용자와 같은 프로세스를 위해 예약되어 있습니다.
sec
NFS 서버의 second 옵션을 사용하여 마운트 지점의 파일에 액세스하기 위해 RPCGSS 보안 플레이버를 선택합니다. 유효한 보안 플레이버는 ,sys,tekton5, jenkinsfile5i, jenkinsfile 5p.입니다.
중요

jenkinsfile 5-libs 패키지에서 제공하는 MIT Kerberos 라이브러리는 새 배포에서 데이터 암호화 표준(DES) 알고리즘을 지원하지 않습니다. 보안 및 호환성으로 인해 DES는 Kerberos 라이브러리에서 기본적으로 더 이상 사용되지 않으며 비활성화되어 있습니다. 호환성을 이유로 환경에 DES가 필요한 경우가 아니면 DES 대신 최신의 보안 알고리즘을 사용하십시오.

9.3.3. 방화벽을 사용하여 NFS 보안
링크 복사

NFS 서버에서 방화벽을 보호하려면 필요한 포트만 열어 둡니다. 다른 서비스에 NFS 연결 포트 번호를 사용하지 마십시오.

사전 요구 사항

  • nfs-utils 패키지가 설치되어 있어야 합니다.
  • firewalld 패키지가 설치되어 실행 중입니다.

절차

  • NFSv4에서 방화벽이 TCP 포트 2049 를 열어야 합니다.

  • NFSv3에서 2049 개의 추가 포트를 엽니다.

    1. rpcbind 서비스는 NFS 포트를 동적으로 할당하므로 방화벽 규칙을 생성할 때 문제가 발생할 수 있습니다. 이 프로세스를 단순화하려면 /etc/nfs.conf 파일을 사용하여 사용할 포트를 지정합니다.

      1. port = <value> 형식의 [ mountd ] 섹션에서 mountd의 TCP 및 UDP 포트 (rpc.mountd )를 설정합니다.
      2. port = <value> 형식의 [ statd ] 섹션에서 statd (rpc.statd )에 대한 TCP 및 UDP 포트 를 설정합니다.

    2. /etc/nfs.conf 파일에서 NFS 잠금 관리자(nlockmgr)의 TCP 및 UDP 포트를 설정합니다.

      1. port=value 형식의 [lockd] 섹션에서 nlockmgr (rpc.statd)의 TCP 포트를 설정합니다. 또는 /etc/modprobe.d/lockd.conf 파일에서 nlm_tcpport 옵션을 사용할 수 있습니다.
      2. udp-port=value 형식의 [lockd] 섹션에서 nlockmgr (rpc.statd)에 대한 UDP 포트를 설정합니다. 또는 /etc/modprobe.d/lockd.conf 파일에서 nlm_udpport 옵션을 사용할 수 있습니다.

검증

  • NFS 서버에서 활성 포트 및 RPC 프로그램을 나열합니다. 

    $ rpcinfo -p
    Copy to Clipboard Toggle word wrap

9.4. FTP 서비스 보안
링크 복사

FTP(파일 전송 프로토콜)를 사용하여 네트워크를 통해 파일을 전송할 수 있습니다. 사용자 인증을 포함하여 서버와의 모든 FTP 트랜잭션은 암호화되지 않으므로 안전하게 구성되었는지 확인하십시오.

RHEL 8에서는 두 개의 FTP 서버를 제공합니다.

Red Hat Content Accelerator (tux)
FTP 기능이 있는 커널 공간 웹 서버.
매우 안전한 FTP 데몬 (vsftpd)
FTP 서비스의 독립 실행형 보안 지향 구현입니다.

다음 보안 지침은 vsftpd FTP 서비스를 설정하기 위한 것입니다.

9.4.1. FTP 인사말 배너 보안
링크 복사

사용자가 FTP 서비스에 연결하면 FTP는 기본적으로 버전 정보를 포함하는 인사말 배너를 표시합니다. 공격자는 이 정보를 사용하여 시스템의 취약점을 식별할 수 있습니다. 기본 배너를 변경하여 이 정보를 숨길 수 있습니다.

/etc/banners/ftp.msg 파일을 편집하여 한 줄 메시지를 직접 포함하거나 다중 줄 메시지를 포함할 수 있는 별도의 파일을 참조하여 사용자 지정 배너를 정의할 수 있습니다.

프로세스

  • 한 줄 메시지를 정의하려면 /etc/vsftpd/vsftpd.conf 파일에 다음 옵션을 추가합니다. 

    ftpd_banner=Hello, all activity on ftp.example.com is logged.
    Copy to Clipboard Toggle word wrap

  • 별도의 파일에 메시지를 정의하려면 다음을 수행합니다.

