애져 방화벽 전체 점검중에 몇가지 과도하게 범위 설정 된 정책들 수정 하던 중
운영 웹서버 (ALL 포트) → 아웃 바운드 → ALL 주소
기타 서버 (FTP 포트) → 아웃바운드 → ALL 주소
로 설정 된 애들이 몇개 있더군요.
FTP 포트가 ALL주소로 나가는거야 내부 운영 직무자들, 외주업체의 IP 주소만 적용하면 되니 쉽게 풀리는데,
웹서버의 경우 ALL 포트 / ALL 주소로 나가고 있는게 애매합니다.
(상세한 내부 운영은 케바케이니 넘어가고, 일반적인 경우라면) DB서버와 SQL 관련 포트 연결, 개발이나 운영쪽 업무자/외주업체에게 원격이나 업무에 관련된 포트만 열어주면 되고...
일반 이용객들은 ALL 포트를 줄 이유는 없겠죠 ?
어차피 일반 이용객들 접속은 아웃바운드가 아니라 인바운드 일테니
웹서버에서 아웃바운드를 ALL 주소로 하는 경우가 따로 있을까요?
10개의 답변이 있습니다.
아웃바운드을 다 막고 하나씩 풀어주면 아마 직원분들에게 인터넷이 안된다 라고
연락이 많이 오실거에요
서버를 설정할 때 막지않고 설정하면 추후에 설정하기 힘들겁니다.
보안이 아주 중요한 서버라면 in, out 모두 특정포트만 열어주는게 가장 좋지만
운영자 입장에서는 그게 가장 짜증나는 방법이기는 합니다.
아웃바운드라도 all은 안하는게 권고사항입니다.
관리편의보다는 보안이 우선입니다.
아웃 바운드는 all 이 맞아요
보안취약에 문제 없어요
서비스측면에서
어떤 port를 찾아 차단하는게 어려워요
만약 차단 했을시 찾는것도 힘들구여
Outbount 에 대해서는 조금 보안적으로 덜 위험할꺼라는 생각과,
무엇을 막고 무엇을 풀어야 할지 정하기 어려울때 많이 하는 방식이죠...
특정 포트만 열어 놓았을 경우 서비스에 문제가 생기면 곤란해 지니까,
저렇게 하는 경우가 있습니다.
아웃바운드는 많이들 안 막죠..
보안 신경쓰는 곳이면 막는데..
보통은 별로 신경을 안 써서...
ALL하면 모든 트래픽들이 몰려있고 해킹당하기 쉬고 그러기 때문에 해당서비스에 맞는 Port만 열어주는게 좋습니다.
out bound는 안에서 밖으로 나가는게 되겠고요.
in bound는 밖에서 안으로 들어오는게 되겠고요.
out bound를 all로 열게 된다면 밖에서 안으로 들어오는데에는 제한이 있지만, 안쪽에 있는 host들이 밖의 모든 세상에 나갈 수 있는 환경을 허용하게 되는거겠죠.
무조건 모두 여는 것 보다는 상황에 맞게 잘 판단해서 여는게 맞을거라 생각되네요.
Outbound 포트 차단시 전송 포트 Range가 가변되어 커넥션하기때문에 전송오류가 생길수 있습니다.
서비스 모드를 확인하시고 Command 포트, 전송포트를 구분하여 설정해주시면되겠습니다~
보안 때문에라도
ALL은 안되고요.
IP는 그렇더라도, PORT는 특정 PORT만 처리되어야 합니다.
저러다 해킹 되는 경우가 있더라고요.