ÀÌ ¹®¼ÀÇ º¯È¯ Á¤µµ´Â ¾çÈ£ÇÕ´Ï´Ù. µû¶ó¼ HTML ¹®¼¸¸À¸·Îµµ ¿øº» ÆÄÀÏ°ú À¯»çÇÑ Ç°Áú·Î Âü°íÇÒ ¼ö ÀÖ½À´Ï´Ù.
½ÃÁß¿¡¼ ÆǸŵǰí ÀÖ´Â ¼¼¹Ì³ª ±³Àç¿Í µ¿ÀÏÇÑ Ç°ÁúÀ» Ãâ·ÂÇÏ°íÀÚ ÇÒ °æ¿ì¿¡´Â PDF À̹ÌÁö¸¦ ´Ù¿î¹ÞÀ¸½Ã±â ¹Ù¶ø´Ï´Ù.
¿øº» ÆÄÀÏ ´Ù¿î·Îµå:
7. IPCHAINS WEB INTERFACE - FWT
8. ½ÇÁ¦ IP¸¦ °¡Áö´Â IP Æ÷¿öµù ¸Ó½® ±¸Ãà
ÆÐŶ Æ÷¿öµù ¹× ³»ºÎ ħÀÔÂ÷´Ü½Ã½ºÅÛ ¸ðµâµîÀÇ °·ÂÇÑ ³×Æ®¿öÅ© ±â´ÉÀ» ÀÚ¶ûÇÏ´Â ¸®´ª½º¸¦ ³×Æ®¿÷ ÃâÀÔ±¸·Î »ç¿ëÇÏ¿© Áß/¼Ò ¹× ´ë±Ô¸ðÀÇ ³×Æ®¿÷À» º¸¾È¼º, ºñ¿ë Àý°¨¼º, °ü¸®ÀÇ È¿À²¼ºÀÌ ÀÖ°Ô ¸¸µç´Ù.
2.1. º¸¾ÈÀ̶õ ¹«¾ùÀΰ¡?
º¸¾ÈÀ» Á¤º¸È ½Ã´ëÀÇ °üÁ¡¿¡¼ Á¤ÀÇ ÇÏ¸é °¢Á¾ Á¤º¸ µ¥ÀÌŸ ¹× Àü»êÀÚ¿øÀ» °íÀÇÀû ¶Ç´Â ½Ç¼ö¿¡ ÀÇÇÑ ºÒ¹ýÀûÀÎ ³ëÃâ, º¯Á¶, Æı«, Áöü·ÎºÎÅÍ º¸È£ÇÏ°í ¶ÇÇÑ, ÀüÀÚÀûÀÎ
ÇüÅÂÀÇ Á¤º¸¸¦ ó¸®, ÀúÀå ¹× Àü¼ÛµîÀÇ ¸ðµç ´Ü°è¿¡ °ÉÃļ º¸È£Çϴ°ÍÀ» ¸»ÇÑ´Ù.
2.2. UNIX ¿î¿µÃ¼Á¦´Â ¾î¶² °ÍÀΰ¡?
-. UNIX´Â óÀ½ºÎÅÍ ³×Æ®¿÷ ±â´ÉÀ» žÀçÇÏ°í ÀÖ´Ù.
-. UNIX´Â ¸ÖƼÀ¯Àú, ¸ÖƼŸ½ºÅ© ¿î¿µÃ¼Á¦ÀÌ´Ù.
-. UNIX´Â ÇÁ·Î±×·¥ °³¹ß°³¹ßȯ°æÀ» °øÀ¯ÇÒ ¼ö ÀÖ´Ù.
-. UNIX´Â ½Ã½ºÅÛÇÁ·Î±×·¥ÀÇ ´ÜÀ§º° À̽ÄÀÌ ¿ëÀÌÇÏ´Ù.
-. UNIX´Â ¿î¿µÃ¼Á¦¸¦ ºñ·ÔÇÑ À¯Æ¿¸®Æ¼µéÀÇ ¿ø½Ã ÇÁ·Î±×·¥ÀÌ °ø°³µÇ¾î ÀÖ´Ù.
-. UNIX´Â ´ëºÎºÐ C¾ð¾î¿Í ÄÄÆÄÀÏ·¯¸¦ ÀÌ¿ëÇÑ´Ù.
-. UNIX´Â Ưº°ÇÑ º¸¾È±â¼úÀ» Æ÷ÇÔÇÏÁö ¾Ê°íÀÖ´Ù.
2.3. UNIX ¿î¿µÃ¼Á¦¿¡ ´ëÇÑ º¸¾È´ëÃ¥Àº?
-. ½Ã½ºÅÛ ¼³Ä¡½Ã º¸¾È¿¡ ´ëÇÑ ´ëºñÃ¥À» ¼¼¿ö¾ß ÇÑ´Ù.
-. ½Ã½ºÅÛ »ç¿ëÀÚ´Â Ç×»ó ÀÚ½ÅÀÇ µ¥ÀÌŸÀÇ º¸È£¿¡ ¸¸ÀüÀ» ±âÇØ¾ß ÇÑ´Ù.
-. ½Ã½ºÅÛ °ü¸®ÀÚÀÇ ¿ª·®°ú Á¤Ã¥¿¡ µû¶ó ½Ã½ºÅÛÀÇ ¾ÈÀüµµ°¡ °áÁ¤µÈ´Ù.
-. ½Ã½ºÅÛ¹× ÀÀ¿ëÇÁ·Î±×·¥µîÀÇ ÇãÁ¡ÀÌ ±×´ë·Î ³ëÃâµÇ¸ç, ¼öÁ¤°ú º¯Á¶°¡ ¿ëÀÌÇÏ´Ù.
-. ¹®Á¦Á¡ ¹ß»ý½Ã UNIX¸¦ »ç¿ëÇÏ´Â ¸ðµç ½Ã½ºÅÛ¿¡ µ¿ÀÏÇÑ¿µÇâ·ÂÀ» °®°ÔµÈ´Ù.
2.4. ÀÎÅͳÝÀÇ ÁÁÀºÁ¡Àº ¹«¾ùÀΰ¡?
-. Àü¼¼°èÀÇ ´ÙÁ¾´Ù¾çÇÑ ¼ö¸¹Àº ÄÄÇ»ÅÍ¿Í Åë½Å¸Á ±¸¼ºÀ» ÅëÇØ »óÈ£ ¿¬µ¿µÈ ³×Æ®¿öÅ©ÀÇ
³×Æ®¿öÅ© ÀÌ´Ù.
-. ÀÎÅͳÝÀÇ È®Àå°ú ±â¼úÀÇ Áøº¸´Â ¸Å¿ì ºü¸£¸ç, Á¤È®ÇÑ ÀÎÅͳÝÀÇ ±Ô¸ð¿Í °¡ÀÔ±â°üÀÇ
ÇöȲÆľÇÀÌ ¾î·Æ´Ù.
-. ÀÎÅͳÝÀº UNIX, TCP/IPµî °³¹æµÈ ³×Æ®¿öÅ© ±¸Á¶¸¦ °®´Â´Ù.
-. ÀÎÅÍ³Ý ¼ºñ½º´Â Áö¿ªº° ±â¼ú°ÝÂ÷¸¦ ¾ÈÀºÃ¤, Àü¼¼°èÀûÀ¸·Î ±¤¹üÀ§ÇÏ°Ô È®»êµÇ°í
ÀÖÀ¸¸ç, »õ·Î¿î ¼ºñ½º µµ±¸ÀÇ ÃâÇöµµ ¸Å¿ì ºü¸¥¼Óµµ·Î ÁøÇàµÇ°í ÀÖ´Ù.
-. ÀÎÅÍ³Ý ÀÌ¿ëÀÚÀÇ ´ëºÎºÐÀº ÀÎÅÍ³Ý Á¤º¸°Ë»ö°ú ÀÎÅͳÝÀ» ÀÌ¿ëÇÑ ºñÁö´Ï½º, ³×Æ®¿öÅ©
±¸Ãàµî¿¡ ÅõÀÚ¿Í °ü½ÉÀÌ ÁýÁߵǰí ÀÖ´Ù.
-. ÀÎÅͳÝÀº ½Ã°£°ú °ø°£À» ÃÊ¿ùÇÏ¿© ¸ðµç »ç¿ëÀÚ¿¡°Ô °³¹æµÇ¾î ÀÖ´Ù.
2.5. ÀÎÅͳÝÀÌ ¿Ö º¸¾È¿¡ Ãë¾àÇÑ°¡?
-. ÀÎÅͳݿ¡ ¿¬°áµÈ ¸ðµç ½Ã½ºÅÛÀº Àü¼¼°èÀÇ ¸ðµç »ç¿ëÀÚ¿¡°Ô °ø°³µÇ¾î ÀÖÀ¸¸ç Ç×»ó
¸ðµç ÀÌ¿¡°Ô Á¢±Ù°¡´ÉÇÑ »óÅÂÀÌ´Ù.
-. ÇϳªÀÇ º¸¾È»ç°í´Â µ¿½Ã¿¡ Àü¼¼°èÀÇ ¸ðµç ÀÎÅͳݿ¡ ¿¬°áµÈ°÷¿¡ ±×´ë·Î Àû¿ëµÉ ¼ö
ÀÖÀ¸¸ç È®»ê ¼Óµµ°¡ ºü¸£°í, ÆÄ»ýµÇ´Â ¿µÇâ·ÂÀº ¸Å¿ì ½É°¢ÇÏ´Ù.
-. ÀÎÅÍ³Ý º¸¾È»ç°í¿¡ °üÇÑ º¸°í, ´ëºñÃ¥µîÀ» Àü´ÞÇϴ ƯÁ¤ ºñ»óüÁ¦°¡ ¾ø´Ù.
-. º¸¾È»ç°í °æÀ§¿Í ÇÇÇØ, ±× ´ëÃ¥, ¹æ¾î±â¼úµîÀÌ °ø°³µÇÁö ¾Ê´Â´Ù.
-. °¢ ±â°ü¿¡ µû¶ó º¸¾ÈÁ¤Ã¥, ½Ã½ºÅÛ ¿î¿µ ¹× °ü¸®±â¼úµîÀÇ º¸À¯ °ÝÂ÷°¡ Å©´Ù.
-. º¸¾È¿¡ ´ëÇÑ Á߿伺ÀÌ Å©°Ô ÀνĵÇÁö ¾Ê°í ÀÖÀ¸¸ç °ü½Éµµ°¡ ³·´Ù.
-. º¸¾ÈÀº »ç°í°¡ ³ªÁö ¾ÊÀ¸¸é ¾Æ¹«¸® º¸¾È´ëÃ¥À» ¼¼¿öµµ Çʿ伺À» ÀνÄÇÏÁö ¸øÇϸç
º¸¾È»ç°í ¹ß»ýÈÄ¿¡µµ ½Ã°£ÀÌ Áö³ª¸é °ü½É¿¡¼ Á¡Â÷ ¸Ö¾îÁö¸ç, º¸¾È´ëÃ¥ÀÇ È¿°ú¸¦
ÃøÁ¤Çϱâ Èûµé´Ù.
-. º¸¾È»ç°í´Â ÇöÁ¸ ¼ºñ½º¿Í ±â¼ú¿¡¼ ºÎÅÍ »õ·ÎÀÌ ³ªÅ¸³ª´Â ¸ðµç°Í¿¡ ´ëÇÏ¿© ¿Ü¼ºÀ»
°®°í ¹ß»ýÇÒ ¼ö ÀÖ´Ù.
2.6. ÀÎÅÍ³Ý º¸¾ÈÀ» ÇؾßÇÏ´Â ÀÌÀ¯
-. Á¤º¸ÀÇ ºÒ¹ý °ø°³ ¹× Æı« µîÀ¸·Î ÀÎÇÑ ¼ºñ½º ¹× ¾÷¹«¹æÇØ¿Í ¼Õ½ÇÀ» ¾ø¾Ö°í, Á¤º¸
ÀÇ º¯Á¶µî¿¡ ÀÇÇÑ À߸øµÈ ÀÇ»ç°áÁ¤, ±â¾÷À̹ÌÁö ¼Õ»ó, ¶Ç´Â »ê¾÷ ½ºÆÄÀÌ·Î ºÎÅÍÀÇ
Á¤º¸ ¹× ÀÚ¿øÀ¯Ãâ¿¡ ÀÇÇÑ °æÀï¿ìÀ§ »ó½ÇµîÀ» ¹Ì¿¬¿¡ ¹æÁöÇÏ°í, Á¤º¸ÀÇ ÁúÀ» ³ô¿©
ÀÌÀÍâÃâ°ú Àڻ꺸ȣ °æÀï·Â¿ìÀ§ È®º¸µîÀ» À§Çؼ º¸¾ÈÀÇ Çʿ伺Àº °Á¶µÇ°í ÀÖ´Ù.
2.7. º¸¾È(Á¤º¸ º¸È£)Àº ¾î¶»°Ô ÇØ¾ß Çϳª?
-. Á¤º¸º¸È£ÀÇ ±Ã±ØÀûÀÎ ¸ñÀûÀº À̸¦ À§ÇØ ÅõÀڵǴ ºñ¿ë°ú ¹«´ëÃ¥À¸·Î ÀÎÇÑ Á÷.°£Á¢
ÀûÀÎ ÇÇÇØ ¼öÁØ°£ÀÇ ÀûÀýÇÑ ±ÕÇüÀ» À¯ÁöÇϸç, ÃÖ¼±ÀÇ º¸¾È´ëÃ¥À» ¼ö¸³ÇÏ´Â °ÎÀÌ´Ù.
-. º¸¾ÈÁ¤Ã¥ÀÌ ¿ä±¸µÇ¸ç ±×¿¡µû¸¥ °¡À̵å¶óÀÎÀÌ ÇÊ¿äÇÏ´Ù.
-. »ç¿ëÀÚÀÇ º¸¾È±³À° ¹× º¸¾ÈÀü¹®°¡ÀÇ À°¼ºÀÌ ÇÊ¿äÇÏ´Ù.
-. °ü¸® ¹× ¹ý·É»óÀÇ ¹®Á¦Á¡°ú ´ëºñÃ¥ÀÌ ÇÊ¿äÇÏ´Ù.
2.8. º¸¾ÈÀÇ ¸ñÇ¥´Â?
-. Á¤º¸ÀÇ ºñ¹Ð¼º : ºñÀΰ¡ÀÚ, ºÒ¹ý»ç¿ëÀڷκÎÅÍ ºñ¹ÐÀÚ·áÀÇ ´©Ãâ ¹æÁö¸¦ º¸Àå
-. Á¤º¸ÀÇ ¹«°á¼º : ÀÚ·áÀÇ º¯°æ, »èÁ¦, »ý¼º, Æı«µîÀ¸·ÎºÎÅÍ º¸È£ÇÏ¿© ¿ø»óÅ À¯Áö
-. Á¤º¸ÀÇ °¡¿ë¼º : Àû½ÃÀû¼Ò¿¡¼ Á¤º¸¿¡ Á¢±Ù °¡´ÉÇÏ°í »ç¿ëÇÒ ¼ö ÀÖ´Â »óÅ Ȯº¸
-. ¼ºñ½º ±â·Ï¼º : ¼ºñ½º¿¡ °üÇÑ LogÀÇ ±â·Ï ¹× °¨½Ã
-. ºÎÀÎ ºÀ¼â : ºÎÀÎÇÒ ¼ö ¾ø´Â Áõ°ÅÀÇ È®º¸
2.9. ÀÎÅͳݿ¡¼ÀÇ º¸¾È»ç°í »ç·Ê(ÇØ¿Ü »ç·Ê)
-. ¼µ¶ ½ºÆÄÀÌ ÇØÅ· »ç°Ç
1987³â ¼µ¶ÀÇ ÇØÄ¿µéÀÌ ¼¹æ±¹°¡ ±â¹ÐµéÀ» »©³» KGB·Î³Ñ±ä »ç°Ç.
-. ÀÎÅÍ³Ý ¿ú »ç°Ç
¹Ì±¹ÄÚ³Ú´ëÇÐÀÇ ´ëÇпø»ýÀÌ ½º½º·Î º¹»çµÇ¾î µ¹¾Æ´Ù´Ïµµ·Ï ¸¸µç ¹ÙÀÌ·¯½º ÇÁ·Î±×·¥
À¸·Î Àü¼¼°è ¾à 7500´ëÀÇ ÄÄÇ»ÅÍ°¡ °¨¿°µÇ¾î Á¤ÁöÇÑ »ç°Ç
-. ÁÔ ¸ÞÄ«Æ®´Ð »ç°Ç
2~3³â°£ ŸÀÎÀ» À§Á¶ÇÏ¿© Á¤º¸¸¦ ÆȰųª µ·À» »©³½ »ç°Ç(1995³â FBI¿¡ üÆ÷)
-. ½ÃƼÀºÇà ħÀÔ »ç°Ç
·¯½Ã¾Æ ÇØÄ¿°¡ ½ÃƼÀºÇà¿¡ ħÀÔÇÏ¿© ¼ö¹é¸¸ ´Þ·¯ÀÇ ºÒ¹ýÀÎÃâÇÑ »ç°Ç
2.10. ÀÎÅͳݿ¡¼ÀÇ º¸¾È»ç°í »ç·Ê(±¹³» »ç·Ê)
-. ¿µ±¹ û¼Ò³âÀÇ ¿øÀڷ¿¬±¸¼Ò ħÀÔ»ç°Ç/1994
-. À¯·´ ¾Ï¿¬±¸¼¾ÅÍ ÇØÅ· »ç°Ç, CDK/1994
-. õ¸®¾È Ȩ¹ðÅ· »ç°Ç/1995
-. ¼°´ë/Çѳ²´ë Àü»ê¸Á ¼¹ö ħÀÔ »ç°Ç/1994
-. ¼¿ï´ë Àü»ê¸Á Á¤º¸¼¹ö ħÀÔ ¹× Æı« »ç°Ç/1995
-. ÇØ¿Ü Ä§ÀÔÀÚÀÇ ¿øÀڷ¿¬±¸¼Ò, ¼±°æ ħÀÔ°æ·Î ÀÌ¿ë/1995
-. Çѱ¹Àü»ê¿ø, Çѱ¹Åë½Å ¿¬±¸¼¾ÅÍ Ä§ÀÔ»ç°Ç/1995
-. ¼¿ï´ë ħÀÔ ÇØÄ¿ ÃßÀû/1995
-. Áö¹æ´ëÇÐ ÇØÄ¿ °Ë°Å/1995
2.11. ÀÎÅͳݿ¡¼ÀÇ ºÒ¹ý ħÀÔ À¯ÇüÀº ¾î¶²°ÍÀÌ ÀÖ³ª?
-. °ø°³µÈ °èÁ¤, Æнº¿öµå ¾ø´Â °èÁ¤À¸·Î ħÀÔÇÑ´Ù.
-. È£½ºÆ®ÀÇ Æнº¿öµå ÈÀÏÀ» ÀÔ¼öÇÏ¿© ±×°èÁ¤ÀÇ Æнº¿öµå¸¦ Çص¶ÇÏ°í ħÀÔÇÑ´Ù.
-. ³×Æ®¿öÅ© ÀÀ¿ë»óÀÇ ¹ö±×, º¸¾È Ãë¾àÁ¡À» °ø·«ÇÑ´Ù.
-. ½Ã½ºÅÛÀ̳ª ³×Æ®¿öÅ©»óÀÇ À߸øµÈ ±¸¼ºÀ» ÀÌ¿ëÇÏ¿© ħÀÔÇÑ´Ù.
-. ³×Æ®¿öÅ©»óÀÇ Æ®·¡ÇÈÀ» ¹Þ¾Æ ºÐ¼®ÈÄ Ä§ÀÔÇÑ´Ù.
-. ħÀÔÈÄ ºÒ¹ýÀ¸·Î °ü¸®ÀÚ °èÁ¤À» ¾ò±âÀ§ÇØ ºÒ¹ý ÇÁ·Î±×·¥ÀÇ ¼³Ä¡, ½ÇÇà.
-. ħÀÔÈÄ ´ÙÀ½ ħÀÔÀ» À§ÇØ ºÒ¹ý ÇÁ·Î±×·¥ ¼³Ä¡
-. ħÀÔÈÄ ½Ã½ºÅÛÈÀϵîÀ» ¿¶÷, ÈѼÕ, º¯Á¶
2.12. ÀÎÅͳݿ¡¼ÀÇ º¸¾È»ç°í À¯ÇüÀº ¾î¶²°ÍÀÌ ÀÖ³ª?
-. ¹ÙÀÌ·¯½º
¾î¶² ÇÁ·Î±×·¥ ³»ºÎ¿¡ ±× ÀÚ½ÅÀ» º¹»çÇÏ¿´´Ù°¡ ÇÁ·Î±×·¥ÀÌ ¼öÇàµÉ¶§ ÇൿÀ» ÃëÇÏ°Å
³ª ȯ°æÁ¶°ÇÀÌ ¸ÂÀ»¶§ °¡µ¿ÇÑ´Ù.(Logic bombs)
-. ¿ú(Worm)
Àڱ⽺½º·Î º¹»çÇϵµ·Ï ÇÑ µ¶¸³µÈ ÇÁ·Î±×·¥À¸·Î ÀϹÝÀûÀÎ ÇüÅ·δ Ưº°ÇÑ °ÍÀ»
¸ñÇ¥·Î ÇÑ Æı«ÇൿÀº ÇÏÁö ¾Ê´Â´Ù.
-. Æ®·ÎÀÌ ¸ñ¸¶
¾î¶² ÇàÀ§¸¦ ½ÃµµÇϱâ À§ÇØ º¯ÀåµÈ ¸ð½ÀÀ» À¯ÁöÇϸç ÄÚµåÇüÅ·Π´Ù¸¥ ÇÁ·Î±×·¥ÀÇ
³»ºÎ¿¡ Á¸ÀçÇÑ´Ù.
-. Æ®·¦µµ¾î, ¹éµµ¾î(¸ô·¡ ÀáÀÔÇϱâ, Trap door, Back door)
¾î¶² ÇÁ·Î±×·¥ ¶Ç´Â ½Ã½ºÅÛÀ» ¿¢¼¼½ºÇϱâÀ§ÇØ ¿©·¯°¡Áö ¼ö´Ü°ú ¹æ¹ýÀ» ÅëÇØ Á¶Ä¡¸¦
ÃëÇÏ¿© ³õ´Â´Ù.
-. ½ºÇªÇÎ(´«¼ÓÀÓ, Spoof)
¾î¶² ÇÁ·Î±×·¥ÀÌ Á¤»óÀûÀÎ »óÅ·ΠÀ¯ÁöµÇ´Â °Íó·³ ¹Ïµµ·Ï ¼ÓÀÔ¼ö¸¦ ¾´´Ù.
2.13. ´©°¡ ÇØÄ¿À̸ç ÇØÅ·ÇÏ´Â ÀÌÀ¯´Â ¹«¾úÀΰ¡?
-. È£±â½É, Èä³» ¶Ç´Â ¸ð¹æÀûÀÎ ÇàÀ§
-. ÀÚ½ÅÀÌ ¾Ë°íÀÖ´Â ±â¼ú·Â°ú Á¤º¸¿¡ ´ëÇÑ °ú½ÃÀû ½É¸®
-. °ÇÑ ±ÇÇÑÀ» ¾ò¾îº¸°íÀÚÇÏ´Â ¿µ¿õÀû ½É¸®ÀÇ ¹ßµ¿
-. ¼ºñ½ºÀÇ ¹«·á »ç¿ë°ú ÀÚ±âÀÇ »ç¿ë°ø°£À» È®ÀåÇÏ°íÀÚ
-. ºñ¹Ð½º·± Çൿ¿¡ ´ëÇÑ ±äÀå°¨
-. Ưº°ÇÑ µ¿±â ¾øÀÌ Çö½Ç üÁ¦¿¡ ´ëÇÑ °íÀÇÀû Æı«
-. °¡Ä¡ÀÖ´Â ÀڷḦ ºÒ¹ýÀûÀ¸·Î ȹµæÇÏ°íÀÚÇÏ´Â ÇàÀ§
-. °íÀÇÀûÀΠž÷À» À¯µµÇϰųª, º¸º¹ÀûÀÎ ÇàÀ§
-. ¸ô·¡ ¿°Å½Çϰųª, Áß¿äÇÑ »ç½ÇÀ» ¾ò¾î³»´Â °£Ã¸ ÇàÀ§
2.14. ÇØÄ¿ÀÇ Ä§ÇØ »ç¾ÈÀ» »ìÆ캸¸é?
-. ƯÁ¤ ÇÁ·Î¼¼½º(process)¸¦ °è¼Ó °¡µ¿½ÃÄÑ ½Ã½ºÅÛÀ» ¸¶ºñ½ÃŲ´Ù.
-. ½Ã½ºÅÛ³» ÀÚÀ¯°ø°£(free space)°ú ÆÄÀϽýºÅÛ ÀÎÁöÁ¤º¸(inode)¸¦ ¼Ò¸ê½ÃŲ´Ù.
-. ½Ã½ºÅÛÀÇ ½Ã°¢, ÀÏÀÚµî ¿î¿µÃ¼Á¦ÀÇ ±âº» Á¤º¸¸¦ ¹Ù²Û´Ù.
-. ½Ã½ºÅÛ Áö¿øÀ» À§ÇÑ ÆÄÀÏÀÌ ¼öÇàµÉ ¶§ È¥¶õÀ» ¾ß±â½ÃŲ´Ù.
-. ƯÁ¤ÇÑ ÆÄÀÏ, µð·ºÅ丮¸¦ ÆıâÇϰųª, ³»¿ëÀ» º¯Á¶ÇÑ´Ù.
-. ÀÌ¿ëÀÚÀÇ ´Ü¸»±â, Àåºñ µîÀÇ »ç¿ëÀ» °Á¦·Î ÁßÁö½ÃŲ´Ù.
-. ÀÌ¿ëÀÚÀÇ ÆÄÀϽýºÅÛ, ´Ü¸»±â µîÀÇ ÀÌ¿ë±ÇÇÑÀ» ¹Ù²Û´Ù.
-. ÀÌ¿ëÀڵ鿡°Ô ÀÌ»óÇÑ ¸ÞÀÏÀ» º¸³»°Å³ª, ¸Þ¼¼Áö¸¦ ³²±ä´Ù.
2.15. ÀÎÅÍ³Ý ÀÌ¿ëÀÚµéÀÌ °¡Àå¸ÕÀú ÁöÄÑ¾ß ÇÒ º¸¾È»çÇ×Àº ¹«¾ùÀΰ¡?
Æнº¿öµå °ü¸®´Â ÀÌ¿ëÀÚ°¡ ÁöÄѾßÇÒ º¸¾È»çÇ×À¸·Î, ¸ðµç º¸¾È »ç°íÀÇ ½ÃÀÛÁ¡ÀÌ´Ù.
µû¶ó¼ ÀÌ¿ëÀÚ´Â Àڱ⠰èÁ¤ÀÇ Æнº¿öµå¿¡ ´ëÇÑ °ü¸®¸¦ öÀúÈ÷ ÇØ¾ß Çϴµ¥, ´ÙÀ½Àº
Æнº¿öµå °ü¸®¿¡ ´ëÇÏ¿© Á¤¸®ÇÑ °ÍÀÌ´Ù.
- ÀÌ¿ëÀÚ °èÁ¤(USER ID)À» ±×´ë·Î Æнº¿öµå·Î »ç¿ëÇÏÁö ¸» °Í
- ÀÌ¿ëÀÚ Àüü À̸§À» Æнº¿öµå·Î »ç¿ëÇÏÁö ¸» °Í
- ÀÌ¿ëÀÚ °³Àΰü·Ã Á¤º¸¸¦ Æнº¿öµå·Î »ç¿ëÇÏÁö ¸» °Í
- µ¿ÀÏ ¼ýÀÚ ¶Ç´Â ¹®ÀÚ·Î ¹Ýº¹ÇÑ Æнº¿öµå¸¦ »ç¿ëÇÏÁö ¸» °Í
- 6±ÛÀÚ ÀÌÇÏ, ¶Ç´Â ¿µ¾î ´Ü¾î¸¦ Æнº¿öµå·Î »ç¿ëÇÏÁö ¸» °Í
- »¡¸® ÀÔ·Â(key-in)Çϱ⠾î·Á¿î Æнº¿öµå´Â »ç¿ëÇÏÁö ¸» °Í
- ÀÌÀü¿¡ »ç¿ëÇß´ø °Í°ú µ¿ÀÏÇÑ Æнº¿öµå¸¦ »ç¿ëÇÏÁö ¸» °Í
- ´Ù¸¥ ½Ã½ºÅÛ¿¡¼ »ç¿ëÁßÀÎ °Í°ú µ¿ÀÏÇÑ Æнº¿öµå¸¦ »ç¿ëÇÏÁö ¸» °Í
- ÇѱÛÀÇ Æ¯¼ºÀ» ÃÖ´ë·Î È°¿ëÇÑ Æнº¿öµå¸¦ »ç¿ëÇÒ °Í
- ´ë¼Ò¹®ÀÚ, Ư¼ö¹®ÀÚ¸¦ ÇÔ²² Á¶ÇÕÇÑ Æнº¿öµå¸¦ »ç¿ëÇÒ °Í
- Æнº¿öµå¿¡ °üÇÑ ±â·ÏÀ» ³²±â°Å³ª Æнº¿öµå Á¤Ã¥À» ¾Ë¸®Áö ¸» °Í
- ´Ù¸¥ »ç¿ëÀÚ¿¡°Ô Àá½Ã¶óµµ ºô·ÁÁְųª, µµ¿ë ´çÇÏÁö ¾Êµµ·Ï ÇÒ °Í
- ÁÖ±âÀûÀ¸·Î Æнº¿öµå¸¦ º¯°æÇϵµ·Ï ÇÒ °Í
- Àå±â°£ »ç¿ëÄ¡¾Ê°Å³ª ÅðÁ÷½Ã¿¡´Â °èÁ¤ »ç¿ë ÁßÁö¸¦ ¿äûÇÏ¿© Á¶Ä¡ÇÒ °Í
2.16. ½Ã½ºÅÛ°ü¸®ÀÚÀÇ º¸¾È´ëÃ¥¿¡´Â ¾î¶²°ÍÀÌ Àִ°¡?
(ftp://ftp.auscert.org.au/pub/auscert/papers/unix_security_checklist_1.0)
- ½Ã½ºÅÛÀÇ ¾Ë·ÁÁø ¹ö±×¸¦ ÆÐÄ¡ÇÑ´Ù.
- ³×Æ®¿öÅ©¿¡ °ü·ÃµÈ »çÇ×µéÀ» ÀûÀýÈ÷ ¼Â¾÷ÇÑ´Ù.
o µ¥¸óµéÀÇ Filtering À¸·Î CustomizingÇÏ¿© ºÒÇÊ¿äÇÑ ¼ºñ½º¸¦ ¸·´Â´Ù
o ºÒÇÊ¿äÇÑ "r"ÄڸǵåÀÇ »ç¿ëÁßÁö(rlogin, rshµî)
o /etc/hosts.equivÈÀÏÀÇ Á¡°Ë
O $HOME/.rhosts ÈÀÏÀÇ »ç¿ë±ÝÁö
o °¡´ÉÇÑ NFS»ç¿ëÀ» ±ÝÁöÇϸç, ÇÊ¿äÇÑ °æ¿ì ¶ó¿ìÅÍ¿¡¼ NFS Æ®·¡ÇÈÀ» FilteringÇÏ°í
NFS Port¸¦ ¸ð´ÏÅ͸µ Çϸç, /etc/exports ÈÀÏ¿¡¼ ²ÀÇÊ¿äÇÑ ½Ã½ºÅÛ¸¸ Access°¡
°¡´ÉÇϵµ·Ï ÇÑ´Ù.
o /etc/hosts.lpd, /etc/ttytab, /etc/inetd.conf, /etc/servicesµîÀÇ Á¡°Ë
o tftp ¼ºñ½º°¡ ÇÊ¿ä¾ø´Ù¸é ¸·´Â´Ù.
o /etc/aliases, /etc/sendmail.cfµîÀÇ Á¡°Ë
o majordomo, fingerd, UUCPµîÀÇ Á¡°Ë
o tcp_wrapper¼³Ä¡
- ftpd ¹× Anonymous ftp¼³Á¤ÀÇ Á¡°Ë
- Æнº¿öµå ¹× ¾îÄ«¿îÆ®Á¤Ã¥ÀÇ ¼ö¸³
o Npasswd, Passwd+, Shadow ¼³Ä¡
- ÈÀϽýºÅÛÀÇ º¸¾ÈÀ» °ÈÇÑ´Ù
o ÈÀϵéÀÇ Permissions, Modes, OwnershipµîÀ» Á¡°ËÇÏ°í root¿¡ÀÇÇØ ¼öÇàµÇ´Â ÈÀÏ
¹× rc ÈÀϵîÀ» Á¡°Ë
o /etc/rc.local, /usr/lib/expreserve, system/devices, /etc/rc* µîÀÇ Á¡°Ë
o Tiger, COPS ¼³Ä¡
- X Windows¸¦ »ç¿ëÇÏ¸é ±×¿¡ µû¸¥ º¸¾È´ëÃ¥ÀÌ ÇÊ¿äÇÏ´Ù
2.17. À¯¿ëÇÑ º¸¾ÈÅøµéÀº ¾î¶²°ÍÀÌ Àִ°¡?
- Æнº¿öµå °È¸¦ À§ÇÑ Åø
o Npasswd, Passwd+, Shadow, Chacct
- Æнº¿öµå °ËÃâÀ» À§ÇÑ Åø
o Crack, Sniffer
- Sniffer°¡µ¿¿©ºÎ °ËÃâ Åø
o CPM
- ÈÀϽýºÅÛ º¯°æ ¹× Checksum °ü¸®¿ë Åø
o MD5, MD5 check, Tripwire, COPS
- ½Ã½ºÅÛ ¹× ³×Æ®¿öÅ© º¸¾È»óÅ ºÐ¼® ¹× º¸¾È Åø
o Tcp_wrapper : ³×Æ®¿öÅ© ¿¢¼¼½º ÄÜÆ®·Ñ
o SATAN : º¸¾È»óÅ ºÐ¼®
o Courtney, Gabriel : SATANÀÇ °¡µ¿½Ã½ºÅÛ °ËÃâ
o NETMAN : ³×Æ®¿öÅ© ¸ð´ÏÅ͸µ
- ±âŸ º¸¾È¿¡ À¯¿ëÇÑ Åøµé
o Swatch, Simple watch, Triger, PORTUS, Sudo
o NID & NetMap, SPI, TAP, NOCOL, TAMU, ISS
- ÀÌ»ó¿¡ ¿°ÅÇÑ º¸¾È°ü·Ã ÅøµéÀº »ç¿ëÇÏ´Â »ç¶÷°ú ¹æ¹ý¿¡ µû¶ó º¸¾ÈÀ» À§ÇÑ°ÍÀϼöµµ
ÀÖÀ¸¸ç ¹Ý´ë·Î ÇØIJ¼ö´ÜÀ¸·Î ÀÌ¿ëµÉ ¼öµµ Àִ°͵µ »ó´ç¼ö Á¸ÀçÇϹǷΠ±¸Ã¼ÀûÀÎ »ç
Ç×Àº ¾ð±ÞÇÏÁö ¾Ê¾Ò´Ù. ÀÚ¼¼Çѳ»¿ëÀ» ¾Ë°í½ÍÀ¸¸é ÇÊÀÚ¿¡°Ô ¿¬¶ô ¹Ù¶õ´Ù.
´Ü, À§¿¡¼ ¾ð±ÞÇÑ ³»¿ëµéÀº ¸ðµÎ Free S/W·Î½á °ø°³µÇ¾î ÀÖÀ¸¹Ç·Î ´©±¸³ª ÀÔ¼öÇÒ¼ö
ÀÖÀ¸¸ç ±×°ÍÀ» ÀÌ¿ëÇÏ¿© »õ·Î¿î ÇØÅ·¹æ¹ýÀÌ ÆÄ»ýµÇ¹Ç·Î ¿Ïº®ÇѺ¸¾È¿¡´Â ÇÑ°è°¡ ÀÖ´Ù
- ÇØÄ¿´Â SATAN, Crack, Snifferµîµî ¹«¼öÈ÷ ¸¹Àº ¹æ¹ýÀ» ÀÌ¿ëÇÏ¿© ¾ðÁ¦µçÁö ´ç½ÅÀÇ
ÄÄÇ»ÅÍ¿¡ ħÀÔÇÏ¿© ±ÍÁßÇÑ ÀڷḦ ¿¶÷ ¶Ç´Â º¯Á¶ Æı«ÇÒ¼öµµ ÀÖ´Ù.
- °¢°¢ÀÇ ½Ã½ºÅÛ°ü¸®ÀÚ´Â Æнº¿öµå °È¸¦ À§ÇÑ Åø·Î½á Npasswd, Passwd+¸¦ ÀνºÅç ÇÏ
¿© »ç¿ëÅä·Ï ÇÏ¹Ç·Î½á »ç¿ëÀÚµéÀÇ º¸¾ÈÀǽÄÀ» °íÃë½ÃÅ°°í, COPS, SATANµî¿¡ ÀÇÇÑ º¸
¾È»óÅ ºÐ¼®À» ÅëÇØ º¸¾ÈÃë¾àÁ¡À» º¸¿ÏÇÏ¿©¾ß Çϸç, Swatch, CPM, Gabriel, NETMAN
µîµîÀ» ÀÌ¿ë ÇÏ¿© °¨½Ã ¹× ¸ð´ÏÅ͸µ ÇÒ¼öÀÖÀ¸¸ç ±âŸ À¯¿ëÇÑ ÅøµéÀ» Àû¿ëÇÏ¿©º¸¾ÈÀ»
°ÈÇؾßÇÑ´Ù.
2.18. ¸¸ÀÏ ´ç½ÅÀÇ ½Ã½ºÅÛÀÌ Ä§ÀÔÀÚ¿¡ÀÇÇØ ÇØÅ·À» ´çÇß´Ù¸é?
- ½Ã½ºÅÛ°ü¸®ÀÚ°¡ ¸ð´ÏÅ͸µÇϰųª ½Ã½ºÅÛÈÀÏÀÇ º¯°æ»óÅÂ, ¶Ç´Â ŸÁö¿ªÀ¸·Î ºÎÅÍÀÇ Åë
º¸¿¡ ÀÇÇØ Ä§ÀÔÀÚ¸¦ ¹ß°ßÇßÀ» °æ¿ì ¿ì¼± ħÂøÇÏ°Ô Ä§ÇØ´çÇÑ »óȲÀ» ÆÇ´ÜÇÏ°í Áõ°Å¹°
ȹµæ, logÈÀÏ Á¡°ËµîÀ» ÅëÇØ Ä§ÀÔÀÚ¸¦ Æ÷ÂøÇÏ°í ±×³»¿ëÀ» ¹®¼È ÇÑ´Ù.