    • 배너 메시지가 포함된 .msg 파일을 만듭니다(예: /etc/banners/ftp.msg:) 

      ######### Hello, all activity on ftp.example.com is logged. #########
      Copy to Clipboard Toggle word wrap

      여러 배너의 관리를 단순화하려면 모든 배너를 /etc/banners/ 디렉토리에 배치합니다.

    • /etc/vsftpd/vsftpd.conf 파일의 banner_file 옵션에 배너 파일의 경로를 추가합니다. 

      banner_file=/etc/banners/ftp.msg
      Copy to Clipboard Toggle word wrap

검증

  • 수정된 배너를 표시합니다. 

    $ ftp localhost
Trying ::1…
Connected to localhost (::1).
Hello, all activity on ftp.example.com is logged.
    Copy to Clipboard Toggle word wrap

9.4.2. FTP에서 익명 액세스 및 업로드 방지
링크 복사

기본적으로 vsftpd 패키지를 설치하면 디렉터리에 대한 읽기 전용 권한이 있는 익명 사용자의 디렉터리 트리와 /var/ftp/ 디렉터리가 생성됩니다. 익명 사용자는 데이터에 액세스할 수 있으므로 중요한 데이터를 이러한 디렉터리에 저장하지 마십시오.

시스템의 보안을 높이기 위해 익명 사용자가 특정 디렉터리에 파일을 업로드하고 익명 사용자가 데이터를 읽지 못하도록 FTP 서버를 구성할 수 있습니다. 다음 절차에서 익명 사용자는 root 사용자가 소유한 디렉터리에 파일을 업로드할 수 있어야 하지만 변경할 수는 없습니다.

프로세스

  • /var/ftp/pub/ 디렉토리에 쓰기 전용 디렉토리를 만듭니다. 

    # mkdir /var/ftp/pub/upload
# chmod 730 /var/ftp/pub/upload
# ls -ld /var/ftp/pub/upload
drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload
    Copy to Clipboard Toggle word wrap

  • /etc/vsftpd/vsftpd.conf 파일에 다음 행을 추가합니다. 

    anon_upload_enable=YES
anonymous_enable=YES
    Copy to Clipboard Toggle word wrap
  • 선택 사항: 시스템에 SELinux 활성화 및 적용이 있는 경우 SELinux 부울 속성 allow_ftpd_anon_writeallow_ftpd_full_access 를 활성화합니다.
주의

익명 사용자가 디렉터리에 읽고 쓸 수 있도록 허용하면 서버가 도난당 소프트웨어의 리포지토리가 될 수 있습니다.

9.4.3. FTP의 사용자 계정 보안
링크 복사

FTP는 인증을 위해 안전하지 않은 네트워크를 통해 암호화되지 않은 사용자 이름과 암호를 전송합니다. 사용자 계정에서 서버에 대한 액세스 권한을 거부하여 FTP의 보안을 개선할 수 있습니다.

구성에 적용 가능한 한 많은 다음 단계를 수행합니다.

프로세스

  • /etc/vsftpd/ vsftpd.conf 파일에 다음 행을 추가하여 vsftpd 서버의 모든 사용자 계정을 비활성화합니다. 

    local_enable=NO
    Copy to Clipboard Toggle word wrap
  • /etc/pam.d/vsftpd PAM 구성 파일에 사용자 이름을 추가하여 특정 계정 또는 root 사용자 및 sudo 권한이 있는 사용자 그룹에 대해 FTP 액세스를 비활성화합니다.
  • /etc/vsftpd/ftpusers 파일에 사용자 이름을 추가하여 사용자 계정을 비활성화합니다.

9.5. HTTP 서버 보안
링크 복사

9.5.1. httpd.conf의 보안 개선 사항
링크 복사

/etc/httpd/conf/httpd.conf 파일에서 보안 옵션을 구성하여 Apache HTTP 서버의 보안을 강화할 수 있습니다.

프로덕션에 배치하기 전에 시스템에서 실행 중인 모든 스크립트가 올바르게 작동하는지 항상 확인합니다.

root 사용자만 스크립트 또는 CGI(Common Gateway Interface)를 포함하는 모든 디렉터리에 대한 쓰기 권한이 있는지 확인합니다. 쓰기 권한이 있는 디렉터리 소유권을 root 로 변경하려면 다음 명령을 입력합니다. 

# chown root <directory_name>
# chmod 755 <directory_name>
Copy to Clipboard Toggle word wrap

/etc/httpd/conf/httpd.conf 파일에서 다음 옵션을 구성할 수 있습니다.

