보호되어 있는 글입니다.
전체보기
온프레미스 환경을 클라우드 환경으로 이관하는 작업을 받아서 하는 중, sendmail을 통해 메일을 보내는 기능도 있다는 것을 확인했다. 메일 전송을 사용자의 계정 패스워드 찾기, 회원가입시 welcome 메일 전송 등에 이용하고 있었다. 이 부분도 그냥 다른 작업과 마찬가지로 ec2에 sendmail 설치 후 설정만 해주면 온프레미스 환경과 동일하게 사용할 수 있을것이라고 생각했었다. ※ EC2의 25번 포트 block AWS에서는 EC2, Lightsail을 비롯한 컴퓨팅 서비스에 대해 아웃바운드 트래픽에 대해 25번 포트의 사용을 제한하고 있다. 25번 포트 이외의 메일 포트인 465나 587을 사용하는 방법도 있지만, 25번 포트를 사용하기 위해서는 아래 AWS 가이드 대로 AWS 측으로 요청을 ..
내부 웹서버에 wordpress 설치까지 진행되어 pfsense - 웹 서버 인프라의 구축은 마무리 되었다. 이제 내부 웹 서버로 들어오는 트래픽을 탐지하고 차단하는 환경까지 구축해본다. 네트워크 트래픽 탐지는 Suricata를 사용해 진행하자 Suricata Snort를 대체하기 위해 생성된 Network Security Monitoring(NSM) 오픈소스 프로그램으로, 대표적으로 layer 7에서의 IPS/IDS 역할을 수행한다 Pfsense는 package manager 서비스 를 통해 suricata 패키지의 설치를 지원한다. web-gui > System > Package Manager에 Available Packages를 통해 suricata를 검색 Install, Confirm으로 설치 설..
pfsense 인스턴스와 LAN 인터페이스 작업까지 진행했다. 내부 웹서버 인스턴스를 생성하고 pfsense와 연결하자 4. 인스턴스 생성 (내부 웹서버) 서브넷 > 생성한 Private 서브넷 보안그룹 > 웹 서비스 포트(80/443)과 ssh를 any open 5. pfsense 포트포워딩 외부에서 유입되는 트래픽이 내부 웹 서버까지 이어지게하기 위해 포트포워딩을 작업을 해준다. pfsense web-gui > Firewall > NAT > Port Forward 이전 세팅에서 pfsense 보안그룹 설정 당시 2222 포트를 내부 인스턴스 ssh 연결용으로 열어두었다. WAN으로 들어온 2222포트 연결을 LAN의 내부 인스턴스의 22번 포트로 포워딩해주자 따라서, Destination > WAN ..
취약환경 구성 및 테스팅을 위해 AWS를 배우게 되었고, 얼마 지나지 않아 IPS 탐지 관련 테스팅을 하게 되었다. 여기서 pfsense를 처음 보게 되었는데, 그 당시 클라우드를 만진지 얼마되지 않아서 인지 네트워크 지식이 모자라서인지 꽤나 구축에 애를 먹었던 기억이 난다. pfsense freebsd 기반의 오픈소스 타입의 방화벽/라우터, web-gui를 지원해 간단하게 구축할수 있다. 이번에 pfsense를 통해서 구축할 인프라는 다음과 같다. VPC안에 public/private 서브넷을 구축하고 웹서버는 private 서브넷에 넣어 public 서브넷의 pfsense를 타고 접근하도록 하는 구성이다. 1. VPC 구성 인프라 구성은 VPC부터 시작한다. VPC 생성에서 생성할 리소스를 VPC등으..
AWS에서는 간간히 온/오프라인 세미나, 이벤트 등을 통해 AWS 서비스에서 사용할 수 있는 Credit을 제공한다. 매달 청구된 비용에서 보유한 Credit 만큼 차감 시켜주는 방식이다. AWS에서 제공하는 설문조사에 참여해 처음으로 Credit을 받았다. 이 Credit을 등록하는 방법에 대해 적어둔다. 1. 관리 콘솔 우측 메뉴 > 결제 대시보드 2. 좌측 메뉴 > 크레딧, 크레딧 사용 3. 받은 크레딧 코드, 보안코드 입력 등록이 완료된 경우, 리스트에 등록된 크레딧을 볼 수 있다. 만료기간과 남은 크레딧을 확인 그리고 해당 크레딧을 사용할 수 있는 서비스 목록을 확인해야한다. (모든 서비스에 적용되지 않음) 겉으로 보기에는 모든 서비스에 적용되는 것 같이 보인다. Route53이 적혀있긴 하지만..
인스턴스를 올리고 구성까지 마쳤으니 도메인을 연결해보자 Route53 AWS에서 제공하는 DNS 서비스 (Route53의 의미는 DNS 포트 53에서 유래됐다고 함) Route53를 통해 네임서버 등록, 레코드 관리, 도메인을 구매까지 할 수 있으며, 모니터링도 가능하다 가장 눈에 띄는 특징은 AWS 서비스(EC2, ELB, S3 등)과의 연결이 매우 편리하다는 점이다. 다만, kr 도메인은 구입할 수 없다. (kr도메인은 가비아 등 다른 도메인 등록기관에서 구매) 도메인을 연결하기 전에 도메인을 구입해야한다. Route53/가비아 등에서 도메인을 구입하는 방법도 있지만, 학습/테스트 용도로 무료도메인을 이용하는 방법도 있다. 이 글에서는 Freenom을 통해 무료 도메인을 가져와 진행한다. (유료 도메..
NAT? 외부 인터넷에서 Private Subnet으로의 통신은 막고, Private Subnet에 있는 객체가 외부 인터넷 통신이 필요한 경우 인터넷 게이트웨이와 private subnet과의 연결을 담당하는 객체 보안을 위해 인스턴스를 내부로 놓는 것 까지는 좋았으나, 이 내부 인스턴스에서 인터넷이 필요한 경우가 있다. (ex. apt install, SES 이메일 전송 등) AWS에서는 이러한 상황에 대해 자체적 서비스인 NAT Gateway를 지원한다. (이 서비스가 있기 전에는 NAT instance를 두어 사용했다고 함) 구축 환경도 이전 글과 동일하게 가져간다. VPC > NAT 게이트웨이 > NAT 게이트웨이 생성 생성할 서브넷은 퍼블릭, 연결 유형도 퍼블릭으로 준다 (Private Sub..