- ºñÁ¤»óÀûÀÎ È°µ¿À̳ª Çö»óÀ» ÆľÇÇϱâ
o ÇÑ»ç¿ëÀÚ°¡ µÑÀÌ»ó ºÒÇÊ¿äÇÏ°Ô ¸¹ÀÌ ·Î±×ÀÎÇÏ°í ÀÖ´Ù
o ÀϹݻç¿ëÀÚ°¡ ÄÄÆÄÀÏ·¯, µð¹ö°Å¸¦ »ç¿ëÇÑ´Ù
o ³×Æ®¿öÅ©¿¡ ·Îµå¸¦ °É°í ÀÌ»óÇÑ ÇÁ·Î±×·¥À» ½ÇÇàÇÑ´Ù
o ÇÑ »ç¿ëÀÚ°¡ ¸¹ÀÀ ¿ÜºÎÁ¢¼ÓÀ» ½ÃµµÇÏ°í ÀÖ´Ù
o ÀÏ¹Ý ¸ðµ©»ç¿ëÀÚ°¡ ¾Æ´Ñµ¥ ¸ðµ©À¸·Î ·Î±×ÀÎÇÏ°íÀÖ´Ù
o °ü¸®ÀÚ°¡ ¾Æ´Ñµ¥ °ü¸®Àڷμ ¸í·É¾î¸¦ »ç¿ëÇÑ´Ù
o ÈÞ°¡À̰ųª ±Ù¹«ÁßÀÌ ¾Æ´Ñµ¥ »ç¿ëÇÑ´Ù
- ħÀÔÀÚ°¡ ÀÖ´Ù¸é?
o ħÀÔÀÚ¸¦ ÃßÀûÇÑ´Ù
(who, w, last, lastcomm, netstat, snmpnetstat, router information, syslog,
/var/adm/messages, wrapper logs, finger, history filesµîÀÇ Á¡°Ë ¹× ÀÌ¿ë)
o ¿ÜºÎ·Î ºÎÅÍÀÇ Access¸¦ Â÷´Ü
o º¯°æµÈ ÈÀÏÀÌ Àִ°¡ Á¶»ç
o ¹éµµ¾î ÇÁ·Î±×·¥ÀÇ Á¶»ç
o Æнº¿öµå º¯°æ ¹× °È, NFS, Anonymous FTP, tftp, .forward, .rhosts, ÈÀϵéÀÇ
º¯°æ½Ã°£µîÀ» Á¶»ç
o ±âŸ ½Ã½ºÅÛ ¹× ³×Æ®¿öÅ© º¸¾ÈÀÇ Ãë¾àÁ¡ Á¶»ç ¹× º¸¿Ï
- ½Ã½ºÅÛ¿¡ ¼Õ»óÀ» ÀÔ¾ú´Ù¸é °¡´ÉÇÑ »¡¸® º¹±¸ÇØ¾ß Çϸç°ü¸®ÀÚ¸¦ ÅëÇØ ÇÊ¿äÇÑ Á¶Ä¡¸¦
ÃëÇÑ´Ù.
2.19. ħÀÔÂ÷´Ü½Ã½ºÅÛ(¹æȺ®, ¹æÈ£¸·)½Ã½ºÅÛÀÇ ¼³Ä¡´Â ¹Ýµå½Ã ÇÊ¿äÇÑ°¡?
- ÀÎÅͳݿ¡ Á¢¼ÓÇÑ È£½ºÆ®´Â 93³â 1¹é¸¸´ë ¼öÁØ¿¡¼ 95³â¿¡´Â 6¹é40¸¸´ë·Î ±Þ°ÝÈ÷ Áõ
°¡ÇßÀ¸¸ç, ÇöÀç ÀÎÅÍ³Ý »ç¿ëÀÚ ºÐÆ÷´Â Á¤ºÎ7%, ±º´ë6%, ±³À°37%, ±â¾÷ü45%·Î ³ªÅ¸
³ª Àü¼¼°èÀÇ ¾î´À±â°üÀ» ¸··ÐÇÏ°í ÀÎÅͳÝÀ» »ç¿ëÇÏ°í ÀÖ´Ù.
- ÀÎÅÍ³Ý È£½ºÆ®ÀÇ ±Þ°ÝÇÑ Áõ°¡¿¡µû¶ó ±¹Á¦ÀûÀÎ ÇØÅ·»ç°ÇÀÌ ºó¹øÇÏ°Ô ¹ß»ýÇÏ°í ÀÖÀ¸¸ç
ÇØÅ·»ç°ÇÀÇ 95%°¡ °¨ÁöÁ¶Â÷ µÇÁö ¸øÇϴ½ÇÁ¤ÀÌ´Ù
- ÀÎÅÍ³Ý ¹æȺ® ½Ã½ºÅÛÀº ¾î¶² Çѵµ¸ÞÀÎÀÇ ±â°ü ³×Æ®¿öÅ© º¸¾ÈÀ» À§ÇØ ÇöÀç·Î¼± °¡Àå
ÃÖ¼±ÀÇ ÇØ°áÃ¥ÀÌ´Ù
a) ¿ì¼öÇÑ ¹æ¹ý·Ð¿¡ ÀÇÇØ ¸¸µé¾îÁø ÇÁ·Î±×·¥À̶ó ÇÒÁö¶óµµ °á±¹ »ç¶÷¿¡ ÀÇÇØ ¸¸µé¾î
Á³À¸¹Ç·Î ¹ö±×°¡ ÀÖÀ»¼ö ÀÖÀ¸¸ç, °á±¹ ±× ¹ö±×´Â º¸¾ÈÃë¾àÁ¡ÀÌ µÈ´Ù.
b) ÇÁ·Î±×·¥À» ½ÇÇà½ÃÅ°Áö ¾ÊÀ¸¸é º¸¾È¹®Á¦´Â ¾ø´Ù.
c) ¸ðµçÄÄÇ»ÅÍ´Â ¸¹Àº ÇÁ·Î±×·¥À» ½ÇÇàÇÑ´Ù.
d) ¸¸¾à º¸¾È¹®Á¦¸¦ ÃÖ¼ÒÈÇÏ·Á¸é ÄÄÇ»ÅÍ´Â ÃÖ¼ÒÇÑÀÇ ÇÁ·Î±×·¥À» ½ÇÇàÇؾßÇÑ´Ù
µû¶ó¼ À§ÀÇ a), b), c)¿¡ µ¿ÀÇÇÑ´Ù¸é d)¿¡ÀÇÇØ ÇϳªÀÇ ½Ã½ºÅÛ¿¡ ±×·¯ÇÑ È¯°æÀ» °®
Ãß°í(¹æȺ® ½Ã½ºÅÛÀ» ±¸ÃàÇÏ°í) ¿ÜºÎ¿Í ³»ºÎ¿ÍÀÇ Æ®·¡ÇÈ¿¡¼ ºÒ¼øÇÑ ÀǵµÀÇ Æ®·¡ÇÈ
À» °É·¯ÁØ´Ù¸é ´Ù¸¥ ´ë´Ù¼öÀÇ ½Ã½ºÅÛÀº ¾ÈÀüÀ» º¸ÀåÇÒ¼ö ÀÖ´Ù.
2.20. ÀÎÅÍ³Ý ÀÀ¿ëº¸¾È
- ÀüÀÚ¿ìÆí(E-mail)Àº Àü¼¼°èÀÇ ¸ðµç»ç¿ëÀÚ¿Í ¼·Î ÁÖ°í¹ÞÀ»¼ö ÀÖ¾î¾ß ÇÏ¸ç °¡Àå Áß¿ä
Çϸ鼵µ Ãë¾àÇÑ ºÎºÐÁßÀÇ ÇϳªÀÌ´Ù.
- ÀÎÅͳݻóÀÇ ¸ðµç µ¥ÀÌŸ´Â °¨Ã»µÉ¼ö ÀÖÀ¸¸ç, °³ÀÎÀÇ ÇÁ¶óÀ̹ö½Ãº¸È£ ¹× ÀüÀÚ¿ìÆíÀÇ
º¸¾ÈÀ» À§ÇØ ¾Ïȣȹæ¹ýÀ» »ç¿ëÇÒ¼öÀÖ´Ù.
- PGP °ø°³Å° ¾ÏÈ£¹æ½ÄÀÇ ÀÌ¿ëÀ¸·Î
o ÈÀÏÀÇ ¾ÏÈ£È ¹× ÀúÀå
o ÀüÀÚ¿ìÆíÀ» ƯÁ¤ÀÎ ¸¸À» À§ÇØ ¼Û½Å°¡´É
o ÀüÀÚ¿ìÆí/ÈÀÏ¿¡ ÀüÀÚ¼¸íÀÌ °¡´É
o ¹®¼ÀÇ º¯Á¶¹æÁö ¸ÞÄ«´ÏÁòÀ» ¾µ¼öÀÖ´Ù
o Å°°ü¸® ±â´ÉÀÌ ÀÖ´Ù.
- ´Ü, PGP´Â ¹Ì±¹ÀÇ º¸¾È°ü·Ã ÇؿܼöÃâ ÅëÁ¦Ç°À¸·Î µÇ¾î ÀÖÀ¸¸ç ±¹³»¿¡¼´Â °ø°³µÈ ±¹Á¦ÆÇ PGP¸¦ »ç¿ëÇØ¾ß ÇÑ´Ù.
2.21 À¯´Ð½º¿¡¼ »ç¿ëÇÏ´Â º¸¾È ÇÁ·Î±×·¥
1. npasswd
Åػ罺 Austin ´ëÇÐÀÇ Clyde Hoover¿¡ ÀÇÇØ °³¹ßµÈ npasswd´Â UNIX passwd¸¦
´ëüÇϱâÀ§ÇØ ¸¸µç ÇÁ·Î±×·¥À¸·Î¼, Áö¿ø±â´ÉÀº,
o ÃÖ¼ÒÇÑÀÇ Æнº¿öµå ±æÀ̸¦ Á¶Á¤ÇÒ¼ö ÀÖ´Ù.
o »ç¿ëÀÚ·Î ÇÏ¿©±Ý ´ë¼Ò¹®ÀÚ, ¼ýÀÚ, ¸¶Ä§Á¡µîÀ» °¿ä °¡´ÉÇÏ´Ù.
o ´Ü¼øÇÑ Æнº¿öµå¸¦ üũÇØ ³¾ ¼ö ÀÖ´Ù.
o È£½ºÆ®À̸§, È£½ºÆ®Á¤º¸ µîÀ» üũ ÇÒ ¼ö ÀÖ´Ù.
o ·Î±×ÀÎÀ̸§, ¼º¸íµîÀ» üũ ÇÒ ¼ö ÀÖ´Ù.
o ½Ã½ºÅÛ »çÀüÀ» ºñ·Ô, ¿©·¯ »çÀüÀÇ ´Ü¾î¸¦ üũ ÇÒ ¼ö ÀÖ´Ù.
2. cops
o /dev/kmem°ú ´Ù¸¥ µð¹ÙÀ̽º ÈÀÏÀÇ Àбâ/¾²±â¸¦ üũ,
o ¿©·¯ Áß¿ä ÈÀÏÀÇ À߸øµÈ ¸ðµå¸¦ üũ,
o ´Ü¼ø Æнº¿öµå¸¦ üũ
o passwdÈÀÏÀÇ À߸øÀ» üũ,
o groupÈÀÏÀÇ À߸øÀ» üũ,
o ¸ðµç »ç¿ëÀÚÀÇ .cshrc, .profile, .login°ú .rhost ÈÀÏ Ã¼Å©,
o /etc/rc¿Í cron ÈÀÏÀ» üũ
o NFSÀÇ ¿ÜºÎ ¸¶¿îÆ®¸¦ À§ÇÑ "root"ÀÇ °æ·Î üũ,
o ÁÖ¾îÁø »ç¿ë롁¸¦ üũÇÏ´Â expert ½Ã½ºÅÛ ±â´É,
o setuid »óÅÂÀÇ º¯È¸¦ üũ,
3. kerberos
MITÀÇ Athena ÇÁ·ÎÁ§Æ®¿¡¼ °³¹ßÇÑ ÀÎÁõ (Authentication) ½Ã½ºÅÛÀ¸·Î¼,
Kerveros´Â »ç¿ëÀÚÀÇ ·Î±×ÀÎÀ» ÀÎÁõÇÑ ÈÄ, ±× »ç¿ëÀÚÀÇ ½Å¿øÀ» ³×Æ®¿öÅ©¿¡
Èð¾îÁ®ÀÖ´Â ¼¹ö, È£½ºÆ®¿¡ Áõ¸íÇØÁØ´Ù. ÀÌ Kerberos´Â rlogin, mail,
NFSµî¿¡ ´Ù¾çÇÏ°Ô º¸¾È±â´ÉÀ» Á¦°øÇÏ°í ÀÖÁö¸¸ ÀÌ Kerberos¸¦ ¼³Ä¡ÇÏ·Á¸é
¸¹Àº ±¸¼º»óÀÇ ¼öÁ¤ÀÌ ºÒ°¡ÇÇÇÏ¿© ¾î·Á¿î Á¡ÀÌ ÀÖ´Ù. ÇâÈÄ Berkely 4.4
¹öÁ¯¿¡ ÇÔ²² ÀÌ½Ä ÇÒ °èȹÀÌ ÀÖ´Ù.
4. Crack
Unix pw fileÀÇ pw Çص¶
2.22ÇÙÄ¿¿ÍÀÇ ÀüÀï
* ÀÎÅͳ×Æ® ¹ú·¡ (Worm)
Cornell ´ëÇп¡¼ Àü»êÇÐ ´ëÇпø»ýÀÎ ·Î¹öÆ® ¸ð¸®½º (Rovert Morris, Jr.)
´Â Àڱ⠺¹Á¦ ±â´É°ú ÀüÆıâ´ÉÀ» °¡Áö°í ÀÖ´Â ÇÁ·Î±×·¥À» °³¹ßÇÏ¿© 1988³â
11¿ù 2ÀÏ¿¡ InternetÀ» ÅëÇÏ¿© ÆÛÆ®¸®±â ½ÃÀÛÇÏ¿´´Ù.
±×´Â worm À̶ó ºÒ¸®´Â ÀÌ ÇÁ·Î±×·¥À» ÀÚ½ÅÀÌ ´Ù´Ï°í ÀÖ´Â Cornell ´ëÇÐÀÌ
¾Æ´Ñ, MIT ´ëÇп¡ ÃÖÃÊ·Î ÀúÀåÇÏ¿´´Âµ¥, ÀÌ´Â Worm ÀÌ MIT·ÎºÎÅÍ
È®»êµÇ¾ú´Ù°í ¹Ï°Ô Çϱâ À§Çؼ¿´´Ù. ÀÌÈÄ worm Àº ¸ð¸®½º°¡ ¿¹»óÇß´ø°Íº¸´Ù
ÈξÀ ºü¸¥ ¼Óµµ·Î ÀÚ½ÅÀ» º¹Á¦ÇÏ¿© ´Ù¸¥ ÄÄÇ»Å͸¦ °¨¿°½ÃÅ°±â ½ÃÀÛÇÏ¿´´Ù.
°á±¹ worm¿¡ °¨¿°µÇ¾î ¼Õ»óÀ» À԰ųª, ½ÉÇÑ ½Ã½ºÆÀ Àå¾Ö¸¦ ÀÏÀ¸Å°´Â
ÄÄÇ»ÅÍ°¡ Àü¼¼°èÀûÀ¸·Î ±ÞÁõÇϱ⠽ÃÀÛ ÇÏ¿´´Ù.
ÀÌ·± »çŸ¦ ¾Ë°ÔµÈ ¸ð¸®½º´Â ÀÚ½ÅÀÌ ¿¹»óÇß´ø°Íº¸´Ù »çÅ°¡ ½É°¢ÇØ ÁöÀÚ
Harvard¿¡ Àִ ģ±¸¿¡°Ô µµ¿òÀ» ¿äûÇÏ°Ô µÇ¾ú´Ù.
°á±¹ ±×µéÀº wormÀ» Á¦°ÅÇÏ´Â ¹æ¹ý°ú ¿¹¹æÇÏ´Â ¹æ¹ýÀ» ¾Ë¸®´Â ¸Þ¼¼Áö¸¦
Harvard¿¡¼ Àü¼¼°è Internet »ç¿ëÀÚ¿¡°Ô À͸íÀ¸·Î ¹ß¼ÛÇÏ¿´´Ù. ±×·¯³ª
³×Æ®¿÷ÀÇ °æ·Î»óÀÇ ¹®Á¦·Î ÀÎÇÏ¿© , ÀÌ ¸Þ¼¼Áö¸¦ ÀÌ¹Ì °¨¿°µÇ¾î ÇÇÇظ¦ ÀÔÀº
ÈÄ¿¡ ¾Ë°Ô µÇ´Â °æ¿ì°¡ ¸¹ÀÌ ¹ß»ýÇÏ¿´´Ù.
°á±¹ ´ëÇб³¿Í ±º ±â°ü ±×¸®°í ÀÇ·á ¿¬±¸¼ÒµéÀ» Æ÷ÇÔÇÏ´Â ¿©·¯ °÷ÀÇ
ÄÄÇ»Å͵éÀÌ wormÀÇ ÇÇÇظ¦ ÀÔ°Ô µÇ¾ú°í À̵é ÇÇÇظ¦ ´ë¶ôÀûÀÎ ºñ¿ëÀ¸·Î
ȯ»êÇÏ¸é °¢ ÄÄÇ»ÅÍ´ç $200 ¿¡¼ $53,000 ¿¡ À̸£´Â°ÍÀ¸·Î Ãß»êµÇ¾ú´Ù.
ÇÑÆí, Ķ¸®Æ÷´Ï¾Æ ¹öŬ¸® ´ëÇÐ (University of California at Berkeley) °ú
MIT ¿¡¼´Â worm ÇÁ·Î±×·¥À» ºÐ¼®Çϱ⠽ÃÀÛÇÏ¿´´Âµ¥, ¾ó¸¶ÈÄ ÀÌ ÇÁ·Î±×·¥ÀÌ
Unix ¿î¿µÃ¼°èÀÇ ÀüÀÚ¸ÞÀÏÀ» ¼öÇàÇÏ´Â sendmail ÇÁ·Î±×·¥ÀÇ ¹®Á¦Á¡ (µð¹ö±×
¸ðµå) °ú finger ¸¦ ó¸®ÇÏ´Â fingerd ÇÁ·Î±×·¥ÀÇ ¹®Á¦Á¡À» ÀÌ¿ëÇÏ¿©
°³¹ßµÇ¾úÀ½À» ¾Ë¾Æ³»¾ú½À´Ï´Ù. ( 6.1Àý [Finger] ÂüÁ¶) ÀÌ¾î¼ ÀÌµé µÎ
´ëÇÐÀÇ ¿¬±¸ÆÀµéÀº wormÀÌ °è¼ÓÀûÀ¸·Î È®»êµÇ¾î°¡´Â °ÍÀ» ¹æÁöÇϱâÀ§ÇÑ
ÀáÁ¤ÀûÀÎ ´ëó¹æ¾ÈÀ» ¸¶·ÃÇϱ⠽ÃÀÛÇÏ¿´´Âµ¥, 12½Ã°£ÈÄ ¹öŬ¸® ´ëÇÐÀÇ
¿¬±¸ÆÀÀº ¹ÙÀÌ·¯½ºÀÇ È®»êÀ» ´ÊÃß´Â ¹æ¹ýÀ» ¾Ë¾Æ³»°Ô µÇ¾ú´Ù.
ÇÑÆí ºñ½ÁÇÑ ½Ã±â¿¡ Perdue ´ëÇп¡¼µµ ÇØ°áÃ¥À» ¾Ë¾Æ³»¾î À̸¦ ³×Æ®¿÷À»
ÅëÇÏ¿© »ç¿ëÀڵ鿡°Ô ¾Ë·ÁÁֱ⠽ÃÀÛÇÏ¿´´Ù. ÇÏÁö¸¸ »ó´çÈ÷ ¸¹Àº Áö¿ªÀÌ À̹Ì
worm¿¡°Ô ÇÇÇظ¦ ÀÔ¾î ³×Æ®¿÷ ¿¬°áÀÌ µÇÁö ¾Ê¾ÒÀ¸¹Ç·Î, ÀÌ·± ÇØ°áÃ¥ÀÌ
È®»êµÇ¾î°¡´Âµ¥´Â ½Ã°£ÀÌ ¸¹ÀÌ ¼Ò¿äµÇ¾î ÇÇÇظ¦ ÀÔ´Â ÄÄÇ»ÅÍ°¡ ÁÙ¾îµéÁö
¾Ê¾Ò´Ù.
¸çÄ¥ÈÄ, worm ÀÌ Á¦°ÅµÇ±â ½ÃÀÛÇÏ¸é¼ Á¤»óÀûÀ¸·Î ³×Æ®¿÷ÀÌ ¿î¿µµÇ¾î°¡ÀÚ
»ç¿ëÀÚµéÀº ¼¼È÷ worm ÇÁ·Î±×·¥ÀÇ °³¹ßÀÚ¿¡°Ô °ü½ÉÀÌ ÁýÁߵDZâ
½ÃÀÛÇÏ¿´´Ù. ¾ó¸¶ÈÄ °á±¹ ´º¿å ÀÏ°£Áö¿¡ ¸ð¸®½º°¡ worm ÇÁ·Î±×·¥ÀÇ °³¹ßÀÚ·Î
Áö¸ñµÇ¾ú°í, ¸îÀÏÈÄ ÄÄÇ»ÅÍ °ü·Ã¹ý¾È (The Computer Fraud and Abuse Act :
Title 18) ¿¡ ÀÇ°Å À¯ÁËÆÇÁ¤À» ¹Þ¾Æ, 3³âÀÇ ÁýÇàÀ¯¿¹¿Í 400½Ã°£ÀÇ °ø°ø
ºÀ»ç, $10,500 ÀÇ ¹ú±ÝÇüÀ» ¼±°í¹Þ¾Ò´Ù. ÀÌÈÄ 12¿ù¿¡ Morris´Â »ó¼ÒÇÏ¿´Áö¸¸
´ÙÀ½ÇØ 3¿ù, ±×ÀÇ »ó¼Ò´Â ±â°¢µÇ¾ú´Ù.
* »µ²Ù±â¾Ë (Cuckoo's Egg) ħÀÔ
"Stalking the Wily Hacker," ¶ó´Â ±â»ç¿¡¼ ¼Ò°³µÈÀûÀÌ ÀÖ°í The Cuckoo's
Egg¶ó´Â Ã¥¿¡¼ ¼Ò°³ÇÏ°í ÀÖ´Â ³»¿ëÁß¿¡ Ķ¸®Æ÷´Ï¾ÆÀÇ Lawrence Berkely
¿¬±¸¼Ò¿¡ ÀÖ´Â ÄÄÇ»ÅÍ¿¡ ħÀÔÇÑ ÇØÄ¿¸¦ ÃßÀûÇÏ´Â »ç·Ê°¡ ÀÖ´Ù. ´ç½Ã ¿¬±¸¿ø
Clifford StollÀº ¿¬±¸½Ç ÄÄÇ»ÅÍ¿¡ ÇØÄ¿°¡ ħÀÔÇÏ¿´À½À» ¾Ë¾Æ³»°í, À̸¦
ÃßÀûÇϱ⠽ÃÀÛ Çߴµ¥, ºÒÃæºÐÇÏÁö¸¸ ¿¬±¸½ÇÀÇ account ±â·Ï (´ç½Ã 75% ÀÇ
½Ã°£ ¿ÀÂ÷) À¸·ÎºÎÅÍ Á¤º¸¸¦ ºÐ¼®Çϱ⠽ÃÀÛÇÏ¿´´Ù. °á±¹ Ķ¸®Æ÷´Ï¾Æ,
¹öÁö´Ï¾Æ, À¯·´ÀÇ ÄÄÇ»Å͸¦ °ÅÃÄ ¼µ¶ Hannover¿¡ ÀÖ´Â ÇÑ ÀÛÀº ¾ÆÆÄÆ®¿¡
±îÁö ÃßÀûÇÏ¿© ÇØÄ¿¸¦ ¾Ë¾Æ³»°Ô µÇ¾ú´Ù.
ÀÌ ÃßÀû °úÁ¤¿¡¼ StollÀº ¿©·¯ ±â°üÀÇ °ø¹«¿øµé°ú FBI, CIA ±×¸®°í ¼µ¶ÀÇ
µµ¿òÀ¸·Î °á±¹ ÇØÄ¿¸¦ ¹àÇô ³»¾ú´Ù. ÀÌ·¯ÇÑ StollÀÇ °æÇèÀ¸·Î ºÎÅÍ ³×Æ®¿÷À»
ÅëÇÏ¿© °¢ ±â°ü °£ÀÇ Á¤º¸°øÀ¯´Â »ó´çÇÑ À§ÇèÀ» ³»Æ÷ÇÏ°í ÀÖÀ½À» ¾Ë ¼ö
ÀÖÀ¸¸ç, °á±¹ ¸ðµç »ç¿ëÀÚµéÀÌ ¾ÈÀüÇÏ°Ô ³×Æ®¿÷¿¡¼ °øÁ¸ÇÒ ¼ö ÀÖ´Â ¹æ¾ÈÀº
ÇöÁ¸ÇÏ´Â º¸¾È ¹®Á¦¸¦ ½Å¼ÓÇÏ°Ô ÀνÄÇϴ°ÍÀ¸·Î ºÎÅÍ Ãâ¹ßÇØ¾ß ÇÑ´Ù°í ÇÒ ¼ö
ÀÖ´Ù.
¡à Á¤º¸ÀüÀï
»ê¾÷½ºÆÄÀÌ
°¢±¹Á¤º¸±â°ü ---->ÇØÅ·,µµÃ» ,º¯Á¶ ---->°æÀï·Â ¾àÈ,
ÇØÄ¿, ³»ºÎ ºñÀΰ¡ÀÚ Æı«,ºÒ¹ýÀ¯Ãâ½Ãµµ »ç¾÷±âȸ»ó½Ç,
À̹ÌÁöÇ϶ô
- ¹«·ÂÀüÀï-->°æÁ¦ÀüÀï-->Á¤º¸ÀüÀï
- ±¹°¡°æÁ¦ ÀÌÀÍÀ» À§ÇØ °¢ ±¹ÀÌ Á¤º¸±â°üÀ» ±â¼úÁ¤º¸ ¼öÁý¿¡ µ¿¿ø
- »ê¾÷½ºÆÄÀÌ,ÇØÅ·ÀÇ À§Çù Áõ´ë
¡à Á¤º¸ÀÇ ÀüÀÚÈ
-´«¿¡ º¸ÀÌ´Â ÅëÁ¦(À§Çù:º¹»ç,ÀýÃë..) --> ½Ã°ø Á¦¾à ÃÊ¿ù
-¹°¸®Àû,°ü¸®Àû ÅëÁ¦ °¡´É
-->ÀüÀÚ°áÀç È®»êÀ¸·Î ÀÚµ¿ÈµÈ ÅëÁ¦ÀÇ Á߿伺 Áõ´ë
-ÀüÀÚ¸ÞÀÏÀÌ ÀϹݿìÆíÀÇ 5¹è (¹Ì±¹ 95³â)
-ÄÄÇ»ÅÍ ÆǸŷ®ÀÌ TV ÆǸŷ®À» Ãß¿ù (¹Ì±¹ 95³â)
¡à À¯.¹«¼± Åë½ÅÀ» ÅëÇÑ GLOBAL NETWORK ȯ°æ
³»ºÎ¸Á ------¿ÜºÎ¸Á ---> ³»ºÎ¸Á ¿ÜºÎ¸Á
-Àü¿ë¸ÁÀ» Æó¼âÀûÀ¸·Î ¿î¿µ -ÀÎÅͳÝ,ÀÎÆ®¶ó³Ý µî °³¹æȯ°æÀ¸·Î º¯È
-À§ÇèÀÌ ±×·ìÀü¿ë¸Á,±¹³»·Î Á¦ÇÑ -À§Çè¹ß»ý ¼¼°èÈ
4.1. ħÀÔÂ÷´Ü½Ã½ºÅÛÀº ¹«¾ùÀ» ÇÏ´Â °ÍÀΰ¡?
¿ÜºÎ·ÎºÎÅÍ ³»ºÎ¸ÁÀ» º¸È£Çϱâ À§ÇÑ ³×Æ®¿öÅ© ±¸¼º¿ä¼Ò ÁßÀÇ Çϳª·Î½á ¿ÜºÎÀÇ ºÒ¹ýħÀÔÀ¸·ÎºÎÅÍ ³»ºÎÀÇ Á¤º¸ÀÚ»êÀ» º¸È£ÇÏ°í ¿ÜºÎ·ÎºÎÅÍ À¯ÇØÁ¤º¸ À¯ÀÔÀ» Â÷´ÜÇϱâÀ§ÇÑ Á¤Ã¥°ú À̸¦ Áö¿øÇÏ´Â H/W ¹× S/W¸¦ ÃÑĪÇÑ´Ù.
´ç½ÅÀÇ ³»ºÎ ³×Æ®¿öÅ©¸¦ ¿ÜºÎ¿Í ¿¬°áÇßÀ» ¶§, ÀåÁ¡Àº ´ç½ÅÀÇ Àü»êÈµÈ Á¤º¸¸¦ »óÈ£ ±³È¯ÇÏ´Â °ÍÀÌ ¸Å¿ì Æí¸®ÇØÁø´Ù´Â °ÍÀÌ°í, ´ÜÁ¡Àº ÀÎÅÍ³Ý ÇØÄ¿ ¶Ç´Â »ê¾÷½ºÆÄÀÌ¿¡ ´ç½ÅÀÇ ³×Æ®¿öÅ© ÀÚ¿øÀ̳ª Á¶Á÷À» ³ëÃâ½Ãų ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. ±×·¡¼ Á¶Á÷Àº ÀÌÀÍÀ» È®´ëÇÏ°í À§ÇèÀ» ÁÙÀ̱â À§ÇÏ¿© »ç¿ëÀÚÀÇ º¸¾È ÀÎ½Ä ±³À°, ³×Æ®¿öÅ© º¸¾È °ü¸®ÀÚÀÇ ´É·Â Çâ»ó, º¸¾ÈÀ» °ÈÇÒ ¼ö ÀÖ´Â ³×Æ®¿öÅ© ±¸Á¶, ÀûÀýÇÑ ³×Æ®¿öÅ© º¸¾È¿¡ °ü·ÃµÈ ±¸¼º¿ä¼Ò µîÀ» Æ÷ÇÔÇÏ´Â Æ÷°ýÀûÀÎ ³×Æ®¿öÅ© º¸¾È °èȹÀ» °³¹ßÇØ¾ß ÇÑ´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛÀº Àß Á¤ÀÇµÈ ³×Æ®¿öÅ© º¸¾È ±¸Á¶ÀÇ Áß¿äÇÑ ±¸¼º¿ä¼Ò ÁßÀÇ ÇϳªÀÌ´Ù.
4.2. "¹æ¾î"ÀÇ ¹æ¹ýÀº ¹«¾ùÀΰ¡?
ÇØÅ·À» ¸·±âÀ§ÇÑ ¹æ¾î °³³ä¿¡´Â °³º° ¹æ¾î¿Í °æ°è¼± ¹æ¾î°¡ ÀÖ´Ù.
°³º°¹æ¾î
¸ðµç host°¡ ³×Æ®¿öÅ©»ó¿¡ °¢°¢ ¿¬°áµÇ¾î ÀÖ´Ù.
°¢°¢ÀÇ host´Â °³º°ÀûÀ¸·Î ¹æ¾îµÇ¾î Áø´Ù.
°³º°ÀûÀ¸·Î º¸¾ÈÅøÀ» Àû¿ëÇÏ¿©¾ß Çϱ⠶§¹®¿¡ ºñ¿ëÀÌ ¸¹ÀÌ ¼Ò¿äµÈ´Ù
°æ°è¼± ¹æ¾î
³×Æ®¿öÅ©¿¡ ¿¬°áµÈ °æ·Î¸¦ ¹æ¾îÇÑ´Ù.
°æ°è¼± ¾È¿¡ ÀÖ´Â host´Â »óÈ£ ½Å·ÚÇÒ ¼ö ÀÖ´Ù.
°æ°è¼±¿¡¸¸ º¸¾ÈÅøÀ» Àû¿ëÇÏ¸é µÇ±â ¶§¹®¿¡ ºñ¿ëÀÌ Àú·ÅÇÏ´Ù.
4.3. ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ Á¾·ù¿¡´Â ¾î¶² °ÍÀÌ Àִ°¡?
4.3.1 Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛ
Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀº ÇÑ Source Address (Host)¿Í Port (Service)°¡ µÎ¹ø° Destination Address°ú Port ·ÎÀÇ Á¢±ÙÀ» Çã¿ë ¶Ç´Â °ÅºÎÇϱâ À§ÇÏ¿© Router°ú Packet Filtering RuleÀ» »ç¿ëÇÑ´Ù. ¿¹¸¦ µé¾î, °ü¸®ÀÚ°¡ ¿ÜºÎ³×Æ®¿öÅ©ÀÇ Æ¯Á¤ MachineÀÌ ³»ºÎ³×Æ®¿öÅ©ÀÇ Æ¯Á¤ Machine¿¡ FTP»ç¿ëÀ» Çã°¡Çϱâ À§ÇÏ¿© Router RuleÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª µ¿ÀÏÇÑ MachineÀÇ ³»ºÎ³×Æ®¿öÅ©¿¡ ´ëÇÑ Telnet »ç¿ëÀº °ÅºÎÇÒ ¼ö ÀÖ´Ù. ¶Ç´Â ºñ½ÁÇÑ ¿¹·Î, ¸ðµç ´Ù¸¥ AddressÀÌ ³»ºÎ³×Æ®¿öÅ© »óÀÇ Æ¯Á¤AddressÀ¸·ÎÀÇ FTP»ç¿ëÀÌ ±ÝÁöµÉ ¶§, ÇÑ ¿ÜºÎ³×Æ®¿öÅ©ÀÇ Æ¯Á¤ Address ÀÌ ³»ºÎ³×Æ®¿öÅ©ÀÇ ±×Address¿¡ ´ëÇÑ FTP»ç¿ëÀÌ Çã°¡µÉ ¼ö ÀÖ´Ù.
4.3.1.1 Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÀåÁ¡
Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÀÌÀÍÀº ºü¸£°í, ÀϹÝÀûÀ¸·Î ºñ½ÎÁö ¾ÊÀ¸¸ç, À¯¿¬¼ºÀÌ ³ô°í, Åõ¸íÇÑ Á¡À» µé ¼ö ÀÖ´Ù. ¶ÇÇÑ ´ëºÎºÐÀÇ Á¶Á÷ÀÌ RouterÀ» °®°í ÀÖ´Ù.
4.3.1.2 Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ´ÜÁ¡
Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀº ¼ö¸¹Àº ´ÜÁ¡À» °®°í ÀÖ´Ù.
ù°·Î, IP Packet Header¾È¿¡ Æ÷ÇԵǾî ÀÖ´Â Source ,Destination Address ¿Í Port ´Â ³»ºÎ ³×Æ®¿öÅ©¿¡ ´ëÇÑ Á¢±ÙÀ» Çã¿ë ¶Ç´Â °ÅºÎÇϱâ À§ÇÏ¿© RouterÀÌ ÀÌ¿ëÇÒ ¼ö ÀÖ´Â À¯ÀÏÇÑ Á¤º¸ÀÌ´Ù. ±×·¯³ª ºÒÇàÇÏ°Ôµµ, ´ç½ÅÀÌ Á¢±Ù ¿ä±¸¸¦ ÇÏ´Â »ç¶÷ÀÌ ´©±ºÁö ¸ð¸£°Ô ¼ÓÀ̱â À§ÇÏ¿© Source, Destination°ú PortÀ» Á¶ÀÛÇÒ ¼ö ÀÖ´Ù. ÀÌ°ÍÀº ¾ÆÁÖ Áß¿äÇÑ ¹®Á¦ÀÌ´Ù. ½ÇÁ¦·Î ¸¸¾à ´ç½ÅÀÌ ¾î¶² ƯÁ¤Àο¡°Ô ´ç½ÅÀÇ ³»ºÎ Host Machine¿¡ ÀÖ´Â S/W¸¦ ´ç½ÅÀÇ RouterÀ» ÅëÇÏ¿© Á¢±ÙÇϵµ·Ï Çã¿ëÇÏ¿´´Ù¸é, ´©±¸³ª ±× Host¿¡ ÀÖ´Â ±× S/W¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù. ±×¸®°í ¸¸¾à Á¢±ÙµÇ¾îÁö´Â ±× S/W°¡ °·ÂÇÑ ÀÎÁõÀ» ÇÏÁö ¾ÊÀ¸¸é, ±×°ÍÀº °ð HoleÀ̸ç, ħÀÔÀÚ¿¡°Ô ´ç½ÅÀÇ ³×Æ®¿öÅ©¿¡ Á¢±ÙÀ» Çã¿ëÇÏ´Â °ÍÀÌ´Ù.
µÑ°·Î, ÀϹÝÀûÀ¸·ÎRouterÀº °·ÂÇÑ Logging ±â´ÉÀ» Á¦°øÇÏÁö ¾ÊÀ¸¸ç, ´ç½ÅÀÇ ³×Æ®¿öÅ©ÀÌ Ä§ÀÔ ´çÇÑ °ÍÀ» ÀÎÁöÇϱ⠾î·Æ°í, ÇØÄ¿ÀÇ °ø°ÝÀÌ ¼º°øÇßÀ» °æ¿ì º¹±¸ÇÏ´Â °ÍÀÌ ¸Å¿ì Èûµé´Ù.
¼Â°·Î, Packet Filtering ħÀÔÂ÷´Ü½Ã½ºÅÛÀº ÀϹÝÀûÀ¸·Î °·ÂÇÑ »ç¿ëÀÚ ÀÎÁõ °³³äÀ» Á¦°øÇÏÁö ¾Ê´Â´Ù.
³Ý°·Î, RouterÀº ÀϹÝÀûÀ¸·Î security°¡ ¾Æ´Ï¶ó, ¼º´ÉÀ» À§ÁÖ·Î °³¹ßµÇ¾ú±â ¶§¹®¿¡, H/W¿Í S/W ¾çÂÊ ´Ù °³¹ß ½Ã¿¡ º¸¾È Ãø¸é¿¡ ´ëÇÑ °í·Á°¡ ºÒÃæºÐÇß´Ù´Â ¾àÁ¡À» ¾È°íÀÖ´Ù.
´Ù¼¸Â°·Î, Router RuleÀÌ º¹ÀâÇϸç, ¸Å¿ì ¾î·Æ´Ù. ºñ·Ï °íµµÀÇ ³×Æ®¿öÅ© Àü¹®°¡µéÀÌ¶óµµ RouterÀÇ Rule base¿¡ RuleÀ» ´õÇϰųª »¬ ¶§ »ç°í·Î Router¿¡ HoleÀ» ¸¸µé¾î ³õÀ» ¼ö ÀÖ´Ù.
¸¶Áö¸·À¸·Î, ³»ºÎ³×Æ®¿öÅ©¿¡ RouterÀ» ÅëÇÑ Á¢±ÙÀÌ Çã¿ëµÇ¾ú´Ù¸é, ±× °ø°ÝÀÚ´Â S/W ¶Ç´Â ±× HostÀÇ configuration¾È¿¡ ÀÖ´Â ¾àÁ¡¿¡ Á÷Á¢ Á¢±ÙÀ» ÇÒ °ÍÀÌ´Ù.
4.3.2 Circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛ
Circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀº ħÀÔÂ÷´Ü½Ã½ºÅÛÀ¸·Î µ¿À۵ǾîÁö´Â ÇÑ MachineÀÌ ³»ºÎ³×Æ®¿öÅ© »óÀÇ client·Î ºÎ ÅÍ ³ª¿À´Â ¿¬°á ¿ä±¸¸¦ ó¸®ÇÏ´Â °ÍÀ» ÀǹÌÇÑ´Ù. ±×·¡¼ ħÀÔÂ÷´Ü½Ã½ºÅÛÀ¸·ÎºÎÅÍÀÇ ¿¬°á ¿ä±¸´Â remote siteÀÓÀÌ ºÐ¸íÇÏ´Ù.
