Kernel 2.6 Based Bridge Firewall & PPTP(VPN)
|
Kernel 2.6 기반의 Bridge Firewall & PPTP(VPN) 구축하기
넋두리 ¶필자가 브릿지 방화벽을 실제로 네트웍에 붙인 것은 이번이 두 번째고, 작업은 4번
쯤 해왔다. 시간이 흐를수록 달라지는 것 하나가 작업이 점점 간단하고 쉬워진다는
것이다. 즉, 많은 준비가 필요 없이 그냥 적용하고 작업을 끝낼 수 있다는 것이다.
그럼에도 불구하고, 많은 이들은 아직 방화벽 자체에 대해서 어려움과 두려움을 느
끼고 있다는 것과 문득 자료 정리를 위해서 들린 kldp의 자료가 update가 극단적으
로 필요하다는 점에서 미약한 내용이지만, 정리한 내용을 올려보기로 했다.
물론, 이 문서가 올라감으로써 몇 년전에 대 유행(?)했던 브릿지 방화벽 작업이 다
시 인기를 끌 것이라고 보지는 않는다.
하지만, 최소한 비용상의 문제로 방화벽의 설치를 미루고 있는 많은 회사들(특히나
온라인 게임 제작업체들)이나, 무방비로 방치해둔채 서비스를 이어가고 있는 수 많
은 컨텐츠 제작 업체들에서 오늘도 노가다(?)에 노출된 수 많은 네트웍 및 시스템
관리자들의 삽질(?)을 막기 위해서 정리라도 해보려고 한다.
반대로, 비용을 지불하며, 보안 관제 서비스와 방화벽을 설치한 업체마저 기존 방
화벽을 철수하거나 조정하라고 하고 싶은 것도 아니다. 단지, 새롭게 네트웍을 셋
업하거나, 변경을 가하려고 하는 과정에서 최소한의 방어장치도 설치되지 않은 곳
이나, 네트웍 변경 과정에서 비용이 부담이 되고 있는 업체의 네트웍 및 시스템 관
리자에게 도움이 되었으면 하는 바램이다.
그것도 가능하면 쉽고, 간단하게 구축할 수 있도록 도움을 주는 것을 목표로 삼았
다.
커널 관련 개요 ¶기존의 브릿지 방화벽에 관련된 문서를 기준으로 작업을 하고자 하는 경우, 배포본
을 극단적으로 내려서 설치하거나, 구닥다리(?) 커널을 대상으로 작업을 해야한다.
2.4.x 를 사용하는 경우에는 커널 패치가 필요할 수 있다. 하지만, 2.6에는 기본적
으로 포함되어 있고, 이젠 극단적으로 커널 컴파일 마저 할 필요가 없다.
본 문서의 기본 지침(?)이 쉽고, 간단함이기에 아예 대상을 2.6으로 잡았고, 현재
보편적으로 가장 많이 애용되고 있는 페도라 코어 3(Fedora Core 3)를 기준으로 문
서를 적어보기로 했다.
그러나, 다른 배포본을 사용하는 유저들도 역시 커널 2.6을 기반으로 한다면, 별다
른 어려움이 없으리라 보며, 그냥 따라하기만 해도 방화벽을 구성할 수 있도록 하
는 것을 목표로 했다.
하드웨어 관련 개요 ¶보통 방화벽을 구성하면 어느 정도의 하드웨어를 준비해야 하는가가 가장 큰 관건
이며, 문제이며, 방화벽 구성 전후에 갖게 되는 가장 큰 고민 거리다.
길게 이야기 해봐야 소용 없으니 단도직입적으로 구성한 내용을 기준으로 설명을
삼아 볼까 한다.
