1. 자체 서버에 보안 목적으로
UTM(Unified Threat Management) 장비 사용하고 계신 분 있으신가요?
어느 브랜드가 가성비 괜찮을까요?
2. 전기세 드는 거 외에 단점이 어떤 것들이 있나요?
-
?
?
1. 유틸 단계에서 안되는 해킹 방어를, UTM 하드웨서 장비로 해킹 방어 및 차단하려고 한거구요.
사용하신 후기 댓글 읽어보니까,
fail2ban 알아보니 무료인거 같은데
fail2ban 로도 UTM 장비에서 해결할 수 있는 것을 모두 커버할 수 있나요?
2. fail2ban도 리눅스 바이러스 패키지들 같이
결국엔 리눅스 안에서 돌아가는거 같은데요,
컴의 방화벽 뚫리면 어떻하나요?
그래서 하드웨어 단계에서 차단시키는 하드웨어 방어 장비를 찾고 있거든요.
UTM 같은 장비들은
방어 옵션을 많이 켤수록,
서버에 부하가 약간 올라가서,
핑이 약간 올라가기도 합니다.
방어 시스템이 실시간으로 서버와 맞물려 함께 작동하니까요.
바이러스 프로그램 동시에 여러개 켠거라고 보시면 되요.
최선의 방어를 위해서라면 어쩔 수 없죠.
그래서 UTM이 금융, 은행, 국정원 같은 곳에서 사용하니까요. -
?
?
fail2ban은 기본적으로 SSH로 brute force attack 하는 상대방 ip를 iptables로 차단시킵니다.
횟수를 지정할수가 있고, 저같은 경우는 3번 이상 password 잘못입력시 자동으로 해당 ip를 일주일간 차단시키게 해놨었습니다.
추가로 fail2ban 으로 약간의 디도스도 잡아내는걸로 알고있습니다만, 이건 네트워크가 버텨줘야해요.
즉 네트워크가 1기가 속도고 디도스가 10기가가 들어오면 아무런 대책없이 무너지는겁니다.
뭐.. 이경우는 어쩔수 없죠 무너지라는데 무너질수밖에.. 이 경우는 지갑 여유봐서 인터넷 회선에 돈을 더 지출하셔야할겁니다.
위에 표는 UTM 기능들 모아놓은거구요. 잔머리 굴리면 시스템에 이미 대부분 다 있는겁니다. (아니면 설치해서 사용할수도 있죠)
사실 이런거 없이도 시스템 방화벽 설정만 잘 해주시면 해킹이든 디도스든 어느정도는 막을수 있습니다. (다만, 디도스는 회선도 좋아야함)
방화벽 설정을 잘 해놓으면 UTM장비 구비할 돈 아끼고 매달 나가는 그돈으로 더 좋은 서버를 구축할수가 있고, 먹고싶은거 매일매일 사먹을수 있습니다.
저 같으면 그렇게 합니다. 물론 돈이 남아돈다면 그냥 쿨하게 장비하나 지르시고 월세 내시면 됩니다. 선택은 자유이구요.핑이 올라가는것은 방어옵션이 많아져서도 있지만, 접속자 ip들을 일일이 하나하나 다 확인후 해당 ip를 접속을 시킬지 말지를 결정하는데 걸리는 시간때문이라고 보시면 될거같고 일반적인 공유기랑 비슷한 크기의 (그나마)저렴한 UTM은 권장 대역폭 100메가로, 구입시 200만원정도 들고 성능은 장담못합니다. (월세 옵션도 있지만 1년이상 사용이면 구입이 더 효율적이네요)
또한 UTM은 서버쪽에 물리는게 아니라 네트워크에 물리게 됩니다. 서버랑은 별개로 작동합니다.
질문자님이 말씀하신 그 금융 국정원 같은 곳에서 사용하는 장비 동급 사양으로 구축하고 싶으시면 800만원에서 많게는 2천만원이상 그냥 깨진다고 보시면됩니다. (사양 표같은거있는데 원하시면 개인메시지로 드릴게요.)
여담으로 그 큰 돈이 그냥 깨진다는것을 생각하시면 서버 호스팅을 괜히 사용하는게 아니라는걸 체감하실수 있습니다.