4.3.2.1. Circuit ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÀåÁ¡
Circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÀåÁ¡Àº ³»ºÎ¿Í ¿ÜºÎ Machine°£ÀÇ Á÷Á¢ ¿¬°áÀ» ¸·´Â ´Ù´Â °ÍÀÌ´Ù. ¸ðµç µé¾î¿À´Â ¿ä±¸°¡ Â÷´ÜµÇ¾î Áø´Ù. ¸¸¾à ³»ºÎ Machine»ó¿¡¼ UserÀÌ ¾î¶² non-standard Port»óÀÇ CodeÀ» ¾´´Ù¸é, ¿ÜºÎ Host»óÀÇ UserÀº ±× Port¿¡ Á¢±ÙÇÏ´Â ¹æ¹ýÀÌ ¾ø´Ù. ÀÌ°ÍÀº º¸¾È ´ã´çÀÚ¿¡°Ô µé¾î¿À´Â ¿¬°á ¿ä±¸¸¦ Á¦¾îÇÏ´Â µ¥ ÇϳªÀÇ point¸¦ Á¦°øÇÑ´Ù.
4.3.2.2. Circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ´ÜÁ¡
ù°·Î, ¸¸¾à circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀÌ ºÎÀûÀýÇÏ°Ô ±¸¼ºµÇ¾ú´Ù¸é, ±×°ÍÀº ³»ºÎ³×Æ®¿öÅ© »óÀÇ UserÀÌ non-standard Port»ó¿¡¼ FTP, TELNETµîÀÇ ServiceÀ» ÅëÇÏ¿© ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ¿ìȸÇÏ´Â °ÍÀÌ °¡´ÉÇÏ´Ù. ±×¸®°í ±×·¯ÇÑ ¼ºñ½º¸¦ ¿ÜºÎ³×Æ®¿öÅ© »óÀÇ »ç¿ëÀÚµéÀÌ »ç¿ëÇÒ ¼öµµ ÀÖ´Ù.
µÑ°·Î, ¸¸¾à SocksÀÌ »ç¿ëµÈ´Ù¸é, ³»ºÎ³×Æ®¿öÅ© »óÀÇ client S/W´Â Socks S/W¿Í ÇÊ¿äÇÑ"handshake"¸¦ ¼öÇàÇϱâ À§ÇÏ¿© ¼öÁ¤µÇ¾îÁ®¾ß ÇÑ´Ù.
¼Â°·Î, Circuit Level Gateway´Â application ProtocolÀ» ÀÚüÀûÀ¸·Î ¹ø¿ªÇÏÁö ¸øÇÑ´Ù. ±×·¯¹Ç·Î application Level¿¡¼ TrafficÀ» °¨½ÃÇϰųª Á¦¾îÇÏÁö ¸øÇÑ´Ù. ¿©±â¼ ´ÜÁö Address°ú Port number¸¸ÀÌ ÀÌ¿ë °¡´ÉÇÏ´Ù. ±×·¡¼, Á¦¾îÀÇ Á¤µµ°¡ Routerº¸´Ù ÁÁÁö ¸øÇÏ´Ù. ±×°ÍÀÌ ´ëºÎºÐÀÇ Á¶Á÷ÀÌ ´ÜÁö circuit Level Gateway¸¦ ÅëÇÏ¿© ³ª¿À´Â ¿ä±¸¸¸À» ó¸®ÇÏ´Â ÀÌÀ¯ÀÌ´Ù.
4.3.3 Aplication Level ħÀÔÂ÷´Ü½Ã½ºÅÛ
Application Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀº °¡Àå ¾ÈÀüÇÑ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛÀÌ´Ù. Circuit Level ħÀÔÂ÷´Ü½Ã½ºÅÛ°ú °°ÀÌ, ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ÅëÇÏ¿© ³»ºÎ³×Æ®¿öÅ©¿¡ ¿¬°áÀ» ¿ä±¸ÇÏ´Â ¸ðµç ¿ÜºÎ³×Æ®¿öÅ©ÀÇ Host AddressÀ» È®ÀÎÇÒ ¼ö ÀÖµµ·Ï ±¸¼ºÇÒ ¼ö ÀÖ´Ù. Application Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀº FTP, TELNET°ú °°Àº ServiceÀ» À§ÇÏ¿©, ³»ºÎ³×Æ®¿öÅ© »óÀÇ Service¿¡ ´ëÇØ Á÷Á¢ AccessÀ» ¹æÇØÇÏ´Â ProxyÀ» »ç¿ëÇÑ´Ù.
4.3.3.1. Aplication Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÀåÁ¡
³»ºÎ ½Ã½ºÅÛ°ú ¿ÜºÎ ½Ã½ºÅÛ°£¿¡ ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ÇÁ·Ï½Ã¸¦ ÅëÇؼ¸¸ ¿¬°áÀÌ Çã¿ëµÇ°í Á÷Á¢ ¿¬°á(IP Connection)Àº Çã¿ëµÇÁö ¾Ê±â ¶§¹®¿¡ ¿ÜºÎ¿¡ ´ëÇÑ ³»ºÎ¸ÁÀÇ ¿Ïº®ÇÑ °æ°è¼± ¹æ¾î ¹× ³»ºÎÀÇ IP ÁÖ¼Ò¸¦ ¼û±æ ¼ö ÀÖ´Ù. µû¶ó¼, ÆÐŶ ÇÊÅ͸µ ±â´ÉÀÇ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛº¸´Ù º¸¾È¼ºÀÌ ¶Ù¾î³ª´Ù. ´Ù¸¥ ħÀÔÂ÷´Ü½Ã½ºÅÛ¿¡ ºñÇؼ °·ÂÇÑ Logging ¹× Audit ±â´ÉÀ» Á¦°øÇÑ´Ù. S/Key, Secure ID µî ÀÏȸ¿ë Æнº¿öµå¸¦ ÀÌ¿ëÇÑ °·ÂÇÑ ÀÎÁõ±â´ÉÀ» Á¦°øÇÒ ¼ö ÀÖ´Ù. ÇÁ·Ï½ÃÀÇ Æ¯¼ºÀÎ ÇÁ·ÎÅäÄÝ ¹× µ¥ÀÌÅÍ Àü´Þ±â´ÉÀ» ÀÌ¿ëÇÏ¿© »õ·Î¿î ±â´É Ãß°¡°¡ ¿ëÀÌÇÏ´Ù.
4.3.3.2 Application Level ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ´ÜÁ¡
Æ®·¡ÇÈÀÌ OSI 7°èÃþ¿¡¼ 󸮵DZ⠶§¹®¿¡ ´Ù¸¥ ¹æ½Ä°ú ºñ±³Çؼ ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ¼º´ÉÀÌ ¶³¾îÁö¸ç, ¶ÇÇÑ ÀϺΠ¼ºñ½º¿¡ ´ëÇؼ´Â »ç¿ëÀÚ¿¡°Ô Åõ¸íÇÑ ¼ºñ½º¸¦ Á¦°øÇϱ⠾î·Æ´Ù.ħÀÔÂ÷´Ü½Ã½ºÅÛ¿¡¼ »õ·Î¿î ¼ºñ½º¸¦ Á¦°øÇϱâ À§Çؼ »õ·Î¿î ÇÁ·Ï½Ã µ¥¸óÀÌ ÀÖ¾î¾ß ÇÑ´Ù. Áï »õ·Î¿î ¼ºñ½º¿¡ ´ëÇÑ À¯¿¬¼ºÀÌ ¾ø´Ù.
4.3.4 Hybrid ħÀÔÂ÷´Ü½Ã½ºÅÛ
¾Õ¿¡¼ ±â¼úµÈ ¹æ½ÄÀ» º¹ÇÕÀûÀ¸·Î ÀÌ¿ëÇÑ´Ù.,Packet Filtering°ú Application Gateway ±â´ÉÀÌ È¥¿ëµÈ ±¸Á¶·Î º¸¾È¼º°ú ¼º´É¸é¿¡¼ ´Ù¸¥ ±¸Á¶¿¡ ºñÇØ ¿ùµîÈ÷ ¶Ù¾î³ª´Ù.
³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º Ä«µå¸¦ ÅëÇÏ¿© TCP/IPÄ¿³Î·Î µé¾î¿Â ÆÐŶÀº Ä¿³ÎÀÇ ÆÐŶ ÇÊÅ͸µ ¸ðµâ¿¡ ÀÇÇØ ¸ÕÀú °Ë»çµÇ¾î Å»¶ôµÇ°Å³ª ¶ó¿ìÆõǾî ÀÀ¿ëÇÁ·Î±×·¥À¸·Î Àü´ÞµÈ´Ù
5. ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ±¸ÃàÇϱâ À§ÇÑ ÇüÅ´ ¾î¶²°Í µéÀÌ Àִ°¡?
5.1 Screened Host ħÀÔÂ÷´Ü½Ã½ºÅÛ
ÀÌ ÇüÅ¿¡¼ ¿ÜºÎ·ÎºÎÅÍ »ç³» ³×Æ®¿öÅ©·Î Á÷Á¢ µé¾î¿À´Â ¸ðµç ÆÐŶ(Packet)Àº ½ºÅ©¸° ¶ó¿ìÅ͸¦ °ÅÄ£´Ù.½ºÅ©¸° ¶ó¿ìÅÍ´Â ¿ÜºÎ ÆÐŶÀÌ ¹Ù·Î »ç³» ³×Æ®¿öÅ©·Î µé¾î¿À´Â °ÍÀ» Â÷´ÜÇÏ°í, ¸ðµç ÆÐŶÀ» ¹è½ºÃÅ(Bastion) È£½ºÆ®·Î º¸³½´Ù. ¹è½ºÃŠȣ½ºÆ®´Â Á¤ÇØÁø ¼Â¾÷¿¡ ÀÇÇØ ÆÐŶÀ» ÆǺ°ÇÏ¿© Åë°ú½ÃÅ°°Å³ª ¸·°Å³ª, ¸ð´ÏÅ͸µ ÇÑ´Ù. ÀÌ ¹æ¹ýÀÇ Æ¯Â¡Àº ¿ÜºÎ¿¡ °ø°³µÇ¾î ÆÛºí¸¯ ¼ºñ½º¸¦ ÇÏ´Â ¼¹ö°¡ »ç³» ³×Æ®¿öÅ© ³»ºÎ¿¡, Áï ħÀÔÂ÷´Ü½Ã½ºÅÛ ¾È¿¡ Àִٴ Ư¡À» Áö´Ñ´Ù. ÀÌ ¹æ¹ýÀÇ ÀåÁ¡Àº ³×Æ®¿öÅ© »ç¿ëÀڵ鿡 ´ëÇÑ º¸¾È½Ã½ºÅÛÀÇ Transparency°¡ À¯ÁöµÈ´Ù´Â Á¡ÀÌ´Ù. Áï, ³»ºÎÀûÀ¸·Î º¸¾È ½Ã½ºÅÛÀÌ ÀÛµ¿µÇ°í ÀÖÁö¸¸, »ç¿ëÀÚµéÀº À̸¦ ´À³¢Áö ¸øÇÏ¸ç »ç¿ë»óÀÇ ºÒÆíµµ ÃÖ¼ÒȵȴÙ. ¶ÇÇÑ º¸¾È °ü¸®ÀÚ´Â °ø°³µÈ ¼¹ö¸¶´Ù ÀÏÀÏÀÌ ½Å°æ¾²Áö ¾Ê¾Æµµ ¹è½ºÃŠȣ½ºÆ®¸¸ ¿ÏÀüÇÏ°Ô ¿î¿ëµÈ´Ù¸é º¸¾ÈÀÌ À¯ÁöµÉ ¼ö ÀÖ´Ù´Â ÀåÁ¡ÀÌ ÀÖ´Ù. ±×·¯³ª ¾î¶² ÀÌÀ¯¿¡¼°Ç °ø°³µÈ ¼¹ö°¡ ħÀÔ´çÇÒ °æ¿ì »ç³» ³×Æ®¿öÅ© Àüü°¡ ÇØÅ·ÀÇ »çÁ¤±Ç¿¡ ³ëÃâµÇ´Â È¿°ú¸¦ °®´Â´Ù´Â ´ÜÁ¡ÀÌ ÀÖ´Ù. °ø°³ ¼¹ö°¡ ħÀÔÂ÷´Ü½Ã½ºÅÛ µÚ¿¡ À§Ä¡ÇÏ°í Àִ¸¸Å µÚ¿¡¼ ±¸¸ÛÀÌ ¶Õ¸°´Ù¸é ħÀÔÂ÷´Ü½Ã½ºÅ۷μ´Â ¼Ó¼ö¹«Ã¥ÀÌ´Ù. ¶ÇÇÑ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛ¿¡ ÀÇÇØ °ø°³ ¼¹öÀÇ º¸¾ÈÀº °ÈµÇÁö¸¸, ´ë½Å ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ Æ®·¡ÇÈÀÌ °¡ÁßµÇ¾î ³×Æ®¿öÅ© ¼ÓµµÀÇ ÀúÇϸ¦ °¡Á®¿Ã ¼ö ÀÖ´Ù.
½ºÅ©¸°µå È£½ºÆ® ¹æ½ÄÀº ÆÐŶ ÇÊÅ͸µ ¶Ç´Â ½ºÅ©¸®´× ¶ó¿ìÅÍÀÇ ÇÑ Æ÷Æ®´Â ¿ÜºÎ¸Á¿¡ ¿¬°áµÇ¾î ÀÖ°í ´Ù¸¥ Æ÷Æ®´Â ³»ºÎ¸Á¿¡ ¿¬°áµÇ¾î ÀÖ´Ù. ¶ÇÇÑ ³»ºÎ¸Á¿¡ º£½ºÃŠȣ½ºÆ®°¡ ¿¬°áµÈ ±¸Á¶ÀÌ´Ù. ÀüüÀûÀ¸·Î º¸¸é ÆÐŶÇÊÅ͸µ ¶ó¿ìÅÍ¿Í º£½ºÃÅÈ£½ºÆ® 2°¡Áö°¡ º¹ÇյǾî ħÀÔÂ÷´Ü½Ã½ºÅÛ ¿ªÇÒÀ» ÇÑ´Ù.
5.2 Screend Subnet ħÀÔÂ÷´Ü½Ã½ºÅÛ
ÀÌ ÇüÅ°¡ °®´Â Ư¡Àº ÀÎÅͳݰú ³»ºÎ ³×Æ®¿öÅ©ÀÇ »çÀÌ¿¡ Á߸³Áö¿ªÀÌ Á¸ÀçÇÑ´Ù´Â Á¡ÀÌ´Ù. À̸¦ DMZ¶ó°íµµ ºÎ¸£´Âµ¥, ±â¾÷¿¡¼ ¿ÜºÎ¿¡ °ø°³ÇÏ¿© »ç¿ëÇÏ´Â ¸ðµç ¼¹öµéÀº ÀÌ ¼ºê³Ý¿¡ À§Ä¡ÇÑ´Ù. Áï, ¹è½ºÃŠȣ½ºÆ®´Â ¹°·Ð ÀϹÝÀûÀ¸·Î °ø°³µÈ À¥¼¹ö, E-Mail ¼¹ö µîÀÌ À§Ä¡ÇÏ´Â °÷ÀÌ´Ù.
DMZ´Â ¿ÜºÎ¿¡¼ ºñ±³Àû ÀÚÀ¯·Ó°Ô Á¢±ÙÇÒ ¼ö ÀÖ´Â ¿µ¿ªÀ̸ç, ¿©±â¼ »ç³» ³×Æ®¿öÅ©·Î µé¾î°¡±â À§Çؼ´Â ´Ù½Ã ¶ó¿ìÅÍ(Interior Router)¸¦ °ÅÃÄ¾ß ÇÑ´Ù. ÀÌ ¹æ¹ýÀº ½Å·ÚÇÒ ¼ö ÀÖ´Â ³ôÀº ¼öÁØÀÇ º¸¾ÈÀ» °¡´ÉÄÉ ÇØÁÖ´Â ÀåÁ¡ÀÌ ÀÖÀ¸³ª, »ç¿ëÀÚ ÀÔÀå¿¡¼´Â DMZ¸¦ ÅëÇØ ³»/¿ÜºÎ°£ Åë½ÅÀÌ ÀϾ´Â ºÒÆíÀÌ µû¸¥´Ù. ¶ÇÇÑ °ø°³ ¼¹öÀÇ º¸¾ÈÀº °¢ ¼¹ö ÀÚü¿¡¼ Ã¥ÀÓÀ» Á®¾ßÇÑ´Ù. ´ë½Å ¿ÜºÎ·ÎºÎÅÍ Æ¯º°ÇÑ °æ¿ì ¿Ü¿¡´Â »ç³» ³×Æ®¿öÅ©¿¡ Á¢±ÙÇÒ ÀÏÀÌ ¾ø¾îÁö¹Ç·Î ºÒ¹ýÀû ħÀÔÀ» ¸·±â°¡ ¿ëÀÌÇÏ°í, ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ Æ®·¡ÇÈÀÌ »ó´ëÀûÀ¸·Î ÁÙ¾îµç´Ù.
5.3 Dual Homed Gateway ħÀÔÂ÷´Ü½Ã½ºÅÛ
µà¾ó-Ȩµå(Dual-Homed) ±¸Á¶ÀÇ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛ ½Ã½ºÅÛÀº ¿ÜºÎ ³×Æ®¿öÅ©°ú ³»ºÎ ³×Æ®¿öÅ© »çÀÌ¿¡ 2°³ÀÇ ÀÎÅÍÆäÀ̽º¸¦ °¡Áö¸é¼ ¶ó¿ìÆà ±â´ÉÀÌ ¾ø´Â ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ¼³Ä¡ÇÏ´Â ÇüÅÂÀÌ´Ù.
ħÀÔÂ÷´Ü½Ã½ºÅÛ ½Ã½ºÅÛÀº ÇϳªÀÇ ³×Æ®¿öÅ©¿¡¼ ´Ù¸¥ ³×Æ®¿öÅ©·Î IP ÆÐŶÀ» ¶ó¿ìÆà ÇÏÁö ¾Ê±â ¶§¹®¿¡ ÀÌ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛ¿¡ ÇÁ·Ï½Ã ±â´ÉÀ» ºÎ¿©ÇÔÀ¸·Î½á °á±¹ ÇϳªÀÇ ³×Æ®¿öÅ©¿¡¼ ¹ß»ýÇÑ IPÆÐŶÀÌ Á÷Á¢ ´Ù¸¥ ³×Æ®¿öÅ©·Î Àü´ÞµÇÁö ¾Êµµ·Ï ÇÑ´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛÀÌ ¶ó¿ìÆà ±â´ÉÀ» Á¦°øÇÏÁö ¾Ê±â ¶§¹®¿¡ ³»¡¤¿ÜºÎ »ç¿ëÀÚ ¸ðµÎ ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» Åë°úÇØ¾ß Çϱ⠶§¹®¿¡ º¸¾È¼ºÀ» Á¦°øÇÒ ¼ö ÀÖÀ»Áö ¸ð¸£Áö¸¸ »ç¿ëÀÚ¿¡°Ô Åõ¸íÇÑ ¼ºñ½º¸¦ Á¦°øÇÏÁö ¸øÇÑ´Ù. º¸Åë ÀÌ·¯ÇÑ ±¸Á¶¿¡¼ º¸¾È¼ºÀ» °í·Á ÇÑ´Ù¸é ÇÁ·Ï½Ã ±â´ÉÀ» °®´Â ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ÀÌ¿ëÇÏ°Ô µÇ°í, »ç¿ëÀÚ Åõ¸í¼ºÀ» Á¦°øÇØ¾ß ÇÑ´Ù¸é ÆÐŶ ÇÊÅ͸µ ±â´ÉÀ» °®´Â ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ÀÌ¿ëÇÑ´Ù.
5.4 ħÀÔÂ÷´Ü½Ã½ºÅÛÀÇ ±â´É Áß NAT ¶õ ¹«¾ùÀΰ¡?
NAT(Network Address Translation) ¶õ ÀÎÅͳݿ¡ ¿¬°á½Ãų ¼ö ¾ø´Â ºñ°øÀÎ »ç¼³ IP¸¦ ÀÎÅͳݿ¡¼ »ç¿ëÇÒ ¼ö ÀÖ´Â °øÀÎ IP Address·Î º¯È¯½ÃÅ°´Â ¿ªÇÒÀ» ÇÏ´Â ½Ã½ºÅÛÀ» ¸»ÇÑ´Ù, ¿©±â¼ ½Ã½ºÅÛÀ̶õ H/W ȤÀº S/W¸¦ ¸»Çϴµ¥ S/WÀÇ °æ¿ì ÀϹÝÀûÀ¸·Î ħÀÔÂ÷´Ü½Ã½ºÅÛÀ» ¼³Ä¡ÇÔÀ¸·Î½á ÀÌ ±â´ÉÀ» Áö¿øÇÑ´Ù
5.6. ħÀÔÂ÷´Ü½Ã½ºÅÛ °ü¸®ÀÚÀÇ ÀÚ°Ý¿ä°ÇÀº?
¿ì¸®´Â ħÀÔÂ÷´Ü½Ã½ºÅÛ °ü¸®ÀÚ°¡ ¾î¶² ÀÚ°ÝÀ» °®°íÀÖ¾î¾ß ÇÏ´ÂÁö ºó¹øÇÏ°Ô ¿äû¹Þ´Â´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛ °ü¸®ÀÚ´Â ¶Ù¾î³ UNIX system°ü¸®ÀÚ°¡ µÇ¾î¾ß ÇÑ´Ù. ÀÌ°ÍÀº ħÀÔÂ÷´Ü½Ã½ºÅÛÀÌ ³×Æ®¿öÅ© ȯ°æ ÇÏ¿¡¼ ¾î¶»°Ô ±â´ÉÇÏ´Â Áö (DNS configuration, Packet Filtering µî)ÀÌÇØÇÏ´Â °ÍÀÌ Áß¿äÇϱ⠶§¹®ÀÌ´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛÀº µ¶¸³ÀûÀÎ ±¸¼º¿ä¼ÒµéÀÇ º¹ÀâÇÑ ±¸Á¶ ¼ÓÀÇ ÇÑ ±¸¼º¿ä¼Ò¿¡ ºÒ°úÇÏ´Ù. ±×¸®°í ħÀÔÂ÷´Ü½Ã½ºÅÛ°ü¸®Àڴ ħÀÔÂ÷´Ü½Ã½ºÅÛ¿¡ °¡ÇØÁö´Â ¾î¶² º¯°æÀÌ ³ª¸ÓÁö ³×Æ®¿öÅ©¿¡ ¾î¶² ¿µÇâÀ» ¹ÌÄ¥ °ÍÀÎÁö ÀÌÇØÇØ¾ß ÇÑ´Ù.
±×¸®°í ¿ì¸®´Â ¾ó¸¶³ª ¸¹Àº ½Ã°£À» ħÀÔÂ÷´Ü½Ã½ºÅÛ°ü¸®¿¡ ÅõÀÚÇØ¾ß ÇÏ´ÂÁö¿¡ ´ëÇؼ ¸¹Àº Áú¹®À» ¹Þ´Â´Ù. ±× ½Ã°£Àº site¸¶´Ù ´Ù¸£´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛ ÀÚü´Â À¯Áöº¸¼ö¸¦ °ÅÀÇ ÇÊ¿ä·Î ÇÏÁö ¾Ê´Â´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛÀº Á¶Á÷ÀÇ º¸¾È Á¤Ã¥À» ¹Ý¿µÇÑ´Ù. º¸¾ÈÁ¤Ã¥ÀÌ º¯°æµÇÁö ¾Ê´Â ÇÑ Ä§ÀÔÂ÷´Ü½Ã½ºÅÛÀÇ º¯°æÀº ÇÊ¿äÄ¡ ¾Ê´Ù. ħÀÔÂ÷´Ü½Ã½ºÅÛ °ü¸®ÀÚ°¡ ÅõÀÚÇØ¾ß ÇÏ´Â ½Ã°£Àº ÁÖ±âÀûÀ¸·Îlog rePortÀ» Àаí, ħÀÔÂ÷´Ü½Ã½ºÅÛ»óÀÇ Áß¿äÇÑ FileÀÇ ¹«°á¼ºÀ» Á¡°Ë ÇÏ°í, ħÀÔÂ÷´Ü½Ã½ºÅÛ log¸¦ backupÇÏ°í ¿ÜºÎ ³×Æ®¿öÅ©·ÎºÎÅÍ °·ÂÇÑ ÀÎÁõ Å×ÀÌºí¿¡ ¿¬°áÀ» ¿ä±¸ÇÒ ¶§ »õ·Î¿î »ç¿ëÀÚ¸¦ ºÎ°¡ÇÏ´Â °ÍÀÌ´Ù. Åë»óÀûÀ¸·Î ¼öõ¸íÀÇ »ç¿ëÀÚ¸¦ °¡Áø ³×Æ®¿öÅ©¸¦ °ü¸®ÇÏ´Â µ¥ ÁÖÀÏ´ç ÇÏ·ç¿¡¼ ÇÏ·ç ¹Ý »çÀÌÀÇ ½Ã°£ÀÌ ÇÊ¿äÇÏ´Ù.
Linux IPCHAINS-HOWTO
Paul Russell, Paul.Russell@rustcorp.com.au
v0.6, Sun May 17 14:29:26 CST 1998
¹ø¿ª: ÀÌ ¸¸¿ë, geoman@nownuri.net
ÀÌ ¹®¼´Â ¸®´ª½º¸¦ À§ÇØ °³¼±µÈ ÀÏ¹Ý IP ¹æȺ® üÀÎ ¼ÒÇÁÆ®¿þ¾î¸¦ ¾î¶»°Ô
±¸ÇÏ°í ¼³Ä¡ÇÏ°í ¼³Á¤ÇÏ´ÂÁö ±×¸®°í À̸¦ »ç¿ëÇÒ ¶§ ¾Ë¾ÆµÎ¾î¾ß ÇÒ »çÇ׵鿡
´ëÇÏ¿© ÀÚ¼¼È÷ ±â¼úÇÏ°íÀÚ ÇÑ´Ù.
<¿ªÀÚÀÇ ±Û>
¸®´ª½º¿¡¼ IP ¹æȺ® ÄÚµå¿Í ipfwadm ¸í·ÉÀº ¸Å¿ì Èï¹Ì·Ó°í ±ÍÁßÇÑ ÀÚ¿øÀÌ´Ù.
IP ÆÐŶ ¼öÁØ¿¡¼ÀÇ °É·¯³»±â ±â´ÉÀÇ À¯¿ë¼ºÀ» ±¸Å¿© ¸»ÇÒ ÇÊ¿ä°¡ ¾øÀ¸¸®¶ó
º»´Ù. ƯÈ÷ ¸Å½ºÄ¿·¹ÀÌµå ±â´ÉÀº Á¤¸» µ¸º¸ÀÌ´Â ±â´É Áß ÇϳªÀÌ´Ù.
°³¹ß ¹öÀü 2.1.102 ºÎÅÍ °ø½ÄÀûÀ¸·Î µé¾î¿Í ÀÖ´Â ``°³¼±µÈ'' IP ¹æȺ® ÄÚµå¿Í
ÈξÀ ´õ ³ª¾ÆÁø °ü¸®µµ±¸ ipchains ´Â ¸®´ª½º ¹æȺ® ±â´ÉÀ» ¾ÖÈ£ÇÏ´Â »ç¶÷µéÀÌ
²À ÀÍÇô¾ß ÇÒ ³»¿ëÀ̶ó »ý°¢ÇÑ´Ù.
¶Ç ÇϳªÀÇ È¹±âÀûÀÎ ÀÛÇ°ÀÎ Ä¿³Î 2.2 ¸¦ ±â´Ù¸®¸ç º¯È¿¡ ÀûÀÀÇÒ ¼ö ÀÖµµ·Ï
µ½±â À§ÇØ ¹ø¿ªÀ» ÇÏ¿´´Ù.
¿ë¾î ¼±ÅÃÀÌ ÀûÀýÄ¡ ¸øÇÑ °Í¿¡ ´ëÇÑ ÀÇ°ßÀ» µè°í °Ô¼ÓÀûÀ¸·Î ¼öÁ¤ÇØ ³ª°¥
»ý°¢ÀÌ´Ù.
______________________________________________________________________
¸ñÂ÷
1. ¼Ò°³
1.1 ¹«¾ù?
1.2 ¿Ö?
1.3 ¾î¶»°Ô?
1.4 ¾îµð¼?
2. ÆÐŶ ÇÊÅ͸µ ±âº»±â
2.1 ¹«¾ù?
2.2 ¿Ö?
2.3 ¾î¶»°Ô?
2.3.1 ÆÐŶ ÇÊÅ͸µ ±â´ÉÀ» °®Ãá Ä¿³Î
2.3.2 ``ipchains''
3. ÀϹÝÀûÀÎ IP ¹æȺ® üÀÎ
3.1 ¾î¶»°Ô ÆÐŶÀÌ ÇÊÅ͸¦ Åë°úÇϴ°¡?
3.1.1 ipchains »ç¿ëÇϱâ
3.1.2 ´ÜÀÏ ±ÔÄ¢ »óÀÇ µ¿ÀÛ
3.1.3 ÇÊÅÍ ±ÔÄ¢ ¸í½ÃÇϱâ
3.1.3.1 ¼ö½ÅÁö, ¸ñÀûÁö IP ÁÖ¼Ò ¸í½ÃÇϱâ
3.1.3.2 ¿ª¹æÇâ ¸í½ÃÇϱâ
3.1.3.3 ÇÁ·ÎÅäÄÝ ¸í½ÃÇϱâ
3.1.3.3.1 UDP, TCP Æ÷Æ® ¸í½ÃÇϱâ
3.1.3.3.2 ICMP À¯Çü°ú ÄÚµå ¸í½ÃÇϱâ
3.1.3.4 ÀÎÅÍÆäÀ̽º ¸í½ÃÇϱâ
3.1.3.5 TCP SYN ÆÐŶ¸¸ ¸í½ÃÇϱâ
3.1.3.6 Á¶°¢(Fragments) ó¸®
3.1.4 ÇÊÅ͸µÀÇ ÁÖº¯ È¿°ú
3.1.4.1 ¸ñÇ¥ ¸í½ÃÇϱâ
3.1.4.2 ÆÐŶ ±â·ÏÇϱâ
3.1.4.3 ¼ºñ½º À¯Çü ó¸®Çϱâ
3.1.4.4 ÆÐŶ Ç¥½ÃÇϱâ
3.1.4.5 Àüü üÀο¡ ´ëÇÑ µ¿ÀÛ
3.1.4.6 »õ·Î¿î üÀÎ ¸¸µé±â
3.1.4.7 üÀÎ Áö¿ì±â
3.1.4.8 üÀÎ ºñ¿ì±â
3.1.4.9 üÀÎ ³»¿ë º¸±â
3.1.4.10 Ä«¿îÅÍ °ªÀ» 0 À¸·Î µ¹·Á³õ±â
3.1.4.11 Á¤Ã¥ Á¤Çϱâ
3.1.5 Operations on Masquerading
3.1.6 Checking a Packet
3.1.7 Multiple Rules at Once and Watching What Happens
3.2 ¾µ¸¸ÇÑ ¿¹Á¦
3.2.1 ``ipchains-save'' »ç¿ëÇϱâ
3.2.2 ``ipchains-restore'' »ç¿ëÇϱâ
4. ±× ¹ÛÀÇ °Íµé
4.1 ¾î¶»°Ô ¹æȺ® ±ÔÄ¢À» ü°èÈÇÒ ¼ö Àִ°¡?
4.2 ¾î¶² °ÍÀº °É·¯³»Áö ¸»¾Æ¾ß Çϴ°¡?
4.2.1 ICMP ÆÐŶ
4.2.2 DNS ´ä½Å
4.2.3 FTP ÀÇ ¾Ç¸ù
4.3 Á×À½ÀÇ ÇÎ °É·¯³»±â
4.4 Ƽ¾îµå·Ó°ú ºÀÅ© °É·¯³»±â
4.5 Á¶°¢ Æøź °É·¯³»±â
4.6 ¹æȺ® ±ÔÄ¢ ¹Ù²Ù±â
4.7 ´õ ³ôÀº ¼öÁØÀÇ ÇÁ·ÎÁ§Æ®
4.8 ¾ÕÀ¸·Î °³¼±ÇÒ Á¡
5. º°Ã· - ipchains ¿Í ipfwadm °£ÀÇ Â÷ÀÌÁ¡
5.1 °£´ÜÇÑ ÂüÁ¶ µµÇ¥
5.2 ipfwadm ¸í·É ¹ø¿ªÀÇ ¿¹
6. º°Ã· - `ipfwadm-wrapper' ½ºÅ©¸³Æ® »ç¿ëÇϱâ
7. º°Ã· - °¨»çÀÇ ±Û
______________________________________________________________________
ÀÌ ±ÛÀº ¸®´ª½º IPCHAINS-HOWTO ÀÌ´Ù. ¸®´ª½º NET-3-HOWTO, IP ¸Å½ºÄ¿·¹À̵ù
ÇÏ¿ìÅõ, PPP ÇÏ¿ìÅõ, ÀÌ´õ³Ý ÇÏ¿ìÅõ µîµµ ÀÐ¾î º¼ ¸¸ÇÑ °¡Ä¡°¡ ÀÖ´Â ±ÛÀÌ´Ù.
(¶ÇÇÑ alt.fan.bigfoot FAQµµ ±¦Âú´Ù)
ÆÐŶ ÇÊÅ͸µ¿¡ ´ëÇÏ¿© ÀÌ¹Ì ¾Ë°í ÀÖ´Ù¸é ``¿Ö?'' ¼½¼Ç°ú ``¾î¶»°Ô?'' ¼½¼ÇÀ»
Àаí ``ÀϹÝÀûÀÎ IP ¹æȺ® üÀÎ'' ¼½¼ÇÀ» Àо°¡±â ¹Ù¶õ´Ù.
ipfwadm·ÎºÎÅÍ º¯È¯À» ÇÏ°í ÀÖ´Ù¸é ``¼Ò°³'' ¼½¼Ç, ``¾î¶»°Ô?'' ¼½¼Ç,
±×¸®°í º°Ã· ``ipchains¿Í ipfwadm °£ÀÇ Â÷ÀÌÁ¡'', ``ipfwadm-wrapper ½ºÅ©
¸³Æ® »ç¿ëÇϱâ''¸¦ Àо°¡¸é µÈ´Ù.
¸®´ª½º ipchains ´Â ¸®´ª½º IPv4 ¹æȺ® ÄÚµå(ÁÖ·Î BSD·ÎºÎÅÍ µû¿Â °ÍÀÌ´Ù.)¸¦
´Ù½Ã ¸¸µç °ÍÀ̸ç BSDÀÇ ipfw ¸¦ ´Ù½Ã ¸¸µç ipfwadm À» ´Ù½Ã ÀÛ¼ºÇÑ °ÍÀÌ´Ù.
1.2. ¿Ö?
ÇöÀç »ç¿ë ÁßÀÎ ¸®´ª½º ¹æȺ® ÄÚµå´Â ÆÐŶ Á¶ÀÛÀ» ´Ù·çÁö ¸øÇϸç 32 ºñÆ®
Ä«¿îÅÍ(ÀÎÅÚÀÇ °æ¿ì)¸¦ »ç¿ëÇÏ°í ÀÖ°í TCP, UDP, ICMP ÀÌ¿ÜÀÇ ÇÁ·ÎÅäÄÝÀ»
¸í½ÃÇÒ ¼ö ¾ø´Ù. ½±°Ô ¸¹Àº ³»¿ë¿¡ º¯È¸¦ °¡ÇÒ ¼ö ¾ø°í ¿ª±ÔÄ¢À» ¸í½ÃÇÒ
¼ö ¾øÀ¸¸ç ¸î¸î °áÇÔÀ» °¡Áö°í ÀÖ´Ù. ±×¸®°í °ü¸®Çϱ⵵ Èûµé´Ù.
(¶§¹®¿¡ ¿¡·¯¸¦ À¯¹ßÇϱ⠽±´Ù)
1.3. ¾î¶»°Ô?
ÇöÀç ÀÌ ÄÚµå´Â Ä¿³Î 2.1.102 ºÎÅÍ °ø½ÄÀûÀ¸·Î Æ÷ÇԵǾî ÀÖ´Ù.
2.0 Ä¿³ÎÀÇ °æ¿ì¿¡´Â À¥ ÆäÀÌÁö·ÎºÎÅÍ Ä¿³Î ÆÐÄ¡¸¦ ´Ù¿î·Îµå¹Þ¾Æ¾ß ÇÑ´Ù.
1.4. ¾îµð¼?
¸®´ª½º ÀÏ¹Ý IP ¹æȺ® üÀο¡´ëÇÑ °ø½Ä À¥ ÆäÀÌÁö´Â ´ÙÀ½°ú °°´Ù.
<http://www.adelaide.net.au/~rustcorp/ipfwchains>
¸¸¾à Ä¿´Ù¶õ À͸í FTP ¼¹ö¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù¸é FTP ¿¡ ¼ÒÇÁÆ®¿þ¾î¸¦ µÎ¾ú°ÚÁö¸¸
±×·¸Áö ¸øÇϱ⠶§¹®¿¡ HTTP Àü¼ÛÀ¸·Î Á¦°øÇÏ°í ÀÖ´Ù.
¹ö±× º¸°í, Åä·Ð, °³¹ß ±×¸®°í »ç¿ë¿¡ °üÇÑ ¹®Á¦¸¦ ´Ù·ç´Â ¸ÞÀϸµ ¸®½ºÆ®°¡
ÀÖ´Ù. wantree.com.auÀÇ ipchains-request·Î subscribe ¶ó´Â ´Ü¾î°¡ Æ÷ÇÔµÈ
¸Þ½ÃÁö¸¦ º¸³»¸é °¡ÀԵȴÙ. ¸®½ºÆ®¿¡ ¸ÞÀÏÀ» º¸³¾ ¶§´Â `ipchains-request'°¡
¾Æ´Ï¶ó `ipchains' ¾ÕÀ¸·Î ¸ÞÀÏÀ» º¸³»¾ß ÇÑ´Ù.
2. ÆÐŶ ÇÊÅ͸µ ±âº»±â
2.1. ¹«¾ù?
³×Æ®¿÷À» ÅëÇÏ´Â ¸ðµç °ÍÀº ÆÐŶÀÇ ÇüŸ¦ ¶í´Ù. ¿¹¸¦ µé¾î Áö±Ý ÀÌ ÆÐÅ°Áö
(¾à 50k)¸¦ ¹Þ´Âµ¥´Â ÇϳªÀÇ Å©±â°¡ 1460 ¹ÙÀÌÆ®ÀÎ ÆÐŶ ¾à 36 °³ Á¤µµ¸¦
¹ß»ý½ÃŲ´Ù. ( °ªÀº ±×³É ¾Æ¹«·¸°Ô³ª Àâ¾Ò´Ù )
°¢ ÆÐŶÀÇ ¾Õ ºÎºÐ¿¡´Â ÆÐŶÀÌ ¾îµð·Î ÇâÇÏ°í ÀÖ´ÂÁö, ¾îµð¼ ¿Ô´ÂÁö, ¾î¶²
Á¾·ùÀÇ ÆÐŶÀÎÁö ±×¸®°í ±× ¹ÛÀÇ °ü¸® »ó ÇÊ¿äÇÑ ¼¼ºÎ »çÇ×ÀÌ ÀûÇôÀÖ´Ù.
