유해 IP 목록으로부터 내부 네트워크 보호하기 본문
아직 보안에 대해서 하나씩 체험을 통해서 배워 나가고 있는 과정이라 좀 더 쉽게 하는 방법도 있을 것 같은데 저는 제 나름 대로의 방식으로 일단 먼저 도전을 해 봅니다. 때문에 과정에서 해서는 안되는 실수도 종종 하네요. 뭐~ 그러면서 배우는 것이겠지요.
오늘은 한국산업기술보호협회(kaits.or.kr)로부터 매 주간단위로 제공 받는 유해 IP 목록으로 사내 네트워크를 보호하기 위한 방화벽 정책을 추가하여 적용해 보았습니다.
한국산업기술보호협회(kaits.or.kr)는 아래 그림과 같이 저의 메일로 매 주간 단위로 정보보호동향이라는 자료를 보내줍니다. 해당 자료에는 한 주간의 1) 보안관련 뉴스, 2) 기술유출관련 뉴스, 그리고, 3) 유해 IP 목록을 보내 줍니다.
* 상세한 내용은 http://gyeongsang.pe.kr/entry/2014041401를 통해서 확인이 가능합니다.
물론 처음에는 그냥 기사만 참조를 했습니다. 그런데 유해 IP라면 당연히 해당 IP가 우리 사내로 접근하는 것을 차단하는 것이 안전하겠다는 생각이 들어서 사내에서 운영하는 방화벽 서버에 해당 정책을 추가해 보자고 생각을 했습니다. 보안이라는 것이 아무리 좋은 장비를 둔다고 하더라도 장비 스스로 어떠한 행위를 하는 것이 아니라 미기 설정해둔 정책에 의해서 움직이는 것이기 때문에 때와 상황에 맞게 정책을 지속적으로 추가 또는 수정하면서 관리하는 것이 더 중요하다고 생각을 합니다.
기본적으로 어떻게 적용할지 방향과 그림을 먼저 그려보았습니다.
- 먼저 유해 IP 목록을 정리한다. 매 주간단위로 발송이 된다면 중복이나 변경되는 사항을 별도 관리할 필요가 있을 것이라 생각을 했습니다.
- 해당 LIST를 엑셀에서 정리해서 Master를 관리한다.
- 해당 IP에 대해서 사내로 들어오는 모든 Packet의 유입을 차단 한다. 사실 이 부분에 대해서 궁금해서 직접 kaits.or.kr에 전화로 문의를 했습니다. 유해 IP 목록이라는 것이 나쁜 사이트 이기 때문에 사내에서 해당 IP로의 접속(Out-bound 정책)을 차단해야 하는 것인지? 아니면 해당 IP에서 사내로의 접속(In-bound 정책)을 차단해야 하는 것인지? 답은 In-bound 정책이었습니다.
- 향후 편리한 관리를 위해 Alias를 설정한다.
- 방화벽 정책에 반영한다.
대충 그림이 그려졌으면 Go! Go! 일단 덤벼 봅니다.
당사가 4월 1주차부터 서비스를 지원 받아서, 2주차까지 유해 IP 목록을 제공을 받았습니다. 그래서 엑셀로 자료를 전환하여 2주간의 자료를 비교해 보니 역시나 중복되는 항목들이 있더군요. 그래서 중복되는 항목을 삭제하고, 향후에 매 주간 단위로 추가로 입수될 자료를 비교하기 위한 Master를 아래와 그림과 같이 만들었습니다.
이렇게 자료를 정리하고 나면 보안장비에 기 등록이 되었는지 아닌지도 확인해 볼 수 있고, 다른 통계치도 얻을 수 있을 것 같아서 좋네요. 나름 정보 동향을 분석할 수 도 있을 것 같아서 좋아요. 역시나 중국이 제일 많네요.
다음은 방화벽 장비에서 유해 IP 목록의 등록과 삭제를 효율적으로 행하고, 나중에 누가 보더라도 어떤 정책인지 알 수 있도록 유해 IP 목록을 'Harmful IP List'란 별칭(Alias)로 설정을 합니다.
이제 보안 정책을 추가하는 내용만 남았네요.
추가 설정되는 내용은 유해 IP 목록(Harmful IP List)에서 들어오는 모든 Packet의 방화벽 장비로의 접근에 대해 모든 포트에 대해 유입을 차단(Deny) 하도록 합니다.
즉, Harmful IP List -> Any Network, Any Port -> Deny입니다.
그런데 처음에 정책을 적용하면서 해서는 안 되는 실수를 범했네요. 기본정책에서 Deny로 설정 한 후 IP를 하나씩 추가를 해야하는데, 실수로 Allow 상태에서 IP를 등록하고 적용을 해 버렸네요. 마지막에 점검하는 과정에서 보니 Deny가 아니라 Allow로 되어 있다는 것을 확인했습니다.
다음부터 보안 정책을 적용할 때는 이 부분을 먼저 확인 한 해야 할 것 같아요. 초보라서 실수를 하면서 터득을 해 나가네요.