
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET 주요 내용
- 가상 LAN을 사용하면 네트워크에서 장치를 격리할 수 있습니다.
- 일부 장치는 덜 안전하기 때문에 이 단계는 매우 중요합니다.
- 모든 ISP가 VLAN 생성을 허용하는 것은 아닙니다.
다음 시나리오를 생각해 보세요. 집에 LAN(근거리 통신망)이 하나 있습니다. 해당 네트워크에는 데스크톱, 노트북, 태블릿, 휴대폰은 물론 온도 조절기, 스마트 TV, 스피커 등과 같은 IoT 장치가 있습니다.
IoT 장치는 다른 장치를 볼 수 있으며 그 반대의 경우도 마찬가지입니다. IoT 장치는 데스크탑이나 노트북보다 보안 수준이 상당히 낮더라도 동일한 네트워크에 연결할 수 있습니다.
또한: 최고의 VPN 라우터: 전문가 테스트 및 검토
그러던 어느 운명적인 날, IoT 기기가 해킹당했습니다. 악성 코드가 장치에 주입된 후 데스크톱과 노트북으로 확산됩니다. 다음으로 해커가 귀하의 은행 계좌 정보를 갖고 귀하의 돈을 훔치고 있다는 사실을 알게 되었습니다.
이 모든 일은 안전하지 않은 온도 조절 장치가 데스크톱 PC에 액세스할 수 있었기 때문에 발생했습니다.
하지만 그 시나리오를 피할 수 있다면 어떨까요? VLAN 덕분에 가능합니다.
VLAN이란 무엇입니까?
VLAN은 가상 근거리 통신망을 의미합니다. 네트워크 용어의 난잡함을 너무 깊게 다루지 않으면서 가상 LAN은 네트워크의 나머지 부분과 격리된 LAN 내의 보조 네트워크와 같습니다. 기본 LAN에는 192.168.1.x와 같은 주소 체계가 있을 수 있고 VLAN에는 192.168.2.x와 같은 주소 체계가 있을 수 있습니다.
이 설정의 중요한 점은 주소 체계로 인해 VLAN이 LAN에 직접 액세스할 수 없다는 것입니다. 이러한 분리는 장치를 격리하기 때문에 중요합니다.
위의 예를 사용하여 네트워크 이름을 LAN1 및 LAN2로 지정하겠습니다(LAN1은 기본 LAN이고 LAN2는 VLAN임).
또한: MoCA 2.5란 무엇입니까? 이 저비용 네트워킹이 Wi-Fi를 대체하고 데드존을 해결하는 방법
LAN1에서는 데스크톱, 노트북, 태블릿, 휴대폰을 연결합니다. LAN2에서는 모든 IoT 장치를 연결합니다. IoT 장치가 해킹되면 LAN2에 격리되어 있으므로 액세스할 수 있는 유일한 장치는 동일한 LAN에 있는 장치입니다. 즉, 데스크톱, 노트북, 태블릿 및 휴대폰이 안전하다는 의미입니다(이 분리에 대해서는 나중에 자세히 설명합니다).
이 접근 방식을 한 단계 더 발전시켜 두 개의 VLAN(휴대폰과 태블릿용 VLAN, IoT 장치용 VLAN)을 생성할 수 있으므로 네트워크 구조는 다음과 같습니다.
- 랜: 데스크탑 및 노트북(이 설정에 프린터를 추가할 수도 있음)
- VLAN1: 휴대폰 및 태블릿
- VLAN2: IoT 디바이스
VLAN1과 VLAN2의 모든 것뿐만 아니라 네트워크의 모든 것에 액세스하도록 LAN을 구성할 수도 있지만 VLAN1과 VLAN2는 LAN의 장치에 액세스할 수 없습니다. 올바른 네트워킹 하드웨어가 있는 경우 어떤 장치도 서로 통신할 수 없고 외부 세계(또는 광역 네트워크, WAN)에만 액세스할 수 있도록 VLAN2를 설정할 수도 있습니다. 이 단계는 하나의 IoT 장치가 다른 장치에 문제를 일으키는 것을 방지하므로 중요할 수 있습니다.
또 다른 옵션은 자녀의 장치를 위한 세 번째 VLAN을 만드는 것입니다. 자녀가 접근할 수 있는 웹 사이트를 제한하지만 기본 LAN의 장치에는 영향을 주지 않는 추가 자녀 보호 기능이 포함된 VLAN3을 만들 수도 있습니다.
또한: 느린 집 인터넷? 빠른 Wi-Fi 속도를 되찾기 위해 항상 먼저 확인하는 3가지 사항은 다음과 같습니다.
