접근통제와 보안모델, VLAN, RSYNC

목차

1. 접근통제와 보안모델

 

2. VLAN

  2-1 VLAN

  2-2 VLAN 명령어

  2-3 VLAN 간 통신

  2-4 Trunk 설정

  2-5 VLAN Routing

 

3. RSYNC

  3-1 RSYNC 서버 측 설정

  3-2 RSYNC 클라이언트 측 설정

 

 

1. 접근통제와 보안모델

● 접근 통제

- 강제적 접근 통제 (MAC : Mandatory Access Control)

강제적 접근 통제는 주체(사람 혹은 업무), 대상들의 보안 등급을 결정한 이후, 등급 간의 규칙을 정해 접근을 제어하는 것이다.
이것을 통해 임의적 접근 통제에 대한 권한을 가지게 된다. 즉, 내 소유물에 대한 접근 권한을 누군가에게 줄 수 있다.

강제적 접근 통제가 없어도 소유자의 허가가 있어야 소유물에 접근이 가능하나, 소유자가 허가를 해주려면 강제적 접근 통제를 통해 규칙이 정의되어 있어야 한다.

 

- 임의적 접근 통제 (DAC : Discretionary Access Control)

임의적 접근 통제는 데이터의 소유자가 접근 권한을 결정하는 것이다.

 

● Bell‐LaPadula 모델

Bell‐LaPadula 모델은 군대에서 만든 모델로, 정보 유출을 방지하기 위한 모델이다. 분류된 대상의 기밀성만을 다룬다.

 

미분류(Unclassified), 비밀(Confidential), 기밀(Secret), 극비(Top Secret) 네 단계로 분류한다.

 

주체는 동일하거나 낮은 등급의 레벨에만 접근 가능하다.

 

접근에는 알 필요성이 필요하다.

 

단순 보안 속성 : no read up      : 낮은 등급이 보다 높은 등급의 정보를 읽어선 안된다.

성형 보안 속성 : no write down : 높은 등급이 보다 낮은 등급의 정보를 만들면 안된다.

평정 속성(tranquility property)  :객체의 보안 등급이 컴퓨터 시스템 수행 과정에서 변경되면 안된다.

 

● Biba 모델

Bell‐LaPadula 모델로는 보안 시스템 구축이 제대로 되지 않아 새로 만든 모델로, 정보 오염을 방지하기 위한 모델이다. 대상의 무결성을 다룬다.

무결성 등급이 높다는 것은 데이터가 얼마나 정확/정밀한지를 나타낸다.

 

단순 보안 속성 : no read down : 자기보다 정밀하지 않은 데이터를 읽어선 안된다. 선입견을 막기 위함이다.

성형 보안 속성 : no write up     : 자기보다 높은 등급의 데이터를 만들어선 안된다. 자신의 무결성 등급 이상의 표현을 해서는 안된다.

 

보안 시스템 구축에 있어 어떤 사람의 보안 등급이란 그 사람의 업무에 따라 결정된다. 그러므로 보안 시스템 구축을 위해 가장 필요한 것은 사람들의 업무에 대한 분석과 그것을 정리한 문서라고 할 수 있다.

 

2. VLAN

2-1. VLAN

VLAN은 한 개의 스위치 허브를 여러 개인 것처럼 분할하는 것이다. 분할되면 완전 별개의 시스템이 되는것이며 기본적으로 모든 포트는 VLAN 1에 세팅된다.

 

회사에 서로 다른 부서가 있다면 VLAN을 분할해서 같은 부서끼리만 사용가능하다. 허브를 여러 개 사지 않아도 된다는 점이 장점이다.

예를 들어, 1~10번포트를  VLAN 1 , 11~15번 포트를 VLAN 2로 할당하면 1번 포트와 11번 포트의 컴퓨터는 서로 통신이 되지 않는다. 랜선으로 VLAN1, 2를 이어줘야 한다.

 

2-2. VLAN 명령어

show vlan                       

: VLAN을 확인한다.

 

show interface status     

: 각 인터페이스의 상태를 확인한다.

 

vlan ##

: VLAN을 생성한다. VLAN 인터페이스에서 name [이름] 을 이용해 해당 VLAN의 이름을 지정할 수 있다.

 

switchport access vlan ##

: 인터페이스를 VLAN에 할당한다.

 

switchport mode [access | trunk | dynamic [auto | desirable] ]

: 인터페이스의 mode를 정의한다. 

 

위와 같이 스위치를 세팅했을 때, 다음과 같이 VLAN을 확인할 수 있다.

 

show vlan으로 현재 vlan 상태 확인

 

show interface status로 vlan 이 모두 1인 상태 확인

 

vlan ## 명령어로 vlan을 생성한 후 인터페이스를 할당할 수 있다. 이는 개별 인터페이스 모드에서 작업한다. 할당 과정은 다음과 같다.

