25.03.14. AWS 구축

동적 PAT

동적 PAT의 특징:

• 포트를 사용한 변환: 동적 PAT는 포트를 이용해 내부 네트워크의 여러 장치가 동일한 공인 IP 주소를 공유할 수 있도록 합니다. 내부 IP 주소가 아닌 포트를 사용하여 각 연결을 구분합니다.
• 동적: "동적"이란, 네트워크에서 트래픽을 변환할 때, 어떤 포트를 사용할지 동적으로 결정된다는 뜻입니다. 즉, 사용 가능한 포트 번호를 할당하여 외부와 연결합니다.
• NAT의 한 종류: PAT는 NAT (Network Address Translation)의 한 형태로, 특히 여러 개의 내부 IP가 하나의 공인 IP를 공유하는 데 사용됩니다. NAT는 기본적으로 IP 주소를 변환하는 방식이고, PAT는 그 안에서 포트를 변환하는 방식입니다.

동적 PAT 동작 방식:

1. 내부 네트워크에서 외부로 트래픽이 나갈 때:
   • 각 내부 장치가 공인 IP 주소로 나가려고 할 때, 라우터는 해당 트래픽의 소스 포트를 변경하여 공인 IP와 함께 외부로 보냅니다.
2. 포트 번호 할당:
   • 각 내부 장치의 트래픽에 대해 고유한 포트 번호를 할당하여 하나의 공인 IP에서 여러 연결을 관리할 수 있습니다.
   • 예를 들어, 내부 IP 192.168.1.2에서 포트 12345를 사용하여 외부로 나가면, 라우터는 공인 IP 203.0.113.1의 포트 12345로 변환합니다. 다른 장치에서는 포트 12346 등을 사용할 수 있습니다.
3. 외부에서 들어오는 트래픽 처리:
   • 외부에서 트래픽이 들어올 때, 라우터는 포트 번호를 기반으로 해당 트래픽이 어느 내부 장치로 가야 하는지 결정합니다.

예시:

• 내부 네트워크에 192.168.1.10, 192.168.1.11, 192.168.1.12와 같은 IP를 가진 여러 장치가 있을 때, PAT는 이들을 하나의 공인 IP 203.0.113.5로 변환합니다.
• 이때 각 장치의 트래픽은 서로 다른 포트 번호를 가지며, 예를 들어:

이렇게 각각 다른 포트 번호로 공인 IP를 공유할 수 있습니다. - 192.168.1.10 → 203.0.113.5:10001 - 192.168.1.11 → 203.0.113.5:10002 - 192.168.1.12 → 203.0.113.5:10003

동적 PAT의 장점:

1. IP 주소 절약: 여러 내부 장치가 하나의 공인 IP를 공유할 수 있어 공인 IP 주소를 절약할 수 있습니다.
2. 네트워크 확장성: 내부 네트워크의 장치가 많아져도, 공인 IP 하나로 모든 장치를 처리할 수 있으므로 네트워크 확장이 용이합니다.

Bastion Host

Bastion Host는 보안이 강화된 서버로, 일반적으로 공용 네트워크(예: 인터넷)와 내부 네트워크 사이에서 보안의 중간 지점 역할을 합니다. 외부에서 내부 네트워크로 접근하려는 사용자나 시스템이 가장 먼저 접하게 되는 서버로, 액세스 제어 및 감시를 강화하여 네트워크 보안을 강화하는 데 사용됩니다.

Bastion Host의 주요 특징:

1. 외부 접근을 허용: Bastion Host는 외부에서 접근이 가능한 유일한 시스템으로, 일반적으로 인터넷을 통해 접근할 수 있습니다. 이를 통해 외부에서 내부 네트워크로 들어가고자 할 때 첫 번째로 거치는 지점이 됩니다.
2. 강화된 보안: Bastion Host는 보안이 매우 중요한 서버로, 불필요한 서비스나 포트를 모두 차단하고 최소한의 기능만을 제공합니다. 또한, 액세스는 엄격하게 통제되어야 하며, 시스템에 대한 로그와 모니터링이 필수적입니다.
3. 접속 경로 제한: Bastion Host는 외부와 내부 네트워크 간의 트래픽을 전달할 수 있는 유일한 경로 역할을 하며, 내부 네트워크에 대한 직접적인 접근을 막고, Bastion Host를 통해서만 접근이 가능하도록 합니다.
4. 접속 및 인증 관리: Bastion Host는 종종 SSH, RDP 등의 프로토콜을 통해 내부 네트워크에 접근할 수 있도록 설정됩니다. 이를 위해 강력한 인증 방법(예: 2단계 인증)을 적용하고, 사용자 액세스를 엄격히 제어합니다.
5. 감사 및 모니터링: Bastion Host는 액세스를 모니터링하고, 모든 액세스 로그를 기록하는 중요한 역할을 합니다. 내부 네트워크로의 접근을 추적하고 기록을 남기므로, 보안 사고 발생 시 중요한 증거를 제공할 수 있습니다.

Bastion Host의 사용 예시:

1. VPN 서버와의 조합: 내부 네트워크에 대한 접근을 위해 사용자가 VPN을 통해 Bastion Host에 접속한 후, 그 이후에 내부 시스템에 접근할 수 있도록 설정합니다.
2. SSH 터널링: Bastion Host에 SSH로 접속한 후, 그 위에서 SSH 터널링을 사용하여 내부 시스템에 접근할 수 있도록 설정합니다.
3. 보안 시스템의 중간자 역할: 외부와 내부 네트워크를 연결하는 중간 지점으로 역할을 하며, 외부로부터 들어오는 트래픽을 안전하게 처리하고, 불필요한 트래픽을 차단하는 역할을 합니다.

장점:

• 내부 시스템 보호: 외부에서 직접적으로 내부 시스템에 접근할 수 없도록 하여 내부 네트워크의 보안을 강화합니다.
• 중앙화된 접근 관리: 외부에서 내부 네트워크로의 접근을 한 곳에서 제어하고 관리할 수 있습니다.
• 감사 및 추적 가능: 모든 액세스를 기록하고 모니터링하여 보안 사고 발생 시 빠르게 대응할 수 있습니다.

단점:

• 단일 장애점(Single Point of Failure): Bastion Host가 다운되면 외부에서 내부 네트워크로의 접근이 모두 차단됩니다.
• 성능 문제: Bastion Host가 네트워크의 중요한 관문 역할을 하므로 과도한 부하가 걸리면 성능 문제가 발생할 수 있습니다.