ÀÌ ºÎºÐÀ» ÆÐŶÀÇ `Çì´õ(header)'¶ó ºÎ¸¥´Ù. ³ª¸ÓÁö ºÎºÐ¿¡´Â Àü¼ÛÇÏ°íÀÚ ÇÏ´Â
½ÇÁ¦ ÀÚ·á°¡ µé¾îÀÖÀ¸¸ç `¸öü(body)'¶ó ºÎ¸¥´Ù.
À¥, ¸ÞÀÏ, ¿ø°Ý ·Î±×Àο¡¼ »ç¿ëµÇ´Â TCP ¿Í °°Àº ÇÁ·ÎÅäÄÝÀº `Á¢¼Ó'À̶ó´Â
°³³äÀ» »ç¿ëÇÑ´Ù. º¸³»°íÀÚ ÇÏ´Â ½ÇÁ¦ ÀڷḦ Æ÷ÇÔÇÑ ÆÐŶÀ» º¸³»±â¿¡ ¾Õ¼
´Ù¾çÇÑ ¼³Á¤ ÆÐŶ(Ưº°ÇÑ Çì´õ¸¦ °¡Áö°í ÀÖ´Ù)ÀÌ ±³È¯µÇ´Âµ¥ ±× ³»¿ëÀº
`Á¢¼ÓÀ» ¿øÇÑ´Ù', `½ÂÀÎÇÑ´Ù', `°í¸¿´Ù'¿Í °°Àº ¸Þ½ÃÁö¶ó°í º¸¸é µÈ´Ù.
±×¸®°í ³ª¼¾ß º¸ÅëÀÇ ÆÐŶÀÌ ±³È¯µÈ´Ù.
ÆÐŶ ÇÊÅͶõ Áö³ª°¡´Â ÆÐŶÀÇ Çì´õ¸¦ º¸°í ÆÐŶÀÇ ¿î¸íÀ» °áÁ¤Áþ´Â ¼ÒÇÁÆ®¿þ¾î
ÀÌ´Ù. ÆÐŶÀ» ¹«½Ã(deny)ÇÒ ¼ö ÀÖ°í(¸¶Ä¡ ÆÐŶÀ» ¾È¹ÞÀº °Íó·³ ¹ö¸®´Â ÇàÀ§)
ÆÐŶÀÌ Áö³ª°¡µµ·Ï Çã¿ëÇϰųª ÆÐŶÀ» °ÅÀý(reject)ÇÒ ¼ö ÀÖ´Ù.(¹«½Ã¿Í °°Áö¸¸
ÆÐŶÀ» º¸³½ °÷¿¡ °ÅÀýÇÔÀ» Å뺸ÇØÁØ´Ù.)
¸®´ª½º¿¡¼´Â ÆÐŶ ÇÊÅ͸µ ±â´ÉÀÌ Ä¿³Î ¾È¿¡ µé¾îÀÖ°í ÆÐŶÀ» ó¸®ÇÔ¿¡ ÀÖ¾î
°í·ÁÇØ¾ß ÇÒ ¸î °¡Áö »çÇ×µéÀÌ ÀÖÁö¸¸ Çì´õ¸¦ »ìÆ캸°í ÆÐŶÀÇ ¿î¸íÀ» °áÁ¤ÇÑ´Ù´Â
ÀϹÝÀûÀÎ ¿øÄ¢Àº ¶È°°´Ù.
2.2. ¿Ö?
Á¦¾î. º¸¾È. °¨½Ã.
Á¦¾î(Control):
³»ºÎ ³×Æ®¿÷À» ´Ù¸¥ ³×Æ®¿÷(¸»ÇÏÀÚ¸é ÀÎÅͳÝ)¿¡ ¿¬°áÇØ ÁÖ´Â ¿ëµµ·Î
¸®´ª½º ¹Ú½º¸¦ »ç¿ëÇÏ°í ÀÖ´Ù¸é ƯÁ¤ ÇüÅÂÀÇ ³×Æ®¿÷ ÀڷḦ Çã¿ëÇϰųª
ºÒÇãÇÒ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î ÆÐŶ Çì´õ¿¡´Â ¸ñÀûÁö ÁÖ¼Ò°¡ µé¾îÀÖ±â
¶§¹®¿¡ ƯÁ¤ ¿ÜºÎ ³×Æ®¿÷À¸·Î ÆÐŶÀÌ ³ª°¡´Â °ÍÀ» ¸·À» ¼ö ÀÖ´Ù.
´Ù¸¥ ¿¹¸¦ µé¾îº¸ÀÚ. ³ª´Â Dilbert ¾ÆÄ«À̺꿡 Á¢±ÙÇϱâ À§ÇØ ³×½ºÄÉÀÌÇÁ¸¦
»ç¿ëÇÑ´Ù. ÆäÀÌÁö¿¡´Â doubleclick.net ÀÇ ±¤°íµéÀÌ ÀÖ¾î ³×½ºÄÉÀÌÇÁ°¡
±¤°íµéÀ» ¹Þ¾Æ´ë´À¶ó ³ªÀÇ ±ÍÁßÇÑ ½Ã°£À» ¼Ò¸ðÇÏ°í ÀÖ´Ù.
ÆÐŶ ÇÊÅÍ·Î ÇÏ¿©±Ý doubleclick.net À¸·ÎºÎÅÍ ¿À´Â ¸ðµç ÆÐŶÀ» ¸·°Ô
ÇÏ¿© ¹®Á¦¸¦ ÇØ°áÇÏ¿´´Ù.(¹°·Ð ÀÌ ¹®Á¦¿¡ ´ëÇؼ´Â º¸´Ù ÁÁÀº ¹æ¹ýÀÌ ÀÖ´Ù)
º¸¾È(Security):
¸®´ª½º ¹Ú½º°¡ ¹«¹ýõÁöÀÇ ÀÎÅͳݰú ±ò²ûÇÏ°í Àß Á¤µ·µÈ ¿©·¯ºÐ¸¸ÀÇ
³×Æ®¿÷ »çÀÌ¿¡ ³õÀÎ À¯ÀÏÇÑ ÄÄÇ»ÅÍÀÎ °æ¿ì, ¿©·¯ºÐ¿¡°Ô ¹æ¹®ÇÒ ¼ö ÀÖ´Â
±ÇÇÑÀ» Á¦ÇÑÇÏ´Â ¹æ¹ýÀ» ÀÍÇôµÎ´Â °ÍÀÌ ÁÁ´Ù. ¿¹¸¦ µé¾î ¿©·¯ºÐÀÇ ³×Æ®
¿÷À¸·ÎºÎÅÍ ¹ÛÀ¸·Î ³ª°¡´Â °ÍÀº º° ¹®Á¦°¡ ¾Æ´ÏÁö¸¸ `Á×À½ÀÇ ÇÎ' °°Àº °ÍÀÌ
¾ÇÀǸ¦ Ç°Àº ¿ÜºÎÀÎÀ¸·ÎºÎÅÍ ¿À´Â °Í¿¡ ´ëÇÏ¿© °ÆÁ¤ÇÏ°í ÀÖÀ» Áö ¸ð¸¥´Ù.
¶Ç´Â °èÁ¤°ú Æнº¿öµå¸¦ Á¦´ë·Î °®°í ÀÖ´Ù ÇÏ´õ¶óµµ ¿ÜºÎ¿¡¼´Â ¸®´ª½º
¹Ú½º·Î ÅÚ³ÝÇÏ¿© µé¾î¿À´Â °ÍÀ» ¹Ù¶óÁö ¾ÊÀ» ¼ö ÀÖ´Ù. ¿©·¯ºÐÀº ´ëºÎºÐÀÇ
»ç¶÷µé°ú ¸¶Âù°¡Áö·Î ÀÎÅͳÝÀ» ±¸°æÇÏ´Â ¹æ¹®°´ÀÌ µÇ°í ½ÍÀ» »Ó, ¹æ¹®°´À»
¹Þ¾Æ¾ß ÇÏ´Â ¼¹ö°¡ µÇ°í ½ÍÁö´Â ¾Ê´Ù°í »ý°¢ÇÒ Áö ¸ð¸¥´Ù.
ÀÌ ¶§´Â °£´ÜÈ÷ Á¢¼Ó¿¡ »ç¿ëµÇ´Â ÆÐŶÀÌ µé¾î¿À´Â °Í¸¸ ¸·¾Æ¹ö¸®¸é ±×¸¸
ÀÌ´Ù.
°¨½Ã(Watchfulness):
¸î¸î À߸ø ¼³Á¤µÈ ³»ºÎ ³×Æ®¿÷ »óÀÇ ¸Ó½ÅµéÀÌ ¿ÜºÎ·Î ÆÐŶÀ» À¯ÃâÇÏ´Â
°Íµµ °¡´ÉÇÏ´Ù. ÀÌ ¶§´Â ÆÐŶ ÇÊÅÍ·Î ÇÏ¿©±Ý ºñÁ¤»óÀûÀÎ ÀÏÀÌ ¹ú¾îÁö´Â
°Í¿¡ ´ëÇÏ¿© Å뺸Çϵµ·Ï ÇÒ ¼ö ÀÖ´Ù. ÀÌ¿¡ ´ëÇÑ Á¶Ä¡¸¦ ÃëÇÒ ¼öµµ ÀÖ°í
¶Ç´Â ±×³É ±Ã±ÝÇؼ ÇØ º¼ ¼öµµ ÀÖ´Ù.
2.3. ¾î¶»°Ô?
2.3.1. ÆÐŶ ÇÊÅ͸µ ±â´ÉÀ» °®Ãá Ä¿³Î
Ä¿³Î ¾È¿¡ »õ·Î¿î ÀÏ¹Ý IP ¹æȺ® üÀÎ(Generic IP ħÀÔÂ÷´Ü½Ã½ºÅÛ Chain) ±â´ÉÀ»
°®Ãç¾ß ÇÑ´Ù. Áö±Ý ÇöÀç ÀÛµ¿ ÁßÀÎ Ä¿³ÎÀÌ ÀÌ ±â´ÉÀ» °®Ãß°í ÀÖ´ÂÁö ¾Ë¾Æº¸
·Á¸é `/proc/net/ip_fwchains' ÆÄÀÏÀÌ ÀÖ´ÂÁö È®ÀÎÇ϶ó. ÀÖ´Ù¸é ÀÌ¹Ì Ä¿³Î
¾È¿¡ ±â´ÉÀÌ Æ÷ÇԵǾî ÀÖ´Â °ÍÀÌ´Ù.
±×·¸Áö ¾Ê´Ù¸é ÀÏ¹Ý IP ¹æȺ® üÀÎ ±â´ÉÀ» °®µµ·Ï Ä¿³ÎÀ» ÄÄÆÄÀÏÇØ¾ß ÇÑ´Ù.
Ä¿³ÎÀ» ´Ù¿î·Îµå¹Þ°í À§¿¡¼ ¾ð±ÞÇÑ À¥ ÆäÀÌÁö·ÎºÎÅÍ °¡Á®¿Â ÆÐÄ¡¸¦ Àû¿ëÇÏ°í
´ÙÀ½°ú °°Àº ¼³Á¤À» ÇØÁÖ¾î¾ß ÇÑ´Ù. Ä¿³Î ÄÄÆÄÀÏ¿¡ ´ëÇÏ¿© Àß ¸ð¸¥´Ù¸é
Ä¿³Î ÇÏ¿ìÅõ ¹®¼¸¦ Àо±â ¹Ù¶õ´Ù.
ÇÊ¿äÇÑ ¼³Á¤ ¿É¼ÇÀº ´ÙÀ½°ú °°´Ù:
______________________________________________________________________
CONFIG_EXPERIMENTAL=y
CONFIG_ħÀÔÂ÷´Ü½Ã½ºÅÛ=y
CONFIG_IP_ħÀÔÂ÷´Ü½Ã½ºÅÛ=y
CONFIG_IP_ħÀÔÂ÷´Ü½Ã½ºÅÛ_CHAINS=y
______________________________________________________________________
`ipchains'¶ó´Â µµ±¸¸¦ »ç¿ëÇÏ¿© Ä¿³Î°ú ´ëÈÇÏ¸é¼ ¾î¶°ÇÑ ÆÐŶÀ» ÇÊÅ͸µÇÒ
°ÍÀÎÁö ¸»ÇÑ´Ù. ÇÁ·Î±×·¡¸Ó°¡ ¾Æ´Ñ ÇÑ, ±×¸®°í ÇÊ¿ä ÀÌ»óÀ¸·Î È£±â½ÉÀ» °®Áö
¾Ê´Â »ç¶÷µéÀ̶ó¸é ipchains µµ±¸¸¦ »ç¿ëÇÏ¿© ÆÐŶ ÇÊÅ͸µÀ» Á¦¾îÇÑ´Ù.
2.3.2. ``ipchains''
ÀÌ µµ±¸´Â ±¸½ÄÀÇ IP ¹æȺ® Äڵ忡 »ç¿ëµÇ¾ú´ø `ipfwadm'¸¦ ´ëüÇÑ´Ù.
ÆÐÅ°Áö¿¡´Â `ipfwadm-wrapper'¶ó´Â À̸§ÀÇ ½© ½ºÅ©¸³Æ®°¡ µé¾îÀִµ¥ ÀÌ°ÍÀ»
»ç¿ëÇÏ¸é ¿¹ÀüÀÇ ÆÐŶ ÇÊÅ͸µ ¸í·ÉÀ» ±×´ë·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù. ipfwadm
(´À¸°µ¥´Ù Àü´Þ Àμö¸¦ Á¦´ë·Î Á¡°ËÇÏÁö ¾Ê´Â °áÁ¡À» °¡Áö°í ÀÖ´Ù)¸¦ »ç¿ëÇÏ´ø
½Ã½ºÅÛÀ¸·ÎºÎÅÍ ÀÏ´ÜÀº »¡¸® ¾÷±×·¹À̵åÇÑ »óÅ¿¡¼ ¹æȺ® ±â´ÉÀ» Àá½Ã¶óµµ
Áß´ÜÇÏ°í ½ÍÁö ¾ÊÀº °æ¿ì¿¡¸¸ »ç¿ëÇ϶ó. ÀÌ ½ºÅ©¸³Æ®¸¦ »ç¿ëÇÑ´Ù¸é ÀÌ ÇÏ¿ìÅõ
¹®¼¸¦ ´õ ÀÌ»ó ÀÐÀ» ÇÊ¿ä°¡ ¾ø´Ù. º°Ã· ``ipchains¿Í ipfwadm °£ÀÇ
Â÷ÀÌÁ¡''°ú º°Ã· ``ipfwadm-wrapper ½ºÅ©¸³Æ® »ç¿ëÇϱâ''¸¦ Àо¸é ipfwadm
¿¡ °üÇÑ ¹®Á¦¸¦ Á¶±Ý ´õ ÀÚ¼¼È÷ ¾Ë ¼ö ÀÖ´Ù.
3. ÀÏ¹Ý IP ¹æȺ® üÀÎ(Generic IP ħÀÔÂ÷´Ü½Ã½ºÅÛing Chains)
À̹ø ¼½¼Ç¿¡¼´Â ¿©·¯ºÐÀÌ ¿øÇÏ´Â ÆÐŶ ÇÊÅ͸¦ ±¸ÃàÇϴµ¥ ÀÖ¾î Á¤¸»·Î ¾Ë¾ÆµÖ¾ß
ÇÒ ¸ðµç °ÍÀ» ¼³¸íÇÑ´Ù.
3.1. ¾î¶»°Ô ÆÐŶÀÌ ÇÊÅ͸¦ Áö³ª°¡´Â°¡?
Ä¿³ÎÀº 3 °¡ÁöÀÇ ±ÔÄ¢ ¸ñ·Ï(`¹æȺ® üÀÎ' ¶Ç´Â °£´ÜÈ÷ `üÀÎ'À̶ó°í ºÎ¸¥´Ù)À»
°¡Áö°í ½ÃÀÛÇÑ´Ù. ÀÌ 3 °¡Áö üÀÎÀº `ÀÔ·Â(input)', `Ãâ·Â(output)', ±×¸®°í
`Àü´Þ(forward)'ÀÌ´Ù. ÆÐŶÀÌ µé¾î¿À¸é(¿¹¸¦ µé¾î ÀÌ´õ³Ý Ä«µå¸¦ ÅëÇØ) Ä¿³ÎÀº
ÆÐŶÀÇ ¿î¸íÀ» °áÁ¤Áþ±â À§ÇØ `input' üÀÎÀ» »ç¿ëÇÑ´Ù. ¸¸¾à ÀÌ ´Ü°è¿¡¼
»ì¾Æ³²¾Ò´Ù¸é À̹ø¿¡´Â ÆÐŶÀ» ¾îµð·Î º¸³»¾ß ÇÒ Áö °áÁ¤ÇÑ´Ù.
¸¸¾à ÆÐŶÀÌ ´Ù¸¥ ¸Ó½ÅÀ¸·Î °¡¾ß ÇÑ´Ù¸é `forward' üÀÎÀ» »ìÆ캻´Ù.
¸¶Áö¸·À¸·Î ÆÐŶÀÌ ¶°³ª·Á ÇÏ´Â ¼ø°£, `output' üÀÎÀ» Á¡°ËÇÑ´Ù.
üÀÎÀ̶õ `±ÔÄ¢'ÀÇ Àû¿ë Ç׸ñÀÌ´Ù. °¢ ±ÔÄ¢Àº `¸¸¾à ÆÐŶ Çì´õ°¡ ÀÌ·¯ÀÌ·¯
ÇÏ´Ù¸é ÆÐŶÀ» ÀÌ·¸°Ô ó¸®ÇϽÿÀ'¶ó°í ¸»ÇÑ´Ù. ¸¸¾à ÆÐŶÀÌ ±ÔÄ¢¿¡ ¸ÂÁö
¾ÊÀ¸¸é üÀο¡ ³õÀÎ ±× ´ÙÀ½ ±ÔÄ¢À» Àû¿ëÇÑ´Ù. ¸¶Áö¸·À¸·Î ´õ ÀÌ»ó Àû¿ëÇÒ
±ÔÄ¢ÀÌ ¾øÀ¸¸é üÀÎÀÇ `Á¤Ã¥'À» µû¸¥´Ù. º¸¾È ¹®Á¦¿¡ ¹Î°¨ÇÑ ½Ã½ºÅÛ¿¡¼´Â
°ÅÀý ¶Ç´Â ¹«½Ã¸¦ ±âº» Á¤Ã¥À¸·Î »ï´Â´Ù.
ASCII ¾ÆÆ® ÆÒµéÀ» À§ÇØ ¸Ó½ÅÀ¸·Î µé¾î¿Â ÆÐŶÀÇ ¿ÏÀüÇÑ ¿©Çà °æ·Î¸¦ ±×·Á
º¸¾Ò´Ù.
ACCEPT/
REDIRECT ACCEPT
--> C --> S --> ______ --> D --> ~~~~~~~~ --> local ------> _______ -->
h -> a |input | e {Routing } | __|____ -->->|output |
e | n |Chain | m {Decision} | |forward| | |Chain |
c | i |______| a ~~~~~~~~ | |Chain | | |_______|
k | t | s | | |_______| | |
s | y | q | | | | |
u | | v e v | | | v
m | | DENY/ r Local Process| v | DENY/
| | v REJECT a |------- DENY/ | REJECT
| |DENY d | REJECT |
v | e -------+---------------------
DENY| |
------------------------------
°¢ ´Ü°è ÇϳªÇϳª¿¡ ´ëÇÑ ¼³¸íÀ» Çغ¸ÀÚ¸é ´ÙÀ½°ú °°´Ù:
üũ¼¶(Checksum):
ÆÐŶÀÌ Àü¼Û Áß°£¿¡ ¼Õ»óµÇ¾ú´ÂÁö ¿©ºÎ¸¦ Á¡°ËÇÑ´Ù. ¸¸¾à ¼Õ»óµÇ¾ú´Ù¸é
¹«½ÃµÈ´Ù.
Á¤»ó¼º Å×½ºÆ®(Sanity):
°¢°¢ÀÇ ¹æȺ® üÀο¡ ¾Õ¼ ÇàÇØÁö´Â Á¤»ó¼º Å×½ºÆ® Áß ÇϳªÀÌ´Ù.
ÇÏÁö¸¸ °¡Àå Áß¿äÇÑ °ÍÀº ÀԷ üÀÎ Àü¿¡ ÀÌ·ïÁö´Â Á¤»ó¼º Å×½ºÆ®ÀÌ´Ù.
¸î¸î À߸ø ¸¸µé¾îÁø ÆÐŶÀº ±ÔÄ¢ Á¡°Ë Äڵ带 È¥¶õ¿¡ ºüÁö°Ô ÇÒ °¡´É¼ºÀÌ
ÀÖÀ¸¹Ç·Î ¿©±â¼ ¹«½ÃÇعö¸°´Ù.(ÀÌ·± ÀÏÀÌ ¹ß»ýÇϸé syslog¸¦ ÅëÇØ
¸Þ½ÃÁö°¡ Ãâ·ÂµÈ´Ù)
ÀԷ üÀÎ(input Chain):
ÆÐŶÀÌ Á¦ÀÏ ¸ÕÀú Å×½ºÆ®¸¦ °ÅÃÄ¾ß ÇÒ ¹æȺ® üÀÎÀÌ´Ù. ¸¸¾à üÀÎ Á¡°Ë
°á°ú°¡ DENY ¶Ç´Â REJECT°¡ ¾Æ´Ï¶ó¸é ÆÐŶÀº ³²Àº ±æÀ» °¡¾ß ÇÑ´Ù.
µð¸Å½ºÄ¿·¹À̵å(Demasquerade):
¸¸¾à ÆÐŶÀÌ ¾Õ¼ ¸Å½ºÄ¿·¹À̵åµÈ ÆÐŶ¿¡ ´ëÇÑ ´ä½Å ÆÐŶÀ̶ó¸é ÀÏ´Ü
µð¸Å½ºÄ¿·¹À̵åÇÏ°í Ãâ·Â üÀÎÀ¸·Î °ðÀå ÁøÃâÇÑ´Ù. IP ¸Å½ºÄ¿·¹À̵带
»ç¿ëÇÏÁö ¾Ê´Â »ç¶÷Àº µµÇ¥¿¡¼ µð¸Å½ºÄ¿·¹ÀÌµå ºÎºÐÀ» Áö¿ì°í »ý°¢Çصµ
ÁÁ´Ù.
°æ·Î °áÁ¤(Routing Decision):
¶ó¿ìÆà Äڵ带 °ÅÃÄ ¸ñÀûÁö Çʵ带 Á¶»çÇÏ¿© ÆÐŶÀÌ Áö¿ª ÇÁ·Î¼¼½º
(µÚ¿¡ ³ª¿À´Â Áö¿ª ÇÁ·Î¼¼½º ¼½¼ÇÀ» Âü°í)¿¡°Ô °¥ °ÍÀÎÁö ¾Æ´Ï¸é
¿ø°Ý ¸Ó½Å¿¡ Àü´ÞµÉ °ÍÀÎÁö °áÁ¤ÇÑ´Ù.(µÚ¿¡ ³ª¿À´Â Àü´Þ üÀÎ ¼½¼ÇÀ»
Âü°í)
Áö¿ª ÇÁ·Î¼¼½º(Local Process):
¸Ó½Å¿¡¼ ÀÛµ¿ ÁßÀÎ ÇÁ·Î¼¼½º´Â °æ·Î °áÁ¤ ´Ü°è ÀÌÈÄ ÆÐŶÀ» ¹Þ°Å³ª
¶Ç´Â ÆÐŶÀ» º¸³¾ ¼ö ÀÖ´Ù.(º¸³½ ÆÐŶÀÌ Áö¿ª ÇÁ·Î¼¼½º¸¦ ÇâÇØ °¡´Â
°ÍÀ̶ó¸é lo ·Î ¼³Á¤µÈ ÀÎÅÍÆäÀ̽ºÀÇ Ãâ·Â, ÀԷ üÀÎÀ» Åë°úÇÑ´Ù.
±×·¸Áö ¾Ê´Ù¸é Ãâ·Â üÀθ¸ Áö³ª°£´Ù) ÇÁ·Î¼¼½º °£ÀÇ Ã¼ÀÎ °æÀ¯ °úÁ¤Àº
Èï¹Ì·ÓÁö ¾Ê±â ¶§¹®¿¡ µµÇ¥¿¡¼ ÃæºÐÈ÷ Ç¥ÇöÇÏÁö ¾Ê¾Ò´Ù.
Áö¿ª(local):
Áö¿ª ÇÁ·Î¼¼½º¿¡ ÀÇÇØ »ý¼ºµÈ °ÍÀÌ ¾Æ´Ï¶ó¸é Àü´Þ üÀο¡ ´ëÇÏ¿© Á¡°Ë
ÇÏ°í Áö¿ª ÇÁ·Î¼¼½º¿¡ ÀÇÇØ ¸¸µé¾îÁø °ÍÀ̶ó¸é °ðÀå Ãâ·Â üÀÎÀ¸·Î ³ª¾Æ°£´Ù.
Àü´Þ üÀÎ(forward Chain):
ÀÌ ¸Ó½Å¿¡¼ ´Ù¸¥ ¸Ó½ÅÀ¸·Î ³ª¾Æ°¡´Â ÆÐŶ¿¡ ´ëÇÏ¿© üÀÎÀ» Àû¿ëÇÑ´Ù.
Ãâ·Â üÀÎ(output Chain):
ÆÐŶÀ» º¸³»±â Á÷Àü¿¡ üÀÎ ±ÔÄ¢À» Àû¿ëÇÑ´Ù.
3.1.1. ipchains »ç¿ëÇϱâ
¿ì¼± ÀÌ ¹®¼¿¡¼ ¾ð±ÞÇÏ°í ÀÖ´Â ipchains ¹öÀüÀ» °¡Áö°í ÀÖ´ÂÁö Á¡°ËÇÑ´Ù:
$ ipchains --version
ipchains 1.3.3, 16-May-1998
ipchains ¿¡´Â ¸Å¿ì »ó¼¼ÇÑ ¼³¸íÀ» ´ã°í ÀÖ´Â ¸ÇÆäÀÌÁö°¡ µé¾îÀÖ´Ù. ("man
ipchains") ¸¸¾à ƯÁ¤ ºÐ¾ß¿¡ ´ëÇÑ Á» ´õ ÀÚ¼¼ÇÑ Á¤º¸¸¦ ¿øÇÑ´Ù¸é ÇÁ·Î±×·¡¹Ö
ÀÎÅÍÆäÀ̽º¸¦ »ìÆ캸°Å³ª("man 4 ipfw") Ä¿³Î ¼Ò½º Áß¿¡¼
"net/ipv4/ip_fwtrees.c" ÆÄÀÏÀ» »ìÆ캸¶ó. ÀÌ ÆÄÀÏÀÇ ³»¿ëÀÌ °¡Àå È®½ÇÇÑ
Á¤º¸¸¦ Á¦°øÇÒ °ÍÀÓ¿¡ Ʋ¸²¾ø´Ù.
ipchains¸¦ ÅëÇØ ÇÒ ¼ö ÀÖ´Â ÀÏ¿¡´Â ´ÙÀ½°ú °°´Ù. ¿ì¼± Àüü üÀÎÀ» °ü¸®ÇÏ´Â
µ¿ÀÛÀÌ ÀÖ´Ù. ¿ì¼± »èÁ¦ÇÒ ¼ö ¾ø´Â `input', `output', `forward' ¶ó´Â 3 °¡Áö
³»Àå üÀκÎÅÍ ½ÃÀÛÇغ»´Ù.
1. »õ·Î¿î üÀÎÀ» ¸¸µç´Ù (-N).
2. ºó üÀÎÀ» Áö¿î´Ù (-X).
3. ³»Àå üÀο¡ ´ëÇÑ ±âº» Á¤Ã¥À» º¯°æÇÑ´Ù (-P).
4. üÀÎ ¼Ó¿¡ µç ±ÔÄ¢À» ³ª¿ÇÑ´Ù (-L).
5. üÀÎÀ¸·ÎºÎÅÍ ±ÔÄ¢À» ¸ðµÎ ¹æÃâÇÑ´Ù (-F).
6. üÀÎ ¼ÓÀÇ ¸ðµç ±ÔÄ¢¿¡ ´ëÇÑ ÆÐŶ, ¹ÙÀÌÆ® Ä«¿îÅÍ °ªÀ» 0 À¸·Î ¼³Á¤ÇÑ´Ù (-Z).
üÀÎ ¼ÓÀÇ ±ÔÄ¢À» °ü¸®ÇÏ´Â ¹æ¹ýÀº ´ÙÀ½°ú °°´Ù:
1. üÀο¡ »õ·Î¿î ±ÔÄ¢À» Ãß°¡ÇÑ´Ù (-A).
2. üÀÎ ¼Ó ¾îµò°¡¿¡ »õ·Î¿î ±ÔÄ¢À» »ðÀÔÇÑ´Ù. (-I).
3. üÀÎ ¼Ó ƯÁ¤ À§Ä¡ÀÇ ±ÔÄ¢À» ±³Ã¼ÇÑ´Ù (-R).
4. üÀÎ ¼ÓÀÇ Æ¯Á¤ ±ÔÄ¢À» »èÁ¦ÇÑ´Ù (-D).
5. üÀÎ ¼Ó¿¡¼ ù¹ø° ºÎÇյǴ ±ÔÄ¢À» »èÁ¦ÇÑ´Ù (-D).
¸Å½ºÄ¿·¹À̵ùÀ» À§ÇÑ ¸î °¡Áö µ¿ÀÛÀÌ ipchains ¿¡ µé¾îÀÖ´Ù.
1. ÇöÀç ¸Å½ºÄ¿·¹À̵åµÈ Á¢¼Ó ±ÔÄ¢À» ³ª¿ÇÑ´Ù (-M -L).
2. ¸Å½ºÄ¿·¹À̵ù ŸÀӾƿô °ªÀ» ¼³Á¤ÇÑ´Ù (-M -S).
¸¶Áö¸·(±×¸®°í ¾î¼¸é °¡Àå À¯¿ëÇÑ) ±â´ÉÀ¸·Î´Â ¿©·¯ºÐÀ¸·Î ÇÏ¿©±Ý ¾î¶² ÆÐŶÀÌ
ÁÖ¾îÁø üÀÎÀ» Åë°úÇÒ ¶§ ¾î¶² ÀÏÀÌ ¹ú¾îÁö´ÂÁö Á¡°ËÇÏ´Â ±â´ÉÀÌ ÀÖ´Ù.
3.1.2. ÇϳªÀÇ ±ÔÄ¢¿¡ ´ëÇÑ µ¿ÀÛ
±ÔÄ¢À» ÀÚÀ¯ÀÚÀç·Î °ü¸®ÇÏ´Â °Í, ÀÌ°ÍÀ̾߸»·Î ipchainsÀÇ ÇÙ½ÉÀÌ´Ù.
´ëºÎºÐÀÇ °æ¿ì ¿©·¯ºÐÀº Ãß°¡(-A), »èÁ¦(-D) ¸í·ÉÀ» »ç¿ëÇÑ´Ù.
´Ù¸¥ °Íµé(»ðÀÔÀ» À§ÇÑ -I, ±³Ã¼¸¦ À§ÇÑ -R)Àº ±âÃÊ °³³ä¿¡ ´ëÇÑ ´Ü¼øÇÑ
È®Àå¿¡ ºÒ°úÇÏ´Ù.
°¢ ±ÔÄ¢Àº ÆÐŶÀÌ ¸¸Á·½ÃÄÑ¾ß ÇÏ´Â Á¶°ÇµéÀ» ³ªÅ¸³»°í Á¶°ÇÀ» ÃæÁ·ÇÏ¸é ¾î¶²
ÇàÀ§(`target')¸¦ ÇØ¾ß ÇÏ´ÂÁö ¸»ÇÑ´Ù. ¿¹¸¦ µé¾î 127.0.0.1 À̶ó´Â IP ÁÖ¼Ò·Î
ºÎÅÍ ¿À´Â ¸ðµç ICMP ÆÐŶÀ» ¹«½ÃÇÏ·Á ÇÑ´Ù°í ÇÏÀÚ. ÀÌ ¶§ ÇÁ·ÎÅäÄÝÀº ICMP ¿©
¾ß ÇÏ°í ¹ß½Å ÁÖ¼Ò´Â 127.0.0.1 À̾î¾ß ÇÑ´Ù´Â °ÍÀÌ Á¶°ÇÀÌ´Ù. ¸ñÇ¥(target)´Â
"DENY"°¡ µÈ´Ù.
127.0.0.1 Àº `·çÇÁ¹é' ÀÎÅÍÆäÀ̽º·Î¼ ½ÇÁúÀûÀÎ ³×Æ®¿÷ ¿¬°áÀÌ ¾ø¾îµµ Ç×»ó
°¡Áö°í ÀÖ´Â ÀÎÅÍÆäÀ̽ºÀÌ´Ù. ping ÇÁ·Î±×·¥À» »ç¿ëÇÏ¿© ÆÐŶÀ» ¹ß»ý½Ãų ¼ö
ÀÖ´Ù. (pingÀº ´Ü¼øÈ÷ ICMP ŸÀÔ 8(echo request)¸¦ º¸³»¸ç ÀÌ¿¡ ÇùÁ¶ÇÏ´Â
¸ðµç È£½ºÆ®´Â ICMP ŸÀÔ 0(echo reply)¸¦ º¸³»ÁÖµµ·Ï µÇ¾î ÀÖ´Ù.)
Å×½ºÆ®Çغ¸±â¿¡ ÁÁÀº ¿¹ÀÌ´Ù.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# ipchains -A input -s 127.0.0.1 -p icmp -j DENY
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
#
À§ÀÇ ¿¹¿¡¼ ù¹ø° ping Àº ¼º°øÇÑ´Ù. (`-c 1'À̶õ ÆÐŶ Çϳª¸¸ º¸³»¶ó´Â
Áö½ÃÀÌ´Ù.)
±×¸®°í ³ª¼ ¿ì¸®´Â `input' üÀο¡ 127.0.0.1 ·ÎºÎÅÍ ¿À¸ç(`-s 127.0.0.1')
ÇÁ·ÎÅäÄÝÀº ICMP ÀÎ(`-p ICMP') ÆÐŶ¿¡ ´ëÇÏ¿© DENY ·Î Á¡ÇÁÇ϶ó°í(`-j DENY')
±ÔÄ¢À» Ãß°¡ÇÏ¿´´Ù(-A).
µÎ¹ø° ping À» °¡Áö°í ±ÔÄ¢À» Á¡°ËÇغ»´Ù. °áÄÚ ¿ÀÁö ¾ÊÀ» ÀÀ´äÀ» ±â´Ù¸®´À¶ó
ÇÁ·Î±×·¥ÀÌ ±â´Ù¸®´Â ½Ã°£ÀÌ Àֱ⠶§¹®¿¡ Àá½Ã Áö¿¬µÈ´Ù.
±ÔÄ¢À» Áö¿ì´Â ¹æ¹ýÀº µÎ °¡ÁöÀÌ´Ù. ¿ì¼± ÀԷ üÀο¡ ±ÔÄ¢ÀÌ Çϳª »ÓÀ̶ó´Â
»ç½ÇÀ» ¾Ë°í Àֱ⠶§¹®¿¡ ¼ýÀÚ¸¦ ÁöÁ¤ÇÏ¿© Áö¿ï ¼ö ÀÖ´Ù.
# ipchains -D input 1
#
À§ÀÇ ¿¹´Â ÀԷ üÀÎÀÇ 1 ¹ø ±ÔÄ¢À» Áö¿î´Ù.
µÎ¹ø° ¹æ¹ýÀº -A ¸í·É°ú ¶È°°ÀÌ Ç쵂 -A ¸¦ -D ·Î ¹Ù²Ù´Â ¹æ¹ýÀÌ´Ù.
¸Å¿ì º¹ÀâÇÑ ±ÔÄ¢ÀÇ Ã¼ÀÎÀÌ ÀÖ°í »èÁ¦ÇØ¾ß ÇÒ ±ÔÄ¢ ¹øÈ£°¡ ¹«¾ùÀÎÁö ã°í
½ÍÁö ¾ÊÀ» ¶§ »ç¿ëÇÑ´Ù. ´ÙÀ½°ú °°´Ù:
# ipchains -D input -s 127.0.0.1 -p icmp -j DENY
#
-D ¹®±¸´Â -A ¸í·É(¶Ç´Â -I, -R)¿¡¼¿Í ¿ÏÀüÈ÷ ¶È°°Àº ¿É¼ÇÀ» °¡Á®¾ß ÇÑ´Ù.
¸¸¾à °°Àº üÀο¡ µ¿ÀÏÇÑ ±ÔÄ¢ÀÌ ¿©·¯ °³ ÀÖ´Ù¸é ù¹ø° °Í¸¸ Áö¿öÁø´Ù.
3.1.3. ÇÊÅ͸µ ±ÔĢǥÇö(Specification)
We have seen the use of `-p' to specify protocol, and `-s' to specify
¾Õ¼ ÇÁ·ÎÅäÄÝÀ» ¸í½ÃÇϱâ À§ÇØ `-p' ¸¦ »ç¿ëÇÏ°í ¹ß½Å ÁÖ¼Ò¸¦ ¸í½ÃÇϱâ À§ÇØ
`-s' ¸¦ »ç¿ëÇÑ °ÍÀ» º¸¾Ò´Ù. ÇÏÁö¸¸ ÀÌ°Í ÀÌ¿Ü¿¡µµ ÆÐŶÀÇ Æ¯¼ºÀ» Ç¥ÇöÇÏ´Â
´Ù¸¥ ¿É¼ÇµéÀÌ ¸¹´Ù. ¾à°£ Áö·çÇÏ°Ô ´À²¸Áú Áöµµ ¸ð¸£´Â ¿ä¾à ¼³¸íÀ» ³ª¿ÇÏ°íÀÚ
ÇÑ´Ù.
3.1.3.1. ¹ß½Å, µµÂø IP ÁÖ¼Ò ¸í½ÃÇϱâ
¹ß½Å(-s), µµÂø(-d) IP ÁÖ¼Ò´Â 4 °¡Áö ¹æ¹ýÀ¸·Î Ç¥ÇöÇÒ ¼ö ÀÖ´Ù.
°¡Àå ÀϹÝÀûÀÎ ¹æ¹ýÀº `localhost', `www.linuxhq.com'°ú °°Àº ¿ÏÀüÇÑ À̸§À»
»ç¿ëÇÏ´Â °ÍÀÌ´Ù. µÎ¹ø° ¹æ¹ýÀº `127.0.0.1'°ú °°ÀÌ IP ÁÖ¼Ò¸¦ Àû´Â °ÍÀÌ´Ù.