클라우드는 회선 좋지, 서버 성능 나쁘지 않지, 네트워크 보안 확실하지..
솔직히 UTM에 그렇게 큰돈 투자할 바에 클라우드 플레어 엔터프라이즈 플렌이(매월 약 250~300만원+@) 더 저렴한 옵션입니다. (여기까지 올줄 몰랐네요ㅋㅋ)
+ 추가로 TCP/UDP 보안이 필요하시면 CloudFlare Spectrum이 있습니다.
-
윗분이 더 자세히 설명히 주셨지만, UTM이라는 것이 결국은 서버 한 대 따로 두고 필터링하는 프로그램을 거기다가 잔뜩 돌리는 것입니다. 특수한 장비가 아닙니다. 특수한 프로그램이 깔려 있을 뿐...
fail2ban으로 SSH 로그인 시도 뿐 아니라 FTP라든지 웹사이트 로그인 시도까지 다양한 공격을 잡아낼 수 있지만, 아무래도 파이썬으로 로그파일을 직접 분석하는 구조의 한계가 있어서 성능이 좋다고 말하기는 힘듭니다. SSH 공격은 fail2ban으로 막더라도 웹 공격은 mod_evasive와 mod_security가 더 낫지요. SSH도 아니고 웹도 아니고 그냥 이상한 패킷을 날려대는 공격은 iptables나 다양한 방화벽 설정툴들을 활용해야 하고요. 우분투는 예전부터 ufw를 밀고 있고, 센토스는 firewalld가 기본으로 깔려 있습니다. 아무래도 한 가지만으로 해결하기는 힘듭니다. 게다가 들어오는 포트를 필터링하기는 쉽지만 나가는 포트는 어플리케이션에 맞추어 커스터마이징해 주어야 합니다. 복잡해요. 그러니까 누군가는 그런 툴들만 모아서 돌리는 컴퓨터를 따로 두자는 발상을 하게 되었고, 그래서 나온 것이 UTM입니다. ㅎㅎ
1. 제가 알기론 포티게이트가 좋은걸로 알고있습니다. (V3에서 나온 국산 장비도 있다고합니다만.. 솔직히 별로 관심 없었습니다 V3는)
2. 라이센스비용이 매달 듭니다.
저 같은 경우 지금은 홈서버를 안 돌리고있지만, 작년 말 까지만 해도 홈서버를 돌리고 있었고 그냥 일반인터넷이 아닌 KT 비즈니스 인터넷에 고정 IP 까지 이용하고있었습니다. 질문자님은 어떤것 때문에 UTM 장비를 찾으시는지 잘 모르겠지만
저같은 경우는 DDoS 때문에 UTM장비를 신청하려고 했었습니다. 그때 전 아무것도 모르는 상테에서 그냥 UTM장비 있으면 다 알아서 걸러주겠지~ 해서 여러번 KT 비즈니스 컨설팅 부서랑 연락을 취했었는데. 또 막상 그게 아니라고합니다.
이게 기본적으로 UTM 장비가 들어가게 되면 일단 네트워크 지연율(핑이라고도 하죠) 이 높아집니다.
또한 로그라는것을 저장하기 위해서 하드디스크가 들어가는데 이게 무조건 높을수록 좋고, 질문자님의 서버로 접속하는 ip들을 다 한번씩 일일이 확인해서 로그로 저장하게 됩니다.
이 하드가 꽉 차게 되면 맨 처음 기록해놨던 로그들을 하나둘씩 지워서 새로운 기록을 다시 저장해놓고 다시 지우고 다시 저장해놓고 반복하는것이지요. (그래서 하드 용량이 클수록 좋은겁니다. 용량이 커지면 = UTM 장비 가격이 올라가게 되구요)
그나마 좀 괜찮은거 사용하기에는 40~80만원정도 그것도 "매달" 지불해야 사용할수가 있다고 해서 엄청 고민 많이했던적도 있었네요. (하지만 제 곁엔 이제 fail2ban이 있죠..ㅎ)
그리고 아무래도 이게 질문자님이 UTM을 어떤 용도때문에 필요하신건지 알아야 조금이라도 도움이 되어드릴수 있을것같아서 이렇게 글 남깁니다.