박상권의 삽질블로그

[AWS]Security Group 접속가능한 IP대역 설정하는 방법 본문

IT/AWS

[AWS]Security Group 접속가능한 IP대역 설정하는 방법

박상권 2015. 12. 4. 22:02

안드로이드 개발자들이 모여있는 오픈채팅방에 참여해보세요 .
Q&A 및 팁을 공유하는 방입니다..
오픈채팅방 참여



블로그를 Medium으로 옮겨서 운영하고 있습니다.
앞으로 새로운 글은 모두 미디엄 블로그를 통해서 올릴 예정입니다.
미디엄에서 다양하고 유익한 포스팅을 살펴보세요
미디엄 블로그 보기





서버를 운영하면서 기능을 개발하는것만큼 중요한것도 보안이라 할 수 있습니다.

AWS서비스를 이용하면서 보안과 관련해서는 로그인시 OTP를 이용하는 방법부터 여러가지 체크해야할 부분이 있는데요.

이번에는 허용된 ip에서만 해당 EC2나 RDS에 접근할 수 있도록 설정하는 방법에 대해 포스팅 해보겠습니다.


EC, RDS, ElastiCache 등을 이용하면서 우리는 Security Group이라는걸 이용합니다.

Security Group에 명시되어있는 port와 ip대역대만 해당 리소스에 접근할 수 있는 방식입니다.


기본으로 생성되어있는Security Group은 아래와 같이 모든 port/ip에서 접근할 수 있도록 세팅되어 있습니다.







EC2의 경우 특별한 경우를 제외하고는 2개의 Port만 열어주면 됩니다.

- HTTP:  80Port

- SSH: 22Port






80번 포트는 일반 사용자들이 http로 접속을 해야하므로 ip를 지정할 필요가 없으므로 Anywhere의 개념인 0.0.0.0/0 으로 Source를 세팅해주면 됩니다.

하지만 서버로의 터미널접속이나 파일전송을 위해 사용하는 22번 포트는 개발자 ip(혹은 해당회사의 ip)에서만 접근할 수 있게 해주는것이 보안적으로 좋습니다.






IP접속제한 설정하기




1. IP주소 및 서브넷마스크 확인


고정ip를 사용하신다면 정말 간단합니다.

자신의 ip주소만 허용가능한 ip로 적어주면 됩니다.

하지만 회사나 집에서 대부분 공유기를 사용하고 계시기때문에 ip가 변경된다거나 회사의 경우는 해당 공유기를 사용하는 ip대역대의 사람들만 접속하도록 설정하고 싶은경우가 있을겁니다.

우선 기준이 되는 IP주소와 서브넷마스크를 알아둡니다.

이정보는 보통 공유기의 [고급설정]-[네트워크관리]같은 곳에서 확인할 수 있습니다.












2. Mask bit확인하기


IP주소가 218.123.255.11 이고 서브넷 마스크가 255.255.255.224 라고 가정해보겠습니다.

이럴경우 IP대역은 218.123.255.1 - 218.123.255.30 입니다.

즉, 해당 공유기에서 내가 받을수있는 IP범위는 218.123.255.1 - 218.123.255.30라는것입니다.

그리고 마스크Bit는 27 입니다.

정확한 이해를 위해서는 서브넷마스크에 대해서 좀더 공부해보셔야 합니다.


이것저것 다 귀찮은경우는 아래 사이트를 이용하시면됩니다.

http://www.subnet-calculator.com/


우리에게 필요한것은 IP주소 그리고 마스크 Bit입니다.












3. 정보입력


우리가 가져온정보 218.123.255.11 과 마스크Bit 27을 218.123.255.11/27 의 형태로 넣어줍니다.

그렇게 넣어주면 아래 그림처럼 자동으로 서브넷ID를 설정해주고 마스크Bit까지 설정해줍니다.




이제 우리는 218.123.255.1 - 218.123.255.30 범위의 ip에서만 해당 리소스에 접근할 수 있도록 설정해두었습니다.


여러가지 리소스에 해당 정보를 활용해서 접속가능한 ip대역을 설정해두시면 안전하게 서버를 운영하시는데 도움이 되실겁니다.

감사합니다.


Comments