 

vlan 2를 vlan2라는 이름으로 생성

패스트이더넷 0/2 인터페이스에 진입해 vlan 2에 할당

 

vlan2에 이더넷 0/2 할당된 상태 확인

 

 

2-3. VLAN 간 통신

vlan 할당 구현

 

위의 그림은 두 개의 스위치에  vlan을 할당하고 PC를 연결한 것이다. 위와 같이 세팅한 경우, 기가비트이더넷을 통해 연결된 PC2와 PC4는 통신할 수 있지만, 이외의 PC와는 통신하지 못한다.

같은 스위치에 연결되어있더라도 vlan을 분할하면 물리적으로 다른 스위치인 것과 같음을 알 수 있다.

 

2-4. Trunk 설정

Trunk는 하나의 라인에 여러 vlan이 통과하도록 하는 설정이다.

 

Trunk 설정

 

위와 같이 원하는 인터페이스로 들어가 access모드 해제, vlan 1 할당 해제 이후 Trunk 모드로 설정한다. 반대쪽 스위치에도 동일하게 설정한다.

설정이 정상적으로 완료되었다면 위의 ' vlan 할당 구현' 그림에서 같은 vlan끼리는 통신이 가능해진다.

 

2-5. VLAN Routing

보통 스위치허브에서 vlan 구간을 나눴다면 vlan마다 네트워크 주소가 다르다. 때문에 서로 통신을 하기 위해서는 라우터와 연결을 해야 한다. 

이때 라우터의 인터페이스마다 IP와 서브넷마스크 주소를 할당하고, PC에는 디폴트 게이트웨이 주소를 설정해야 함을 잊어서는 안된다.

 

이 경우를 구현한다면 다음의 그림과 같다. 

 

라우터와 연결된 VLAN

 

3. RSYNC

RSYNC는 두 시스템 간에 지정한 디렉토리를 동기화하는 기능이다.

서버와 클라이언트의 구분이 모호해 클라이언트와 서버 패키지를 모두 깔아서 사용해야하며, 보통 원본 저장 시스템을 서버로 하고 클라이언트가 이 서버에 접속해 복사해 가져가는 방식을 사용한다.

 

3-1 RSYNC 서버 측 설정

# dnf list rsync* 를 이용해 설치된 패키지와 설치해야 할 패키지를 확인하고  #dnf install 로 다운로드받는다. 

 

# dnf list rsync* 실행화면

 

서버 측은 /etc/rsyncd.conf 파일을 수정하여 데몬을 구동하기 위한 설정을 한 후, systemctl [ start | stop | restart | status ] rsyncd.service 를 이용해 데몬을 실행한다.

/etc/rsyncd.conf 파일에 작성할 RSYNC 서버 설정의 서식은 다음과 같다.

[서비스 명]		// 리소스 식별자, 임의로 값을 지정
path			// 백업 경로
comment			// 주석
uid			// 전송자 UID, 백업 경로에 어느 유저로 접속하게 할 것인지 지정
gid			// 전송자 GID, 백업 경로에 어느 그룹으로 접속하게 할 것인지 지정
use chroot		// rsync 경로를 외부에서 / 로인식
read only		// 읽기 전용으로 접근
hosts allow		// 접속 허용할 호스트
max connections		// 동시 접속자 수
timeout			// 메시지를 주고 받지 않고도 연결이 유지되는 제한시간

 

3-2 RSYNC 클라이언트 측 설정

RSYNC 클라이언트는 서버의 디렉토리와 클라이언트의 디렉토리를 동기화한다. 명령어는 다음과 같다.

rsync ‐avuz [‐‐delete]  source  destination

rsync ‐avuz [‐‐delete]  IP::[서비스명]  [백업 디렉토리] 

 

‐v : 작업 내역을 출력한다.

‐a : archive mode 작업, 심볼릭 링크, 권한 등 모든 내용을 보존한다.

‐z : 파일을 압축 전송한다.

‐u : 최신 파일은 복사하지 않는다. 최신 파일을 덮어쓰지 않게 하기 위함이다.

‐‐delete : source에서 지워진 파일을 destination에서도 지워준다. (완전 동기화)

 

다음과 같이 같은 로컬 시스템 내에서도 동기화가 가능하다.

rsync  ‐avz  /home/httpd/  /backup/httpd/

 

이러한 작업을 진행할 경우 ntsysv 에 들어가서 방화벽을 끄고 /etc/selinux/config 에 들어가서 selinux = disabled 로 만들어 야 정상적으로 작업이 가능하다. 방금 바꿨다면 리부팅한다.