¼¼¹ø°, ³×¹ø° ¹æ¹ýÀº `199.95.207.0/24' ¶Ç´Â `199.95.207.0/255.255.255.0'
¿Í °°ÀÌ IP ÁÖ¼ÒÀÇ ±×·ìÀ» Ç¥ÇöÇÏ´Â °ÍÀÌ´Ù. ÀÌ µÑ ´Ù 192.95.207.0 ºÎÅÍ
192.95.207.255 ±îÁöÀÇ IP ÁÖ¼Ò¸¦ Ç¥ÇöÇÑ´Ù. `/' ´ÙÀ½ÀÇ ¼ýÀÚ´Â IP ÁÖ¼Ò Áß
¾î´À ºÎºÐÀÌ Áß¿äÇÑ°¡¸¦ ³ªÅ¸³½´Ù. `/32' ¶Ç´Â `/255.255.255.255' ÀÌ ±âº»°ª
ÀÌ´Ù.(IP ÁÖ¼ÒÀÇ ¸ðµç ºÎºÐÀÌ Áß¿ä) `/0' À» »ç¿ëÇÏ¸é ¸ðµç IP ÁÖ¼Ò¸¦ ³ªÅ¸
³¾ ¼ö ÀÖ´Ù.
# ipchains -A input -s 0/0 -j DENY
#
À§ÀÇ ¹æ¹ýÀº °ÅÀÇ »ç¿ëµÇÁö ¾Ê´Â´Ù. ¿Ö³ÄÇÏ¸é ¾Æ¿¹ `-s' ¿É¼ÇÀ» ¾²Áö ¾ÊÀº
°ÍÀ̳ª ´Ù¸§¾ø´Â °á°úÀ̱⠶§¹®ÀÌ´Ù.
3.1.3.2. ¿ª±ÔÄ¢(Inversion) ¸í½ÃÇϱâ
`-s', `-d' Ç÷¡±×¸¦ Æ÷ÇÔÇÏ´Â ¸¹Àº Ç÷¡±× ¾Õ¿¡ `!'¸¦(`not'À» ¶æÇÑ´Ù) ºÙÀ̸é
ÁÖ¾îÁø ÁÖ¼Ò¿Í °°Áö ¾Ê´Â °ÍÀ» Ç¥ÇöÇÑ´Ù. ¿¹¸¦ µé¾î `-s ! localhost'´Â
localhost¿¡¼ ¿ÀÁö ¾Ê´Â ¸ðµç ÆÐŶ°ú ÀÏÄ¡ÇÑ´Ù.
3.1.3.3. ÇÁ·ÎÅäÄÝ ¸í½ÃÇϱâ
The protocol can be specified with the `-p' flag. Protocol can be a
`-p' Ç÷¡±×¸¦ »ç¿ëÇÏ¿© ÇÁ·ÎÅäÄÝÀ» ¸í½ÃÇÒ ¼ö ÀÖ´Ù. ÇÁ·ÎÅäÄÝÀº ¹øÈ£
(IP¿¡ ´ëÇÑ ÇÁ·ÎÅäÄÝ ¹øÈ£¸¦ ¾Ë°í ÀÖ´Â °æ¿ì) ¶Ç´Â `TCP', `UDP', `ICMP'¿Í
°°Àº À̸§À» »ç¿ëÇÒ ¼ö ÀÖ´Ù. ´ë¼Ò¹®ÀÚ´Â Áß¿äÇÏÁö ¾ÊÀ¸¹Ç·Î `tcp', `TCP'´Â
¶È°°ÀÌ Ã³¸®µÈ´Ù.
¿ªÇ¥ÇöÀ» Çϱâ À§ÇØ `-p ! TCP' ó·³ `!' À» ºÙÀÏ ¼ö ÀÖ´Ù.
3.1.3.3.1. UDP, TCP Æ÷Æ® ¸í½ÃÇϱâ
TCP, UDP ÇÁ·ÎÅäÄÝÀÇ °æ¿ì¿¡´Â TCP, UDP Æ÷Æ® ¶Ç´Â Æ÷Æ®ÀÇ ¹üÀ§¸¦ Ãß°¡·Î
ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù.(``Á¶°¢ ó¸®Çϱâ'' ¼½¼ÇÀ» ²À Àо±â ¹Ù¶÷) ¹üÀ§´Â
`6000:6010' ó·³ ÄÝ·Ð(:) ¹®ÀÚ¸¦ »ç¿ëÇÏ¿© Ç¥ÇöÇÑ´Ù. ÀÌ ¶§ `6000:6010'ÀÇ
Àǹ̴ 6000 ºÎÅÍ ½ÃÀÛÇÏ¿© 6010 ±îÁö 11 °³ÀÇ Æ÷Æ® ¹øÈ£ÀÌ´Ù.
¸¸¾à ¹üÀ§ ½ÃÀÛ°ªÀÌ »ý·«µÇ¸é 0 À¸·Î °£ÁÖÇÑ´Ù. ¸¸¾à ¹üÀ§ ³¡°ªÀÌ »ý·«µÇ¸é
65535 ·Î °£ÁÖÇÑ´Ù. µû¶ó¼ 1024 Æ÷Æ® ÀÌÇϷκÎÅÍ ¿À´Â TCP Á¢¼ÓÀº
`-p TCP -s 0.0.0.0/0 :1024'¶ó°í Ç¥ÇöÇÑ´Ù. Æ÷Æ® ¹øÈ£´Â ¿¹¸¦ µé¾î `www'¿Í
°°ÀÌ À̸§À¸·Î Ç¥±âÇÒ ¼öµµ ÀÖ´Ù.
Æ÷Æ®¸¦ ¸í½ÃÇÔ¿¡ ÀÖ¾î `!'¸¦ »ç¿ëÇÏ¿© ¿ª±ÔÄ¢ Ç¥ÇöÀÌ °¡´ÉÇÏ´Ù.
WWW ÆÐŶ ÀÌ¿ÜÀÇ ¸ðµç TCP ÆÐŶÀ» Ç¥ÇöÇÏ°íÀÚ ÇÒ ¶§´Â ´ÙÀ½°ú °°ÀÌ ÇÑ´Ù.
-p TCP -d 0.0.0.0/0 ! www
-p TCP -d ! 192.168.1.1 www
À§ÀÇ ¸í½Ã ¹æ¹ý°ú
-p TCP -d 192.168.1.1 ! www
Ç¥ÇöÀº ¼·Î ÀüÇô ´Ù¸¥ °ÍÀ̶ó´Â »ç½ÇÀ» ±¸º°ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù.
The first specifies any TCP packet to the WWW port on any machine but
ù¹ø° °ÍÀº 192.168.1.1 À» Á¦¿ÜÇÑ ¸ðµç ¸Ó½ÅÀÇ WWW Æ÷Æ®¸¦ »ç¿ëÇÏ´Â TCP
ÆÐŶÀ» °¡¸®Å°´Â ¹Ý¸é µÎ¹ø° °ÍÀº 192.168.1.1 ¸Ó½ÅÀ¸·Î ¿À´Â WWW Æ÷Æ®
ÀÌ¿ÜÀÇ ¸ðµç TCP Á¢¼ÓÀ» ³ªÅ¸³½´Ù.
¸¶Áö¸·À¸·Î ´ÙÀ½ Ç¥ÇöÀº 192.168.1.1 ÀÌ ¾Æ´Ï°í WWW Æ÷Æ®°¡ ¾Æ´ÔÀ» ³ªÅ¸³½´Ù:
-p TCP -d ! 192.168.1.1 ! www
3.1.3.3.2. ICMP ŸÀÔ°ú ÄÚµå ¸í½ÃÇϱâ
ICMP ¿ª½Ã ºÎ°¡ ¿É¼ÇÀ» °¡Áö°í ÀÖ´Ù. ÇÏÁö¸¸ ICMP ¿¡ ÀÖ¾î Æ÷Æ®¶õ ¾ø±â ¶§¹®¿¡
±× Àǹ̴ ÀüÇô ´Ù¸£´Ù.
`-s' ¿É¼Ç ´ÙÀ½¿¡ ICMP À̸§(À̸§À» ¾Ë¾Æº¸·Á¸é `ipchains -h icmp'¶ó°í ¸í·É
ÇÑ´Ù)À» Àû°Å³ª ¶Ç´Â ¼ýÀÚ·Î µÈ ICMP À¯Çü°ú ÄÚµå·Î ÀûÀ» ¼ö ÀÖ´Ù.
ICMP À¯Çü´Â `-s' ¿É¼Ç µÚ¿¡ ³ª¿À°í ÄÚµå´Â `-d' ¿É¼Ç µÚ¿¡ ³ª¿Ã ¼ö ÀÖ´Ù.
ICMP À̸§Àº »ó´çÈ÷ ±æ´Ù: µû¶ó¼ ´Ù¸¥ °Í°ú ±¸º°ÇÒ ¼ö ÀÖÀ» Á¤µµ·Î¸¸ Àû¾î
ÁÖ¸é µÈ´Ù.
°¡Àå ÈçÇÑ ICMP ÆÐŶ Áß ÀϺÎÀÌ´Ù.
¹øÈ£ À̸§ ÇÊ¿ä·Î ÇÏ´Â °÷
0 echo-reply ping
3 destination-unreachable ¸ðµç TCP/UDP ÀÚ·á ±³È¯
5 redirect ¶ó¿ìÆà µ¥¸óÀ» »ç¿ëÇÏÁö ¾ÊÀ» ¶§ÀÇ ¶ó¿ìÆÃ
8 echo-request ping
11 time-exceeded traceroute
Áö±Ý ÇöÀç·Î¼´Â ICMP À̸§ ¾Õ¿¡ `!'¸¦ ºÙÀÏ ¼ö ¾ø´Â »óÅÂÀÌ´Ù.
Àý´ë·Î Àý´ë·Î ICMP À¯Çü 3 ¹ø ¸Þ½ÃÁö¸¦ ¸·¾Æ¼± ¾ÈµÈ´Ù.
(``ICMP ÆÐŶ'' Âü°í)
3.1.3.4. ÀÎÅÍÆäÀ̽º ¸í½ÃÇϱâ
`-i' ¿É¼ÇÀ» »ç¿ëÇÏ¿© Àû¿ëÇÒ ÀÎÅÍÆäÀ̽º À̸§À» ¸í½ÃÇÒ ¼ö ÀÖ´Ù.
µé¾î¿À´Â ÆÐŶ¿¡ ´ëÇÑ ÀÎÅÍÆäÀ̽º(Áï, `input' üÀÎÀ» Åë°úÇÏ´Â ÆÐŶ¿¡ ´ëÇÏ¿©)´Â
ÆÐŶÀÌ µé¾î¿Â ÀÎÅÍÆäÀ̽º¸¦ °£ÁÖÇÑ´Ù. ³í¸®ÀûÀ¸·Î º¼ ¶§ ³ª°¡´Â ÆÐŶ¿¡ ´ëÇÑ
ÀÎÅÍÆäÀ̽º(`output' üÀÎÀ» Åë°úÇÏ´Â ÆÐŶ¿¡ ´ëÇÏ¿©)´Â ±×µéÀÌ ½ÇÁ¦·Î ³ª°¥
ÀÎÅÍÆäÀ̽º¸¦ °¡¸®Å²´Ù. `forward' üÀÎÀ» °¡·ÎÁö¸¦ ÆÐŶ¿¡ ´ëÇÑ ÀÎÅÍÆäÀ̽º
¶ÇÇÑ ÆÐŶÀÌ ³ª°¥ ÀÎÅÍÆäÀ̽º¸¦ ¶æÇÑ´Ù. ¸Å¿ì ´Ù¾çÇÑ Á¶ÇÕÀÌ °¡´ÉÇÏ´Ù°í º»´Ù.
Áö±Ý ÇöÀç Á¸ÀçÇÏÁö ¾Ê´Â ÀÎÅÍÆäÀ̽º¸¦ ¸í½ÃÇصµ ¾Æ¹« ¹®Á¦ ¾ø´Ù.
ÀåÄ¡°¡ ÀÛµ¿Çϱâ Àü±îÁö´Â ±× ±ÔÄ¢¿¡ ¾î¶°ÇÑ °æ¿ìµµ ÇØ´çµÇÁö ¾ÊÀ» °ÍÀ̱â
¶§¹®ÀÌ´Ù. ÀÌ Æ¯Â¡Àº ´ÙÀ̾ó ¾÷ PPP ¿¬°á(ÀϹÝÀûÀ¸·Î `ppp0')°ú °°Àº °æ¿ì¿¡
¸Å¿ì ¾µ¸ðÀÖ´Ù.
Ưº°ÇÑ °æ¿ì·Î¼ ÀÎÅÍÆäÀ̽º À̸§ÀÌ `+'·Î ³¡³ª¸é ±× ¹®ÀÚ¿·Î ½ÃÀÛÇÏ´Â ¸ðµç
ÀÎÅÍÆäÀ̽º(ÇöÀç Á¸ÀçÇÏµç ¾Êµç °ü°è¾øÀÌ)¿¡ Àû¿ëµÈ´Ù. ¿¹¸¦ µé¾î `-i ppp+'
¿É¼ÇÀ» »ç¿ëÇÏ¸é ¸ðµç PPP ÀÎÅÍÆäÀ̽º¸¦ °¡¸®Å²´Ù.
ÁÖ¾îÁø ÀÎÅÍÆäÀ̽º¸¦ Á¦¿ÜÇÑ ÀÎÅÍÆäÀ̽º¸¦ Ç¥ÇöÇϱâ À§ÇØ `!' ¸¦ ÀÎÅÍÆäÀ̽º
À̸§ ¾Õ¿¡ ºÙÀÏ ¼ö ÀÖ´Ù.
3.1.3.5. TCP SYN ÆÐŶ¸¸ ¸í½ÃÇϱâ
¶§·Î´Â TCP Á¢¼ÓÀ» ÇÑ ¹æÇâÀ¸·Î¸¸ Çã¿ëÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¿¹¸¦ µé¾î ¿ÜºÎ WWW
¼¹ö¿¡ ´ëÇÑ Á¢¼ÓÀ» Çã¿ëÇϸ鼵µ Áö±Ý ¼¹ö »ó¿¡ ÀÛµ¿ ÁßÀÎ ¼¹ö¿¡´Â Á¢¼ÓÇÏÁö
¸øÇϵµ·Ï ÇßÀ¸¸é ÇÒ ¶§°¡ ÀÖ´Ù.
ÀÚ¿¬½º·± Á¢±Ù ¹æ½ÄÀº ¼¹ö·ÎºÎÅÍ ¿À´Â TCP ÆÐŶÀ» ºÀ¼âÇÏ´Â °ÍÀ̸®¶ó.
ÇÏÁö¸¸ ºÒÇàÇÏ°Ôµµ TCP Á¢¼ÓÀº ¾ç¹æÇâÀ¸·Î ÆÐŶÀÌ ¿À°¥ ¼ö ÀÖ¾î¾ß¸¸ ÇÑ´Ù.
ÀÌ¿¡ ´ëÇÑ ÇØ°áÃ¥À¸·Î¼ Á¢¼ÓÀ» ¿äûÇÏ´Â ÆÐŶ¸¸ ºÀ¼âÇÏ´Â ¹æ¹ýÀ» »ç¿ëÇÑ´Ù.
ÀÌ ÆÐŶÀ» SYN ÆÐŶÀ̶ó ºÎ¸¥´Ù.(±â¼úÀûÀÎ ¼³¸íÀ¸·Î´Â SYN Ç÷¡±×°¡ ¼³Á¤µÇ¾î
ÀÖ°í FIN, ACK Ç÷¡±×´Â ¼³Á¤µÇÁö ¾ÊÀº ÆÐŶÀ» °¡¸®Å²´Ù) ÀÌ ÆÐŶÀ» Çã¿ëÇÏÁö
¾ÊÀ½À¸·Î½á Á¢¼Ó ¿äûÀ» ¸·À» ¼ö ÀÖ´Ù.
`-y' Ç÷¡±×¸¦ ÀÌ·± ¿ëµµ·Î »ç¿ëÇÑ´Ù. ¿À·ÎÁö TCP ÇÁ·ÎÅäÄÝ¿¡¸¸ ÇØ´çÇÑ´Ù.
¿¹¸¦ µé¾î 192.168.1.1 ·ÎºÎÅÍ ¿À´Â TCP Á¢¼ÓÀ» Ç¥ÇöÇÒ ¶§´Â ´ÙÀ½°ú °°´Ù.
-p TCP -s 192.168.1.1 -y
¿ª½Ã `!'¸¦ ºÙÀÓÀ¸·Î½á Á¢¼Ó ÃʱâÈ ÆÐŶ ÀÌ¿ÜÀÇ ÆÐŶÀ» Ç¥ÇöÇÒ ¼ö ÀÖ´Ù.
3.1.3.6. Á¶°¢(Fragments) ó¸®Çϱâ
¶§¶§·Î ÇϳªÀÇ ÆÐŶÀÌ ÇÑ ¹ø¿¡ ÇÑ È¸¼±À» Åë°úÇϱ⿡´Â ³Ê¹« Å« °æ¿ì°¡ ¹ß»ýÇÑ´Ù.
ÀÌ ¶§´Â ÆÐŶÀÌ `Á¶°¢'À¸·Î ³ª´µ¾î ¿©·¯ °³ÀÇ ÆÐŶÀ¸·Î Àü¼ÛµÈ´Ù. ¹Þ´Â ÂÊ¿¡¼´Â
ÀÌ Á¶°¢À» ¸ð¾Æ ÇϳªÀÇ ÆÐŶÀ¸·Î À籸¼ºÇÑ´Ù.
Á¶°¢°ú °ü·ÃµÈ ¹®Á¦´Â ´ÙÀ½°ú °°´Ù. ¾Õ¼ ³ª¿ÇÑ ¸î °¡Áö ¸í½Ã ¹æ¹ý
(ƯÈ÷ ¹ß½ÅÁö Æ÷Æ®, ¸ñÀûÁö Æ÷Æ®, ICMP À¯Çü, ICMP ÄÚµå ¶Ç´Â TCP SYN Ç÷¡±×)
Àº Ä¿³ÎÀÌ ÆÐŶÀÇ ½ÃÀÛ ºÎºÐÀ» º¸°í ÆǺ°Çϴµ¥ ÀÌ Á¤º¸°¡ ¿À·ÎÁö ù¹ø° Á¶°¢¿¡
¸¸ Á¸ÀçÇÑ´Ù´Â »ç½Ç·ÎºÎÅÍ À¯·¡ÇÑ´Ù.
¿©·¯ºÐÀÇ ¸Ó½ÅÀÌ ¿ÜºÎ ³×Æ®¿÷À¸·Î ³ª°¡´Â À¯ÀÏÇÑ ¿¬°á ⱸ¶ó¸é Ä¿³Î ÄÄÆÄÀϽÃ
`IP: always defragment'¸¦ Y ·Î ¼³Á¤ÇÏ°í ÄÄÆÄÀÏÇÔÀ¸·Î½á ¸®´ª½º ¸Ó½ÅÀ» Áö³ª
°¡´Â ¸ðµç Á¶°¢À» ¸ðÀ¸µµ·Ï ÇÒ ¼ö ÀÖ´Ù. ÀÌ·¸°Ô ÇÔÀ¸·Î½á ¹®Á¦¸¦ »ê¶æÇÏ°Ô
ó¸®ÇÒ ¼ö ÀÖ´Ù.
±×·¸Áö ¾ÊÀ» ¶§´Â Á¶°¢ÀÌ ÇÊÅ͸µ ±ÔÄ¢¿¡ ÀÇÇØ ¾î¶»°Ô 󸮵ǴÂÁö ÀÌÇØÇÏ´Â ÀÏÀÌ
Áß¿äÇÏ´Ù. ¿ì¸®°¡ °®°í ÀÖÁö ¸øÇÑ Á¤º¸¸¦ ¿ä±¸ÇÏ´Â ¾î¶² ÇÊÅ͸µ ±ÔÄ¢µµ ÀÏÄ¡
ÇÏÁö ¾ÊÀ» °ÍÀÌ´Ù. À̴ ù¹ø° Á¶°¢ÀÌ ¸¶Ä¡ ´Ù¸¥ ÆÐŶ°ú ¸¶Âù°¡Áö·Î 󸮵ÊÀ»
¶æÇÑ´Ù. ÇÏÁö¸¸ µÎ¹ø° ÀÌÈĺÎÅÍ´Â ¹®Á¦°¡ ¹ß»ýÇÑ´Ù.
µû¶ó¼ `-p TCP -s 192.168.1.1 www' ¶ó´Â ±ÔÄ¢(¹ß½Å Æ÷Æ®°¡ `www'ÀÎ °Í)Àº
ù¹ø° Á¶°¢À» Á¦¿ÜÇÏ°í ³ª¸ÓÁö Á¶°¢¿¡ ´ëÇÏ¿© ÀÏÄ¡ÇÏÁö ¾Ê´Â´Ù.
±× ¹Ý´ë ±ÔÄ¢ÀÎ `-p TCP -s 192.168.1.1 ! www' µµ ¸¶Âù°¡Áö´Ù.
±×·¸Áö¸¸ `-f' Ç÷¡±×¸¦ »ç¿ëÇÏ¿© µÎ¹ø° ÀÌÈÄÀÇ Á¶°¢¿¡ ´ëÇÏ¿© ±ÔÄ¢À» ¸í½ÃÇÒ
¼ö ÀÖ´Ù. ÀÌ Á¶°¢µé¿¡ ´ëÇÏ¿© TCP, UDP Æ÷Æ®, ICMP À¯Çü, ICMP ÄÚµå ¶Ç´Â
TCP SYN Ç÷¡±×¸¦ ¸í½ÃÇÏ´Â °ÍÀº ºÐ¸íÈ÷ ÀûÀýÁö ¾Ê´Ù.
`!'¸¦ `-f' ¾Õ¿¡ ºÙÀÓÀ¸·Î½á µÎ¹ø° ÀÌÈÄÀÇ Á¶°¢ÀÌ ¾Æ´Ñ °Í¿¡ ´ëÇÑ ±ÔÄ¢À»
¸í½ÃÇÏ´Â °ÍÀÌ °¡´ÉÇÏ´Ù.
Usually it is regarded as safe to let second and further fragments
ÀϹÝÀûÀ¸·Î µÎ¹ø° ÀÌÈÄÀÇ Á¶°¢Àº ±×³É ³öµÎ´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù. ¿Ö³ÄÇϸé ÇÊÅ͸µ
±ÔÄ¢ÀÌ Ã¹¹ø° Á¶°¢¿¡ ¿µÇâÀ» ÁÙ °ÍÀÌ°í ¸ñÀûÁö È£½ºÆ®¿¡¼ Á¦´ë·Î Á¶°¢ÀÌ ¸ðÀÌÁö
¸øÇÏ°Ô ÇÒ °ÍÀ̱⠶§¹®ÀÌ´Ù. ÇÏÁö¸¸ ÀÌ·± Á¡À» ÀÌ¿ëÇÏ¿© Á¶°¢µéÀ» º¸³»°Ô µÇ¸é
¸Ó½ÅÀÌ ´Ù¿îµÇ´Â ¹ö±×°¡ ¹ß°ßµÈ Àû ÀÖ´Ù. ¿©·¯ºÐÀÇ ÆÇ´Ü¿¡ ¸Ã±ä´Ù.
³×Æ®¿÷ °ü¸®ÀÚ°¡ ÁÖÀÇÇÒ Á¡ : À߸ø Çü¼ºµÈ ÆÐŶ(TCP, UDP, ICMP ÆÐŶÀÌ Æ÷Æ®³ª
ICMP ÄÚµå, À¯ÇüÀ» ¹æȺ® Äڵ尡 Àб⿡´Â ³Ê¹« ÀÛÀº °æ¿ì) ¶ÇÇÑ Á¶°¢À¸·Î
°£ÁÖÇÑ´Ù. 8 ¹ø° À§Ä¡¿¡ ÀÖ´Â TCP Á¶°¢¸¸ÀÌ ¸í½ÃÀûÀ¸·Î ¹æȺ® Äڵ忡 ÀÇÇØ
¹ö·ÁÁø´Ù.(ÀÌ ¶§ syslog ¿¡ ¿¡·¯ ¸Þ½ÃÁö°¡ ³ªÅ¸³´Ù )
¿¹¸¦ µé¾î ´ÙÀ½ ±ÔÄ¢Àº 192.168.1.1 ·Î °¡´Â ¸ðµç Á¶°¢À» ¹ö¸°´Ù.
# ipchains -A output -f -D 192.168.1.1 -j DENY
#
3.1.4. ÇÊÅ͸µÀÇ ºÎÂ÷ÀûÀÎ È¿°ú
ÁÁ´Ù. Áö±Ý±îÁö ±ÔÄ¢À» »ç¿ëÇÏ¿© ÆÐŶÀ» Àâ¾Æ³»´Â ¸ðµç ¹æ¹ýÀ» ¹è¿ü´Ù.
¸¸¾à ÆÐŶÀÌ ±ÔÄ¢¿¡ ºÎÇÕÇÏ¸é ´ÙÀ½°ú °°Àº ÀÏÀÌ ÀϾÙ:
1. ±ÔÄ¢¿¡ ´ëÇÑ ¹ÙÀÌÆ® Ä«¿îÅÍ°¡ ÆÐŶÀÇ Å©±â(Çì´õ¿À ¸ðµç ÀÚ·á)¸¸Å Áõ°¡ÇÑ´Ù.
2. ±ÔÄ¢¿¡ ´ëÇÑ ÆÐŶ Ä«¿îÅÍ°¡ Áõ°¡ÇÑ´Ù.
3. ±ÔÄ¢¿¡¼ ¿ä±¸ÇÏ´Â °æ¿ì ÆÐŶÀ» ±â·ÏÇÑ´Ù.
4. ±ÔÄ¢¿¡¼ ¿ä±¸ÇÏ´Â °æ¿ì ÆÐŶÀÇ ¼ºñ½º À¯Çü(Type Of Service) Çʵ带
º¯°æÇÑ´Ù.
5. ±ÔÄ¢¿¡¼ ¿ä±¸ÇÏ´Â °æ¿ì ÆÐŶÀ» Ç¥½ÃÇÑ´Ù.(2.0 Ä¿³Î ½Ã¸®Áî¿¡¼´Â ¾ÈµÊ)
6. ±ÔÄ¢ ¸ñÇ¥¸¦ Á¶»çÇÏ¿© ÆÐŶ¿¡ ´ëÇÏ¿© ¾î¶² ÀÏÀ» ÇÒ °ÍÀÎÁö °áÁ¤ÇÑ´Ù.
For variety, I'll address these in order of importance.
Á߿伺ÀÇ ¼ø¼´ë·Î ÀÌ ¹®Á¦¸¦ ¾ð±ÞÇϵµ·Ï ÇÏ°Ú´Ù.
3.1.4.1. ¸ñÇ¥ ¸í½ÃÇϱâ
`target' Àº Ä¿³ÎÀÌ ±ÔÄ¢¿¡ ¸Â´Â ÆÐŶÀ» ¾î¶»°Ô ó¸®ÇÒ °ÍÀÎÁö ¸»ÇØÁÖ´Â °ÍÀÌ´Ù.
ipchains ´Â `-j' (¾îµð¾îµð·Î Á¡ÇÁÇÑ´Ù°í »ý°¢Ç϶ó)À» ½á¼ ¸ñÇ¥À» ¸í½ÃÇÑ´Ù.
°¡Àå °£´ÜÇÑ °æ¿ì´Â ¾Æ¹«·± ¸ñÇ¥°¡ ¾ø´Â °æ¿ìÀÌ´Ù. ÀÌ·± ±ÔÄ¢(º¸Åë `ȸ°è
(accounting) ±ÔÄ¢'À̶ó ºÎ¸¥´Ù)Àº ƯÁ¤ À¯ÇüÀÇ ÆÐŶ¿¡ ´ëÇÏ¿© °¹¼ö¸¦ ¼¿ ¶§
»ç¿ëµÈ´Ù. ±ÔÄ¢¿¡ ¸Âµç Ʋ¸®µç Ä¿³ÎÀº üÀÎ ¼ÓÀÇ ´ÙÀ½ ±ÔÄ¢À¸·Î ÇâÇÑ´Ù.
¿¹¸¦ µé¾î 192.168.1.1·ÎºÎÅÍ ¿À´Â ÆÐŶÀÇ °¹¼ö¸¦ ¼¼°íÀÚ ÇÒ ¶§´Â ´ÙÀ½°ú
°°ÀÌ ÇÑ´Ù:
# ipchains -A input -s 192.168.1.1
#
(`ipchains -L -v'¸¦ »ç¿ëÇÏ¿© °¢ ±ÔÄ¢¿¡ ¿¬°üµÈ ¹ÙÀÌÆ®, ÆÐŶ Ä«¿îÅ͸¦ º¼
¼ö ÀÖ´Ù.)
6 °³ÀÇ Æ¯º°ÇÑ ¸ñÇ¥°¡ ÀÖ´Ù. óÀ½ 3 °¡Áö´Â `ACCEPT', `REJECT', `DENY' ·Î¼
¸Å¿ì °£´ÜÇÏ´Ù. ACCEPT´Â ÆÐŶÀÌ Åë°úÇϵµ·Ï Çã¿ëÇÑ´Ù. DENY´Â ¸¶Ä¡ ÆÐŶÀ»
¹ÞÁö ¾ÊÀº °Íó·³ ¹ö¸°´Ù. REJECT´Â ÆÐŶÀ» ¹ö¸®Áö¸¸ ÆÐŶÀÇ ¹ß½ÅÁö¿¡ ICMP
´ä½ÅÀ» º¸³»¾î ¸ñÀûÁö¿¡ µµÂøÇÒ ¼ö ¾øÀ½À» Å뺸ÇÑ´Ù.(ICMP ÆÐŶÀÌ ¾Æ´Ñ °æ¿ì)
±× ´ÙÀ½Àº `MASQ'·Î¼ Ä¿³Î·Î ÇÏ¿©±Ý ÆÐŶÀ» ¸Å½ºÄ¿·¹À̵åÇÏ°Ô ÇÑ´Ù. Á¦´ë·Î
ÀÛµ¿Çϱâ À§Çؼ´Â IP ¸Å½ºÄ¿·¹À̵ùÀÌ °¡´ÉÇϵµ·Ï Ä¿³ÎÀÌ ÄÄÆÄÀϵǾî ÀÖ¾î¾ß
ÇÑ´Ù. ÀÚ¼¼ÇÑ »çÇ×Àº Masquerading-HOWTO¿Í º°Ã· ``ipchains¿Í ipfwadm °£ÀÇ
Â÷ÀÌÁ¡''À» Âü°íÇ϶ó. ÀÌ ¸ñÇ¥´Â `forward' üÀÎÀ» Åë°úÇÏ´Â ÆÐŶ¿¡¸¸
À¯È¿ÇÏ´Ù.
¶Ç ´Ù¸¥ Áß¿äÇÑ Æ¯º° ¸ñÇ¥·Î´Â Ä¿³Î·Î ÇÏ¿©±Ý ÆÐŶÀÌ ÇâÇÏ°í ¾îµð·Î ÇâÇÏ°í
ÀÖ¾úµç »ó°ü¾øÀÌ Áö¿ª Æ÷Æ®·Î ÆÐŶÀÇ ¹æÇâÀ¸·Î º¯°æÇعö¸®´Â `REDIRECT'°¡
ÀÖ´Ù. TCP, UDP¿Í °°Àº ÇÁ·ÎÅäÄÝ¿¡¼¸¸ °¡´ÉÇÏ´Ù. ¼±ÅÃÀûÀ¸·Î Æ÷Æ®(À̸§ ¶Ç´Â
¹øÈ£)¸¦ `-j REDIRECT' ´ÙÀ½¿¡ ÀûÀ½À¸·Î½á ¾î¶² ƯÁ¤ Æ÷Æ®·Î ÇâÇÏ°í ÀÖ´ø ÆÐŶÀ»
´Ù¸¥ Æ÷Æ®·Î ¹æÇâÀüȯ½Ãų ¼ö ÀÖ´Ù. ÀÌ ¸ñÇ¥´Â `input' üÀÎÀ» Åë°úÇÏ´Â ÆÐŶ¿¡
À¯È¿ÇÏ´Ù.
Ưº°ÇÑ ¸ñÇ¥ÀÇ ¸¶Áö¸·Àº `RETURN'À¸·Î¼ Áï½Ã üÀÎÀÇ ¸¶Áö¸· Ç׸ñÀ» ¶°³ªµµ·Ï
ÇÑ´Ù. (``Á¤Ã¥ Á¤Çϱâ''¸¦ Âü°í)
ÀÌ¿ÜÀÇ ´Ù¸¥ ¸ñÇ¥´Â »ç¿ëÀÚ Á¤ÀÇ Ã¼ÀÎ(``Àüü üÀο¡ ´ëÇÑ µ¿ÀÛ'' Âü°í)ÀÌ´Ù.
ÆÐŶÀº üÀÎÀÇ ±ÔÄ¢À» Åë°úÇϱ⠽ÃÀÛÇÑ´Ù. ¸¸¾à üÀο¡¼ ÆÐŶÀÇ ¿î¸íÀÌ
°áÁ¤µÇÁö ¾Ê¾Ò°í üÀÎ Åë°ú¸¦ ¸¶ÃÆ´Ù¸é ÇöÀç ÁøÇà ÁßÀ̾ú´ø üÀÎÀÇ ¹Ù·Î ´ÙÀ½
±ÔÄ¢¿¡¼ ÆÐŶ Åë°ú ÀÛ¾÷ÀÌ Àç°³µÈ´Ù.
ASCII ¾ÆÆ® ½Ã°£ÀÌ µ¹¾Æ¿Ô´Ù. ´ÙÀ½ 2 °³ÀÇ (¾à°£Àº ¸ÛûÇÑ) üÀÎÀ» »ý°¢ÇØ
º¸ÀÚ. Çϳª´Â ³»Àå üÀÎÀÎ `input'À̸ç Çϳª´Â »ç¿ëÀÚ Á¤ÀÇ Ã¼ÀÎÀÎ `Test'ÀÌ´Ù.
`input' `Test'
---------------------------- ----------------------------
| Rule1: -p ICMP -j REJECT | | Rule1: -s 192.168.1.1 |
|--------------------------| |--------------------------|
| Rule2: -p TCP -j Test | | Rule2: -d 192.168.1.1 |
|--------------------------| ----------------------------
| Rule3: -p UDP -j DENY |
----------------------------
192.168.1.1·ÎºÎÅÍ ¿Í¼ 1.2.3.4·Î °¡´Â TCP ÆÐŶÀ» »ý°¢Çغ»´Ù. ÆÐŶÀÌ
ÀԷ üÀÎÀ¸·Î µé¾î°¡¼ ±ÔÄ¢ 1 ¹ø¿¡ Àû¿ëÇغ»´Ù. ÇØ´çµÇÁö ¾Ê´Â´Ù.
±ÔÄ¢ 2 ¹øÀÌ ¸Â°í ±× ¸ñÇ¥´Â `Test'ÀÌ´Ù. µû¶ó¼ Á¶»çÇÒ ´ÙÀ½ ±ÔÄ¢Àº `Test'ÀÇ
½ÃÀÛ ºÎºÐÀÌ´Ù. TestÀÇ ±ÔÄ¢ 1 Àº ¸ñÇ¥¸¦ ¸í½ÃÇÏ°í ÀÖÁö ¾ÊÀ¸¹Ç·Î ±× ´ÙÀ½
±ÔÄ¢ 2 ¸¦ Àû¿ëÇÑ´Ù. ¸ÂÁö ¾ÊÀ¸¹Ç·Î üÀÎÀÇ ³¡¿¡ µµ´ÞÇÏ°Ô µÈ´Ù. ¿©±â¼ ¿ì¸®´Â
¸¶Ä¡ ±ÔÄ¢ 2 ¸¦ ½ÇÇàÇÏ°í ³ª¼ ±ÔÄ¢ 3 À» ½ÇÇàÇÏ°Ô µÈ °Íó·³ ¿ø·¡ÀÇ `input'
üÀÎÀ¸·Î µ¹¾Æ°£´Ù. ±ÔÄ¢ 3 ¿ª½Ã Àû¿ëµÇÁö ¾Ê´Â´Ù.
µû¶ó¼ ÆÐŶÀÇ °æ·Î´Â ´ÙÀ½°ú °°´Ù:
v __________________________
`input' | / `Test' v
------------------------|--/ -----------------------|----
| Rule1 | /| | Rule1 | |
|-----------------------|/-| |----------------------|---|
| Rule2 / | | Rule2 | |
|--------------------------| -----------------------v----
| Rule3 /--+___________________________/
------------------------|---
v
»ç¿ëÀÚ Ã¼ÀÎÀ» È¿°úÀûÀ¸·Î »ç¿ëÇϱ⠽ÍÀº »ç¶÷Àº ``¿©·¯ºÐ¸¸ÀÇ ¹æȺ® ±ÔÄ¢À»
ü°èÈÇϱâ'' ¼½¼ÇÀ» Âü°íÇ϶ó.
3.1.4.2. ÆÐŶ ±â·ÏÇϱâ
±ÔÄ¢¿¡ ¸ÂÀ» ¶§ °¡Áú ¼ö ÀÖ´Â ºÎ¼ö È¿°úÀÌ´Ù. ÀÏÄ¡ÇÏ´Â ÆÐŶ¿¡ ´ëÇÏ¿© `-l'
Ç÷¡±×¸¦ °¡Áö°í ±â·ÏÇÒ ¼ö ÀÖ´Ù. ÀÏ»óÀûÀÎ ÆÐŶÀ» ±â·ÏÇϱ⠺¸´Ù´Â ¿¹¿ÜÀûÀÎ
»óȲÀ» ¹ß°ßÇÏ°íÀÚ ÇÒ ¶§ »ç¿ëÇÏ°Ô µÉ °ÍÀÌ´Ù.
(`man klogd' ¶Ç´Â `man dmesg' Âü°í)
3.1.4.3. ¼ºñ½º À¯Çü ó¸®Çϱâ
IP Çì´õ¿¡¼ ÀÚÁÖ »ç¿ëµÇÁö´Â ¾Ê´Â 4 °³ÀÇ ºñÆ®¸¦ ¼ºñ½º À¯Çü(Type of
Service, TOS) ºñÆ®¶ó°í ºÎ¸¥´Ù. ÀÌ ºñÆ®µéÀº ÆÐŶÀÇ Ã³¸® ¹æ½Ä¿¡ ¿µÇâÀ»
ÁØ´Ù. 4 °³ÀÇ ºñÆ®´Â "ÃÖ¼Ò Áö¿¬(Minimum Delay)", "ÃÖ´ë Àü¼Û·ü(Maximum
Throughput)", "ÃÖ´ë ¾ÈÁ¤¼º(Maximum Reliability)", "ÃÖ¼Ò °æ·Î(Minimum Cost)"
ÀÌ´Ù. ÇÑ ¹ø¿¡ Çϳª¸¸ ¼³Á¤ÇÒ ¼ö ÀÖ´Ù. TOS ó¸® ÄÚµåÀÇ ÀúÀÚÀÎ Rob
van Nieuwkerk ¾¾ÀÇ ¸»À» µé¾îº¸°Ú´Ù.
¹«¾ùº¸´Ùµµ ³»°Ô À־ "ÃÖ¼Ò Áö¿¬(Minimum Delay)"ÀÌ Áß¿äÇÏ´Ù.
³ªÀÇ »óÀ§ ¶ó¿ìÅÍ(¸®´ª½ºÀÌ´Ù)·Î °¡´Â "´ëÈÇü" ÆÐŶ¿¡ ´ëÇÏ¿© ÀÌ
ºñÆ®¸¦ ÄѵдÙ. ³ª´Â 33k6 ¸ðµ© µÞÂÊÀÌ ÀÖ´Ù. ¸®´ª½º´Â 3 °³ÀÇ
Å¥¸¦ ÅëÇØ ÆÐŶÀÇ ¿ì¼±±ÇÀ» Á¶Á¤ÇÑ´Ù. ÀÌ·± ½ÄÀ¸·Î µ¿½Ã¿¡ ´ë·®ÀÇ
´Ù¿î·Îµå ÀÛ¾÷À» Çϸ鼵µ ´ëÈÇü ÀÛ¾÷ÀÇ È¿À²À» ³ôÀÏ ¼ö ÀÖ´Ù.
(½Ã¸®¾ó ÀåÄ¡ µå¶óÀ̹öÀÇ Å¥µµ ¿ª½Ã ÀÛ¾Ò´õ¶ó¸é ´õ Çâ»óµÇ¾úÀ» ¼ö
ÀÖ°ÚÁö¸¸ ¾îÂî µÇ¾úµç Áö¿¬ ½Ã°£À» 1.5 ÃÊ·Î ³·Ãâ ¼ö ÀÖ¾ú´Ù.)
The most common use is to set telnet & ftp control connections to
°¡Àå ÀϹÝÀûÀÎ »ç¿ë ¹æ¹ýÀº telnet & ftp Á¦¾î Á¢¼Ó¿¡ ´ëÇؼ´Â
"ÃÖ¼Ò Áö¿¬(Minimum Delay)"À» »ç¿ëÇÏ°í FTP ÀÚ·á¿¡ ´ëÇؼ´Â
"ÃÖ´ë Àü¼Û·ü(Maximum Throughput)"À» »ç¿ëÇÏ´Â °ÍÀÌ´Ù. ´ÙÀ½°ú °°ÀÌ Çϸé
µÈ´Ù.
ipchains -A output -p tcp -d 0.0.0.0/0 telnet -t 0x01 0x10
ipchains -A output -p tcp -d 0.0.0.0/0 ftp -t 0x01 0x10
ipchains -A output -p tcp -s 0.0.0.0/0 ftp-data -t 0x01 0x08
`-t' Ç÷¡±×´Â 2 °³ÀÇ Àü´Þ º¯¼ö¸¦ 16 Áø¼ö·Î ¹Þ¾ÆµéÀδÙ. ÀÌ·¸°Ô ÇÔÀ¸·Î½á
º¹ÀâÇÑ TOS ºñÆ® Á¶ÀÛÀÌ °¡´ÉÇÏ´Ù. ù¹ø° ¸Å½ºÅ©´Â ÆÐŶÀÇ ÇöÀç TOS °ª¿¡ AND
µÇ°í µÎ¹ø° ¸Å½ºÅ©´Â XOR µÈ´Ù. ³Ê¹« º¹ÀâÇÏ°Ô ¿©°ÜÁø´Ù¸é ´ÙÀ½ µµÇ¥¸¦
»ç¿ëÇ϶ó.
TOS À̸§ °ª ÀüÇüÀûÀÎ ¿ëµµ
Minimum Delay 0x01 0x10 ftp, telnet
Maximum Throughput 0x01 0x08 ftp-data
Maximum Reliability 0x01 0x04 snmp
Minimum Cost 0x01 0x02 nntp
3.1.4.4. ÆÐŶ Ç¥½ÃÇϱâ
ÇöÀç »ç¿ëµÇ°í ÀÖÁö ¾ÊÁö¸¸ Ä¿³Î v2.1 ½Ã¸®Áî¿¡¼ Traffic Shaper Äڵ带
Alexey Kuznetsov ¾¾ÀÇ »õ·Î¿î ¼ºñ½º Ç°Áú(Quality of Service) ±¸ÇöÀ¸·Î
¹Ù²î°Ô µÇ¸é ´õ¿í º¹ÀâÇÏ°í °·ÂÇÑ »óÈ£ ÀÛ¿ëÀÌ °¡´ÉÇÒ °ÍÀÌ¶ó ¿¹»óÇÏ°í ÀÖ´Ù.
µû¶ó¼ 2.0 ½Ã¸®Áî¿¡¼µµ ¿ª½Ã ¹«½ÃµÈ´Ù.
3.1.4.5. Àüü üÀο¡ ´ëÇÑ µ¿ÀÛ
ipchains ÀÇ À¯¿ëÇÑ ±â´É Áß Çϳª´Â ¿¬°üµÈ ±ÔÄ¢À» ¹¾î üÀÎ ¼Ó¿¡ ³ÖÀ» ¼ö
ÀÖ´Ù´Â °ÍÀÌ´Ù. ³»Àå üÀÎ(`input', `output', `forward')°ú ³»Àå ¸ñÇ¥
(`MASQ', `REDIRECT', `ACCEPT', `DENY', `REJECT', `RETURN')°ú À̸§ Ãæµ¹¸¸
¾ø´Ù¸é ÀÌ Ã¼ÀÎÀ» ¾î¶»°Ô ºÎ¸£µç »ó°ü¾ø´Ù. º»ÀÎÀÌ ¾ÕÀ¸·ÎÀÇ È®Àå ±â´É¿¡
´ëÇÏ¿© »ç¿ëÇÒ Áö ¸ð¸£¹Ç·Î ´ë¹®ÀÚ À̸§À» ÇÇÇÏ±æ ±ÇÀåÇÑ´Ù. üÀÎ À̸§Àº
8 ÀÚ±îÁö °¡´ÉÇÏ´Ù.
3.1.4.6. »õ·Î¿î üÀÎ ¸¸µé±â
»õ·Î¿î üÀÎÀ» ¸¸µé¾îº¸ÀÚ. º»ÀÎÀ¸·Î ¸»ÇÒ °Í °°À¸¸é ¸Å¿ì »ó»ó·ÂÀÌ Ç³ºÎÇÑ(?)
»ç¶÷À̱⠶§¹®¿¡ üÀÎ À̸§À» `test'¶ó ÇÏ°Ú´Ù (^^)
# ipchains -N test
#
¸Å¿ì °£´ÜÇÏ´Ù. ÀÌÁ¦ºÎÅÍ ±ÔÄ¢À» Ãß°¡ÇÒ ¼ö ÀÖ´Ù.
3.1.4.7. üÀÎ Áö¿ì±â
üÀÎ Áö¿ì±â ¶ÇÇÑ °£´ÜÇÏ´Ù.
# ipchains -X test
#
¿Ö `-X' Àΰ¡? ¾Æ~ ÀÌ¹Ì ÁÁÀº ±ÛÀÚµéÀ» ´Ù ½á¹ö·È±â ¶§¹®ÀÌ´Ù.
üÀÎÀ» Áö¿ì´Âµ¥´Â ¸î °¡Áö Á¦ÇÑ »çÇ×ÀÌ ÀÖ´Ù. ÀÏ´Ü Ã¼ÀÎÀÌ ºó »óÅ¿©¾ß
ÇÑ´Ù.(``üÀÎ ºñ¿ì±â'' Âü°í) ±×¸®°í üÀÎÀÌ ´Ù¸¥ ±ÔÄ¢ÀÇ ¸ñÇ¥°¡ µÇ¾î¼´Â
¾ÈµÈ´Ù. 3 °¡Áö ³»Àå üÀÎÀº Áö¿ï ¼ö ¾ø´Ù.
3.1.4.8. üÀÎ ºñ¿ì±â
`-F' ¸í·ÉÀ» »ç¿ëÇϸé üÀÎÀ¸·ÎºÎÅÍ ¸ðµç ±ÔÄ¢À» °£´ÜÈ÷ ºñ¿ï ¼ö ÀÖ´Ù.
# ipchains -F forward
#
üÀÎÀ» ¸í½ÃÇÏÁö ¾ÊÀ¸¸é ¸ðµç üÀÎ ³»¿ëÀÌ ºñ¿öÁø´Ù.
3.1.4.9. üÀÎ ³»¿ë º¸±â
`-L' ¸í·ÉÀ» »ç¿ëÇÏ¿© üÀÎ ¼Ó¿¡ µç ¸ðµç ±ÔÄ¢À» ³ª¿ÇÒ ¼ö ÀÖ´Ù.
# ipchains -L input
Chain input (refcnt = 1): (policy ACCEPT)
target prot opt source destination ports
ACCEPT icmp ----- anywhere anywhere any
# ipchains -L test
Chain test (refcnt = 0):
target prot opt source destination ports
DENY icmp ----- localnet/24 anywhere any
#
`test' Ç׸ñ¿¡ Ç¥½ÃµÈ "refcnt"¶õ `test'¸¦ ¸ñÇ¥·Î °®°í ÀÖ´Â ±ÔÄ¢ÀÇ °¹¼ö¸¦
³ªÅ¸³½´Ù. üÀÎÀÌ Áö¿ö±â Àü¿¡ ÀÌ °ªÀÌ 0 À̾î¾ß ÇÑ´Ù.(±×¸®°í üÀÎ ÀÚüµµ
ºó »óÅ¿©¾ß ÇÑ´Ù.)
üÀÎ À̸§ÀÌ »ý·«µÇ¸é ºó °ÍÀ̶ó ÇÒ Áö¶óµµ ¸ðµç üÀÎÀÌ Ç¥½ÃµÈ´Ù.
There are three options which can accompany `-L'. The `-n' (numeric)
`-L' ¸í·É°ú »ç¿ëÇÒ ¼ö ÀÖ´Â 3 °³ÀÇ ¿É¼ÇÀÌ ÀÖ´Ù. `-n'(¼ýÀÚ Ç¥Çö) ¿É¼ÇÀº
ipchains·Î ÇÏ¿©±Ý IP ÁÖ¼Ò »ìÆ캸±â¸¦ ÇÏÁö ¾Ê°Ô Çϱ⠶§¹®¿¡ DNS °¡ Á¦´ë·Î
¼³Á¤µÇÁö ¾Ê¾Æ »ó´çÇÑ Áö¿¬ÀÌ »ý±â°Å³ª DNS ¿äûÀ» ÇÊÅ͸µÇÑ °æ¿ì¿¡ À¯¿ëÇÏ´Ù.
Æ÷Æ®¿¡ ´ëÇؼ´Â Æ÷Æ® À̸§ÀÌ ¾Æ´Ñ ¼ýÀڷΠǥ½ÃµÇµµ·Ï ÇÑ´Ù.
`-v' ¿É¼ÇÀ» »ç¿ëÇϸé ÆÐŶ, ¹ÙÀÌÆ® Ä«¿îÅÍ, TOS ¸Å½ºÅ©, ÀÎÅÍÆäÀ̽º ±×¸®°í
ÆÐŶ Ç¥½Ä°ú °°Àº ±ÔÄ¢ÀÇ ¼¼ºÎ »çÇ×À» º¼ ¼ö ÀÖ´Ù.
¿É¼ÇÀ» ºÙÀÌÁö ¾ÊÀ¸¸é ÀÌ °ªµéÀº Ç¥½ÃµÇÁö ¾Ê´Â´Ù. ¿¹¸¦ º¸ÀÚ:
# ipchains -v -L input
Chain input (refcnt = 1): (policy ACCEPT)
pkts bytes target prot opt tosa tosx ifname mark source destination ports
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any
ÆÐŶ, ¹ÙÀÌÆ® Ä«¿îÅÍÀÇ °ªÀÌ 1000, 1,000,000, 1,000,000,000 ¿¡ ´ëÇÏ¿©
`K', `M', `G'¶ó´Â Á¢¹Ì»ç¸¦ »ç¿ëÇÏ¿© Ç¥½ÃµÈ´Ù´Â °ÍÀ» ´«¿©°Ü º¸ÀÚ.
`-x' ¿É¼ÇÀ» »ç¿ëÇÏ¸é ±× °ªÀÌ ¸Å¿ì Å©´Ù ÇÒ Áö¶óµµ ¿ÏÀüÇÑ ¼ýÀڷΠǥ½ÃÇØÁØ´Ù.
3.1.4.10. Ä«¿îÅÍ Àç¼³Á¤Çϱâ(0À¸·Î ¸¸µé±â)
Ä«¿îÅÍ °ªÀ» 0 À¸·Î ¸¸µé°í ½ÍÀ» ¶§°¡ ÀÖ´Ù. `-Z'(Á¦·Î Ä«¿îÅÍ) ¿É¼ÇÀ» »ç¿ë
ÇÏ¸é µÈ´Ù. ¿¹¸¦ º¸ÀÚ:
# ipchains -v -L input
Chain input (refcnt = 1): (policy ACCEPT)
pkts bytes target prot opt tosa tosx ifname mark source destination ports
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any
# ipchains -Z input
# ipchains -v -L input
Chain input (refcnt = 1): (policy ACCEPT)
pkts bytes target prot opt tosa tosx ifname mark source destination ports
0 0 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any
#
ÀÌ·± Á¢±Ù ¹æ½ÄÀÇ ¹®Á¦Á¡Àº Á¾Á¾ Àç¼³Á¤ ¹Ù·Î Á÷Àü¿¡ Ä«¿îÅÍ °ªÀ» ¾Ë¾Æ¾ß ÇÒ
ÇÊ¿ä°¡ ÀÖ´Ù´Â °ÍÀÌ´Ù. À§ÀÇ ¿¹¿¡¼ ¾î¶² ÆÐŶÀÌ `-L'°ú `-Z' ¸í·É Áß°£¿¡
Áö³ª°¡´Â °æ¿ì°¡ ¹ß»ýÇÑ´Ù. ÀÌ·± ÀÌÀ¯ ¶§¹®¿¡ °ªÀ» ÀÐÀ¸¸é¼ µ¿½Ã¿¡ °ªÀ»
Àç¼³Á¤Çϱâ À§ÇØ `-L'°ú `-Z'¸¦ °°ÀÌ »ç¿ëÇÑ´Ù. ÇÏÁö¸¸ ÀÌ ¹æ¹ýÀ¸·Î´Â ÇϳªÀÇ
üÀο¡ ´ëÇÏ¿© ¸í·ÉÇÒ ¼ö ¾øÀ¸¹Ç·Î ÇÑ ¹ø¿¡ ¸ðµç üÀÎÀ» º¸¸é¼ µ¿½Ã¿¡ 0 À¸·Î
¸¸µé¾î¾ß ÇÑ´Ù.
# ipchains -L -v -Z
Chain input (policy ACCEPT):
pkts bytes target prot opt tosa tosx ifname mark source destination ports
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any
Chain forward (refcnt = 1): (policy ACCEPT)
Chain output (refcnt = 1): (policy ACCEPT)
Chain test (refcnt = 0):
0 0 DENY icmp ----- 0xFF 0x00 ppp0 localnet/24 anywhere any
# ipchains -L -v
Chain input (policy ACCEPT):
pkts bytes target prot opt tosa tosx ifname mark source destination ports
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any
Chain forward (refcnt = 1): (policy ACCEPT)
Chain output (refcnt = 1): (policy ACCEPT)
Chain test (refcnt = 0):
0 0 DENY icmp ----- 0xFF 0x00 ppp0 localnet/24 anywhere any
#
3.1.4.11. Á¤Ã¥ ¼³Á¤Çϱâ
¾Õ¼ ``¸ñÇ¥ ¸í½ÃÇϱâ'' ¿¡¼ ¾î¶»°Ô ÆÐŶÀÌ Ã¼ÀÎÀ» Åë°úÇÏ´ÂÁö À̾߱âÇÒ ¶§
ÆÐŶÀÌ ³»Àå üÀÎÀÇ ¸¶Áö¸·À» Åë°úÇÒ ¶§ ¾î¶² ÀÏÀÌ ¹ú¾îÁö´ÂÁö °£·«È÷ ¾Ë¾Æº¸¾Ò´Ù.
ÀÌ ¶§ üÀÎÀÇ `Á¤Ã¥'ÀÌ ÆÐŶÀÇ ¿î¸íÀ» °áÁ¤ÇÑ´Ù. ¿À·ÎÁö ³»Àå üÀÎ
(`input', `output', `forward')¸¸ÀÌ Á¤Ã¥À» °®´Â´Ù. ¿Ö³ÄÇϸé ÆÐŶÀÌ »ç¿ëÀÚ
Á¤ÀÇ Ã¼ÀÎÀ» Åë°úÇÏ°í ³ª¸é ¿ø·¡ÀÇ Ã¼Àο¡¼ ´Ù½Ã ½ÃÀÛÇϱ⠶§¹®ÀÌ´Ù.
Á¤Ã¥Àº ´ÙÀ½°ú °°Àº Ư¼öÇÑ 4 °¡Áö ´ë»ó Áß Çϳª¸¦ ¼±ÅÃÇÒ ¼ö ÀÖ´Ù.
`ACCEPT', `DENY', `REJECT', `MASQ'. ¿©±â¼ `MASQ'´Â ¿À·ÎÁö
`forward' üÀο¡¸¸ À¯È¿ÇÏ´Ù.
³»Àå üÀο¡ Æ÷ÇÔµÈ ±ÔÄ¢¿¡ `RETURN' ¸ñÇ¥¸¦ µÎ¸é ÆÐŶÀÌ ±ÔÄ¢¿¡
¸ÂÀ» ¶§ ¸í½ÃÀûÀ¸·Î üÀÎÀÇ Á¤Ã¥À» µû¸£µµ·Ï Çϴµ¥ ¾µ¸ð ÀÖ´Ù
ÀÌ Á¡µµ ¾Ë¾ÆµÎ´Â °ÍÀÌ ÁÁ´Ù.
3.1.5. ¸Å½º·¯ÄÉÀ̵ù(Masquerading)¿¡ °ü·ÃµÈ µ¿ÀÛ
IP ¸Å½ºÄ¿·¹À̵ù°ú °ü·ÃÇÏ¿© ½á¸ÔÀ» ¼ö ÀÖ´Â ¸î °¡Áö ¸Å°³º¯¼ö°¡ ÀÖ´Ù.
À̵éÀ» À§ÇÑ º°µµÀÇ µµ±¸¸¦ ¸¸µé ÀÌÀ¯°¡ ¾ø´Ù°í »ý°¢Ç߱⿡(ÀÌ »ý°¢Àº ¾ÕÀ¸·Î
¹Ù²ð ¼ö ÀÖ´Ù) `ipchains' ¿¡ ±× ±â´ÉÀ» Æ÷ÇÔ½ÃÄ×´Ù.
IP ¸Å½ºÄ¿·¹ÀÌµå ¸í·ÉÀº `-M' ÀÌ´Ù. `-L' °ú °°ÀÌ ¾²¸é ÇöÀç ¸Å½ºÄ¿·¹À̵åµÇ¾î
ÀÖ´Â Á¢¼Ó ÇöȲÀ» º¼ ¼ö ÀÖ°í `-S'¸¦ »ç¿ëÇÏ¿© ¸Å½ºÄ¿·¹ÀÌµå ¸Å°³º¯¼ö¸¦ Á¤ÇÒ
¼ö ÀÖ´Ù.
`-L' ¸í·É¿¡ `-n'À» ºÙÀ̸é È£½ºÆ® À̸§°ú Æ÷Æ® À̸§ ´ë½Å ¸ðµÎ ¼ýÀÚ·Î º¸¿©ÁÖ¸ç
`-v' ¿É¼ÇÀ» ÁÖ¸é ¸Å½ºÄ¿·¹À̵åµÈ Á¢¼Ó »óȲ¿¡ ´ëÇÏ¿© ¼øÂ÷ ¹øÈ£(sequence #)ÀÇ
µ¨Å¸(delta)°ªÀ» º¸¿©ÁØ´Ù.
`-S' ¸í·É µÚ¿¡´Â 3 °³ÀÇ Å¸ÀӾƿô °ªÀ» ÃÊ ´ÜÀ§·Î Àû¾î¾ß ÇÑ´Ù.
Çϳª´Â TCP ¼¼¼Ç, ¶Ç Çϳª´Â FIN ÆÐŶ ÀÌÈÄÀÇ TCP ¼¼¼Ç, ±×¸®°í Çϳª´Â
UDP ÆÐŶ¿¡ ´ëÇÑ °ªÀÌ´Ù. °ªÀ» º¯°æÇÏ°í ½ÍÁö ¾ÊÀ» ¶§´Â °£´ÜÈ÷ `0'À»
Àû´Â´Ù.
±âº»°ªÀº `/usr/include/net/ip_masq.h'¿¡ ÀûÇô ÀÖÀ¸¸ç ÇöÀç´Â °¢°¢
15 ºÐ, 2 ºÐ, 5 ºÐÀÌ´Ù.
ÀϹÝÀûÀ¸·Î º¯°æÇÏ´Â °ªÀº ù¹ø° °ªÀ¸·Î¼ FTP ¸¦ À§ÇؼÀÌ´Ù.
(``FTP ¾Ç¸ù''À» Âü°í)
3.1.6. ÆÐŶ Á¡°ËÇϱâ
¶§·Î´Â ¹æȺ® üÀÎÀ» µð¹ö±ëÇϱâ À§ÇØ ¾î¶² ÆÐŶÀÌ ¸Ó½Å¿¡ µé¾î¿À¸é ¾î¶²
ÀÏÀÌ ¹ß»ýÇÏ´ÂÁö ¾Ë°í ½ÍÀ» ¶§°¡ ÀÖ´Ù. `ipchains'ÀÇ `-C' ¸í·ÉÀ» »ç¿ëÇϸé
µÈ´Ù. Ä¿³ÎÀÌ ½ÇÁ¦ ÆÐŶÀ» °Ë»çÇÒ ¶§ »ç¿ëÇÏ´Â µ¿ÀÏÇÑ ·çƾÀ» »ç¿ëÇÑ´Ù.
`-C' Àμö ´ÙÀ½¿¡ ÆÐŶÀ» Å×½ºÆ®ÇØ º¼ üÀÎ À̸§À» Àû´Â´Ù. Ä¿³ÎÀº ¾ðÁ¦³ª
`input', `output', `forward' üÀο¡¼ ½ÃÀÛÇÏÁö¸¸ Å×½ºÆÃÀ» ¸ñÀûÀ¸·Î ÇÒ
¶§´Â ¾î¶² üÀο¡¼µç ½ÃÀÛÇÒ ¼ö ÀÖ´Ù.
`ÆÐŶ'¿¡ ´ëÇÑ ¼¼ºÎ ¼³¸íÀº ¹æȺ® ±ÔÄ¢À» ¸í½ÃÇÒ ¶§ »ç¿ëÇß´ø ¹®¹ý ±×´ë·Î
»ç¿ëÇÑ´Ù. ƯÈ÷ ÇÁ·ÎÅäÄÝ(`-p'), ¹ß½ÅÁö ÁÖ¼Ò(`-s'), ¸ñÀûÁö ÁÖ¼Ò(`-d'),
ÀÎÅÍÆäÀ̽º(`-i') ¿É¼ÇÀ» ²À ¸í½ÃÇØ¾ß ÇÑ´Ù. ÇÁ·ÎÅäÄÝÀÌ TCP ¶Ç´Â UDP ÀÎ °æ¿ì
¹ß½ÅÁö ÁÖ¼Ò Çϳª¿Í ¸ñÀûÁö Æ÷Æ®¸¦ ¸í½ÃÇØ¾ß Çϸç ICMP ÇÁ·ÎÅäÄÝÀÎ °æ¿ì¿¡´Â
ICMP À¯Çü°ú Äڵ带 ²À ¸í½ÃÇØ¾ß ÇÑ´Ù. (Á¶°¢ ±ÔÄ¢À» °¡¸®Å°±â À§ÇØ `-f' Ç÷¡±×
¸¦ »ç¿ëÇÑ °æ¿ì°¡ ¾Æ´Ò ¶§ ±×·¯ÇÏ´Ù. ¸¸¾à `-f' ¿É¼ÇÀÌ »ç¿ëµÈ °æ¿ì¿¡´Â
¹ß½ÅÁö ÁÖ¼Ò, ¸ñÀûÁö Æ÷Æ® ¿É¼ÇÀº ¾µ ¼ö ¾ø´Ù.)
ÇÁ·ÎÅäÄÝÀÌ TCP ¶ó¸é(±×¸®°í `-f' Ç÷¡±×°¡ ¾ø´Â »óÅÂ) `-y' Ç÷¡±×¸¦ »ç¿ëÇÏ¿©
ÆÐŶ¿¡ SYN ºñÆ®°¡ ¼³Á¤µÇ¾î ÀÖÀ½À» Ç¥ÇöÇÒ ¼ö ÀÖ´Ù.
´ÙÀ½Àº 192.168.1.1 ÀÇ 60000 Æ÷Æ®¿¡¼ 192.168.1.2 ÀÇ www Æ÷Æ®·Î ÇâÇÏ´Â
TCP SYN ÆÐŶÀÌ `input' üÀο¡ µé¾î°¡¼ ¾î¶² °á°ú¸¦ ³»³õ´ÂÁö Å×½ºÆ®ÇÏ´Â ¿¹
ÀÌ´Ù. ( ÀüÇüÀûÀÎ WWW Á¢¼Ó ½ÃÀÛ °úÁ¤ÀÇ ¿¹ÀÌ´Ù. )
# ipchains -C input -p tcp -y -s 192.168.1.1 60000 -d 192.168.1.2 www
packet accepted
#
3.1.7. ÇÑ ¹ø¿¡ ¿©·¯ ±ÔÄ¢ ¸¸µé±â¿Í »ç°Ç °¨½ÃÇϱâ
¶§·Î´Â ÇϳªÀÇ ¸í·ÉÀ¸·Îµµ ¿©·¯ ±ÔÄ¢¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. ´ÙÀ½°ú °°Àº
µÎ °¡Áö ¹æ¹ýÀÌ ÀÖ´Ù. ¿ì¼± DNS ¸¦ ÅëÇÏ¿© ¿©·¯ °³ÀÇ IP ÁÖ¼Ò·Î Çؼ®µÇ´Â
È£½ºÆ® À̸§À» ¸í½ÃÇÏ°Ô µÇ¸é `ipchains'´Â ¸¶Ä¡ ¿©·¯ºÐÀÌ °¢ IP ÁÖ¼Ò¸¶´Ù
ÇÑ ¹ø¾¿ ¶È°°Àº ¸í·ÉÀ» ³»¸° °Íó·³ ó¸®ÇÑ´Ù.
µû¶ó¼ ¸¸¾à `www.foo.com' À̶ó´Â È£½ºÆ® À̸§ÀÌ 3 °³ÀÇ IP ÁÖ¼Ò¸¦ °¡¸®Å°°í
`www.bar.com' È£½ºÆ® À̸§ÀÌ 2 °³ÀÇ IP ÁÖ¼Ò¸¦ °¡¸®Å°°Ô µÈ´Ù°í ÇÏ°í
`ipchains -A input -j reject -s www.bar.com -d www.foo.com' ¶ó ¸í·ÉÇÏ°Ô
µÇ¸é ¸¶Ä¡ 6 °³ÀÇ ±ÔÄ¢À» `input' üÀο¡ ³ÖÀº °Í°ú °°´Ù.
`ipchains'°¡ ¿©·¯ ÇൿÀ» ÃëÇÏ°Ô ÇÏ´Â ´Ù¸¥ ¹æ¹ýÀº ¾ç¹æÇâ Ç÷¡±×(`-b')¸¦
»ç¿ëÇÏ´Â ¹æ¹ýÀÌ´Ù. ÀÌ Ç÷¡±×¸¦ »ç¿ëÇϸé `ipchains'´Â ¸í·ÉÀ» µÎ ¹ø ³»¸°
°Íó·³ µ¿ÀÛÇÑ´Ù. µÎ¹ø° ¸í·ÉÀº ù¹ø° °Í°ú `-s', `-d'°¡ µÚ¹Ù²ï ¸í·ÉÀÌ´Ù.
µû¶ó¼ 192.168.1.1·Î ÇâÇϰųª ±×·ÎºÎÅÍ µé¾î¿À´Â ¸ðµç ÆÐŶ Àü´ÞÀ» ¸·±â À§ÇØ
¼´Â ´ÙÀ½°ú °°ÀÌ ÇÒ ¼ö ÀÖ´Ù.
# ipchains -b -A forward -j reject -s 192.168.1.1
#
°³ÀÎÀûÀ¸·Î´Â `-b' ¿É¼ÇÀ» ÁÁ¾ÆÇÏÁö ¾Ê´Â´Ù. ÀÌ°Ô ÆíÇÏ´Ù°í »ý°¢ÇÏ´Â »ç¶÷Àº
``ipchains-save »ç¿ëÇϱâ'' ¼½¼ÇÀ» Âü°íÇ϶ó.
-b ¿É¼ÇÀº »ðÀÔ(`-I'), »èÁ¦(`-D') (±ÔÄ¢ ¹øÈ£¸¦ Àû´Â °æ¿ì Á¦¿Ü), Ãß°¡(`-A'),
Á¡°Ë(`-C') ¸í·É°ú ÇÔ²² »ç¿ëÇÒ ¼ö ÀÖ´Ù.
À¯¿ëÇÑ Ç÷¡±×·Î´Â ¿©·¯ºÐÀÇ ¸í·É¿¡ µû¶ó `ipchains'°¡ ¾î¶² ÀÏÀ» ÇÏ°í ÀÖ´ÂÁö
º¸¿©ÁÖµµ·Ï ÇÏ´Â `-v'(ÀåȲÇÏ°Ô)°¡ ÀÖ´Ù. ´Ù¼öÀÇ ±ÔÄ¢¿¡ ¿µÇâÀ» ¹ÌÄ¥ °ÍÀ̶ó
»ý°¢ÇÏ´Â ¸í·É¿¡¼ ¾µ¸ðÀÖ´Ù. ¿¹¸¦ µé¾î 192.168.1.1°ú 192.168.1.2 »çÀÌÀÇ
Á¶°¢µéÀÇ »óŸ¦ Á¡°ËÇÏ´Â °æ¿ì¸¦ º¸°Ú´Ù.
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.1 -> 192.168.1.2 * -> *
packet accepted
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.2 -> 192.168.1.1 * -> *
packet accepted
#
3.2. ¾µ¸¸ÇÑ ¿¹Á¦
³ª´Â ÀüÈÁ¢¼Ó PPP Á¢¼Ó(`-i ppp0')À» ÇÏ°í ÀÖ´Ù. ÀüÈÁ¢¼ÓÀ» ÇÒ ¶§¸¶´Ù
´º½º¸¦ ±Ü¾î¿À¸ç(`-p TCP -s news.virtual.net.au nntp') ¸ÞÀÏÀ» °¡Á®¿Â´Ù.
(`-p TCP -s mail.virtual.net.au pop-3') ¸®´ª½º ¹Ú½º¸¦ Á¤±âÀûÀ¸·Î °»½Å
Çϱâ À§ÇØ µ¥ºñ¾È FTP °»½Å ¹æ¹ýÀ» »ç¿ëÇÑ´Ù. (`-p TCP -s ftp.debian.org
ftp-data') ±× µ¿¾È ISPÀÇ ÇÁ·Ï½Ã¸¦ ÅëÇØ À¥ ¼ÇÎÀ» Áñ±ä´Ù.
(`-p TCP -d proxy.virtual.net.au 8080') ÇÏÁö¸¸ Dilbert Archive »çÀÌÆ®¿¡
º¸ÀÌ´Â doubleclick.net À¸·ÎºÎÅÍ ±¤°í¸¦ ½È¾îÇÑ´Ù.
(`-p TCP -y -d 199.95.207.0/24' & `-p TCP -y -s 199.95.208.0/24')
Á¢¼Ó Áß¿¡ ´Ù¸¥ »ç¶÷µéÀÌ ³» ¸Ó½ÅÀ¸·Î ftpÇØ µé¾î¿À´Â °ÍÀº °ÔÀÇÄ¡ ¾Ê´Â´Ù.
(`-p TCP -d $LOCALIP ftp') ÇÏÁö¸¸ ³» ³×Æ®¿÷ ¿ÜºÎÀÇ »ç¶÷µéÀÌ ³» IP ÁÖ¼Ò¸¦
°¡ÀåÇÏ¿© »ç¿ëÇÏ±æ ¿øÄ¡´Â ¾Ê´Â´Ù. (`-s 192.168.1.0/24')
³»ºÎ ³×Æ®¿÷¿¡ ´Ù¸¥ ¸Ó½ÅÀÌ ¾ø±â ¶§¹®¿¡ ¼³Á¤Àº ¸Å¿ì ½±°Ô ÀÌ·ïÁø´Ù.
Áö¿ª ÇÁ·Î¼¼½º ¾î¶² °Íµµ(¿¹¸¦ µé¾î ³×½ºÄÉÀÌÇÁ, Gzilla µîµî) doubleclick.net
¿¡ Á¢¼ÓÇÏÁö ¸øÇϵµ·Ï ÇÏ°í ½Í´Ù.
# ipchains -A input -d 199.95.207.0/24 -j REJECT
# ipchains -A input -d 199.95.208.0/24 -j REJECT
#
Áö¿ªÀûÀ¸·Î »ý¼ºµÇ¾î `input' üÀÎÀ» Åë°úÇÏ´Â ÆÐŶ¿¡ ´ëÇÏ¿© ÀÎÅÍÆäÀ̽º¸¦
`lo'·Î ¼³Á¤Çϱâ À§ÇØ `-i lo'¸¦ ¸í½ÃÇÒ ¼öµµ ÀÖ´Ù.
ÀÌÁ¦ ³ª´Â ¿ÜºÎ·Î ³ª°¡´Â ÆÐŶ¿¡ ´ëÇÏ¿© ¿ì¼±±ÇÀ» Á¶Á¤ÇÏ·Á ÇÑ´Ù. ( µé¾î¿À´Â
ÆÐŶ¿¡ ´ëÇÏ¿© ÇÒ ¼ö ÀÖ´Â ÀÏÀ̶ó°ï º°·Î ¾ø´Ù. ) ÀûÁö ¾ÊÀº ±ÔÄ¢À» °¡Áö°í
Àֱ⠶§¹®¿¡ ÀÌ ¸ðµÎ¸¦ `ppp-out'À̶ó´Â À̸§ÀÇ Ã¼Àο¡ ³Ö¾îµÎ´Â °ÍÀÌ ÁÁ´Ù°í
»ý°¢ÇÑ´Ù.
# ipchains -N ppp-out
# ipchains -A output -i ppp0 -j ppp-out
#
À¥, Åڳݿ¡ ´ëÇؼ´Â ÃÖ¼Ò Áö¿¬À» ¿øÇÑ´Ù.
# ipchains -A ppp-out -p TCP -d proxy.virtual.net.au 8080 -t 0x00 0x10
# ipchains -A ppp-out -p TCP -d 0.0.0.0 telnet -t 0x00 0x10
#
ftp ÀÚ·á¿Í nntp, pop-3 ¿¡ ´ëÇؼ´Â ¿ì¼±±ÇÀ» ³·Ãá´Ù:
# ipchains -A ppp-out -p TCP -d 0.0.0.0/0 ftp-data -t 0x00 0x02
# ipchains -A ppp-out -p TCP -d 0.0.0.0/0 nntp -t 0x00 0x02
# ipchains -A ppp-out -p TCP -d 0.0.0.0/0 pop-3 -t 0x00 0x02
#
ppp0 ÀÎÅÍÆäÀ̽º¸¦ ÅëÇØ µé¾î¿À´Â ÆÐŶÀ» Á¦ÇÑÇÑ ¸î °¡Áö ±ÔÄ¢ÀÌ ÀÖ´Ù:
`ppp-in' À̶ó´Â üÀÎÀ» ¸¸µé¾îº¸ÀÚ:
# ipchains -N ppp-in
# ipchains -A input -i ppp0 -j ppp-in
#
ppp0¸¦ ÅëÇØ 192.168.1.* À̶ó´Â ¹ß½Å ÁÖ¼Ò¸¦ °®°í µé¾î¿À´Â ÆÐŶÀº ¸ðµÎ
±â·ÏÇÏ°í ó¸®ÇÑ´Ù.
# ipchains -A ppp-in -s 192.168.1.0/24 -l -j DENY
#
DNS (¸ðµç ¿äûÀ» `203.29.16.1'À¸·Î Àü´ÞÇϱ⠶§¹®¿¡ DNS TCP¿¡ ´ëÇؼ´Â ÀÀ´äÀ»
Çã°¡ÇÑ´Ù), ftp, ¹ÝȯÇÏ´Â(return) ftp-data Á¢¼ÓÀ» Çã°¡ÇÑ´Ù.(return ftp-data
¶õ 1023 Æ÷Æ® À§·Î ³ª°¡´Â ftp-data¸¦ ¸»ÇÑ´Ù.)
# ipchains -A ppp-in -p TCP -s 203.29.16.1 -d $LOCALIP dns -j ACCEPT
# ipchains -A ppp-in -p TCP -s 0.0.0.0/0 ftp-data -d $LOCALIP 1024: -j ACCEPT
# ipchains -A ppp-in -p TCP -d $LOCALIP ftp -j ACCEPT
#
¸¶Áö¸·À¸·Î ±× ¹Û¿¡ Áö¿ªÀûÀ¸·Î »ý¼ºµÈ ÆÐŶÀº ¸ðµÎ Çã°¡ÇÑ´Ù:
# ipchains -A input -i lo -j ACCEPT
#
`input' üÀο¡ ´ëÇÑ ±âº» Á¤Ã¥Àº DENYÀÌ´Ù. µû¶ó¼ ¸í½ÃµÈ °Í ÀÌ¿ÜÀÇ ¸ðµç
°ÍÀº °ÅºÎÇÑ´Ù.
# ipchains -P input DENY
#
ÁÖÀÇ: ½ÇÁ¦·Î ÀÌ ¼ø¼´ë·Î üÀÎ ¼³Á¤À» ÇÏÁö´Â ¾Ê´Â´Ù. ¿Ö³ÄÇÏ¸é ¼³Á¤ Áß¿¡
ÆÐŶµéÀÌ Áö³ª°¥ ¼ö Àֱ⠶§¹®ÀÌ´Ù. °¡Àå ¾ÈÀüÇÑ ¹æ¹ýÀº ¿ì¼± Á¤Ã¥À» DENY·Î
ÇÑ ÈÄ ±ÔÄ¢À» »ðÀÔÇسª°¡´Â °ÍÀÌ´Ù. ´ç¿¬È÷ ±ÔÄ¢¿¡¼ DNS ã¾Æº¸±â¸¦ ÇÊ¿ä·Î
ÇÏ´Â °æ¿ì¿¡´Â ¹®Á¦°¡ µÈ´Ù.
3.2.1. ``ipchains-save'' »ç¿ëÇϱâ
¿©·¯ºÐÀÌ ¿øÇÏ´Â ´ë·Î ¹æȺ® üÀÎÀ» ¼³Á¤ÇØ ³õÀº ÈÄ, ´ÙÀ½ ¹ø¿¡ ¾î¶»°Ô Çß´ÂÁö
±â¾ïÇÏ¸ç ²þ²þ°Å¸®´Â ÀÏÀº Á¤¸» °íÅ뽺·´´Ù.
¹Ù·Î ÀÌ ¹®Á¦¸¦ À§ÇØ `ipchains-save'¶ó´Â ½ºÅ©¸³Æ®°¡ ÇöÀçÀÇ Ã¼ÀÎ ¼³Á¤À»
Àоîµé¿© ÆÄÀÏ·Î ÀúÀåÇÏ´Â ÀÏÀ» ÇØÁØ´Ù. ´çºÐ°£Àº `ipchains-restore'°¡
¾î¶² ÀÏÀ» ÇÏ´ÂÁö¿¡ ´ëÇؼ¸¸ ¸»ÇصΰڴÙ.