실제로 게스트를 위한 네 번째 VLAN과 재택 근무를 위한 다섯 번째 VLAN을 생성하여 이 접근 방식을 더욱 발전시킬 수 있습니다(해당 네트워크는 VPN을 통해 라우팅될 수 있음).
보시다시피 생성하는 VLAN의 수가 많아지면 복잡성이 증가합니다. 중요한 것은 네트워크의 장치와 이를 격리하는 방법을 아는 것입니다.
VLAN을 만드는 방법
모든 네트워킹 라우터/모뎀/스위치가 다르기 때문에 상황이 매우 복잡해집니다. VLAN을 생성하는 방법은 특정 하드웨어에 따라 다릅니다.
또한: 온라인 광고와 추적기에 질리셨나요? 전체 홈 네트워크에서 차단하는 방법
예를 들어, 내 네트워크 공급자(Spectrum)는 하드웨어를 통해 VLAN을 생성하는 것을 허용하지 않습니다. 실제로 대부분의 ISP는 자체 하드웨어에서 VLAN을 지원하지 않습니다.
그러면 두 가지 옵션이 남습니다.
- 라우터 역할을 할 수 있는 OPNsense 또는 IPFire와 같은 Linux 배포판을 배포합니다.
- 타사 라우터를 구입하세요.
첫 번째 옵션은 대부분의 사람들에게 다소 복잡할 수 있으므로 타사 라우터를 구입하는 것이 좋습니다. VLAN을 지원하는 몇 가지 모델은 다음과 같습니다.
위 라우터 중 하나를 구입하지 않은 경우 선택한 라우터가 VLAN을 지원하는지 확인하십시오. 타사 라우터를 사용하면 여러 개의 VLAN을 설정할 수 있지만 각 라우터의 설정이 다르기 때문에 라우터 설명서를 읽고 방법을 알아보세요.
운이 좋고 ISP의 라우터/모뎀이 VLAN을 지원하는 경우(대부분은 지원하지 않음) 라우터/모뎀의 웹 UI에서 게스트 네트워크, 모바일 장치, 스트리밍 장치 등으로 사전 구성될 가능성이 있습니다.
타사 라우터(특히 무선 라우터)를 선택하는 또 다른 이유는 이미 보유하고 있는 것보다 범위가 더 넓은 라우터를 구입할 수 있다는 것입니다.
VLAN 이름 지정
VLAN1, VLAN2, VLAN3 등을 생성한다고 언급했지만 대신 IoT, 모바일, 어린이 및 게스트와 같은 이름 지정 체계를 사용하여 VLAN을 생성할 수 있지만 권장하지 않습니다. 명명 규칙의 문제점은 모든 것을 너무 분명하게 만든다는 것입니다. 악의적인 행위자가 동네 주변을 돌아다니며 IoT라는 무선 VLAN을 발견하면(WAN에 표시되는 경우) 보안되지 않은 장치에 연결하여 (기술이 있는 경우) 나쁜 일을 할 수 있습니다. 이러한 위험 때문에 목적을 난독화하는 VLAN 이름을 사용하는 것이 좋습니다.
VLAN은 완벽합니까?
아니요. 여러 번 말했듯이 장치가 네트워크에 연결되어 있으면 취약합니다. 그럼에도 불구하고 VLAN을 설정하는 것은 단일 네트워크에 모든 것을 두는 것보다 더 안전합니다.
그러나 해커가 잘못 구성된 스위치 포트나 VLAN 태깅 메커니즘을 악용하여 VLAN에서 기본 LAN으로(또는 VLAN에서 VLAN으로) 호핑할 수 있는 VLAN 호핑이라는 것이 있습니다. 이러한 접근 방식을 취하면 공격자는 네트워크의 모든 장치에 무단으로 액세스할 수 있습니다.
또한: 개인정보 보호를 위한 최고의 보안 브라우저: 전문가 테스트 완료
따라서 사용 중인 하드웨어에 따라 VLAN이 올바르게 구성되었는지, 라우터 펌웨어가 최신 상태인지, 모든 네트워크의 장치에 업데이트된 운영 체제와 소프트웨어가 있는지 확인하는 것이 중요합니다.
VLAN은 보안 문제에 대한 완벽한 솔루션은 아니지만 IoT 도구와 같이 보안 수준이 낮은 장치가 중요한 정보가 포함된 시스템에 액세스하지 못하도록 하드웨어를 격리하는 훌륭한 방법입니다.
자세한 정보 확인