FollowSymLinks
이 지시문은 기본적으로 활성화되어 있으며 디렉터리의 심볼릭 링크를 따릅니다.
Indexes
이 지시문은 기본적으로 활성화되어 있습니다. 사용자가 서버에서 파일을 검색하지 못하도록 이 지시문을 비활성화합니다.
UserDir
이 지시문은 시스템에 사용자 계정이 있는지 확인할 수 있으므로 기본적으로 비활성화되어 있습니다. /root/ 이외의 모든 사용자 디렉터리를 검색하려면 UserDir enabledUserDir disabled root 지시문을 사용합니다. 비활성화된 계정 목록에 사용자를 추가하려면 UserDir disabled 줄에 공백으로 구분된 사용자 목록을 추가합니다.
ServerTokens

이 지시문은 클라이언트에 다시 전송되는 서버 응답 헤더 필드를 제어합니다. 다음 매개변수를 사용하여 정보를 사용자 지정할 수 있습니다.

ServerTokens Full

웹 서버 버전 번호, 서버 운영 체제 세부 정보, 설치된 Apache 모듈과 같은 사용 가능한 모든 정보를 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2.4.37 (Red Hat Enterprise Linux) MyMod/1.2
Copy to Clipboard Toggle word wrap
ServerTokens Full-Release

릴리스 버전과 함께 사용 가능한 모든 정보를 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2.4.37 (Red Hat Enterprise Linux) (Release 41.module+el8.5.0+11772+c8e0c271)
Copy to Clipboard Toggle word wrap
ServerTokens Prod / ServerTokens ProductOnly

웹 서버 이름을 제공합니다. 예를 들면 다음과 같습니다. 

Apache
Copy to Clipboard Toggle word wrap
ServerTokens Major

웹 서버 주요 릴리스 버전을 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2
Copy to Clipboard Toggle word wrap
ServerTokens Minor

웹 서버 마이너 릴리스 버전을 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2.4
Copy to Clipboard Toggle word wrap
ServerTokens Min / ServerTokens Minimal

웹 서버 최소 릴리스 버전을 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2.4.37
Copy to Clipboard Toggle word wrap
ServerTokens OS

웹 서버 릴리스 버전 및 운영 체제를 제공합니다. 예를 들면 다음과 같습니다. 

Apache/2.4.37 (Red Hat Enterprise Linux)
Copy to Clipboard Toggle word wrap

ServerTokens Prod 옵션을 사용하여 공격자가 시스템에 대한 중요한 정보를 얻을 위험을 줄입니다.

중요

IncludesNoExec 지시문을 제거하지 마십시오. 기본적으로 Server Side Includes (SSI) 모듈은 명령을 실행할 수 없습니다. 이렇게 변경하면 공격자가 시스템에 명령을 입력할 수 있습니다.

httpd 모듈 제거

httpd 모듈을 제거하여 HTTP 서버의 기능을 제한할 수 있습니다. 이 작업을 수행하려면 /etc/httpd/conf.modules.d/ 또는 /etc/httpd/conf.d/ 디렉터리에서 구성 파일을 편집합니다. 예를 들어 프록시 모듈을 제거하려면 다음을 수행합니다. 

echo '# All proxy modules disabled' > /etc/httpd/conf.modules.d/00-proxy.conf
Copy to Clipboard Toggle word wrap

9.5.2. Nginx 서버 구성 보안
링크 복사

Nginx는 고성능 HTTP 및 프록시 서버입니다. 다음 구성 옵션을 사용하여 Nginx 구성을 강화할 수 있습니다.

프로세스

  • 버전 문자열을 비활성화하려면 server_tokens 구성 옵션을 수정합니다. 

    server_tokens off;
    Copy to Clipboard Toggle word wrap

    이 옵션은 서버 버전 번호와 같은 추가 세부 정보 표시를 중지합니다. 이 구성은 Nginx에서 제공하는 모든 요청에 서버 이름만 표시합니다. 예를 들면 다음과 같습니다. 

    $ curl -sI http://localhost | grep Server
Server: nginx
    Copy to Clipboard Toggle word wrap

  • 특정 /etc/nginx/ conf 파일에서 알려진 특정 웹 애플리케이션 취약점을 완화하는 보안 헤더를 추가합니다.