`ipchains-save' can save a single chain, or all chains (if no chain
name is specified). The only option currently permitted is `-v' which
prints the rules (to stderr) as they are saved. The policy of the
chain is also saved for `input', `output' and `forward' chains.
$ ipchains-save > my_ħÀÔÂ÷´Ü½Ã½ºÅÛ
Saving `input'.
Saving `output'.
Saving `forward'.
Saving `ppp-in'.
Saving `ppp-out'.
$
3.2.2. ``ipchains-restore'' »ç¿ëÇϱâ
`ipchains-save'¸¦ »ç¿ëÇÏ¿© ÀúÀåÇÑ Ã¼ÀÎÀ» º¹±¸ÇÏ´Â ½ºÅ©¸³Æ®°¡
`ipchains-restore' ÀÌ´Ù. µÎ °³ÀÇ ¿É¼ÇÀ» °¡Áö°í ÀÖ´Ù.
`-v' ´Â ¾î¶² ±ÔÄ¢ÀÌ Ãß°¡µÇ°í ÀÖ´ÂÁö º¸¿©ÁØ´Ù. `-f' ¿É¼ÇÀº ¾Õ¼ ¼³¸íÇÑ
´ë·Î üÀÎÀÌ Á¸ÀçÇÏ´Â °æ¿ì »ç¿ëÀÚ Á¤ÀÇ Ã¼ÀÎÀÇ ³»¿ëÀ» ÀÏ´Ü ºñ¿ìµµ·Ï ÇÑ´Ù.
¸¸¾à ½ºÅ©¸³Æ®ÀÇ ÀÔ·Â ³»¿ë¿¡ »ç¿ëÀÚ Á¤ÀÇ Ã¼ÀÎÀÌ ÀÖ´Ù¸é `ipchains-restore'´Â
üÀÎÀÌ ÀÌ¹Ì Á¸ÀçÇÏ°í ÀÖ´ÂÁö Á¡°ËÇÑ´Ù. Á¸ÀçÇÏ´Â °æ¿ì ÀÏ´Ü Ã¼ÀÎÀÇ ³»¿ëÀ»
¸ðµÎ ºñ¿ï °ÍÀÎÁö(±ÔÄ¢À» ¸ðµÎ Áö¿ì´Â ÀÏ) ¾Æ´Ï¸é ±×³É ÀÌ ºÎºÐÀº ¾Æ¹«·± Àϵµ
ÇÏÁö ¾Ê°í ³Ñ¾î°¥ °ÍÀÎÁö Áú¹®À» ¹Þ´Â´Ù. `-f' ¿É¼ÇÀ» ¸í·ÉÇà¿¡ ÁÖ¸é
Áú¹® °úÁ¤Àº ¾ø´Ù. ¹«Á¶°Ç üÀÎÀÇ ³»¿ëÀÌ ÀÏ´Ü ºñ¿öÁø´Ù.
½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϱâ À§Çؼ´Â root ¿©¾ß ÇÑ´Ù; ±ÔÄ¢À» º¹±¸½ÃÄѳõ±â À§ÇØ
`ipchains'¸¦ »ç¿ëÇϱ⠶§¹®ÀÌ´Ù.
¿¹¸¦ º¸ÀÚ:
# ipchains-restore < my_ħÀÔÂ÷´Ü½Ã½ºÅÛ
Restoring `input'.
Restoring `output'.
Restoring `forward'.
Restoring `ppp-in'.
Chain `ppp-in' already exists. Skip or flush? [S/f]? s
Skipping `ppp-in'.
Restoring `ppp-out'.
Chain `ppp-out' already exists. Skip or flush? [S/f]? f
Flushing `ppp-out'.
#
4. ±âŸ µîµî
ÀÌ ¼½¼Ç¿¡¼´Â ¹®¼ÀÇ ¾Õ ºÎºÐ ±¸Á¶¿¡ ³ÖÀ» ¼ö ¾ø¾ú´ø ±âŸ Á¤º¸¿Í FAQ¸¦ ´Ù·é´Ù.
4.1. ¾î¶»°Ô ¿øÇÏ´Â ¹æȺ® ±ÔÄ¢À» ü°èÈÇÒ ¼ö Àִ°¡?
ÀÌ Áú¹®¿¡ ¾Õ¼ ¾à°£ÀÇ »ý°¢ÀÌ ÇÊ¿äÇÏ´Ù. ¿©·¯ºÐÀº ¼Óµµ¸¦ ÃÖÀûÈÇÒ
¼öµµ ÀÖ°í(´ëºÎºÐÀÇ ÆÐŶ¿¡ ´ëÇÏ¿© Á¡°Ë ±ÔÄ¢ÀÇ ¼ö¸¦ ÃÖ¼ÒÈÇÏ´Â ÂÊ) ¶Ç´Â
°ü¸®¸¦ ÆíÇÏ°Ô ÇÏ´Â ÂÊÀ¸·Î ¼±ÅÃÇÒ ¼ö ÀÖ´Ù.
PPP ó·³ °£ÇæÀûÀ¸·Î ¿¬°áµÇ´Â ȸ¼±À» °¡Áö°í ÀÖ´Â °æ¿ì¿¡´Â ºÎÆÃÇϸé¼
Á¦ÀÏ ¸ÕÀú input üÀο¡ `-i ppp0 -j DENY' ¸¦ ¼³Á¤ÇÏ°í ½ÍÀ» °ÍÀÌ´Ù.
±×¸®°í `ip-up' ½ºÅ©¸³Æ®¿¡ ´ÙÀ½°ú °°Àº ³»¿ëÀ» ³Ö¾î »ç¿ëÇÑ´Ù.
# Re-create the `ppp-in' chain.
ipchains-restore -f < ppp-in.ħÀÔÂ÷´Ü½Ã½ºÅÛ
# Replace DENY rule with jump to ppp-handling chain.
ipchains -R input 1 -i ppp0 -j ppp-in
ip-down ½ºÅ©¸³Æ®ÀÇ ³»¿ëÀº ´ÙÀ½°ú °°´Ù:
ipchains -R input 1 -i ppp0 -j DENY
4.2. °É·¯³»¼´Â ¾ÈµÉ °Í
¿øÇÏÁö ¾Ê´Â ¸ðµç °ÍÀ» °É·¯³»±â ½ÃÀÛÇϱâ Àü¿¡ ¾Ë¾ÆµÎ¾î¾ß ÇÒ ¸î °¡Áö
Áß¿äÇÑ Á¡µéÀÌ ÀÖ´Ù.
4.2.1. ICMP ÆÐŶ
ICMP packets are used (among other things) to indicate failure for
(´Ù¸¥ ¸¹Àº °Íµé Áß¿¡¼µµ) ICMP´Â ´Ù¸¥ ÇÁÅäÅäÄÝ(TCP, UDP)ÀÇ ½ÇÆи¦ Å뺸ÇÒ
¶§ »ç¿ëµÈ´Ù. `¸ñÀûÁö¿¡ µµ´ÞÇÒ ¼ö ¾øÀ½(destination-unreachable)' ÆÐŶÀÌ
ICMP ÆÐŶÀÇ ¿¹ÀÌ´Ù. ÀÌ ÆÐŶÀ» ¸·°Ô µÇ¸é `È£½ºÆ®¿¡ Á¢±ÙÇÒ ¼ö ¾øÀ½
(Host unreachable)' ¶Ç´Â `È£½ºÆ®·ÎÀÇ µµ´Þ °æ·Î ¾øÀ½(No route to host)'
¿¡·¯¸¦ ¹ÞÀ» ¼ö ¾ø°Ô µÈ´Ù. ´ä½ÅÀÌ ¿ÀÁö ¾ÊÀ» °æ¿ì¿¡µµ ¹«ÀÛÁ¤ ±â´Ù¸®°Ô
µÈ´Ù. Â¥Áõ³ª°Ô ÇÏ´Â ÀÏÀÌÁö¸¸ ±×·¸°Ô ½É°¢ÇÑ °ÍÀº ¾Æ´Ï´Ù.
´õ Áß¿äÇÑ ¹®Á¦´Â ICMP ÆÐŶÀÌ MTU ã±â¿¡ ¾²Àδٴ »ç½Ç ¶§¹®¿¡ ºñ·ÔµÈ´Ù.
Àß µÇ¾î ÀÖ´Â TCP ±¸Çöü(¸®´ª½º Æ÷ÇÔ)µéÀº ÆÐŶÀÌ Á¶°¢À¸·Î ³ª´¸¾øÀÌ ¸ñÀûÁö¿¡
µµÂøÇÒ ¼ö ÀÖ´Â °¡Àå Å« ÆÐŶÀÇ Å©±â¸¦ ¾Ë¾Æ³»±â À§ÇØ MTU ã±â¸¦ »ç¿ëÇÑ´Ù.
(Á¶°¢Çö»ó(fragmentation)Àº ¼º´ÉÀ» ÀúÇϽÃÅ°±â ¶§¹®ÀÌ´Ù. ƯÈ÷ Á¶°¢ Áß ÀϺθ¦
ÀÒ°Ô µÇ¸é ¼º´É ÀúÇÏ´Â ¸Å¿ì ½É°¢ÇØÁø´Ù.) MTU ã±â´Â "Á¶°¢ ³ª´©Áö ¸» °Í
(Don't Fragment)" ºñÆ®¸¦ ¼³Á¤ÇÑ ÆÐŶÀ» º¸³»°í ³ª¼ "Á¶°¢ ³ª´©±â°¡ ÇÊ¿äÇÏÁö¸¸
DF(Á¶°¢ ³ª´©Áö ¾Ê¾ÒÀ½) ºñÆ®¸¦ ¼³Á¤ÇÔ(Fragmentation needed but DF set)"
À̶ó´Â ¸Þ½ÃÁö¸¦ ¹ÞÀ» ¶§±îÁö Á¶±×¸¶ÇÑ ÆÐŶÀ» º¸³¿À¸·Î½á ÀÌ·ïÁø´Ù.
ÀÌ ÆÐŶÀÌ ¹Ù·Î `¸ñÀûÁö¿¡ µµ´ÞÇÒ ¼ö ¾øÀ½(destination-unreachable)' ·ùÀÇ
ÆÐŶÀÌ´Ù. ¸¸¾à ÀÌ ÆÐŶÀ» ¹ÞÁö ¸øÇϸé Áö¿ª È£½ºÆ®´Â MTU °ªÀ» ÁÙÀÏ ¼ö ¾ø°Ô
µÇ°í ¼º´ÉÀº ÇüÆí¾øÀÌ ¶³¾îÁö°Ô µÈ´Ù.
4.2.2. DNS ´ä½Å
¸ðµç TCP Á¢¼ÓÀ» ¸·°í ½ÍÀ» ¶§°¡ ÀÖ°ÚÁö¸¸ ÀÌ·¸°Ô ÇÏ¸é ¸î °¡Áö Áß¿äÇÑ °ÍÀÌ
ÀÛµ¿ÇÏÁö ¾ÊÀ» °æ¿ì°¡ Àִµ¥ ±× ù¹ø°°¡ ¹Ù·Î DNS ÀÌ´Ù. ¿©·¯ºÐÀÇ ¸®´ª½º
¸Ó½ÅÀº È£½ºÆ® À̸§À» IP ÁÖ¼Ò·Î ¹Ù²Ù±â À§ÇØ DNS ¸¦ »ç¿ëÇÑ´Ù.
Á¤»óÀûÀÎ °æ¿ì DNS ´Â UDP¸¦ »ç¿ëÇÏÁö¸¸ ´ä½ÅÀÌ Å¬ ¶§´Â TCP ´ä½ÅÀ» »ç¿ëÇÑ´Ù.
ÀÌ·¯ÇÑ Á¢¼Ó ¿ä±¸¸¦ ¸·°Ô µÇ¸é DNS °á°ú¸¦ ½Å·ÚÇÒ ¼ö ¾ø´Ù.
DNS ¿äûÀ» Ç×»ó ¶È°°Àº ¿ÜºÎ ¸Ó½ÅÀÌ Ã³¸®ÇÏ°Ô ÇÏ°í ÀÖ´Ù¸é ( /etc/resolv.conf
¿¡¼ `nameserver' ¼³Á¤À» ÇØÁְųª ij½³ ³×ÀÓ¼¹ö¸¦ Àü´Þ ¸ðµå·Î »ç¿ëÇÏ°í
ÀÖ´Â °æ¿ì ) ¹Ù·Î ±× ¸Ó½Å¿¡ ´ëÇؼ¸¸ `domain' Æ÷Æ®·ÎÀÇ TCP Á¢¼ÓÀ» Çã¿ëÇϸé
µÈ´Ù.
4.2.3. FTP ¿¡ °ü·ÃÇÑ ¾Ç¸ù
¶Ç ÇϳªÀÇ °íÀüÀûÀÎ ¹®Á¦°¡ FTP ÀÌ´Ù. FTP¿¡´Â µÎ °¡Áö "¸ðµå"°¡ ÀÖ´Ù.
ÀüÅëÀûÀÎ °ÍÀ» `active mode' ¶ó°í ºÎ¸£°í ±Ù·¡¿¡ µµÀÔµÈ °ÍÀ»
`passive mode' ¶ó°í ºÎ¸¥´Ù. À¥ ºê¶ó¿ìÁ®´Â ±âº»ÀûÀ¸·Î ¼öµ¿ ¸ðµå¸¦ »ç¿ëÇÏ°í
¸í·ÉÇà ftp ÇÁ·Î±×·¥µéÀº ÀϹÝÀûÀ¸·Î ´Éµ¿ ¸ðµå¸¦ »ç¿ëÇÑ´Ù.
´Éµ¿ ¸ðµå¿¡¼´Â ¿ø°Ý ¸Ó½ÅÀÌ ÆÄÀÏÀ» º¸³»°íÀÚ ÇÒ ¶§(¶Ç´Â ls ³ª dir ¸í·ÉÀÇ
°á°ú) ¿ì¼± ÀÌ ÂÊ Áö¿ª ¸Ó½ÅÀ¸·Î TCP ¿¬°áÀ» ½ÃµµÇÑ´Ù. µû¶ó¼ ¿©±â¼ »ç¿ëÇÏ´Â
TCP Á¢¼ÓÀ» ¸·°Ô µÇ¸é ´Éµ¿ ¸ðµåÀÇ FTP °¡ ÀÛµ¿ÇÏÁö ¾Ê°Ô µÈ´Ù.
¸¸¾à ¼öµ¿ ¸ðµå¸¦ ¼±ÅÃÇÒ ¼ö ÀÖ´Ù¸é ÁÁ´Ù. ¼öµ¿ ¸ðµå´Â ÀÚ·á ¹Þ±âÀÇ °æ¿ì¿¡µµ
Ŭ¶óÀ̾ðÆ®·ÎºÎÅÍ ¼¹ö·Î ÀÚ·á Á¢¼ÓÀÌ ÀÌ·ïÁö±â ¶§¹®ÀÌ´Ù. ¼±ÅñÇÀÌ ¾ø´Ù¸é
1024 ÀÌ»óÀÇ Æ÷Æ® ±×¸®°í 6000°ú 6010 »çÀÌÀÇ Æ÷Æ®´Â Á¦¿ÜÇÑ Æ÷Æ®·Î TCP Á¢¼ÓÀÌ
µé¾î¿À´Â °Í¿¡ ´ëÇÏ¿© Çã°¡ÇÏ´Â °ÍÀÌ ÁÁ´Ù.(6000Àº X À©µµ¿ì°¡ »ç¿ëÇÑ´Ù)
4.3. Á×À½ÀÇ ÇÎ(Ping of Death) °É·¯³»±â
¸®´ª½º ¹Ú½º´Â ÇöÀç ±× À¯¸íÇÑ Á×À½ÀÇ ÇÎ(Ping of Death)¿¡ ´ëÇÏ¿© ¸é¿ªÀ» °¡Áö°í
ÀÖ´Ù. ÀÌ ÇÎÀº ºñÁ¤»óÀûÀ¸·Î Å« ICMP ÆÐŶÀ» º¸³»¾î TCP ½ºÅà ¾È¿¡¼ ¿À¹öÇ÷οì
°¡ ÀϾ°Ô ÇÏ°í µû¶ó¼ ¼ö½Å Ãø¿¡ Çظ¦ ³¢Ä¡µµ·Ï µÇ¾î ÀÖ´Ù.
Á×À½ÀÇ Çο¡ ¸é¿ª ±â´ÉÀ» °®Áö ¾ÊÀº ¸®´ª½º ¹Ú½º¸¦ º¸È£Çϱâ À§Çؼ´Â °£´ÜÈ÷
ICMP Á¶°¢À» ¸·¾Æ¹ö¸®¸é ±×¸¸ÀÌ´Ù. Á¤»óÀûÀÎ ICMP ÆÐŶÀº Á¶°¢ ³ª´©±â°¡ ÇÊ¿äÇÒ
Á¤µµ·Î Å©Áö ¾Ê±â ¶§¹®¿¡ °Å´ëÇÑ ÇÎ ¸»°í ´Ù¸¥ ºÎºÐ¿¡ ¿µÇâÀ» ¾øÀ» °ÍÀÌ´Ù.
º»ÀÎÀÌ µè±â·Î´Â(È®½ÇÇÑ °ÍÀº ¾Æ´Ï´Ù) ¸î¸î ½Ã½ºÅÛÀÇ °æ¿ì Á¤»ó Å©±â ÀÌ»óÀÇ
ICMP ÆÐŶÀÇ ¸¶Áö¸· Á¶°¢¸¸À¸·Îµµ ½Ã½ºÅÛÀÌ ¸ÁÃÄÁú ¼ö Àֱ⠶§¹®¿¡ ù¹ø° Á¶°¢¸¸
¸·´Â °ÍÀº ±ÇÇÏÁö ¾Ê´Â´Ù.
4.4. Ƽ¾îµå·Ó(Teardrop)°ú ºÀÅ©(Bonk) °É·¯³»±â
Ƽ¾îµå·Ó°ú ºÀÅ©´Â °ãÄ¡±â Á¶°¢(overlapping fragment) ¹æ¹ýÀ» »ç¿ëÇÏ´Â µÎ °¡Áö
°ø°Ý ¹æ¹ýÀ¸·Î¼ ÁÖ·Î ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ¿ìÁî NT ¸Ó½Å¿¡ »ç¿ëµÈ´Ù.
¿©·¯ºÐÀÇ ¸®´ª½º ¶ó¿ìÅÍ°¡ Á¶°¢¸ðÀ¸±â¸¦ ÇÏ°Ô Çϰųª ÀÌ °ø°Ý¿¡ ¹«·ÂÇÑ À©µµ¿ìÁî
NT¿Í °°Àº ¸Ó½Å¿¡ Á¶°¢ÀÌ °¡Áö ¸øÇϵµ·Ï ¸·À¸¸é µÈ´Ù.
4.5. Á¶°¢ Æøź(Fragment Bombs) °É·¯³»±â
Some less-reliable TCP stacks are said to have problems dealing with
¸î¸î ½Å·Ú¼º¾øÀÌ ±¸ÇöµÇ¾î ÀÖ´Â TCP ½ºÅÃÀº Àüü Á¶°¢À» ¹ÞÁö ¸øÇÑ »óÅ¿¡¼
°Å´ëÇÑ ¾çÀÇ Á¶°¢À» ó¸®ÇÒ ¶§ ¹®Á¦¸¦ ÀÏÀ¸Å²´Ù°í ÇÑ´Ù. ¸®´ª½º¿¡´Â ÀÌ·¯ÇÑ
¹®Á¦°¡ ¾ø´Ù. Á¶°¢À» ±×³É °É·¯³»¹ö¸®°Å³ª(ÀÌ °æ¿ì¿¡´Â Á¤»óÀûÀÎ ÆÐŶµµ °É·¯
³»´Â È¿°ú¸¦ °®´Â´Ù) Ä¿³ÎÀ» ÄÄÆÄÀÏÇÒ ¶§ `IP: always defragment' ¿¡¼ Y ¶ó°í
ÇÑ´Ù. (¹°·Ð ¸®´ª½º ¹Ú½º°¡ ¸ðµç ÆÐŶÀÌ µå³ªµå´Â À¯ÀÏÇÑ Åë·ÎÀÏ ¶§¸¸ À¯È¿)
4.6. ¹æȺ® ±ÔÄ¢ º¯°æÇϱâ
¹æȺ® ±ÔÄ¢À» º¯°æÇϴµ¥ ÀÖ¾î ŸÀֿ̹¡ °ü·ÃµÈ ¹®Á¦°¡ ÀÖ´Ù. ¸¸¾à ÁÖÀÇÇÏÁö
¾Ê´Â´Ù¸é ±ÔÄ¢À» º¯°æÇÏ´Â µµÁß ÆÐŶÀÌ Áö³ª°¡µµ·Ï ³õÄ¡´Â ¼ö°¡ ÀÖ´Ù.
À̸¦ ¸·´Â °¡Àå °£´ÜÇÑ ¹æ¹ýÀº ´ÙÀ½°ú °°´Ù.
# ipchains -I input 1 -j DENY
# ipchains -I output 1 -j DENY
# ipchains -I forward 1 -j DENY
... ±ÔÄ¢À» º¯È½ÃŲ´Ù ...
# ipchains -D input 1
# ipchains -D output 1
# ipchains -D forward 1
#
º¯°æÇÏ´Â µ¿¾ÈÀº ¸ðµç ÆÐŶÀ» ¹ö¸®µµ·Ï ÇÑ´Ù.
¸¸¾à ÇÑ °³ÀÇ Ã¼Àο¡ ´ëÇؼ¸¸ º¯°æ ÀÛ¾÷À» ÇÏ°í ÀÖ´Ù¸é »õ·Î¿î ±ÔÄ¢À¸·Î »õ·Î¿î
üÀÎÀ» ¸¸µé¾î ä¿î µÚ ±³Ã¼ÇÑ ¿¹Àü üÀÎÀ» °¡¸®Å°°í ÀÖ´Â ±ÔÄ¢ÀÌ »õ·Ó°Ô ¸¸µé
üÀÎÀ» °¡¸®Å°µµ·Ï ±³Ã¼(`-R')ÇÒ ¼ö ÀÖ´Ù. ±× ´ÙÀ½ ¿¹ÀüÀÇ Ã¼ÀÎÀ» »èÁ¦ÇÑ´Ù.
ÀÌ·¸°Ô ÇÏ¿© ±³Ã¼ ÀÛ¾÷ÀÌ ÇÑ ¹ø¿¡ ÀÌ·ïÁö°Ô ÇÒ ¼ö ÀÖ´Ù.
4.7. º¸´Ù ³ªÀº °èȹµé
º»ÀÎÀÌ ÀÛ¼ºÇÑ ÄÚµùÇÑ `libfw'¶ó´Â À̸§ÀÇ »ç¿ëÀÚ ¿µ¿ª ¶óÀ̺귯¸®¸¦
¼Ò½º Äڵ忡 Æ÷ÇÔ½ÃÄÑ µÎ¾ú´Ù. IP üÀÎ 1.3 ÀÇ ±â´ÉÀ» »ç¿ëÇÏ¿© ÆÐŶÀ» »ç¿ëÀÚ
¿µ¿ªÀ¸·Î º¹»çÇØÁØ´Ù.(IP_ħÀÔÂ÷´Ü½Ã½ºÅÛ_NETLINK ¿É¼ÇÀ» »ç¿ëÇØ¾ß ÇÔ)
ÀÌ ¶óÀ̺귯¸®¸¦ »ç¿ëÇÏ¿© `»óÅÂÀ¯Áö °Ë»ç(stateful inspection)'¿Í °°Àº °ÍÀ»
»ç¿ëÀÚ ¿µ¿ª¿¡¼ ±¸ÇöÇÒ ¼ö ÀÖ´Ù.(º»ÀÎÀº »óÅ À¯Áö °Ë»çº¸´Ù´Â µ¿Àû ¹æȺ®
À̶ó´Â ¿ë¾î¸¦ ´õ ¼±È£ÇÑ´Ù)
¶Ç ´Ù¸£°Ô ÀÀ¿ëÇÒ ¼ö ÀÖ´Â ÁÁÀº ºÐ¾ß´Â »ç¿ëÀÚº°·Î ÆÐŶÀ» Á¦¾îÇÏ´Â °ÍÀε¥
ÀÌ´Â »ç¿ëÀÚ ¿µ¿ªÀÇ µ¥¸ó »ìÆ캸±â¸¦ ÇÏ¸é °¡´ÉÇÏ´Ù. ÀÌ ÀÛ¾÷Àº ¸Å¿ì ½¬¿î
ÀÛ¾÷ÀÌ´Ù.
¹æȺ®ÀÇ `Ç¥½Ã(mark)' ±â´ÉÀº ¸¹ÀÌ »ç¿ëµÇ°í ÀÖÁö ¸øÇÑ »óÅÂÀÌ´Ù.
ÆÐŶÀÇ ¿ì¼±±ÇÀ» °£´ÜÈ÷ Á¶ÀýÇÒ ¼ö ÀÖµµ·Ï ¼ºñ½º Ç°Áú(Quality of Service)
Äڵ忡 ´ëÇÑ ¼øÀ§¸¦ ³ªÅ¸³»µµ·Ï »ç¿ëÇÒ ¼ö ÀÖ´Ù.
4.8. ¾ÕÀ¸·ÎÀÇ º¸° °èȹ
¾ÕÀ¸·Î´Â ¸ðµç ¹æȺ® Á¦¾î¸¦ /proc/sys/net/ipv4 ¹Ø¿¡ µÎ°íÀÚ ÇÑ´Ù.
½ºÅ©¸³Æ®¸¦ »ç¿ëÇÏ¿© °ü¸®Çϱ⠽±°í ÀϹÝÀûÀ¸·Î ´õ ±ú²ýÇÏ°Ô º¸À̱⠶§¹®ÀÌ´Ù.
»ç¿ëÀÚ ¿µ¿ªÀ¸·ÎºÎÅÍ Æ¯Á¤ üÀÎÀ¸·Î ÆÐŶÀ» ´Ù½Ã ÁÖÀÔÇÏ´Â ÁÁÀº ¹æ¹ýÀ» °í¾ÈÇÏ°í
ÀÖ´Ù. ÀÌ·¸°Ô µÇ¸é libfw ¼³°è°¡ Á» ´õ °£´ÜÇØÁø´Ù.
5. º°Ã· - ipchains°ú ipfwadm °£ÀÇ Â÷ÀÌÁ¡
º¯ÈµÈ °Í Áß ÀϺδ Ŀ³Î º¯ÈÀÇ °á°úÀÌ¸ç ´Ù¸¥ ºÎºÐÀº ipchains¿Í ipfwadmÀÇ
Â÷À̷κÎÅÍ À¯·¡ÇÑ °ÍÀÌ´Ù.
1. ¸¹Àº ÀμöµéÀÌ ´Ù½Ã Àç¹èÄ¡µÇ¾ú´Ù: ´ë¹®ÀÚ´Â ¸í·ÉÀ» ³ªÅ¸³»¸ç ¼Ò¹®ÀÚ´Â
¿É¼ÇÀ» ³ªÅ¸³»´Âµ¥ »ç¿ëµÇ°í ÀÖ´Ù.
2. ÀÓÀÇÀÇ Ã¼ÀÎÀ» ¸¸µé ¼ö ÀÖÀ¸¸ç ³»Àå üÀÎÀ̶ó ÇÒ Áö¶óµµ Ç÷¡±× ¹æ½ÄÀÌ
¾Æ´Ï¶ó À̸§À» °®°í ÀÖ´Ù.(¿¹. `-I'¶ó°í ÇÏÁö ¾Ê°í `input'À̶ó°í ºÎ¸§)
3. `-k' ¿É¼ÇÀÌ »ç¶óÁ³´Ù: ´ë½Å `! -y' ¸¦ »ç¿ëÇ϶ó.
4. `-b' ¿É¼ÇÀº ½ÇÁ¦·Î µÎ °³ÀÇ ±ÔÄ¢À» »ðÀÔÇϰųª Ãß°¡Çϰųª »èÁ¦ÇÑ´Ù.
Çϳª·Î µÈ `¾Ó¹æÇâ' ±ÔÄ¢À» ¸¸µéÁö ¾Ê´Â´Ù.
5. µÎ °¡Áö¸¦ Á¡°ËÇϱâ À§ÇØ(¾ç ¹æÇâ¿¡ ´ëÇÏ¿© ÇÑ ¹ø¾¿) `-C'¿¡ `-b' ¿É¼ÇÀ»
»ç¿ëÇÒ ¼ö ÀÖ´Ù.
6. `-l'¿¡ »ç¿ëÇÏ´ø `-x' ¿É¼ÇÀÌ `-v'·Î ±³Ã¼µÇ¾ú´Ù.
7. ¿©·¯ °³ÀÇ ¹ß½ÅÁö Æ÷Æ®´Â ´õ ÀÌ»ó Áö¿øµÇÁö ¾Ê´Â´Ù. Æ÷Æ® ¹üÀ§ ¾Õ¿¡ ºÎÁ¤À»
ÇÏ´Â ¹æ¹ýÀ¸·Î ´ë½ÅÇÒ ¼ö ÀÖÀ¸¸®¶ó »ý°¢ÇÑ´Ù.
8. ÀÎÅÍÆäÀ̽º´Â ¿À·ÎÁö À̸§À¸·Î¸¸ ¸í½ÃÇÒ ¼ö ÀÖ´Ù.(ÁÖ¼Ò´Â ¾ÈµÊ)
±¸½Ä ¹æ¹ýÀÌ 2.1 Ä¿³Î ½Ã¸®Áî¿¡¼ ¸»¾øÀÌ º¯ÈµÇ¾î ÀÖ´Ù.
9. Á¶°¢À» °Ë»çÇϸç ÀÚµ¿À¸·Î Çã¿ëÇÏÁö´Â ¾Ê´Â´Ù.
10.
¸í½ÃÀûÀΠȸ°è üÀÎÀº ¾ø´Ù.
11.
IP ¿¡ ´ëÇÑ ¸ðµç ÇÁ·ÎÅäÄÝÀ» Áö¿øÇÑ´Ù.
12.
SYN, ACK ¸ÅĪ¿¡ ´ëÇÑ ±¸½Ä ¹æ¹ý(TCP ¾Æ´Ñ ÆÐŶ¿¡ ´ëÇؼ´Â ¹«½ÃÇÔ)ÀÌ
¹Ù²î¾úµû. SYN ¿É¼ÇÀº TCP °ü·Ã ±ÔÄ¢ÀÌ ¾Æ´Ñ °÷¿¡¼´Â »ç¿ëÇÒ ¼ö ¾ø´Ù.
13.
Ä«¿îÅÍ´Â x86 ¿¡¼ 32 ºñÆ®°¡ ¾Æ´Ï¶ó 64 ºñÆ®ÀÌ´Ù.
14.
¹Ý´ë ¿É¼ÇÀÌ Áö¿øµÈ´Ù.
15.
ICMP Äڵ尡 Áö¿øµÈ´Ù.
16.
¿ÍÀϵå Ä«µå ÀÎÅÍÆäÀ̽º°¡ Áö¿øµÈ´Ù.
17.
TOS 󸮿¡¼ Á¤»ó¼º Á¡°ËÀÌ ÀÌ·ïÁø´Ù. ¿¹Àü Ä¿³Î Äڵ忡¼´Â `0 À̾î¾ß ÇÔ
(Must Be Zero)' TOS ºñÆ®¸¦ (ºÒ¹ýÀûÀ¸·Î) ó¸®ÇÏ´Â °æ¿ì ±×³É ¾Æ¹« ¸» ¾øÀÌ
¹«½ÃÇß´Ù. ipchains ´Â ±âŸ ´Ù¸¥ ºÒ¹ýÀûÀÎ Á¢±ÙÀÇ °æ¿ì¿Í ¸¶Âù°¡Áö·Î ¿¡·¯¸¦
¹ß»ý½ÃŲ´Ù.
5.1. °£·«ÇÑ ÂüÁ¶ µµÇ¥
[ ÁÖ·Î ¸í·É Àμö´Â ´ë¹®ÀÚÀÌ°í ¿É¼Ç Àμö´Â ¼Ò¹®ÀÚ·Î µÇ¾î ÀÖ´Ù]
ÇÑ °¡Áö Àß ¾Ë¾ÆµÖ¾ß ÇÒ °ÍÀ¸·Î¼ ¸Å½ºÄ¿·¹À̵ùÀº `-j MASQ' ¶ó°í Àû´Â´Ù.
`-j ACCEPT'¿Í´Â ÀüÇô ´Ù¸¥ °ÍÀ¸·Î¼ ipfwadm°ú °°ÀÌ ´Ü¼øÇÑ 2Â÷Àû ±â´ÉÀ¸·Î
°£ÁÖÇÏÁö ¾Ê´Â´Ù.
================================================================
| ipfwadm | ipchains | ÁÖÀÇ »çÇ×
----------------------------------------------------------------
| -A [both] | -N acct | `acct' üÀÎÀ» ¸¸µé°í
| |& -I 1 input -j acct | µé¾î¿À°í ³ª°¡´Â ÆÐŶÀÌ
| |& -I 1 output -j acct | ÀÌ Ã¼ÀÎÀ» Åë°úÇϵµ·Ï
| |& acct | ÇÑ´Ù.
----------------------------------------------------------------
| -A in | input | ¸ñÇ¥°¡ ¾ø´Â ±ÔÄ¢
----------------------------------------------------------------
| -A out | output | ¸ñÇ¥°¡ ¾ø´Â ±ÔÄ¢
----------------------------------------------------------------
| -F | forward | [üÀÎ]À¸·Î »ç¿ëÇ϶ó.
----------------------------------------------------------------
| -I | input | [üÀÎ]À¸·Î »ç¿ëÇ϶ó.
----------------------------------------------------------------
| -O | output | [üÀÎ]À¸·Î »ç¿ëÇ϶ó.
----------------------------------------------------------------
| -M -l | -M -L |
----------------------------------------------------------------
| -M -s | -M -S |
----------------------------------------------------------------
| -a policy | -A [chain] -j POLICY | (-r ¿Í -m Âü°í).
----------------------------------------------------------------
| -d policy | -D [chain] -j POLICY | (-r ¿Í -m Âü°í).
----------------------------------------------------------------
| -i policy | -I 1 [chain] -j POLICY| (-r ¿Í -m Âü°í).
----------------------------------------------------------------
| -l | -L |
----------------------------------------------------------------
| -z | -Z |
----------------------------------------------------------------
| -f | -F |
----------------------------------------------------------------
| -p | -P |
----------------------------------------------------------------
| -c | -C |
----------------------------------------------------------------
| -P | -p |
----------------------------------------------------------------
| -S | -s | Æ÷Æ® Çϳª ¶Ç´Â ¹üÀ§¸¸
| | | À¯È¿. ´Ù¼ö ÁöÁ¤ ºÒ°¡
----------------------------------------------------------------
| -D | -d | Æ÷Æ® Çϳª ¶Ç´Â ¹üÀ§¸¸
| | | À¯È¿. ´Ù¼ö ÁöÁ¤ ºÒ°¡
----------------------------------------------------------------
| -V | <none> | -i [À̸§]À» »ç¿ëÇÒ °Í.
----------------------------------------------------------------
| -W | -i |
----------------------------------------------------------------
| -b | -b | ½ÇÁ¦·Î´Â 2 °³ÀÇ ±ÔÄ¢ »ý¼º
----------------------------------------------------------------
| -e | -v |
----------------------------------------------------------------
| -k | ! -y | -p tcp ¸¦ ²À °°ÀÌ »ç¿ë
| | | ÇØ¾ß ÇÑ´Ù.
----------------------------------------------------------------
| -m | -j MASQ |
----------------------------------------------------------------
| -n | -n |
----------------------------------------------------------------
| -o | -l |
----------------------------------------------------------------
| -r [redirpt] | -j REDIR [redirpt] |
----------------------------------------------------------------
| -t | -t |
----------------------------------------------------------------
| -v | -v |
----------------------------------------------------------------
| -x | -x |
----------------------------------------------------------------
| -y | -y | -p tcp ¸¦ ²À °°ÀÌ »ç¿ë
| | | ÇØ¾ß ÇÑ´Ù.
----------------------------------------------------------------
5.2. ipfwadm ¸í·É ¹ø¿ªÀÇ ¿¹
Old command: ipfwadm -F -p deny
New command: ipchains -P forward DENY
Old command: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
New command: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d
0.0.0.0/0
Old command: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D
0.0.0.0/0
New command: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d
0.0.0.0/0
(Note that there is no equivalent for specifying interfaces by
(ÁÖÀÇ: ÁÖ¼Ò¸¦ ÀÌ¿ëÇÏ¿© ÀÎÅÍÆäÀ̽º¸¦ ¸í½ÃÇÏ´Â ¹æ¹ýÀº ¾ø´Ù.
ÀÎÅÍÆäÀ̽º À̸§¸¸À» »ç¿ëÇ϶ó. ÀÌ ¸Ó½ÅÀÇ ¿¹¿¡¼ 10.1.2.1 Àº
eth0 ¿¡ ÇØ´çÇÑ´Ù.)
6. º°Ã· - `ipfwadm-wrapper' ½ºÅ©¸³Æ® »ç¿ëÇϱâ
`ipfwadm-wrapper' ½© ½ºÅ©¸³Æ®´Â ipfwadm 2.3a ¿Í ÇÏÀ§ ȣȯ¼ºÀ» °®Ãß±â À§ÇØ
¸¸µç ipfwadm ¿¡ ´ëÇÑ Ç÷¯±×-ÀÎ ±³Ã¼¿ëÀÌ´Ù.
´Ù·ê ¼ö ¾ø´Â À¯ÀÏÇÑ ±â´ÉÀº `-V' ¿É¼ÇÀÌ´Ù. ÀÌ ¿É¼ÇÀÌ »ç¿ëµÇ¸é °æ°í ¸Þ½ÃÁö°¡
Ãâ·ÂµÉ °ÍÀÌ´Ù. `-W' ¿É¼ÇÀ» »ç¿ëÇϸé `-V' ¿É¼ÇÀ» ¹«½ÃÇÑ´Ù. `-W' ¿É¼ÇÀÌ
¾ø´Â °æ¿ì¿¡´Â `ifconfig' ¸í·ÉÀ» »ç¿ëÇÏ¿© ÁÖ¼Ò¿Í ¿¬°üµÇ¾î ÀÖ´Â ÀÎÅÍÆäÀ̽º
À̸§À» ãÀ¸·Á°í ½ÃµµÇÑ´Ù. ¸¸¾à ½ÇÆÐÇÑ´Ù¸é(¿¹¸¦ µé¾î ÀÎÅÍÆäÀ̽º°¡ ´Ù¿îµÇ¾î
ÀÖ´Â »óÅÂÀÎ °æ¿ì) ¿¡·¯ ¸Þ½ÃÁö¸¦ ³»º¸ÀÌ°í Á¾·áÇÑ´Ù.
`-V' ¸¦ `-W' ·Î ¹Ù²Ù°Å³ª ½ºÅ©¸³Æ®ÀÇ Ç¥ÁØ Ãâ·ÂÀ» /dev/null ·Î ¸®´ÙÀÌ·ºÆ®
ÇÏ¿© °æ°í ¸Þ½ÃÁö¸¦ ÇÇÇÒ ¼ö ÀÖ´Ù.
