11/14 클라우드 보안 컨설팅 실무

 * NAT 게이트웨이 실습

 

 = 정황상 VPC와 서브넷을 먼저 만들어야 할거같다.

 = VPC 먼저 만들어보자

 

 

 = 다음은 서브넷을 만들어보자

web-01 생성

 = was는 web-01과 다른 가용 영역에 만들어준다.

was-01생성

 

 

= 인터넷 게이트웨이도 하나 뚫어준다

 

 = 그리고 만든 게이트웨이를 VPC에 연결해준다.

 

 

= 라우팅 테이블에 들어가서 기본 라우팅 테이블의 이름을 pub-rt로 수정해준다

 .

 

 = 만들어진 라우팅테이블을 라우팅 편집에 들어가서 모든곳의 인터넷 게이트웨이를 연결해준다.

 

 

 = 서브넷 연결 편집에 들어가서 아까만든 서브넷 web-01을 넣어준다.

 

= 프라이빗 라우팅 테이블도 만들어주고 was-01을 넣어준다.

 

 

 = 이제 인스턴스로가서 와스를 만들어준다.

 = 보안그룹은 일단 모든트랙픽 위치무관으로 다 열어뒀다... ( 원래 이럼 안된다.. )

 

 

 = 웹도 만들어준다.

 

 = 네트워크 설정

 

 = 만들어질동안 puttygen으로 pem파일을 ppk로 변환하자.

 

 = 변환된 ppk파일과 putty를 bastion에 옮겨준다.

 

 = 만든 was-01의 프라이빗 아이피 입력

 

 = 그리고 숫자대로 눌러서 ppk키를 넣어주고 오픈을 누른다.

 

 = 첨에 로그인이 ubuntu로 해야되는줄알고 쳐봤다가 거부당했다.

 

 = 친절한 신영씨

 

 

 

 = 접속성공

 

 

 = 이제 yum을 update 해보자.

 = sudo yum update

존나 뭐라 뜨면서 안된다.

 

 =  사실 이럴줄 알고 있었다.

 = nat 게이트웨이를 안열어줬기때문에 거부당한것이다.

 = yum은 80을 쓴다고한다

 = 이제 열어주러 가보자.

 

 

 = NAT 게이트웨이 설정

 

 

 = 프라이빗 라우팅 테이블에 방금 만든 NAT 게이트웨이를 연결해준다.

 

 

 = 이제 다시 bastion으로 가서 sudo yum update를 다시 해보자

이제 된다!, Complete!

 

-----------------------------------------------------------------------------------------------------------------------------

 

 * 강사님의 새로운 미션

 = 방금은 window2016으로 만들었는데 우분투로 bastion을 새로 만들어서 접속해봐라!

 = 사실 나머지 과정은 다 비슷할거같고 scp로 pem파일만 넣어주면될거같다.

 = 접속은 ssh로 하면 될듯!

 

 

 = 대충 우분투로 하나 만들어줬다.

 

 

 = 그리고 윈도우에서 키파일을 우분투로 넣어준다!

 

 

 = 키가 들어온걸 확인하고 권한주고 접속해본다.

 

 = 접속성공!

 

----------------------------------------------------------------------------------------------------------------------------------------------

 * 강사님이 그려준 무언가

사실 이번실습때 볼일은 없을거같다. ( 간소하게 그린것 )

 

 * 진짜 실습용 아키텍쳐

 * Network Firewall 설정에서

 = EC2가 있는 서브넷의 라우팅은 0.0.0.0/0을 Firewall의 Endpoint로 설정해야함

 = Firewall이 속한 서브넷의 라우팅 테이블은 0.0.0.0/0을 internet Gateway에 연결함.

 

 

 = 강사님이 새로운 그림을 그려주셨는데, 아마 로드밸런싱을 빼고 한쪽만 간편하게 만들어보라고 하신거같다.

 

 = 일단 서브넷을 만들자!

 

 

 = 일단 방화벽을 만들자! ( pdf에 있는대로 했다.)

[실습] AWS Network Firewall 구성.pdf

1.41MB

여기서 사진을 잘못찍었는데 서브넷을 fw-01(위에서 만든거)로 고르자

 

 

 = 방화벽 정책 생성

언더바가 안된다고해서 하이픈으로 바꿨다.

 = 만들고있었는데 1단계에서 Firewall 생성 시 nfA-Policy1을 생성했으면 안해도 된다써있어서 다시 캔슬했다.

 

 

 = 네트워크 방화벽 규칙 그룹 (Network Firewall rule groups) 에서 stateless rule gourp 생성

 

 = pdf대로 설정해보자

 

 = 규칙추가

 

 = 2순위 규칙 추가

 

 

 = 밑에 규칙2개가 추가된걸 확인했으면 무상태 규칙 그룹 생성

 

 

 = stateful rule group 생성

 

 = 상태저장 규칙 그룹도 생성

 

 = 중간껀 pdf대로 다 기본값으로 두었고 아래 사진 부분만 추가하는중이다.

 

 

 = 다음껀 구글만 접속 못하게 막는 잼있는 규칙을 추가해본다.

 = 도메인 리스트 선택

 

 = 도메인 목록 지정  ( HTTPS만 막아보자, HTTP는 가능 )

 

 

 = 5단계

 

 = 아까 만들어둔 방화벽 정책으로 들어가서 규칙을 추가해준다.

 

 

 = 6단계

 

 

 

 = 잘 안되는거같아서 뭔가 다시해보는중이다.

 = 일단 강사님이 새로 그려주신 아키텍쳐를 보자 ( 아까꺼는 라우팅 테이블이 한개 부족했다. )

 

 = igw-rt ( 참고로 서브넷은 연결하지 않음! )

 

 = fw-rt ( fw서브넷은 fw-rt 로 연결해줬다 )

 

 = web1-rt ( 서브넷은 퍼블릭 서브넷 )

 = 방화벽 규칙 편집 

 

 = 상태저장 뭐시기로 하면된다.

 

 

 = 그리고 구글접속을 차단하는 규칙도 아까 만들었던거까지 2개를 방화벽 정책에 추가해준다.

 

 

 = 네이버는 접속이되고 구글은 막힌모습

 

 

 = 테스트를 위해 네이버도 막아보았다.

 

 

 = 네이버도 차단당한 모습