    • 예를 들어 X-Frame-Options 헤더 옵션은 도메인 외부의 모든 페이지를 거부하여 Nginx에서 제공하는 모든 콘텐츠를 프레임하여 클릭재킹 공격을 완화합니다. 

      add_header X-Frame-Options "SAMEORIGIN";
      Copy to Clipboard Toggle word wrap

    • 예를 들어 x-content-type 헤더는 특정 이전 브라우저의 MIME 유형 스니핑을 방지합니다. 

      add_header X-Content-Type-Options nosniff;
      Copy to Clipboard Toggle word wrap

    • 예를 들어 X-XSS-Protection 헤더는 XSS(Cross-Site Scripting) 필터링을 활성화하여 브라우저가 Nginx의 응답에 포함된 잠재적으로 악의적인 콘텐츠를 렌더링하지 못하도록 합니다. 

      add_header X-XSS-Protection "1; mode=block";
      Copy to Clipboard Toggle word wrap

  • 사용자에게 노출되는 서비스를 제한하고 하는 작업을 제한하고 방문자로부터 수락할 수 있습니다. 예를 들면 다음과 같습니다. 

    limit_except GET {
    allow 192.168.1.0/32;
    deny  all;
}
    Copy to Clipboard Toggle word wrap

    스니펫은 GETHEAD 를 제외한 모든 메서드에 대한 액세스를 제한합니다.

  • HTTP 메서드를 비활성화할 수 있습니다. 예를 들면 다음과 같습니다. 

    # Allow GET, PUT, POST; return "405 Method Not Allowed" for all others.
if ( $request_method !~ ^(GET|PUT|POST)$ ) {
    return 405;
}
    Copy to Clipboard Toggle word wrap
  • Nginx 웹 서버에서 제공하는 데이터를 보호하도록 SSL을 구성하고 HTTPS를 통해서만 제공할 수 있습니다. 또한 Mozilla SSL 구성 생성기를 사용하여 Nginx 서버에서 SSL을 활성화하는 보안 구성 프로필을 생성할 수 있습니다. 생성된 구성을 사용하면 알려진 취약한 프로토콜(예: SSLv2 및 SSLv3), 암호 및 해시 알고리즘(예: 3DES 및 MD5)이 비활성화됩니다. SSL 서버 테스트를 사용하여 구성이 최신 보안 요구 사항을 충족하는지 확인할 수도 있습니다.

9.6. 인증된 로컬 사용자로 액세스를 제한하여 PostgreSQL 보안
링크 복사

PostgreSQL은 개체 관계형 데이터베이스 관리 시스템(DBMS)입니다. Red Hat Enterprise Linux에서 PostgreSQL은 postgresql-server 패키지에서 제공합니다.

클라이언트 인증을 구성하여 공격 위험을 줄일 수 있습니다. 데이터베이스 클러스터의 데이터 디렉터리에 저장된 pg_hba.conf 구성 파일은 클라이언트 인증을 제어합니다. 호스트 기반 인증을 위해 PostgreSQL을 구성하는 절차를 따르십시오.

프로세스

  1. Install PostgreSQL: 

    # yum install postgresql-server
    Copy to Clipboard Toggle word wrap

  2. 다음 옵션 중 하나를 사용하여 데이터베이스 스토리지 영역을 초기화합니다.

    1. initdb 유틸리티 사용: 

      $ initdb -D /home/postgresql/db1/
      Copy to Clipboard Toggle word wrap

      initdb 명령은 -D 옵션을 사용하여 지정하는 디렉터리를 생성합니다(예: /home/postgresql/db1/ ). 그런 다음 이 디렉터리에는 데이터베이스에 저장된 모든 데이터와 클라이언트 인증 구성 파일이 포함됩니다.

    2. postgresql-setup 스크립트 사용: 

      $ postgresql-setup --initdb
      Copy to Clipboard Toggle word wrap

      기본적으로 스크립트는 /var/lib/pgsql/data/ 디렉터리를 사용합니다. 이 스크립트는 시스템 관리자가 기본 데이터베이스 클러스터 관리를 지원합니다.

  3. 인증된 로컬 사용자가 사용자 이름으로 모든 데이터베이스에 액세스할 수 있도록 하려면 pg_hba.conf 파일에서 다음 행을 수정합니다. 

    local   all             all                                     trust
    Copy to Clipboard Toggle word wrap

    이는 데이터베이스 사용자를 생성하고 로컬 사용자가 없는 계층화된 애플리케이션을 사용할 때 문제가 될 수 있습니다. 시스템의 모든 사용자 이름을 명시적으로 제어하지 않으려면 pg_hba.conf 파일에서 로컬 행 항목을 제거합니다.

  4. 데이터베이스를 다시 시작하여 변경 사항을 적용합니다. 