온라인 게임의 경우, 게임의 특성상 인바운드 밴드위스 대비 아웃바운드가 많을 수
밖에 없으며, 그에 따라 아웃바운드 패킷 수가, 인바운드 패킷 수에 비해서 많다.(
클라이언트에서 서버로 보내는 패킷보다, 서버에서 클라이언트에 보내는 패킷이 많
다는 소리다)
처리 대상 밴드위스 : 300 Mbps 초당 처리 필요 패킷 수 : 100,000 packet ~ 150,000 packet 위와 같은 요구 조건은 게임마다 약간의 차이는 나겠으나, 일반적인 3D 온라인 게
임을 기준으로 약 3~4만명 가량의 동접에 필요한 요구량이며, 이정도를 처리 하기
위해서 준비한 하드웨어가 다음과 같았다.
기존 작업시와 예상을 모두 적용한다고 해도 10배의 트래픽에서도 충분히 처리가
가능하고도 남음이 있다 판단된다.
달리 말하면, Gigabit 방화벽이 만들어진 것이다. 요즘 기가빗을 지원하는 방화벽
의 금액은 상상을 초월하는 금액인 반면, 서버 교체로 남은 서버와 기가빗 이더넷
이 2개 장착된 PCI-X 이더넷의 구성 금액은 대략 1/100 가량의 금액으로 구성이 끝
났다.
100Mbps 기준으로 펜티엄4 와 512MB 정도의 메모리면 충분할 것으로 보이며, 용산
에서 조립을 기준으로 30만원대 초반이면 하드웨어를 구매할 수 있을 것이고, 기가
빗 이더넷이 필요없으므로, 3천원 짜리 리얼텍 랜카드를 사용할 수 있을 것이다.
20~30대 정도 규모의 작은 규모의 사무실에서는 펜티엄 3 500Mhz 정도면 훌륭하게
서비스가 가능할 것으로 보인다. (그냥 안쓰고 먼지 쌓인 PC를 청소해서 쓰도록 하
자)
Ethernet 관련 ¶브릿지는 기본적으로 2개의 물리적인 망을 연동하게 되므로, 기본적으로 이더넷(랜
카드)는 2개 이상을 가지고 있어야만 한다.
보통 PC는 1개의 랜카드만 있는 반면, 서버용 보드에는 2개의 100Mbps 이더넷 혹은
1개의 100Mbps와 1Gbps 급의 랜카드가 포함되는 것이 보통이다.
PC에서 구현하고자 하는 경우, 리얼텍등의 랜카드면 충분하며, 싸게는 2천원 부터
비싸봐야 5천원 가량의 금액으로 용산 등지에서 구매가 가능하다.
Bridge Firewall? ¶쉽게 말하자.
브릿지 방화벽이란 방화벽으로의 역할을 하되, 클라이언트(유저)와 네트워크에는
투명하게 남아 있는 방화벽을 의미한다. 또한, 룰(rule)에 따라 커널에서 별도 판
단 과정까지 가지 않고 그대로 넘기게 되므로, cpu 사용량도 낮출 수 있으며, 고속
으로 패킷의 심사(audit)가 가능하게 할 수 있다.
기본적으로 국내외에 제작 및 판매 되는 많은 방화벽은 사실 여러분들이 쓰고 있는
리눅스 박스 혹은 BSD 계열의 PC들과 사실 그 시작에 커다란 차이는 없다.
기본적인 구조를 더 단순화 했고, 필요한 기능만 남겨 더 컴팩트 하게 만들었으며,
신뢰도를 높이기 위해 다른 방법을 사용한 경우가 더 많기 때문이다.
아, 물론 어떤 방화벽들은 처리 속도를 극단적으로 높이기 위해서 소프트웨어적으
로 처리되어지던 엔진들을 ASIC으로 만들어 하드웨어적으로 처리하기도 하고, 기존
의 OS보다 조금더 안정적으로 작동하기 위해서 Real Time OS를 사용하기도 한다.
하지만, 시작만 놓고본다면, 여러분들이 인터넷 사용을 위해서 사용하는 리눅스와
다를 것이 없다는 것이다.
즉, 여기서 내가 하고 싶은 말은 방화벽이라는 것이 꼭 특별한 하드웨어와 OS를 사
용한 것들만 방화벽이라고 불리울 수 있는 것은 아니라는 것이다. 우리가 쓰고 있
는 PC나 먼지만 뒤집어 쓰고 있는 구닥다리 PC도 적절하게 손만 본다면, 막강한 방
화벽이 될 수 있다는 것이다.
Bridge 이용을 위한 커널 준비 ¶기존 네트워크에 대해서 변형을 가하지 않고 방화벽의 추가만으로 외부로부터의 공
격을 방어하기 위해서 기본적으로 Bridge 패치 혹은 Bridge가 커널에서 지원되어야
만 한다.
리눅스 커널 2.4.x 대 이전에는 별도의 패치가 필요했으나, 2.6이 사용되고 있는
현재에는 별도의 패치 없이 그대로 사용할 수 있다.
페도라 코어 3를 사용 중이라면 커널 컴파일을 별도로 할 필요 조차 없고, 재부팅
을 할 필요도 없다.
그렇다해도 꼭 필요한 기능만 남기고, 커널을 바꾸고자 하는 분들을 위해서 간단하
게 나마 정리 해본다.
커널 설정시에 다음의 옵션을 반드시 확인해야 한다.
Device Driver -> Networking Support -> Networking options -> 802.1d Ethernet Bridging 에서 M 로 Module로 선택 혹은 * 로 커널에 적재한다. 둘 중 하나로 반드시 선택해
야 하며, 그렇지 않은 경우 brctl(브릿지 컨트롤 유틸리티)가 정상적으로 작동하지
않을 수 있다.
또한, 방화벽으로 사용되는 만큼 Netfilter 관련 옵션은 반드시 커널 모듈을 만들
거나, 커널에 적재해야 한다.
Device Driver -> Networking Support -> Networking options -> Network packet filtering(replaces ipchains)-> IP : Netfilter Configuration 에서 필자는 ipchains (2.2-style) support 와 ipfwadm(2.0-style) support를 제외한 나
머지는 모두 커널 모듈로 선택했다. ipchain은 커널 2.2대에 사용되었고, 2.0 혹은
그 이전에는 ipfwadm이 사용되었으나, 우리가 작업하고자 하는 방화벽에서는 2.4부
터 사용되기 시작한 iptables를 이용할 것이므로, 굳이 하위 호환은 필요치 않다.
또한, 다음의 사항은 커널에 적재했다.
[*] Connection tracking flow accounting Connection tracking (required for masq/NAT)를 선택하면 보여진다. [*] Connection mark tracking support [*] NAT of local connections (READ HELP)
위의 사항은 커널에 포함 시켰다.
VPN(PPTP) 이용을 위한 커널 준비 ¶방화벽을 구축하고나서 눈을 돌리는 곳은 아무래도 VPN이 아닌가 싶다. 현재 사용
가능한 VPN은 여러가지가 있으나, 본 문서의 지침인 쉽게 구축하고, 쉽게 사용하
도록 한다는 면에는 poptop을 이용한 PPTP가 적합한 것 같다.
PPTP 이용시 커널에서 필요한 사항은 두 가지다 IP tunneling 과 GRE 두 가지다.
하지만, poptop이 IP tunneling과 GRE를 사용함에도 불구하고 poptop의 문서에서
는 해당 내용이 없다. 아마도 커널 컴파일시에 기본적인 옵션이기 때문인 것 같으
나, 엉뚱하게 삽질하는 분들을 막기 위해 적어본다.
Device Driver -> Networking Support -> Networking options -> IP: tunneling 과 IP : GRE tunnels over IP 및 IP : broadcast GRE over IP를 커
널 모듈로 만들거나, 커널에 포함하면 된다.
나머지 컴파일 과정은 여러분들에게 맡기겠다. 컴파일상 문제가 발생한다면, 고민
하지 마시고, 그냥 페도라 코어 3를 그냥 이용하시라. 그게 여러분들 정신 건강에
더 좋을거라고 필자 과감하게 외친다.
Bridge Util 다운 로드 및 설치 ¶브릿지를 커널에서 지원한다고 끝나는 것이 아니다, 브릿지를 제어하고 관리 하기
위한 기본도구를 다운로드 하고 설치해야 한다.
http://bridge.sourceforge.net/download.html 에서 다운로드하여 설치한다. 필자
가 글을 쓰고 있는 지금 현재는 1.0.4 가 최종 릴리즈 버전이다.
$ tar -xvzf bridge-utils-1.0.4.tar.gz $ cd bridge-utils-1.0.4 $ ./configure $ make $ su # make install 물론, 이마저도 페도라 코어 3의 경우, 설치할때 전체 설치로 설치했다면 필요치 않다.
설치되는 브릿지 유틸은 brctl 하나와 man page 하나 이다.
Bridge 설정 ¶이제 brctl을 통해서 브릿지를 만들고, 제어하고, 수정하고, 삭제할 수 있게 되었다.
기본적으로 브릿지는 2개의 망이 연결되는 Layer 2 계층 연동이다. (OSI 7 Layer
등에 대해서는 별도의 자료 및 TCP/IP Illustrated 등을 참고하기 바란다)
물리적으로 2개의 개층을 연동하므로, 이더넷은 2개 이상이 되어야 하며, 관리상
의 목적으로 브릿지에 IP를 올리기도 하지만, 상황에 따라서는 IP가 전혀 없기에
외부에서는 전혀 접속을 할 수 없는 시스템으로 만들 수도 있다.
커널을 컴파일하여 브릿지를 추가한 경우라면 테스트가 필요하다.
$ ifconfig eth0 0.0.0.0 $ ifconfig eth1 0.0.0.0 (주의: 만약 IDC등 바로 손을 볼 수 없는 원격지의 호스트라면 위와 같은 명령을
내리는 순간 네트워크 접속이 끊어질 수 있으므로 주의한다.)
그럼, 새로운 브릿지를 만들어 보자
# modprobe bridge 커널 모듈로 컴파일한 경우, 모듈을 적재하도록 한다.
# brctl addbr mybridge 여기서 mybridge는 브릿지 이름이다. 원하는대로 이름을 바꿀 수 있다.
# brctl addif mybridge eth0 # brctl addif mybridge eth1 mybridge 라는 이름으로 만들어진 브릿지에 eth0 와 eth1을 추가하여, 두 개의 네트웍을 브릿지로 구성한다.
정상적이라면, 현재 구성된 브릿지의 상태를 다음과 같은 커맨드로 확인할 수 있다.
# brctl show mybridge
bridge name bridge id STP enabled interfaces
mybridge 8000.00e0ed07ad88 no eth0
eth1
또한, brctl showmacs mybridge 를 이용하여, 브릿지를 통해서 연결된 주변의 PC
혹은 서버들의 MAC Address를 확인할 수도 있다.
여기까지 별다른 문제가 없었다면, 다음과 같은 스크립트를 이용하여 자동(?)으로
부팅시 커맨드가 실행되도록 한다.
다음의 스크립트는 필요에 의해서 대충(?) 만들어진 것이기에 여러분들의 네트웍에
사용하실 때는 미리 미리 확인하여 문제가 없는지 검토하시기 바란다.
#!/bin/bash # 2005/02/17 CRSPACE Bridge Firewall by Danny Kim(alfm at crspace.com) # # This is Bridge Firewall filtering system's front end. # And real filtering part will be /etc/rc.d/rc.bridge.filter # # Don't execute this script, if you don't know what to do. # Any Questions ? alfm at crspace.com # # Define executable binaries locations. brctl=/usr/local/sbin/brctl ifconfig=/sbin/ifconfig iptables=/sbin/iptables route=/sbin/route # Configure Bridge BRIDGE_NAME=mybridge IP_ADDRESS=210.xxx.xxx.45 NETMASK=255.255.255.0 GATEWAY=210.xxx.xxx.1 # load bridge module modprobe bridge # load bypass NIC module #modprobe bypass # Add New Bridge NAME , "bridge" $brctl addbr $BRIDGE_NAME # Add New Interface to Bridge $brctl addif $BRIDGE_NAME eth0 $brctl addif $BRIDGE_NAME eth1 # Stop STP $brctl stp $BRIDGE_NAME off # Interface initialize to Bridge $ifconfig eth0 0.0.0.0 $ifconfig eth1 0.0.0.0 # Bridge interface up $ifconfig $BRIDGE_NAME up $ifconfig $BRIDGE_NAME $IP_ADDRESS netmask $NETMASK up $route add -net 0/0 gw $GATEWAY 여기서 IP_ADDRESS 는 관리 목적으로 방화벽으로 접속할때 필요한 IP 주소이다. 필
요에 따라 사용하게 되며, 사내에 방화벽이 있어서 콘솔 상에서만 관리를 하려고
한다면, IP를 아예 할당하지 않아도 된다.
IP와 netmask 등이 적절하다면, 스크립트를 실행하는 것만으로도 브릿지의 구동이
끝날 것이다.
스크립트가 정상적이라면 다음과 같은 커맨드로 브릿지 인터페이스의 작동 상태를
확인해 볼 수 있다.
# ifconfig mybridge
mybridge Link encap:Ethernet HWaddr 00:E0:E0:07:0C:00
inet addr:210.xxx.xxx.45 Bcast:210.xxx.xxx.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:eeff:fd07:c88/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3116142 errors:0 dropped:0 overruns:0 frame:0
TX packets:1260460 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:390337076 (372.2 MiB) TX bytes:470877469 (449.0 MiB)
다른 pc나 네트워크에서 ping으로 관리용 IP가 정상적으로 포함되었는지 여부 확인
도 가능하다.
브릿지 구성후, 실제 방화벽 구성은 내용이 광범위하고 많으므로 part 2.에서 별도
로 다루도록 하겠다.
PPTP 설치 ¶리눅스에서 사용할 수 있는 많은 VPN으로는 IPsec , PPTP 등이 있으며, 실제 사
용은 여러분들이 취향에 따라 마음껏 할 수 있다.
리눅스에서 PPTP(Point to Point Tunneling Protocol)을 이용할 수 있는 도구로
는 poptop이 있다.(http://www.poptop.org)
PPTP는 MS에서 고안한 VPN으로 PPP를 그대로 이용한다는 점과 유저와 아이디와 패
쓰워드 정도로 인증한다는 점에서 편리한 부분이 있다.
현재 poptop은 40bit 에서 128bit 암호화를 지원하고 있으며(MPPE 40 - 128 bit RC4),
무엇보다도 윈도우즈 2000 이상에서 설정 및 접속에 별다른 클라이언트가 필요하지
않다는 강점을 가지고 있다.
물론, 윈도우 뿐만 아니라, 리눅스용 클라이언트도 있다.(http://pptpclient.sourceforge.net)
PPTP의 이용을 위해서는 MPPE 및 PPP가 지원되어야 한다.
페도라 코어 3의 경우, 기본적으로 MPPE가 지원되도록 커널이 기본적으로 지원하
고 있으며, PPP도 업그레이드할 필요가 없다.
우선, 페도라 코어 3가 아닌 경우, 다음과 같은 사전 준비가 필요하다.
글을 쓰고 있는 지금 안정 버전은 1.2.1 이며, 베타는 1.2.3 이다.
다운로드 후, 압축을 해제한다. $ tar -xvzf pptpd-1.2.1.tar.gz $ cd pptpd-1.2.1 $ ./configure $ make $ su # make install 설치 후, /etc/pptpd.conf 파일을 손봐야 한다.
localip 192.168.100.254 remoteip 192.168.100.200-253 위에서 방화벽 자체의 pptp 접속용 내부 아이피를 192.168.100.254로 설정했다. 접
속하는 클라이언트에 할당되는 아이피는 192.168.100.200 에서 253까지의 54개로
설정했다. (더 설정해도 되나, 기본 설정에서는 100개 이상의 IP는 pptpd가 거부(?)
한다.)
3. Part 1.을 맺으며
여기서 설정의 예를 든 것이 비공인 아이피이나, 실제 공인 아이피라도 다른 서버 나 PC에서 사용 중만 아니라면 사용이 가능하다. 이것은 pptpd 가 작동할 때 proxyarp
기능으로 작동함으로써 가능한 것으로 주변의 다른 서버나 PC에가 해당 주소의 arp
를 자기라고 알려줌으로써 가능하다. (proxyarp는 /etc/ppp/options.pptpd 파일에
서 설정한다.)
또한, /etc/ppp/options.pptpd 파일도 역시 손봐야 할 수 있다. require-mschap-v2 require-mppe-128 위의 두 줄은 mschap v2를 이용하여 인증하라는 것이며, 패킷을 128비트로 암호화 하라는 의미이다. 만약 클라이언트가 128비트 암호화를 지원하지 않으면, 접속이 강제로 끊어지도록 되어 있다. 또한, 접속용 어카운트와 비밀번호는 /etc/ppp/chap-secrets 에 있다. # Secrets for authentication using CHAP # client server secret IP addresses alfm pptpd _Password_ * 여기서 client는 클라이언트에서 사용할 ID이며, secret 부분에 씌여진 _Password_ 는 설정하고픈 패쓰워드를 입력하면 된다. IP addresses 등으로 특정 IP에서만 접 속할 수 있도록 제한할 수도 있다. 윈도우쪽 설정은 간단하게만 알아보도록 하겠다. 윈도우즈 2000 기준으로 설명한다. 1) 네트워크및 전화접속 연결 -> 2) 새 연결 만들기 -> 3) 네트워크 연결 마법사 -> 4) "인터넷을 통해 개인 네트워크에 연결(V)" 선택 5) 공용 네트워크 부분은 초기 연결을 사용 안함 선택, 필요에 따라 접속하도록 설정 6) 대상 주소에서 방화벽의 VPN 주소 입력 7) 연결 유용성에서는 필요에 따라 모든 사용자 혹은 나 자신만등을 선택 8) 네트워크 연결 마법사 완료 9) 설치된 VPN 네트워크 연결을 구동 10) 등록 정보 -> 보안 탭 선택 -> 고급 설정(사용자 정의) 선택 -> 설정 선택 11) 데이터 암호화에서 최대 강도 암호화(서버가 거절하면 연결 끊기 선택) 12) Microsoft CHAP 버전2(MS-CHAP v2) 만 남기고 모두 해제 (필요에 따라 선택) 13) 확인 선택후 -> 네트워킹 선택 -> 인터넷 프로토콜(TCP/IP) 선택 및 등록 정보선택 14) 고급 -> 원격 네트워크에 기본 게이트웨이 사용 설정 제거 후, 확인 선택 참고로 원격 네트워크에 기본 게이트웨이 사용을 선택할 경우, 모든 인터넷
흐름이 VPN을 통해 지나가게 된다. 구지 사내나 방화벽 내부와의 통신을 제
외하고는 사내 및 방화벽 내부의 네트웍 리소스를 사용하지 않도록 설정을
제외하는 것이 바람직하다.
10) 처음 화면에서 사용자 이름에 chap-secrets 에 입력한 client 아이디 입력
11) 암호는 secret 에 입력한 패쓰워드 입력
12) 연결 클릭
정상적으로 접속이 되었다면, 시작 -> 실행 -> cmd 입력 -> ipconfig 에서 PPP adapter 가 보일 것이다. 집에서 adsl을 사용한다면 기존의 ppp 이외에 한 개가 더 보일 것이다. 실제 방화벽의 활용을 위한 iptables 설정등은 그 내용이 광범위하며, 간단하지가 않
고, 또한 구현시 자그마한 실수가 재앙이 될 수도 있으므로, 좀더 자세하게 준비해서
part 2로 꾸며보고자 한다.
게으름을 부리지만 않는다면, 일주일 이내에Kernel 2.6 기반의 Bridge Firwall + PPTP(VPN) 구축하기 Part 2.가 kldp에 등장하지 않을까 싶다. PopTop pptpd troble shooting 에 관하여 http://pptpclient.sourceforge.net/howto-diagnosis.phtml 를 참조하세요. - oops
|
   
|
