오브리닷넷(Obbli.net)

나스를 소규모 사무실에서 사용하기 위한 제안 (2) 본격적 구상 본문

기억소품/사용기

나스를 소규모 사무실에서 사용하기 위한 제안 (2) 본격적 구상

아주가끔은 2016.10.06 17:08

나스를 사무실에서 사용하기 위해 어떠한 준비가 필요할까?  많은  불특정 혹은 특정의 사람들이 사용함에 있어 나름의 정책이 필요하다.

-  어떤식으로 접근할것인가.

-  내부에서만 접속할  수 있게 할것인가 외부에서도 접속 가능하도록 만들것인가.

-  사용자는 얼마만큼의 권한을 가지게 되는것인가?

-  관리자는 어떻게 둘것인가?

-  고정IP 정책을 펼것인가?  아니면 유동IP 정책을 펼것인가?

-  어떠한 서비스를 제공할것인가?

-  방화벽은 얼마만큼 열어둘것인가?


당장 생각나는건 이정도?  이외에도 구상해둬야 할 많은 목록이 있다.  차츰 업데이트 해보기로하고,


먼저 알아둬야 할 것은 내부 네트워크 구성 상태이다.

대개 기초적 사무실 네트워크는 아래 구상도와 같이 되어있는것으로  본다.(이 구상도로 내용설명)




기본 구상 전 관리자는 공인IP 와 사설IP를 구분지어, 각 네트워크에 할당되는 IP의 형태(공인, 사설)를 파악해둬야 한다. 공인IP, 사설IP를 모른다면 링크를 클릭하여 좀 더 알아두어야 한다.

위 그림상으로 대게 2. 라우터... 아래로는 사설IP 를 사용하게 될것이며, 위쪽으로는 공인IP를 사용하게 될것이다. 여기서 각 사무실의 특성에 맞춰 2번 상위에 나스를 둘것인가 2번 하위에 나스를 둘것인가를 고민해야 한다. 


한쪽으로 하면 되지 왜 두 방향을 고민해야 하는가?


네트워크 구성은 특성에 따라 여러 방법이 있는데, 2번을 기점으로 방화벽의 설정에 따라

가. 상위에 설치했을때 외부에서만 접속 가능한 형태

나. 상위에 설치했을때 외부 및 내부에서 접속 가능한 형태

다. 하위에 설치했을때 내부에서만 접속가능한 형태

라. 하위에 설치했을때 외부 및 내부에서 접속 가능한 형태

로 나뉘기 때문이다.


가볍게 생각해보자면, 외부 및 내부에서 모두 접속가능한 형태로 만들면 된다고 할 수 있지만 접속 가능성의 수에 따라 외부로부터의 공격에 취약하기 때문에 각각의 형태를 고민 해야 한다는 것이다. 물론 이 글은 외부 및 내부에서 접속 가능한 형태를 가장 보안성 높은 방향으로 지정하여 설정하는 방법을 설명할 것이다.


외부 및 내부에서 접속 가능한 형태를 만들어보자.


위 예시에 맞춰 나, 라 항목은 외부 및 내부에서 접속 가능한 형태를 맞춰볼 수 있다. 두 방법은 외부에서 접속 가능한 방법이기에 보안성 취약점이 하나 더 늘어나게 되는 셈이지만, 각종 공유기능과 서비스를 시원하게 쓸 수 있는 장점이 있다. 구성에 앞서 살펴둘 점이 있다. 나. 항목은 공인IP가 2개 이상(가. 항목도 마찬가지) 이어야 하고, 라. 항목은 2. 라우터... 쪽에서 방화벽을 열어주는 설정이 더 필요하다.


나. 를 우선 살펴보자. 


1) 공인IP가 2개 이상이면 남는 IP를 나스에 연결하여 사용하면 된다. 

2) 하지만 공인IP가 1개만 들어오고 있을때에는 1. 과 2. 사이에 넣기 위해 LAN포트가 2개 이상 달린 나스를 준비해서, 한쪽엔 공인IP 와 연결을 하고, 한쪽은 2. 라우터... 와 연결해주어야 한다. 그리고 나스의 인터넷 공유기능을 켜서 2.로 빠지는 라인에 1.번 공유를 걸어주어야 하며, 자동IP 할당을 하려면 DHCP 서버도 켜주어야 한다.(그림 참조)



그리고 라. 에서는


1) 2. 번이든 3.번이든 어느쪽이든 연결하면된다. 두 위치 모두 사용법이 동일하다. 그리고, 2.번의 설정에 들어가서 방화벽을 열어주거나, 나스를 DMZ 영역에 넣거나, 포트포워딩을 해주어야 한다.


이렇게 설치할 목표를 확정 한 뒤

관리자와 사용자의 정책을 정해야 한다. 가벼운 계획을 나열해보자면.

우선 관리자는

- 최상위 시스템 관리자 : 모든 권한이 있으며, 내부 네트워크에서만 접속 가능하도록 만든다. 시놀로지의 경우 처음 제공되는 관리자 ID 인 admin  은 블록처리하여 사용하지 못하도록 설정한다.

- 상위 관리자 : 시스템관련 설정이 필요 없는 모든 관리권한을 가진다. 내&외부에서 접속가능하도록 만든다.(선택)

정도를 둘 수 있고

사용자는 그룹을 따로 만들어 각각의 권한(프로그램 사용권한, 폴더 사용권한)만 가질 수 있도록 만든다.


이때 사용자는 무작정 만들것이 아니라, 앞으로 SMB 를 통한 폴더 접속 권한을 줄것이므로 윈도우라면 윈도우에 등록하는 사용자 이름과 패스워드를 사용하여 만든다. 이 방법은 나중에 VPN 설정할때도 유리하게 적용된다.

저작자 표시
신고
0 Comments
댓글쓰기 폼