안녕하세요. 보안 어린이 입니다...
웹공격 공부를 하다가 궁금하건데요,
상대시스템에서 어떤버전/어떤종류의 인프라 쓰는지 아는게 공격자 입장에선 도움이 되잖아요?
그래서 DB종류 확인하는법을 검색했더니, DB서버의 열린포트를 확인해보라는 글을 보앗습니다.
여기서 질문.
DB서버는 보통 내부망안에 두지 않나요?
WEB만 DMZ에 두고, WAS/DB서버는 통상 내부망 안에 두는거로 아는데 (보안상)
내부망안에 두는 DB서버의 포트를 어떻게 스캐닝하라는건지 이해가 잘 안가서요!
DB서버도 DMZ에 있을 경우를 말하는걸까요?
선배님들 답변 감사합니다!
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
6개의 답변이 있습니다.
DB종류 확인하는법을 검색했더니, DB서버의 열린포트를 확인해본다고 하셨는데요.
DB 마다 사용하는 포트가 달라서 그렇습니다.
오라클, Mysql 등등 DB 마다 사용하는 포트가 다르고,
포트의 사용 여부는 netstat 명령어를 이용 하시면 됩니다.
사이트마다 다른것 같아요
원칙은 DB서버가 내부 zone에 있어야 하는데
분리를 못해 DMZ에 web/db가 같이 있는 경우가 있죠
관련 포트 채크는 os별로 netstat 명령어로 열린 포트를 확인하라는 겁니다
그래서 해당 DB mssql, mysql, mariadb, oracle
포트가 각각 다르니 해당 포트만 열고 차단 정책을 하죠
이 해당도 보안상 변경하는 경우도 있구요
아무리 시스템에 내부망에 있다 하더라도, 요즘의 공격 패턴을 보면
내부망에 메일 또는 다른 방법을 이용해 코드를 심어 두고 해당 코드를 통해
내부망의 시스템 취약점을 찾아서 공격하는 방식을 많이 사용하고 있습니다.
그러니 내부망에 있던 외부망에 있던 그건 시간과 방법의 차이이지 공격을 하는데 있어서
문제가 되지는 않습니다.
그래서 망을 분리하죠
그런데 망을 분리 안하는 곳이 많이 있어요
소규모 웹호스팅흘 보시면 원격에서 디비에 붙어야 하니까 개방되어 있는 경우도 많고, 망분리를 해도 외부에서 디비에 직접 붙어야하는 경우 특정 ip만 열어야 하는데 별 생각이 없고 매번 그러기 귀차나서 any나 특정 대역을 열어버리는 경우도 있습니다.
망분리를 하고도 그에따른 보안정책이 없는 경우도 있습니다.
보안 담당자가 그런 생각조차 없는 경우도 많아요
찾아보면 허술한 곳 매우 많아요
choboit | 일 년 이상 전
선배님 답변 매우 감사합니다!!
기본적인 보안도 안되어있는 곳 많죠 ㅠㅠ
추석명절 잘 보내시기 바랍니다!
DB를 웹서버와 함께 동일한 서버에서 운영하는 경우도 많죠.
최신 패치, 보안 업데이트하라해도 제대로 하지 않는 경우도 많다 보니...
해커들이 해킹을 수월하게 할 수 있는 이유가 엄격한 보안 규정을 제대로 안지키는 경우가 많기 때문이 아닐까 싶네요.
내부망 안에 둔 서버에 대한 해킹은 쉽지 않습니다.
경우에 따라서는 내부망으로 침입한 후에 2차 공격을 하기 위해 정보를 수집할때 내부 시스템들의 열린 포트들을 조회해서 공격에 대한 정보로 활용할 수 있겠고요.
choboit | 일 년 이상 전
선배님 답변 매우 감사합니다!!
즐거운 추석명절 되세요!
위에서 추가 설명에 있는 포트는 DB제품의 default 포트입니다.
보안측면에서는 DB를 설치할때 default 포트를 피해라고 하지만
대부분 default 포트로 많이 설치합니다.
그렇기때문에 추정할 수 있다고 말씀하신겁니다.
내부망을 해킹하지 않은 한 외부에서 내부망에 있는 DB 서버와 포트를
스캔할 수 없습니다.
하지만 DMZ zone에 있는 서버로 접근만 된다면 netstat만으로
내부망에 열려있는 port, ip 확인이 가능합니다.
그리고 많진 않지만 업무에 따라 DMZ zone에 DB를 두는 경우도 있긴 합니다.
도움이 되셨기 바랍니다.
choboit | 일 년 이상 전
답변 매우 감사합니다.
DMZ Zone 에 있는 서버로접근한 경우도 일반적인 경우엔
해킹된 상태를 말씀하시는거죠? 서버 80, 443 외에는 접근 안되도록 차단하는게 일반적이니까요!
topkslee | 일 년 이상 전
네 맞습니다.
DMZ zone 외부에 노출되어 있어 내부보다는 보안 위험도가 높다하더라도
방화벽, 보안솔션으로 대비하면 쉽게 들어오긴 힘들죠.
물론 정말 마음 먹고 해킹집단에서 공격하면 대응하긴 힘들지만요 ^^