http://digitalatoz.blogspot.kr/2009/11/firewall-configuration-for-mylg070.html
Firewall configuration for myLG070 internet phone
LG에서 070폰을 구매시 제공해주는 AP를 이용하면 별도의 설정이 없이 바로 동작하지만. 인터넷 환경은 다양하고 사용자들은 자신이 원하는 네트워크 구성을 하고자 하는경우에는 별도의 설정이 필요하다.
요즘은 대부분 사용자들이 집이나 사무실에 유무선공유기를 사용하여 홈네트워킹(home networking)을 구성하고 있다.
LG측에서 권장하는 구성은 반드시 아래와 같이
인터넷-> 070 전용 AP -> 유무선 공유기(사용자)
구성을 하기를 권장하고 있지만, 여기에 조금 문제가 있다. 일단 070 전용 AP 는 무선네트워크로 802.11 B/G 규격밖에 지원하지 않는다. 또한 고급사용자를 위한 네트워크 관리기능이 상당부분 없다. 궁극적으로 마음에 걸리는것이 사용자가 입맛데로 네트워크 보안과 구성을 하는데 제약이 있다는 것이다.
많은 사용자들이 알고있겠지만 070 AP는 두개의 SSID로 동작한다. 한개는 사용자가 설정할 수 있지만 하나는 hidden SSID로 동작한다. 숨겨진 SSID는 원천적으로 사용자가 설정을 변경할 수 없도록 되어있다. 물론 이는 070폰의 설정없이 쉽게 연결이 가능하게 해주는 장점도 있지만 다소 문제가 될 수 있는 소지는 충분히 남아있다. (070 AP의 암호를 수정하여도 폰에서 설정없이 자동으로 연결되는 이유는 070폰에서 우선적으로 hidden SSID로 접속을 하기 때문이다.)
Hidden SSID의 경우 보안방법으로는 WPA-PSK/TKIP을 사용하지만 이는 절대적으로 안전하다고 볼 수 없다. Cert의 보고서에 의하면 이 암호화 방법은 부분적이긴 해도 일부 시도에 의해서 사고사례가 보고된바 있다. 문제는 모든 070폰에 내장되어 있는 접속암호가 동일하다는 점이다. 이 암호와 070폰의 MAC address cloning을 이용하면 다른 사용자의 070 AP를 통해 인터넷의 사용이 가능해진다는 점이다.
인터넷 월 사용량의 제한이 없는 일반 사용자의 경우는 크게 문제가 없다. 하지만, 비지니스 회선이나 패킷의 월 사용량을 제한받는 usage quota를 가지고 있는 유저라면 이는 다소 성가신 문제다. 원치않는 패킷으로 인한 손실때문이다. 보안상의 꺼림직한 부분 또한 다소 달갑지 않다.
이야기가 삼천포로 빠졌다. 본론으로 돌아와서...
만약 홈네트워크 구성을 아래와 같이 한다면 별도의 설정이 필요할 수도 있다.
인터넷 -> 유무선공유기 -> 070 AP 또는 인터넷 -> 유무선공유기
공유기의 제조사에 따라 다르겠지만 일단 인터넷 서비스 업체에서 해당 port를 닫아두지 않았다면 기술적인 제약사항은 전혀없다. 국내 대부분의 인터넷 서비스들은 070폰에서 이용하는 포트(port)를 막아두지 않았다. 다만, 사용에 있어서 문제가 되는것은 다름아닌 회선속도 때문이다. 인터넷 전화는 인터넷 회선속도에 따라 그 품질과 안정성이 크게 좌우된다. 주기적으로 자신이 이용하고 있는 인터넷 서비스의 최소보장 속도와 실측속도를 모니터해서 문제가 없는지 확인하고 점검하는것이 필요하다.
070 AP의 경우 인터넷에 직접 연결되면 아무런 설정을 할것이 없다. 이미 070 전화에서 사용하는 포트들이 기본적으로 다 개방되어 있기 때문이다. 그럼 070 전화 서비스를 이용할때 사용하는 포트들을 알아보자
[myLG070에서 사용하는 서비스포트 목록]
UDP 5060 (음성입력)
UDP 20000-60000 (음성출력)
UDP 123 (Time sync)
TCP 10001 (Firmware upgrade)
TCP 80 (아이허브 서비스)
사용하고 있는 유무선 공유기의 port forwarding 설정에 가서 위의 포트를 070폰이 사용하고 있는 NAT IP에 대해서 열어주면 된다. 일부 공유기들은 방화벽(firewall) 설정이 기본적으로 닫혀있는 경우가 많다.
특정 포트가 닫혀있으면 070 전화서비스에 부분적인 제한을 받게 되는데 예를들어, UDP 20000-60000 포트가 닫혀있으면 전화가 왔을때 상대방의 목소리와 내가 말하는 목소리가 상대방에게 전달되지 않는다.
필자의 경우 현재
Internet(Videotron) -> D-link Router (DIR-628; 5Ghz Wi-Fi) -> 070 AP (APL-2000; 2.4Ghz Wi-Fi)
이렇게 구성을 해서 사용을 하고 있다. 하지만 말단에 달린 070 AP는 공유기로 작동하지 않고 스위치(switch)로 작동하도록 설정을 하여 구성을 하였다. 이렇게 설정할때의 장점은 상단의 D-link 라우터에서 모든 DHCP할당을 하도록 되어있고 하부의 두 네트워크가 모두 하나로 통합되므로 망 구성이 단순화된다. 또한 단일 NAT가 구성되어 두개의 NAT가 구성되었을때보다 070 AP 말단에 연결된 회선의 속도가 크게 향상된다. 또한, 무선랜 구성에 있어서 듀얼밴드를 구성해서 broadband를 요구하는 시스템과 하위호환되는 네트워크 장비들을 하나로 엮을 수 있게 되었다.
이 구성의 가장 큰 장점은 070 AP에 기본적으로 들어있는 hidden SSID로 인해 비롯될 수 있는 보안상의 걱정꺼리를 완벽하게 통제할 수 있다는 점이다. 070 AP 하부에 연결된 모든 장치들은 상위의 D-link router로부터 dynamic IP를 할당받게 된다. 이를 이용하여 하부에 할당되는 장치들의 MAC address와 일치하는 장치에만 네트워크가 가능하도록 허용하면 손쉽게 원하지 않는 접근과 traffic을 제어할 수 있게된다.
자 이제 안전하게 마음껏 070 전화를 이용해보자. ^^
Posted 24th November 2009 by Admin
Labels: LG070