    # systemctl restart postgresql
    Copy to Clipboard Toggle word wrap

    이전 명령은 데이터베이스를 업데이트하고 구성 파일의 구문도 확인합니다.

9.7. Memcached 서비스 보안
링크 복사

Memcached는 오픈 소스 고성능 분산 메모리 오브젝트 캐싱 시스템입니다. 데이터베이스 부하를 낮추어 동적 웹 애플리케이션의 성능을 향상시킬 수 있습니다.

Memcached는 데이터베이스 호출, API 호출 또는 페이지 렌더링 결과에서 문자열 및 오브젝트와 같은 임의의 데이터의 작은 청크를 위한 메모리 내 키-값 저장소입니다. Memcached를 사용하면 활용도가 낮은 영역에서 더 많은 메모리가 필요한 애플리케이션에 메모리를 할당할 수 있습니다.

2018년에는 공용 인터넷에 노출된 Memcached 서버를 악용하여 DDoS 확장 공격의 취약점이 발견되었습니다. 이러한 공격은 전송에 UDP 프로토콜을 사용하여 Memcached 통신을 활용했습니다. 이 공격은 몇 백 바이트 크기의 요청이 몇 메가바이트 또는 수백 메가바이트 크기의 응답을 생성할 수 있는 높은 수정 비율로 인해 효과적이었습니다.

대부분의 경우 memcached 서비스를 공용 인터넷에 노출할 필요가 없습니다. 이러한 노출에는 자체 보안 문제가 있어 원격 공격자가 Memcached에 저장된 정보를 누출하거나 수정할 수 있습니다.

9.7.1. DDoS에 대한 Memcached 강화
링크 복사

보안 위험을 완화하려면 구성에 적용 가능한 한 많은 다음 단계를 수행하십시오.

프로세스

  • LAN에서 방화벽을 구성합니다. 로컬 네트워크에서만 Memcached 서버에 액세스할 수 있어야 하는 경우 memcached 서비스에서 사용하는 포트로 외부 트래픽을 라우팅하지 마십시오. 예를 들어 허용된 포트 목록에서 기본 포트 11211 을 제거합니다. 

    # firewall-cmd --remove-port=11211/udp
# firewall-cmd --runtime-to-permanent
    Copy to Clipboard Toggle word wrap

  • 애플리케이션과 동일한 시스템에서 단일 Memcached 서버를 사용하는 경우 localhost 트래픽만 수신 대기하도록 memcached 를 설정합니다. /etc/sysconfig/memcached 파일에서 OPTIONS 값을 수정합니다. 

    OPTIONS="-l 127.0.0.1,::1"
    Copy to Clipboard Toggle word wrap

  • SASL(Simple Authentication and Security Layer) 인증을 활성화합니다.

    1. /etc/sasl2/memcached.conf 파일을 수정하거나 추가합니다. 

      sasldb_path: /path.to/memcached.sasldb
      Copy to Clipboard Toggle word wrap

    2. SASL 데이터베이스에 계정을 추가합니다. 

      # saslpasswd2 -a memcached -c cacheuser -f /path.to/memcached.sasldb
      Copy to Clipboard Toggle word wrap

    3. memcached 사용자 및 그룹에 대해 데이터베이스에 액세스할 수 있는지 확인합니다. 

      # chown memcached:memcached /path.to/memcached.sasldb
      Copy to Clipboard Toggle word wrap

    4. /etc/sysconfig/memcached 파일의 OPTIONS 매개변수에 -S 값을 추가하여 Memcached에서 SASL 지원을 활성화합니다. 

      OPTIONS="-S"
      Copy to Clipboard Toggle word wrap

    5. Memcached 서버를 다시 시작하여 변경 사항을 적용합니다. 

      # systemctl restart memcached
      Copy to Clipboard Toggle word wrap
    6. SASL 데이터베이스에서 생성된 사용자 이름과 암호를 애플리케이션의 Memcached 클라이언트 구성에 추가합니다.

  • TLS를 사용하여 Memcached 클라이언트와 서버 간 통신을 암호화합니다.

    1. /etc/sysconfig/memcached 파일의 OPTIONS 매개변수에 -Z 값을 추가하여 TLS를 사용하여 Memcached 클라이언트와 서버 간에 암호화된 통신을 활성화합니다. 

      OPTIONS="-Z"
      Copy to Clipboard Toggle word wrap
    2. -o ssl_chain_cert 옵션을 사용하여 PEM 형식으로 인증서 체인 파일 경로를 추가합니다.
    3. -o ssl_key 옵션을 사용하여 개인 키 파일 경로를 추가합니다.

법적 공지
링크 복사

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat