◆처음에

시스템 구축에 있어서, 내부 서버로부터의 인터넷 접속은, 보안적으로 주의가 필요한 부분이지만, 내부 서버로부터의 인터넷 접속을 모두 거부했을 경우, 메인터넌스성이 손상됩니다.

이번에는, 내부 서버로부터의 인터넷 접속을 가능하게 하면서, 시큐리티에도 고려한 시스템을 구축해 보았습니다.

【용어집】


약어
이름


web・ap　　　
웹 서버 및 애플리케이션 서버

db
데이터베이스 서버

squid
squid 서버

내부 서버
"web · ap", "db", "squid"

fw　　　　
방화벽 장비


【등장하는 세그먼트】


약어
이름


vpn seg
외부 DC와 연결하는 세그먼트

dmz seg
웹 공개 세그먼트

internal seg
web · ap와 db, 외부 DC와 db를 연결하는 세그먼트

squid seg
내부에서 인터넷 연결 세그먼트




【요건】
・인터넷으로부터의 접속은, dmz seg에 대해서 송신원 any로 수신처 80・443만 허가로 한다.
· 내부 서버에서 인터넷 연결.
・yum update.
· 바이러스 백신 보안 패턴 파일의 취득.
· 외부 DC에서 db로 데이터를 전송합니다.

◆인터넷 접속 구성

①인터넷에 빠지는 것은, squid 서버만으로 한다.
다른 세그먼트는 내부로부터의 인터넷 접속을 거부한다.


② 내부 서버로부터의 인터넷 접속은 squid 서버 경유로 한다.

◆fw 설정

vpn seg 설정
internal seg에만 통신 권한.

dmz seg 설정
squid seg, vpn seg에 대한 모든 통신은 거부.
internal seg에 대한 통신은 사용할 특정 포트만 허용합니다.

internal seg 설정
squid seg에 대한 모든 통신은 거부.
dmz seg, vpn seg에 통신은 허용한다.

squid seg 설정
dmz seg, internal seg, vpn seg에 대한 모든 통신은 거부.
squid seg의 인터넷 액세스는 squid 서버에서만 허용됩니다.
squid seg→인터넷 허가 포트는 80(tcp), 443(tcp), 53(tcp/upd)

◆squid 설정

① 로컬 네트워크 정의
　지정한 세그먼트로부터 접수 허가로 한다.

acl localnet src "squid seg"

②squid가 사용하는 포트

http_port 8080

③ 화이트리스트 방식으로의 액세스처 제어

이번 요건에서는 하기 도메인만을 허가로 한다.
· 리포지토리 사이트
· 보안 패턴 취득 원 사이트

화이트리스트 작성
허용할 도메인을 나열합니다.
".도메인명"으로 하는 것으로 서브 도메인도 허가로 한다.

/etc/squid/whitelist

.許可するドメイン名

화이트리스트 적용
화이트리스트는 위에 쓰여진 것에서 유효하기 때문에 마지막으로 deny all을 넣을 필요가있다.

/etc/squid/squid.conf

acl whitelist dstdomain "/etc/squid/whitelist"
  http_access allow localhost
  http_access allow whitelist
  http_access deny all

◆ 정리

squid를 이용하는 것으로 내부 서버로부터 인터넷 접속을 가능하게 하면서, 보안적으로도 고려된 구성이 가능하게 되었습니다.