TCP/IP 서비스 제한

UNIX용 끝점 관리 안내서 › TCP/IP 서비스 보호 › TCP/IP 서비스 제한

TCP/IP 서비스 제한

개방형 네트워크에서 모든 스테이션은 네트워크에 있는 다른 컴퓨터에 서비스를 요청할 수 있습니다. TCP/IP 프로토콜을 사용하여 많은 서비스를 제공할 수 있습니다. rlogin, rcp, rsh, ftp, telnet, rexec 등과 같은 서비스는 모든 UNIX 기반 운영 체제에 공통적인 것입니다. 나머지는 내부 및 타사 소프트웨어에서 제공됩니다.

CA ControlMinder은 호스트 컴퓨터에서 TCP/IP의 허용 프로세스를 차단하고 허용 프로그램을 정상적으로 계속할지 무시할지 여부를 결정합니다. CA ControlMinder의 결정은 사용자가 정의한 호스트와 서비스를 제어하는 액세스 규칙을 따릅니다. 데이터베이스에서 TCP/IP 액세스 규칙을 작성하여 특정 컴퓨터에서 파일 전송, 원격 로그인 및 원격 셸과 같은 서비스를 받을 수 있는 컴퓨터와 네트워크를 지정할 수 있습니다.

다음 예는 원하지 않는 외부인을 효과적으로 차단하도록 TCP/IP 액세스 규칙을 정의하고 설정하는 방법을 보여 줍니다. 모든 데이터베이스를 개발할 시간이 없는 경우 데이터베이스에서 정의되지 않은 스테이션이 서비스를 받을 수 있도록 지정할 수 있습니다. 그런 경우 UACC 클래스의 HOST 레코드를 다음과 같이 설정합니다.

chres UACC HOST defaccess(READ)

로컬 호스트에서 TCP/IP 서비스에 대한 액세스 규칙을 갖게 될 스테이션은 HOST 클래스에 있는 데이터베이스의 레코드에서 정의합니다. 각 스테이션에 대해 허용된 서비스는 레코드에 나열됩니다. 예를 들어 다음과 같은 명령 시퀀스는 스테이션 ws5에 대한 레코드를 정의하고 이 스테이션이 로컬 호스트로부터 TCP/IP 서비스 수신을 거부합니다.

newres HOST ws5
authorize HOST ws5 service(*) access(NONE)

다음 명령을 실행하면 ws5가 로컬 컴퓨터에 대한 telnet을 수행할 수 있습니다.

authorize HOST ws5 service(telnet)

이러한 설정을 사용하여 사용자는 로컬 컴퓨터에 대한 telnet을 수행할 수 있으며 이를 위해 원격 사용자는 로컬 시스템을 사용하기 전에 사용자 이름과 암호를 지정해야 합니다. 스테이션이 로컬 컴퓨터에서 모든 TCP/IP 서비스를 받도록 하려면 서비스 키워드에 별표를 사용합니다. 예를 들면 다음 명령을 사용하여 ws5는 로컬 컴퓨터로부터 TCP/IP 서비스를 호출할 수 있습니다.

authorize HOST ws5 service(*)

이 서비스는 여러 가지 방법으로 지정되는데, 그 중에는 포트 번호가 포함됩니다. 포트 번호는 서비스의 식별 번호입니다. 모든 서비스에는 포트 번호가 있으며 포트 번호는 /etc/services 파일의 서비스에 매핑됩니다. 다음과 같은 방법으로 서비스를 지정할 수 있습니다.

/etc/services 파일에 정의된 이름으로 지정
포트 번호로 지정
포트 번호의 범위로 지정
/etc/rpc 시스템 파일에 나열된 RPC 포트로 지정

예를 들어 다음 명령을 실행하면 ws5가 포트 번호 7045에서 7050 사이의 TCP/IP 서비스를 모두 받을 수 있습니다.

authorize HOST ws5 service(7045-7050)

대부분의 경우 각 컴퓨터에 대해 사용 권한을 결정하는 것보다 호스트 그룹을 정의하여 해당 그룹에 권한을 한 번만 설정하는 것이 훨씬 효율적입니다. CA ControlMinder은 GHOST 클래스를 제공하며 각 GHOST 레코드는 호스트 그룹을 정의합니다. GHOST 레코드를 정의하고 호스트를 멤버 목록에 추가하려면 다음 명령을 입력합니다.

newres GHOST gh1 mem(ws2, ws3, ws5)
authorize GHOST gh1 service(ftp)

newres 명령은 ws2, ws3, ws5 멤버를 포함하는 gh1이라는 호스트 그룹을 정의합니다. authorize 명령을 사용하면 세 스테이션 모두 ftp(파일 전송) 서비스를 수신할 수 있습니다.

호스트 그룹을 관리하는 것이 스테이션을 개별적으로 관리하는 것보다 쉽지만 효율성 향상을 위해 CA ControlMinder은 네트워크 액세스 규칙 정의도 지원합니다. 네트워크는 HOSTNET 클래스에서 정의합니다. 예를 들어 다음과 같은 명령 세트를 생각해 봅시다.

newres HOSTNET hn1 mask(255.555.0.0) match(192.168.0.0)
authorize HOSTNET hn1 service(*) access(NONE)
authorize HOSTNET hn1 service(ftp)

첫 번째 줄에서 newres 명령은 hn1이라고 하는 네트워크를 정의합니다. 마스크 값과 일치 값을 사용하여 처음 두 개의 한정자가 192.168인 IP 주소를 가진 컴퓨터는 hn1 네트워크로부터 오는 것으로 지정합니다.
두 번째 및 세 번째 줄의 조합은 hn1 네트워크의 모든 스테이션이 호스트 컴퓨터에서 다른 모든 서비스를 제외하고 ftp만 수행하도록 합니다.

TCP/IP 액세스 규칙을 정의하기 위해 CA ControlMinder이 제공하는 다른 방법은 이름‑패턴 액세스 규칙입니다. CA ControlMinder은 와일드카드를 사용하여 HOSTNP 클래스(호스트 이름 패턴)에서 일반 레코드의 정의를 지원합니다.

참고: CA ControlMinder에서 문자열 일치를 수행하는 방법에 대한 자세한 내용은 selang 참조 안내서를 참조하십시오.

예를 들어 다음 명령 시퀀스를 실행하면 이름이 "lin"으로 시작하고 ".org.com"으로 끝나는 모든 호스트가 로컬 호스트의 모든 TCP/IP 서비스를 받을 수 있습니다.

newres HOSTNP lin*.org.com
authorize HOSTNP lin*.org.com service(*).

참고: NIS가 관리하는 호스트는 별칭이 아닌 NIS 맵에 나타나는 공식 이름으로 식별해야 합니다. 다음 단원에 있는 차트는 TCP/IP 검사 과정을 요약해서 보여 줍니다.