½ºÅ©¸³Æ®¿¡¼ ½Ç¼öÇÑ °ÍÀ» ¹ß°ßÇϰųª ½ÇÁ¦ ipfwadm °ú ½ºÅ©¸³Æ® °£ÀÇ Â÷ÀÌÁ¡ÀÌ
ÀÖ´Ù¸é ¹ö±× º¸°í¸¦ ²À ÇØÁֱ⠹ٶõ´Ù :
¸ÞÀÏ ÁÖ¼Ò´Â Paul.Russell@rustcorp.com.au À̸ç ÁÖÁ¦¶õ¿¡ BUG-REPORT ¶ó°í
Àû¾î º¸³»ÁÖ±æ ¹Ù¶õ´Ù. ¿©·¯ºÐÀÌ °®°í ÀÖ´Â ipfwadm ±¸¹öÀü(`ipfwadm -h')°ú
»ç¿ë ÁßÀÎ ipchains ÀÇ ¹öÀü(`ipchains --version'), ipfwadm ·¦ÆÛ ½ºÅ©¸³Æ®ÀÇ
¹öÀü(`ipfwadm-wrapper --version')À» ³ª¿ÇÏ°í ¶ÇÇÑ `ipchains-save'ÀÇ Ãâ·Âµµ
º¸³»ÁÖ¾úÀ¸¸é ÇÑ´Ù. ¿ì¼± °¨»çÀÇ ¸»À» ÇÏ°í ½Í´Ù.
ipchains¿Í ipfwadm-wrapper ½ºÅ©¸³Æ®¸¦ ¼¯¾î¾²´Â °ÍÀº ÁÁÁö ¾ÊÀ¸³ª ¿©·¯ºÐÀÇ
ÀÚÀ¯ÀÌ´Ù.
For fixing my leftover debug messages in 2.0.33.
6.2. ¼Ò°³
gfcc (GTK+ Firewall Control Center) - ±¸±³¼±´Ô(icarus@autostock.co.kr)
http://icarus.autostock.co.kr
GTK+ ±â¹ÝÀÇ ¸®´ª½º ¹æȺ® ¼³Á¤ ÇÁ·Î±×·¥À¸·Î ³»ºÎÀûÀ¸·Î´Â ipfwc¸¦ »ç¿ëÇÑ´Ù.
GTK+ ±â¹ÝÀÇ ÇÁ·Î±×·¥ ´ä°Ô »ó´çÈ÷ ±ò²ûÇÏ¸ç º°´Ù¸¥ Á¶ÀÛ ¾øÀÌ ¹æȺ® ¼³Á¤À» ÇÒ ¼ö°¡ ÀÖ´Ù.
6.2. ¼³Ä¡
http://www.freshmeat.net¿¡¼ °Ë»ö¾î·Î gfcc¸¦ ÀÔ·ÂÇϰųª http://icarus.autostock.co.kr¿¡ Á¢¼ÓÇØ gzipped tar ball À̳ª rpmÀ» ¹Þ´Â´Ù.
¿©±â¼´Â tarball ¼³Ä¡¸¸ ´Ù·é´Ù.
¼³Ä¡¸¦ À§Çؼ´Â Ä¿³Î ¹öÀü 2.1.102 ÀÌ»ó ¹öÀü(2.2¿¡¼ ¹«³ÇÏ°Ô ÀÛµ¿) , gtk 1.2.0 ÀÌ»ó , ±×¸®°í libipfwc °¡ ÇÊ¿äÇѵ¥ tar ball ÀÚü¿¡ Æ÷ÇԵǾî ÀÖÀ¸¸ç ipchains ÆÐÅ°Áö¿¡µµ ¿ª½Ã µé¾î°¡ ÀÖ´Ù.
#ÆÄÀÏ È®ÀÎ
[root@bluebird src]# ls
fwt126.tar gfcc-0.7.3.tar.gz
#¾ÐÃà ¹× tar Ç®±â
[root@bluebird src]# tar -zxvf gfcc-0.7.3.tar.gz
gfcc-0.7.3/
gfcc-0.7.3/Pics/
gfcc-0.7.3/Pics/expand.xpm
gfcc-0.7.3/Pics/apply.xpm
gfcc-0.7.3/Pics/apply-grey.xpm
gfcc-0.7.3/Pics/open.xpm
gfcc-0.7.3/Pics/open-system.xpm
gfcc-0.7.3/Pics/open-grey.xpm
gfcc-0.7.3/Pics/masq.xpm
gfcc-0.7.3/Pics/save.xpm
gfcc-0.7.3/Pics/save-grey.xpm
gfcc-0.7.3/Pics/inverse.xpm
gfcc-0.7.3/Pics/newchain.xpm
gfcc-0.7.3/Pics/export.xpm
gfcc-0.7.3/Pics/export-grey.xpm
gfcc-0.7.3/Pics/normal.xpm
gfcc-0.7.3/README
gfcc-0.7.3/stamp-h.in
gfcc-0.7.3/AUTHORS
gfcc-0.7.3/COPYING
gfcc-0.7.3/ChangeLog
gfcc-0.7.3/INSTALL
gfcc-0.7.3/Makefile.am
gfcc-0.7.3/Makefile.in
gfcc-0.7.3/NEWS
gfcc-0.7.3/TODO
gfcc-0.7.3/aclocal.m4
gfcc-0.7.3/config.guess
gfcc-0.7.3/config.h.in
gfcc-0.7.3/config.sub
gfcc-0.7.3/configure
gfcc-0.7.3/configure.in
gfcc-0.7.3/install-sh
gfcc-0.7.3/ltconfig
gfcc-0.7.3/ltmain.sh
gfcc-0.7.3/missing
gfcc-0.7.3/mkinstalldirs
gfcc-0.7.3/texinfo.tex
gfcc-0.7.3/main.c
gfcc-0.7.3/file.c
gfcc-0.7.3/window.c
gfcc-0.7.3/firewall.c
gfcc-0.7.3/chain.c
gfcc-0.7.3/host.c
gfcc-0.7.3/masq.c
gfcc-0.7.3/gtkutil.c
gfcc-0.7.3/misc.c
gfcc-0.7.3/gfcc.h
gfcc-0.7.3/libipfwc.tar.gz
gfcc-0.7.3/README.ko
gfcc-0.7.3/rules/
gfcc-0.7.3/rules/Makefile.in
gfcc-0.7.3/rules/Makefile.am
gfcc-0.7.3/rules/configure
gfcc-0.7.3/rules/configure.in
gfcc-0.7.3/rules/masquerade.rule
gfcc-0.7.3/rules/standalone.rule
gfcc-0.7.3/rules/routable.rule
gfcc-0.7.3/rules/ppp-masquerade.rule
gfcc-0.7.3/data/
gfcc-0.7.3/data/Makefile.in
gfcc-0.7.3/data/Makefile.am
gfcc-0.7.3/data/configure
gfcc-0.7.3/data/configure.in
gfcc-0.7.3/data/gtkrc
gfcc-0.7.3/data/host_networks
#µð·ºÅ͸® À̵¿
[root@bluebird src]# cd gfcc-0.7.3
#ÆÄÀÏ È®ÀÎ
[root@bluebird gfcc-0.7.3]# ls
AUTHORS README configure install-sh mkinstalldirs
COPYING README.ko configure.in libipfwc.tar.gz rules
ChangeLog TODO data ltconfig stamp-h.in
INSTALL aclocal.m4 file.c ltmain.sh texinfo.tex
Makefile.am chain.c firewall.c main.c window.c
Makefile.in config.guess gfcc.h masq.c
NEWS config.h.in gtkutil.c misc.c
Pics config.sub host.c missing
#libipfwc ¾ÐÃà ¹× tar Ç®±â
[root@bluebird gfcc-0.7.3]# tar -zxvf libipfwc.tar.gz
libipfwc/
libipfwc/libipfwc.c
libipfwc/libipfwc.h
libipfwc/ipfwc_kernel_headers.h
libipfwc/Makefile
[root@bluebird gfcc-0.7.3]# cd libipfwc
[root@bluebird libipfwc]# ls
Makefile ipfwc_kernel_headers.h libipfwc.c libipfwc.h
[root@bluebird libipfwc]# make
gcc -Wall -Wunused -g -O -c libipfwc.c -o libipfwc.o
ar rv libipfwc.a libipfwc.o
a - libipfwc.o
[root@bluebird libipfwc]# cd ..
#configure ÀÌ¿ë
[root@bluebird gfcc-0.7.3]# ./configure --with-ipfwc=./libipfwc
creating cache ./config.cache
checking for a BSD compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking whether make sets ${MAKE}... yes
checking for working aclocal... found
checking for working autoconf... found
checking for working automake... found
checking for working autoheader... found
checking for working makeinfo... found
checking host system type... i686-pc-linux-gnu
checking build system type... i686-pc-linux-gnu
checking for ranlib... ranlib
checking for gcc... gcc
checking whether the C compiler (gcc ) works... yes
checking whether the C compiler (gcc ) is a cross-compiler... no
checking whether we are using GNU C... yes
checking whether gcc accepts -g... yes
checking for ld used by GCC... /usr/bin/ld
checking if the linker (/usr/bin/ld) is GNU ld... yes
checking for BSD-compatible nm... /usr/bin/nm -B
checking whether ln -s works... yes
updating cache ./config.cache
checking for object suffix... o
checking for gcc option to produce PIC... -fPIC
checking if gcc PIC flag -fPIC works... yes
checking if gcc supports -c -o file.o... yes
checking if gcc supports -c -o file.lo... yes
checking if gcc supports -fno-rtti -fno-exceptions ... yes
checking if gcc static flag -static works... -static
checking if the linker (/usr/bin/ld) is GNU ld... yes
checking whether the linker (/usr/bin/ld) supports shared libraries... yes
checking command to parse /usr/bin/nm -B output... yes
checking how to hardcode library paths into programs... immediate
checking for /usr/bin/ld option to reload object files... -r
checking dynamic linker characteristics... Linux ld.so
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... yes
checking for objdir... .libs
creating libtool
loading cache ./config.cache
checking for gcc... (cached) gcc
checking whether the C compiler (gcc -g -O2 ) works... yes
checking whether the C compiler (gcc -g -O2 ) is a cross-compiler... no
checking whether we are using GNU C... (cached) yes
checking whether gcc accepts -g... (cached) yes
checking for a BSD compatible install... /usr/bin/install -c
checking whether ln -s works... (cached) yes
checking for gawk... gawk
checking for gtk-config... /usr/bin/gtk-config
checking for GTK - version >= 1.2.0... yes
checking for libipfwc... yes
checking for Linux 2.1.102 or higher... yes
checking for main in -lX11... no
checking for main in -lXext... no
checking for main in -ldl... no
checking for main in -lgdk... no
checking for main in -lglib... no
checking for main in -lgmodule... no
checking for main in -lgtk... no
checking for main in -lm... no
checking how to run the C preprocessor... gcc -E
checking for ANSI C header files... no
checking for unistd.h... yes
checking for working const... no
checking for 8-bit clean memcmp... no
updating cache ./config.cache
creating ./config.status
creating rules/Makefile
creating data/Makefile
creating Makefile
creating config.h
[root@bluebird gfcc-0.7.3]# make
make all-recursive
make[1]: Entering directory `/root/firewall/src/gfcc-0.7.3'
Making all in rules
make[2]: Entering directory `/root/firewall/src/gfcc-0.7.3/rules'
make[2]: Nothing to be done for `all'.
make[2]: Leaving directory `/root/firewall/src/gfcc-0.7.3/rules'
Making all in data
make[2]: Entering directory `/root/firewall/src/gfcc-0.7.3/data'
make[2]: Nothing to be done for `all'.
make[2]: Leaving directory `/root/firewall/src/gfcc-0.7.3/data'
make[2]: Entering directory `/root/firewall/src/gfcc-0.7.3'
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c main.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c file.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c window.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c firewall.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c chain.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c host.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c masq.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c gtkutil.c
gcc -DHAVE_CONFIG_H -I. -I. -I. -I/root/firewall/src/gfcc-0.7.3/./libipfwc -
g -O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/shar
e/gfcc\" -c misc.c
/bin/sh ./libtool --mode=link gcc -I/root/firewall/src/gfcc-0.7.3/./libipfwc -g
-O2 -I/usr/X11R6/include -I/usr/lib/glib/include -DGFCC_HOME=\"/usr/local/share
/gfcc\" -o gfcc main.o file.o window.o firewall.o chain.o host.o masq.o gtkuti
l.o misc.o -L/root/firewall/src/gfcc-0.7.3/./libipfwc -L/usr/lib -L/usr/X11R6/
lib -lgtk -lgdk -rdynamic -lgmodule -lglib -ldl -lXext -lX11 -lm -lipfwc
gcc -I/root/firewall/src/gfcc-0.7.3/./libipfwc -g -O2 -I/usr/X11R6/include -I/us
r/lib/glib/include -DGFCC_HOME=\"/usr/local/share/gfcc\" -o gfcc main.o file.o w
indow.o firewall.o chain.o host.o masq.o gtkutil.o misc.o -L/root/firewall/src/g
fcc-0.7.3/./libipfwc -L/usr/lib -L/usr/X11R6/lib -lgtk -lgdk -rdynamic -lgmodule
-lglib -ldl -lXext -lX11 -lm -lipfwc
make[2]: Leaving directory `/root/firewall/src/gfcc-0.7.3'
make[1]: Leaving directory `/root/firewall/src/gfcc-0.7.3'
# ¼³Ä¡
[root@bluebird gfcc-0.7.3]#make istall
7. IPCHAINS WEB INTERFACE - FWT
http://home.swipnet.se/rodac/doc/fwt.html
Current version: 1.2.6
7.1 ¼Ò°³
FWT´Â ¸®´ª½ºÀÇ ¹æȺ® ±â´ÉÀ» À¥±â¹Ý ȯ°æ¿¡¼ ¼³Á¤ÇÏ°Ô ÇØÁÖ´Â ÅøÀÌ´Ù. FWT´Â ÀϹÝÀûÀ¸·Î CGI-BINÇüÅ·ΠÀÛµ¿µÇ°í root ±ÇÇÑÀÌ ÇÊ¿äÇϱ⠶§¹®¿¡ SUID rootÀ» »ç¿ëÇÑ´Ù. FWT·Î ÀÛ¼ºÇÑ ·êÀº ÀúÀåµÇ°í ºÎÆýÿ¡ /etc/rc.d/init.d/fwt(·¹µåÇÞ ±âÁØ)¿¡ ÀÇÇØ ÀÛµ¿µÈ´Ù.
7.2 ¼³Ä¡
¿ä±¸µÇ´Â ¼ÒÇÁÆ®¿þ¾î:
Linux kernel with Firewall and Masquerading support.
Apache web server
Ipchains
Ipmasqadm
Iroute2
You also need a 2.2.x (x>=12) kernal recompiled to use advanced routing.
·çÆ® ±ÇÇÑÀ¸·Î ÇÒ ÀÏ:
fwt¶ó´Â À̸§ÀÇ »ç¿ëÀÚ¸¦ ¸¸µç´Ù. FWTÀÇ ´ëºÎºÐ cgi´Â SUID ½ÇÇàÆÄÀÏ ÇüÅ·Π»ç¿ëµÈ´Ù.
Note: Áß¿äÇÑ ¸î °³ÀÇ cgi´Â root SUID°¡ »ç¿ëµÈ´Ù..
useradd -c "FWT user" -d /dev/null -g nobody -s /dev/null fwt
#tar ballÀ» Ç®°í ÄÄÆÄÀÏÀ» ÇÑ´Ù. ±×Àü¿¡ MakefileÀ» Á» ¼ÕºÁ¾ß ÇÑ´Ù.
tar xvfz fwt_v1_2_1.tgz
cd fwt
make
#¼³Ä¡
make install
#ºñ¹Ð¹øÈ£ ¼³Á¤
echo "password" >/home/httpd/cgi-bin/fwt/login/password
chown fwt:nobody /home/httpd/cgi-bin/fwt/login/password
chmod 400 /home/httpd/cgi-bin/fwt/login/password
#À¥ Ŭ¶óÀ̾ðÆ®¿¡¼ ´ÙÀ½°ú °°Àº Çü½ÄÀÇ urlÀ» ÀÔ·ÂÇÑ´Ù http://ip_of_firewall/fwt/fwt.html
8.½ÇÁ¦ IP¸¦ °¡Áö´Â IP Æ÷¿öµù ¸Ó½® ±¸Ãà
1. µé¾î°¡±â ¾Õ¼
Linux°¡ Áß¼ÒÇü ³×Æ®¿öũȯ°æ¿¡¼ ÈǸ¢ÇÏ°Ô ÀÛµ¿ÇÏ´Â °ÍÀº ¸®´ª½º¸¦ »ç¿ëÇÏ°í ÀÖÁö
¾ÊÀº »ç¶÷µµ ÀÍÈ÷ µé¾î ¾Ë°í ÀÖ°ÚÁö¸¸ ½ÇÁ¦ ¹®¼ÀڷḦ ¾Æ¹«¸® ã¾ÆºÁµµ ¸Ó½ºÄ¿·¹ÀÌ
µù¹æ½ÄÀ» ÀÌ¿ëÇÑ ¹æȺ® ±¸¼º¿¡ ´ëÇÑ ±Û¸¸ ÀÖÀ»»Ó ÀÌ¹Ì ±¸¼ºµÈ ½ÇÁ¦ IP¸¦ °¡Áö´Â ³×
Æ®¿÷¿¡¼ ¹æȺ® ¹× Æ÷¿öµù ¸Ó½ÅÀ» ±¸ÃàÇÏ´Â °Í¿¡ ´ëÇؼ´Â ÀÚ·á°¡ ºÎÁ·ÇÏ¿© º»ÀÎÀº
ÀÌ·¸°Ô Mini-HOWTO¸¦ °¨È÷ ¾²°Ô µÇ¾ú´Ù.
2. ¿ä±¸»çÇ×
- °£´ÜÇÑ ³×Æ®¿öÅ© °³³ä(routing , netmask , forwarding , etc.)
- ½ÇÁ¦ Router¶û ¿¬°áµÇ¾î Àְųª Wan Ä«µå°¡ ºÎÂøµÈ ¸®´ª½º ¸Ó½®
- ´ã¹è(ºñÈí¿¬ÀÚ´Â Äݶó)
3. º»ÀÎÀÇ Àåºñ ¹× ȯ°æ
- Router: CISCO 4500M + 1 Fastethernet module + 4 serial module
- CSU : º¸¶ó³Ý ÀÓ´ë Àåºñ
- Linux1: Intel pentium III 500 + 128M ram + 9G HDD
- NIC: 3com 905 , 905b
- HUB: Intel 405T standalone switch HUB * 3
- IP´ë¿ª: 211.50.38.0/25 (255.255.255.128)
- µð½º ÇѺ¸·ç + ÁöÆ÷ ¶óÀÌÅÍ
- Network Bandwidth: T1
4. ´ßÁúÀÇ ½ÃÀÛ
¿ì¼± ÀÚ½ÅÀÇ ¶ó¿ìÅͳª ·£Ä«µå¿¡ ¸Â´Â Å©·Î½º ÄÉÀ̺íÀ» ¸¸µç´Ù. Å©·Î½º ÄÉÀ̺íÀ» ¸¸µé
ÁÙ ¸ð¸£´Â »ç¶÷Àº ÀßÇÏ´Â »ç¶÷¿¡°Ô ¹è¿ì°Å³ª ÀÎÅͳݿ¡¼ °Ë»öÇغ»´Ù. ¾Æ´Ï¸é ¿ë»êÀ̳ª
Å×Å©³ë¸¶Æ® µîÁö¿¡¼ Å©·Î½º µÈ ¶óÀÎÀ» »ç´øÁö Å©·Î½º¸¦ ½ÃÄÑÁÖ´Â ÀèÀ» »ç¸é µÈ´Ù.
Áß¿äÇÑ°ÍÀº ÀÌ¹Ì ±¸¼ºµÇÀÖ´Â ³×Æ®¿÷¿¡ ¸®´ª½º ¹Ú½º¸¦ Ãß°¡ÇÔÀ¸·Î¼ ¹æȺ®¹× Æ÷¿öµù
±â´ÉÀ» Á¦°øÇϴ°ÍÀ̱⠶§¹®¿¡ ±âÁ¸ ¶ó¿ìÅÍ¿¡¼ Çãºê·Î ¿¬°áµÇ´Â ¶óÀÎÀ» Áß°£¿¡¼ °¡
·Îä¾ß¸¸ ÇÑ´Ù. ±×¸²À¸·Î µµ½ÄÇغ¸°Ú´Ù.
Cross Line(ƯÁ¤ Çãºê´Â Direct¸¦ ½áµµ µÊ)
+---+ +---+ ------------ PC
| |-------| | ------------ PC
| | | | ------------ PC
+---+ +---+ ------------ PC
Router Hub
[±×¸².1] ¿ø·¡ »óÅÂ
Cross
+---+ +---+ +---+ ------------ PC
| |-------| |--- | | ------------ PC
| | | | | | ------------ PC
+---+ +---+ +---+ ------------ PC
Router Box Hub
[±×¸².2] Linux Box°¡ Ãß°¡µÈ »óÅÂ
±×·³ Áß°£¿¡¼ °¡·Îä±â¸¸ ÇÏ¸é µÇ´À³Ä? Àý´ë·Î µÉ¸®°¡ ¾øÀ»°ÍÀÌ´Ù :) ¿ì¼± ¸®´ª½º
¹Ú½ºÀÇ ¼¼ÆúÎÅÍ Çغ¸ÀÚ. ÆíÀǸ¦ À§ÇØ º»ÀÎÀÇ ½ÇÁ¦ IP¸¦ »ç¿ëÇÏ°Ú´Ù. Âø¿À¾ø±â ¹Ù¶õ
´Ù. Áß¿äÇÑ°Ç ¸®´ª½º ¹Ú½º¿¡ ·£Ä«µå µÎÀåÀÌ»óÀÌ ºÙ¾î ÀÖ¾î¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ±×¸®°í
Æ÷¿öµù½Ã ½Å·Ú¼º°ú ¼Óµµ¸¦ À§ÇØ ¹ö½º ¸¶½ºÅ͸µÀÌ ÀߵǴ 100Mbps PCI ·£Ä«µå¸¦ »ç¿ë
Çϱ⸦ ±ÇÀåÇÑ´Ù. 3ComÀ̳ª IntelÀÇ 100Mbps ·£Ä«µå¶ó¸é ¹«³ÇÒ °ÍÀÌ´Ù. ¿©±â¼´Â
3Com 3c905¿Í 905b¸¦ »ç¿ëÇÑ´Ù. Çϵå¿þ¾îÀûÀÎ Áغñ°¡ ³¡³µÀ¸¸é Ä¿³Î ÄÄÆÄÀÏÀ» ÇÑ´Ù.
³×Æ®¿÷ ºÎºÐ¿¡¼ ²À IP_FORWARDINGÀ» ¼³Á¤ÇØ¾ß ÇÑ´Ù. ipchains »ç¿ëÀ» À§ÇØ IP_FIRE
WALLÀ» ¼³Á¤Çϴ°͵µ ²À ÀØÁö¸»ÀÚ. ÀÌ·¸°Ô ¸¸µé Ä¿³Î·Î ÀçºÎÆÃÈÄ ·£Ä«µå°¡ ÀßÀνĵÈ
´Ù¸é ÀÌÁ¦´Â ¾à°£ÀÇ ÀÛ¾÷ÀÌ ÇÊ¿äÇÏ´Ù. ¿ì¼± ¶ó¿ìÅÍ¿Í ¹Ù·Î ¹°¸° ·£Ä«µåÀÇ µð¹ÙÀ̽º¸¦
¾Ë¾Æ¾ß ÇÑ´Ù(º»ÀÎÀº eth1). ÀÌÁ¦ ´ÙÀ½ºÎÅÍ°¡ Áß¿äÇѵ¥ ¼ö¸¹Àº ½ÃÇàÂø¿À³¡¿¡ ¾òÀº °á
·ÐÀ» ¸»ÇÏÀÚ¸é ¶ó¿ìÅÍÀÇ IP¿Í ¸®´ª½ºÀÇ ¶ó¿ìÅÍ¿Í ¹°¸° ·£Ä«µå IP¸¦ private IP - Áï
½ÇÁ¦·Î ¶ó¿ìÆÿëÀ¸·Î »ç¿ëÇÏÁö ¾Ê´Â »ç¼³¸Á¿ë IP - ·Î ¹èÁ¤ÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.
º»ÀÎÀº Router¿¡´Â 10.0.0.1À» eth1¿¡´Â 10.0.0.2¸¦ ¹èÁ¤Çß´Ù. ½ÇÁ¦ IP·Î ¶ó¿ìÅÍ¿Í
·£Ä«µå¿¡ ¹èÁ¤À» ÇÒ°æ¿ì¿¡´Â ¼ºê³ÝÀ¸·Î ´Ù½Ã ³ª´©Áö ¾ÊÀº ³×Æ®¿÷ÀÇ °æ¿ì(Áï 211.50.
38.0/128À» ´Ù½Ã ´õ ³ª´©Áö ¾Ê´Â ÀÌ»ó) ¶ó¿ìÅÍ¿¡¼ ¶ó¿ìÆÃÀ» Á¦´ë·Î ÇØÁÙ¼ö°¡ ¾ø±â ¶§
¹®¿¡ µÎ ÀåÄ¡¿¡´Â ¶ó¿ìÆÃÀÇ º¸ÁõÀ» À§ÇØ »ç¼³ IP¸¦ »ç¿ëÇÑ°ÍÀÌ´Ù. ½ÇÁ¦ ÀÌ·± ¹®Á¦¶§¹®
ÀÎÁö ISP¿¡¼´Â ½Ã¸®¾ó(¶ó¿ìÅÍ°£ Åë½Å IP)¿¡´Â netmask 255.255.255.252¸¦ »ç¿ëÇÑ´Ù.
IP¸¦ ¹èÁ¤ÇÑ ´ÙÀ½ ³ª¸ÓÁö´Â ±×´ÙÁö Áß¿äÇÑ°Ô ¾ø´Ù. ÀÌ ±ÛÀÇ ¸ñÀûÀÌ ¿ø·¡ Á¸ÀçÇÏ´Â ³×
Æ®¿÷¿¡ ¿µÇâÀ» ¹ÌÄ¡Áö ¾Ê°í Á¶¿ëÈ÷ ¸®´ª½º¸¦ Áý¾î³Ö´Â°ÍÀ̱⠶§¹®¿¡ ³ª¸ÓÁö ·£Ä«µå¿¡
´Â ¿ø·¡ ¶ó¿ìÅÍ°¡ ¾²´ø IP(ÀϹÝÀûÀ¸·Î °ÔÀÌÆ®¿þÀÌ IP)¸¦ ¹èÁ¤ÇÑ´Ù.
Network: 211.50.38.0/25
Cross +---------+
+---+ |+--+ +--+| +---+ ------------ PC 211.50.38.2
| |-----------------| | | |------------| | ------------ PC 211.50.38.3
| | || | | || | | ------------ PC 211.50.38.4
+---+ |+--+ +--+| +---+ ------------ PC
+---------+
serial: NIC0: HUB
211.50.1.202/30 10.0.0.2
ip: NIC1:
10.0.0.1 211.50.38.1
ÀÏ´Ü ÀÌ·¸°Ô ±¸¼ºÀÌ µÇ¸é IP_FORWARDINGÀÌ ¾Ë¾Æ¼ ÀÌ·ç¾îÁö±â ¶§¹®¿¡ ÇãºêÂÊ¿¡ ¹°¸°
PC¿¡¼ ¿ÜºÎ·Î ³ª°¡´Â ³×Æ®¿÷À» ¾µ°æ¿ì ¹«Á¶°Ç ¿ì¸®°¡ ¸¸µç ¸®´ª½º Æ÷¿öµù ¸Ó½®À»
Áö³ª°¡°Ô µÈ´Ù. ÀÚ ÀÌÁ¦´Â Æ÷¿öµù ¸Ó½®¿¡¼ ipchains¸¦ ÀÌ¿ëÇØ °¢Á¾ ¹æȺ® ¼³Á¤À»
ÇÒ ¼ö ÀÖ´Ù. ȸ»ç ³»ºÎ¿¡¼ ¾÷¹«½Ã°£Áß Ã¤ÆÃÀ» ¸·±â À§ÇØ irc Æ÷Æ®·Î ³ª°¡´Â ¸ðµç
³×Æ®¿÷À» ¸·À»¼öµµ ÀÖÀ»°ÍÀÌ°í , Áö±Ý È°¼ºÈµÈ ³×Æ®¿÷µµ ²÷À»¼ö°¡ ÀÖ´Ù :)
½Ç·Ê¸¦ À§ÇØ º»ÀÎÀÇ ¼³Á¤ ¸î°¡Áö¸¦ º¸ÀÌ°Ú´Ù.
- ¶ó¿ìÅÍ ¼³Á¤
[root@unixian /root]# ztelnet 10.0.0.1
Trying 10.0.0.1...
Connected to 10.0.0.1.
Escape character is '^]'.
WyzSoft Research & Development Lab. Access-control Router
User Access Verification
Password:
router>en
Password:
router#show running-config
Building configuration...
Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname router
!
enable secret 5 ******************************
!
ip subnet-zero
ip domain-name wyzlab.com
ip name-server 210.205.2.52
!
interface Serial0
ip address 211.50.1.202 255.255.255.252
!
interface Serial1
no ip address
shutdown
!
interface Serial2
no ip address
shutdown
!
interface Serial3
no ip address
shutdown
!
interface FastEthernet0
ip address 10.0.0.1 255.0.0.0
!
no ip classless
ip route 0.0.0.0 0.0.0.0 211.50.1.201
ip route 211.50.38.0 255.255.255.128 10.0.0.2
logging buffered informational
logging console informational
logging monitor informational
logging 211.50.38.2
snmp-server community wyzlab RO
snmp-server trap-authentication
banner motd ^CWyzSoft Research & Development Lab. Access-control Router^C
!
line con 0
line aux 0
line vty 0 4
password *******************
login
!
end
router#
- ¹æȺ® ¸®´ª½º ¹Ú½ºÀÇ ¼³Á¤
[root@bluebird jhjung]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
211.50.38.1 * 255.255.255.255 UH 0 0 0 eth0
10.0.0.2 * 255.255.255.255 UH 0 0 0 eth1
10.0.0.0 * 255.255.255.252 U 0 0 0 eth1
211.50.38.0 * 255.255.255.128 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.0.0.1 0.0.0.0 UG 0 0 0 eth1
- ÀÏ¹Ý PCÀÇ ¼³Á¤(Linux ±âÁØ)
[root@unixian /root]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
211.50.38.38 * 255.255.255.255 UH 0 0 0 eth1
211.50.38.0 * 255.255.255.128 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 211.50.38.1 0.0.0.0 UG 0 0 0 eth1
[root@unixian /root]#
- ÀÏ¹Ý PC¿¡¼ÀÇ traceroute °á°ú
[root@unixian /root]# traceroute linux.sarang.net
traceroute to linux.sarang.net (210.122.59.30), 30 hops max, 38 byte packets
1 211.50.38.1 (211.50.38.1) 0.241 ms 0.192 ms 0.149 ms
2 10.0.0.1 (10.0.0.1) 2.350 ms 0.884 ms 0.777 ms
3 211.50.1.201 (211.50.1.201) 4.102 ms 3.571 ms 3.443 ms
4 anybbb185-fe4-1-0.rt.bora.net (210.120.252.102) 4.060 ms 3.680 ms 3.895 ms
5 anyg4-ge2-0.rt.bora.net (210.120.193.145) 3.775 ms 3.728 ms 3.692 ms
6 selg2-pos8-0.rt.bora.net (210.120.192.117) 4.423 ms 3.924 ms 3.943 ms
7 ysng12kix4-ge5-0.rt.bora.net (210.120.192.69) 4.049 ms 4.053 ms 4.061 ms
8 210.107.53.66 (210.107.53.66) 4.911 ms 5.091 ms 5.216 ms
9 203.255.117.248 (203.255.117.248) 5.077 ms 5.759 ms 5.190 ms
10 10.241.1.178 (10.241.1.178) 12.136 ms 11.571 ms 11.424 ms
11 linux.sarang.net (210.122.59.30) 11.841 ms 10.977 ms 10.900 ms
- ¿ÜºÎ ³×Æ®¿÷¿¡¼ÀÇ traceroute °á°ú
[jhjung@www jhjung]$ /usr/sbin/traceroute 211.50.38.38
traceroute to 211.50.38.38 (211.50.38.38), 30 hops max, 40 byte packets
1 210.118.74.1 (210.118.74.1) 2.944 ms 2.871 ms 2.908 ms
2 210.118.73.1 (210.118.73.1) 0.914 ms 0.905 ms 0.877 ms
3 210.118.49.97 (210.118.49.97) 3.146 ms 3.460 ms 2.889 ms
4 dacomkix-sds-s2-0.rt.bora.net (203.233.37.221) 5.048 ms 5.653 ms 4.491 ms
5 selg2-ge5-0.rt.bora.net (210.120.192.65) 4.608 ms 5.121 ms 4.654 ms
6 anyg4-pos8-0.rt.bora.net (210.120.192.118) 5.543 ms 5.481 ms 4.817 ms
7 anybbb185-ge1-0-0.rt.bora.net (210.120.193.147) 5.259 ms 69.667 ms 5.210 ms
8 anyaba74-fe1-0-0.rt.bora.net (210.120.252.74) 5.457 ms 6.135 ms 5.139 ms
9 211.50.1.202 (211.50.1.202) 9.027 ms 9.660 ms 8.556 ms
10 10.0.0.2 (10.0.0.2) 8.838 ms 9.265 ms 8.908 ms
11 211.50.38.38 (211.50.38.38) 17.076 ms 8.672 ms 8.902 ms
5. »ç¿ëÈıâ
¿ÜºÎ ³×Æ®¿÷ÀÌ T1À̱⠶§¹®¿¡ ¾ÆÁ÷ ÆøÁÖ¸¦ °æÇèÇØ º¸Áö´Â ¸øÇßÁö¸¸ »ó´çÈ÷ Æ÷¿öµù/¹æȺ® ¸Ó½®À¸·Î´Â °í»ç¾çÀ̱⠶§¹®¿¡ ÆÐŶ ·Î½ºÀ²ÀÌ °ÅÀÇ ¾øÀÌ Àß ÀÛµ¿ÇÑ´Ù.
»ç½Ç Æ÷¿öµù ÀÚü·Î´Â Àǹ̰¡ ¾ø°í ¹æȺ® ¼³ºñ¸¦ ¾ÆÁÖ ¿°°¡·Î ±¸ÃàÇÒ ¼ö Àֱ⠶§¹®¿¡ »ç¶û¹Þ´Â °ü¸®ÀÚ°¡ µÉ ¼ö ÀÖÀ»°ÍÀÌ´Ù. Æ÷¿öµù ¸Ó½®¿¡¼ ³×Æ®¿öÅ©
ºÐ¼®ÅøµéÀ» µ¹¸®¸é(IPtraf , ntop µî) ¸ðµç ³×Æ®¿÷À» °¨½ÃÇÒ ¼ö Àֱ⶧¹®¿¡ °ü¸®°¡ ÇÑ°á ¼ö¿ùÇØÁø´Ù. ¾ÆÁ÷ ÇØ°áÇÏÁö ¸øÇÑÁ¡ÀÌ ÀÖ´Ù¸é Æ÷¿öµù ¸Ó½® ÀÚü¿¡¼´Â
¿ÜºÎ ³×Æ®¿÷À¸·Î ¿¬°áÇÒ ¼ö °¡ ¾ø´Ù. ´Ù¸¥ PC¿¡¼ °¡Áö°í ³ª°¡´Â IP´Â ´ÜÁö Æ÷¿öµù¸¸ µÇ±â¶§¹®¿¡ »ó°ü¾øÁö¸¸ ½ÇÁ¦ Æ÷¿öµù ¸Ó½ÅÀÇ ±âº» IP°¡ 10.0.0.2·Î ³ª°¡±â
¶§¹®¿¡ ¿ÜºÎ·Î ¶ó¿ìÆà µÉ ¼ö ¾ø´Â ¹®Á¦ÀÎ°Í °°´Ù. IP tunnelingÀ» ¾²¸é °¡´ÉÇÏ°ÚÁö¸¸ ¼öÀÍü°¨ÀÇ ¹ýÄ¢»ó ÀÌÁ¤µµ´Â Å«¹®Á¦°¡ ¾Æ´Ï±â ¶§¹®¿¡ Á׾
Æ÷¿öµù ¸Ó½®¿¡¼ ³×Æ®¿÷À» ½á¾ß°Ú´Ù´Â ºÐÀº IP tunnell-ingÀ» ¿¬±¸ÇØ º¸±â ¹Ù¶õ´Ù. Âü°í·Î IPchains¸¦ ½±°Ô ¼³Á¤ÇØ ÁÖ´Â µµ±¸´Â http://www.freshmeat.net ¿¡¼
ipchains·Î °Ë»ö Çغ¸±â ¹Ù¶õ´Ù. º»ÀÎÀÌ °¡Àå Áñ°Ü ¾²´Â µµ±¸´Â gtkfront-endÀÎ gfccÀÌ´Ù. ±×·³ Èí¿¬À» À§ÇØ À̸¸ ÁÙÀÔ´Ï´Ù.
³×Æ®¿öÅ©´Â ³¯ÀÌ °¥¼ö·Ï º¹ÀâÇØÁö°í ÀÖ°í ±× ¹ÝÀÛ¿ëÀ¸·Î ³×Æ®¿÷ ħÀÔ±â¼úÀÌ ´õ¿í °íµµÈ, Áö´ÉÈ µÇ°í ÀÖ´Ù. ÇÏÁö¸¸ ÀÌ ±â¼úµéÀº À¥°ú ±×¹Û ÀÎÅÍ³Ý ÄÁÅÙÃ÷ÀÇ ¹ß´Þ·Î ¼ÒÀ§ ½ºÅ©¸³Æ® Å°µð(Script kiddy)¶ó ºÒ¸®´Â ºñÀü¹®ÀûÀΠħÀÔÀڵ鿡°Ô ½±°Ô ±× ±æ¿¡ µé¾î ¼³ ¼ö ÀÖ°Ô ÇØÁÖ°í Àֱ⠶§¹®¿¡ ÀÌÁ¦´Â Á¤È®ÇÑ ¸ñÀûÀÌ ¾ø´Â ´ë·® °ø°Ý(Massive Attack) ½Ã´ë°¡ µÇ¾ú°í ³×Æ®¿öÅ© ¿¬°áµÈ È£½ºÆ®³ª ±× ¹Û ÀåºñµéÀº ÀÌÁ¦´Â ´õ ÀÌ»ó ±×·± À§Çù¿¡¼ ¾ÈÀüÇÏ´Ù°í´Â ¸»ÇÒ ¼ö ¾ø´Ù. ¿À´Ã ¼¼¹Ì³ª¿¡¼ ¼³¸íÇÑ ±â¼úµéÀº ¸®´ª½º¿¡¼ ±¸ÇöÇÒ ¼ö ÀÖ´Â ¾ÆÁÖ °£´ÜÇϸ鼵µ °·ÂÇÑ Â÷´Ü±â¼úÀ̱⠶§¹®¿¡ ±×·± À§Çù¿¡¼ Á¶±ÝÀ̳ª¸¶ ¹þ¾î³¯ ¼ö ÀÖ°í, °ü¸®ÀÚ ÀÚ½ÅÀÇ ³×Æ®¿÷ ÀÌÇØ¿¡µµ µµ¿òÀÌ µÉ °Í À̶ó »ý°¢ÇÑ´Ù.