LAN to WAN direct outbound 금지에 대해서 고민하던중
SSH Port forwarding을 적용하기로 하였다.
일단 TCP protocol에 대해서만 적용가능하므로
Application Server에서 outbound access가 필요한 경우
HTTP Forward Proxy를 사용하거나 SSH Port Forwarding을 사용하면
대부분의 외부 접근 문제를 해결할 수 있다.
단 현재까지 아직 검증되지 않은 사항은
장애발생시 Failover나 얼마나 안정적으로 동작할것인지
그리고 어느정도의 추가 부하가 생길것인지 가늠하기가 어렵다.
OpenSSH가 무난하고
Client와의 연계를 위해서는 VanDyke software의 SecureCRT를 함께 검토중이다.
2009년 10월 29일 목요일
2009년 10월 12일 월요일
Anti DDoS 장비가 IDS의 일종인가?
Anti DDoS장비를 IDS로 볼 수 있는지에 대한 의견이 분분합니다.
일단 저는 Anti DDoS장비를 IDS/IPS의 일종으로 보고 있습니다.
IDS/IPS 설치는 PCI DSS Requirements중 하나이고 전자금융거래법 시행세칙에서도 요구되고 있습니다.
정확한 사항은 QSA의 답변을 받아봐야할것 같습니다.
OSI Layer 1에서부터 7까지중 어디까지 Detect하느냐가 기존의 IDS와 Anti DDoS장비의 중요한 차이점이고
PCI DSS Requirements에 OSI 7 Layer 수준까지 명시하고 있지는 않아서
QSA의 판단에 따라서 보완통제를 적용하든 적용없이 인정할 수 있겠다는 생각입니다.
일단 저는 Anti DDoS장비를 IDS/IPS의 일종으로 보고 있습니다.
IDS/IPS 설치는 PCI DSS Requirements중 하나이고 전자금융거래법 시행세칙에서도 요구되고 있습니다.
정확한 사항은 QSA의 답변을 받아봐야할것 같습니다.
OSI Layer 1에서부터 7까지중 어디까지 Detect하느냐가 기존의 IDS와 Anti DDoS장비의 중요한 차이점이고
PCI DSS Requirements에 OSI 7 Layer 수준까지 명시하고 있지는 않아서
QSA의 판단에 따라서 보완통제를 적용하든 적용없이 인정할 수 있겠다는 생각입니다.
피드 구독하기:
글 (Atom)