우리는 "Non NAT" 모드로 설정하고 있는 TL-ER6020을 가지고 있습니다(WAN 측은 /30 네트워크에 있고 /29 네트워크를 라우팅합니다).
라우터를 "원격 관리"할 수 있기를 원하지만 WAN 측에서 HTTP를 통해 액세스할 수 없도록 하고 싶습니다.
Cisco RV042에서는 라우터에 PPTP를 한 다음 내부 IP를 통해 라우터에 액세스할 수 있도록 구성했습니다. 하지만 이 라우터에는 NAT가 구성되어 있었습니다.
이 문제에 접근하는 올바른 방법은 무엇입니까?
답변1
라우터 내부의 방화벽에 액세스할 수 있다면 WAN 인터페이스에서 들어오는 HTTP 패킷을 거부하겠습니다.
내부에서 HTTP가 허용되면 VPN을 사용하면 VPN에 연결한 다음 원격 액세스에 연결하기만 하면 됩니다.
답변2
귀하의 진술에 따르면 내부 및 WAN 네트워크 모두 공용 IP 주소 지정을 사용한다는 것입니다(내부에서 WAN으로의 NAT가 없기 때문에).
이제 내부 네트워크를 보안 네트워크로 말씀하고 계시기 때문에 TL-ER6020이 WAN에서 내부로의 모든 트래픽을 거부/차단하고 있다고 가정하고 있습니다. 아마도 WAN을 통한 연결이 시작되면 허용할 수도 있습니다. 내부 네트워크.
그러나 일반적으로 사용되는 접근 방식은 다음과 같습니다.
직접 원격 관리를 안전하게 활성화하려면 다음을 수행해야 합니다.
- 보안 프로토콜(HTTP, SSH 등)만 사용하세요.
- 보안 관리 프로토콜을 제외하고 WAN에서 TL-ER6020으로의 모든 연결을 차단합니다.
- 연결이 허용된 소스 IP를 제한합니다.
- 매우 강력한 인증 메커니즘을 사용하십시오(예를 들어 SSH의 경우 비밀번호/암호 문구 대신 RSA 인증 키를 사용해야 함).
고정 IP를 사용하여 네트워크에서 원격 장치에 연결하고 장치가 이러한 기능을 지원하는 경우 이것이 가능한 솔루션입니다. 불행히도 TL-ER6020은 그렇게 할 수 없는 것 같습니다.
원격 연결을 VPN 서비스로만 제한하여 공격 표면을 줄입니다. 예를 들어 SSH를 제외하고 장치를 잠그면 공격 표면이 줄어든다는 점에 주목할 필요가 있습니다. VPN 접근 방식의 주요 장점은 다음과 같습니다.
- VPN 서버/데몬/서비스는 대부분의 다른 원격 액세스 서비스보다 더 안전하고 복원력이 뛰어난 것으로 간주됩니다(Telnet이 명확한 예입니다). 어쨌든 SSH나 SSL을 잘 구현하면 강력할 것입니다.
- 여러 서비스를 허용하면 실제로 공격 표면을 줄일 수 있습니다. 예를 들어 VPN을 통해 FTP, HTTP 및 SSH를 허용하면 VPN 서비스만 인터넷에 노출되어 크게 유지 관리해야 하는 구성 요소가 효과적으로 줄어듭니다.
실제 상황으로 돌아가서 옵션 1이 귀하의 장치에 적합하지 않은 경우 VPN을 선택할 수 있습니다.
"Cisco RV042에서는 라우터에 PPTP를 한 다음 내부 IP를 통해 라우터에 액세스할 수 있도록 구성했습니다. 그러나 이 라우터에는 NAT가 구성되어 있습니다."를 참조하면 설계에 대한 가정이 다음과 같습니다. 맞습니다. VPN 연결을 시작한 다음 라우터 자체의 내부 공용 IP에 액세스하면 됩니다. 즉, NAT가 없다는 것은 내부 네트워크에 할당한 실제(공용) IP를 처리해야 한다는 의미일 뿐입니다.