Network-Security 28

Windows에서 네트워크 통신 확인 (tcping, ping, tracert)

SCP 와 고객사 또는 고객사의 지점 등과 VPN을 구성하다보면, VPN 과 터널링은 잘 구성이 되었는데 End to End 에서 통신이 되는지 확인이 필요합니다. 확인을 위하여 다음과 같이 몇 단계의 절차가 필요합니다. 통신을 위한 IP 대역과 Port 를 확인하여 지점 VPN 에 설정하고, 추가로 방화벽 오픈을 해야 End to End 테스트가 가능합니다.그리고, PC와 같은 Client 에서 SCP내 자원에 접속여부를 확인하게 됩니다. 이때 Windows PC에서 접속테스트를 하는 기본적인 방법은 ping 명령어를 사용합니다. 다만, 요즘은 보안을 강화하는 차원에서 ICMP 를 비활성화하기에 답변이 없을 수 있습니다. Ping 에 대한 응답을 받지 못할 경우에는 포트를 직접입력하여 확인가능한 tcp..

Network-Security 2024.01.13

VPN 연동위한 서버 routing 설정 방법

Samsung Cloud Platform의 IPsec VPN 상품을 통하여 통신을 구성하는 경우 지점(상대국) 접속을 위한 지점의 IP 대역을 파악해서 서버(VM)의 데이터 흐름 경로를 조정해야 합니다. 또 지점별로 터널링을 나누어 설정하게 되는데, 각 지점의 IP 대역이 중복되면 안됩니다. 만약 중복이 된다면, 지점에서 NAT 등을 활용하여 회피할 수 있도록 해야 합니다. 여기서는 IPSec 구성도 상 VM 서버의 IP와 NIC 그리고, Routing 설정 방법을 Linux 와 Windows 로 구분하여 설명합니다. IPSec VPN 구성도 (예) Linux(CentOS 7.X)에서 연결 설정하기 Linux (CentOS 7.X) (OS별, 버전별 상이)에서 VPN 연결을 설정하려면, 먼저 VPN용 네..

Network-Security 2024.01.07

방화벽 State ful 과 State less 이해

VPN 을 구성하면서 VPN gateway 에 접속을 위한 대역을 설정하고, 암호화 방식을 일치화 하는 부분만큼 중요한 부분이 Packet 통신이 되도록 정책을 정의하는 방화벽 입니다. AWS 등과 다르게 scp에서는 상품을 구성하면 모든 패킷을 막고 시작합니다.(대부분의 타 Public cloud 사업자는 오픈정책이 기본으로 되어 있습니다.) Samsung Cloud Platform 에서는 방화벽의 패킷통과 정책을 기본적으로 stateful 방식으로 설정합니다. 방화벽 설정을 하다보면 불필요하게 양방향으로 정책을 오픈하는 경우가 종종있습니다. 이는 request 를 요청하는 장비와 packet을 받는 장비에 대한 역할 정의 부분에서 혼동하여 발생하기 때문입니다. 아래와 같이 ful 과 less 에대한 ..

Network-Security 2024.01.03

OpenVPN 활용한 SSL VPN 설치

고객 네트워크와 Samsung Cloud Platform을 암호화된 가상 전용망을 통해 연결하는 서비스. SCP내 SSL VPN 상품을 사용하지 못하는 경우, 설치형으로 OpenVPN 기반의 SSL VPN 솔루션 ( MIT License)을 활용하여 SCP외부 네트워크에 있는 개발자나 운영자가 VPC 내부에 있는 VM 자원까지 접근합니다. 구성 절차 요약 Public subnet 에 NAT IP가 포함된 VM을 만들고, VPN Port 및 관리 Port 를 확인하여 VPC 와 VM 앞단의 방화벽에 정책 오픈 합니다. (표1, 표2) OpenVPN 기반의 Open 솔루션 설치 installer scripts 를 다운로드 받아 설치 및 구성을 합니다. (하기 URL 활용해 설치 및 구성) 설치가 끝나면, 이..

Network-Security 2024.01.01

Cloud LAN-Data Center

Networking Service 그룹 → 데이터센터 내 SDN 기반 네트워크 인프라를 통해 다양한 네트워크 접속 환경을 제공하는 서비스. Samsung Cloud Platform 리전의 데이터센터 또는 고객 온프레미스 데이터센터 내 SDDC(Software-Defined Data Center) 기반의 Shared 네트워크 인프라를 통해 인터넷 접속, 사내망 연동, Samsung Cloud Platform 자원 및 기업 서버팜 연동, 하드웨어 타입의 보안장비 연결 등 다양한 목적의 네트워킹 서비스를 제공합니다. 특징 신속한 네트워크 접속 Samsung Cloud Platform 리전 또는 고객 온프레미스 데이터센터 내 신규 네트워크 환경 구축 시 SDDC 기반 인프라를 통해 빠르고 안전한 기업 맞춤형 데..

Network-Security 2023.12.24

Networking Service

고객의 다양한 클라우드 환경에 최적화된 안정적이고 사용하기 편리한 네트워크 운영 환경제공. 특징 빠르고 안정적인 고품질 네트워크 제공 고객의 요구 사항에 맞는 독립된 가상 공간을 구성하는 VPC 서비스와 Security Group 서비스를 기본으로, 인터넷 DNS 활용, 트래픽 분산을 위한 Load Balancer, GSLB 서비스, 암호화된 가상 전용망 VPN 서비스 등 다양한 네트워크 서비스를 사용할 수 있습니다. 가상 네트워크 공간을 안전하게 보호 인터넷을 연결하거나 기업의 내부망을 연결한 가상 네트워크 공간을 만들어 타 사용자 그룹에 독립적인 운영을 할 수 있습니다. 인스턴스/VPC에서 발생하는 트래픽을 제어하는 가상 방화벽 기능을 제공하여 허가 받지 않은 트래픽을 필터링함으로써 가상 네트워크 환..

Network-Security 2023.12.24

SECRET VAULT

Token 기반의 임시키 발급 및 수명주기 관리 서비스. Secret Vault는 Open API를 사용해 Samsung Cloud Platform에 접속 시 일반 텍스트 형태의 보안 정보를 하드 코딩 하지 않아도 보안이 강화된 Token 기반의 임시키를 발급받아 Samsung Cloud Platform의 서비스 및 자원에 접근할 수 있는 서비스입니다. 또한 임시키의 수명주기를 관리하여 API 활용 시 보안이 강화된 환경을 유지할 수 있습니다. 특징 강화된 보안 환경 적용 애플리케이션 소스 코드에 하드 코딩 된 인증 정보를 입력하는 대신 Token 기반의 임시키를 발급받아 인증 정보 유출에 따른 보안 위협에 대응할 수 있습니다. Life-Cycle 기반 임시키 관리 보안 요건을 충족시키기 위해 사용자가 ..

Network-Security 2023.12.17