안녕하세요.
갑자기 궁금한 점이 생겨서 질문 드립니다.
회사에서 정보유출을 목적으로 dlp에서 파일공유 프로그램을 차단하고 있습니다.
근데 개발업무 목적으로 내부 서버로 파일을 옮기는 경우가 많아서
파일질라 프로그램은 사용이 가능한 상태입니다.
근데 여기서 궁금한 점이 파일질라를 사용하게끔 해준다면
회사에서 집에 잇는 pc에 파일질라를 연결할 수 있지 않나하는 생각이 듭니다.
집에 있는 pc를 외부에서 연결이 가능하게끔 공유기 설정? 을 해서 파일서버로
사용하는 경우가 있다고 하는데 이런 경우라면 가능하지 않나요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
15개의 답변이 있습니다.
이론적으로는 가능하겠지만,
방화벽이나 DLP 단에서 차단하므로 현실적으로는 안되지 않을까 합니다.
내부에서 외부라 통제 할 수 있는 방법은 dlp도 되고 방화벽도 가능 합니다.
외부에서 내부에 대한 통제는 정보를 알고 들어오는 거면 별도의 환경이 구축되어 있지 않은 상태면 막기
어렵겠지만 내부에서 외부로 유출에 대한 부분은 dlp로 프로그램 통제도 가능하고, 방화벽에서 아웃바운드 제한을 통해 가능은 합니다 ~
파일질라만 예외라면 예외로 사용하는 포트가 22번 ssh 일 것 같은데 요즘은 22포트는 다른 포트로 변경해서 사용하는 것을 권고하고 있는데 그런 정책만 확실하고 파일질라의 취약점이 없다면(문제는 취약점이 많음) 꼭 필요하다면 사용해도 무방할 것 같고 다른 포트는 양방향으로 다 막아놓으시는게 좋을 것 같습니다.
방화벽에서 외부로 차단하면 좋긴한데요. 그러면 방화벽 정책을 관리하기 어려울 수 있어서 현실적인 어려움이 있습니다
DLP를 통해서 관리 할 수 있도록 하는게 좋아보입니다
방화벽에서 제어를 해야겠죠?
일단 DLP에서 파일질라 프로그램 허용으로 해뒀으면, 외부든 내부든 다 되시는데.
내부에서만 쓰고 싶은거면...
방화벽으로 내부에서 -> 외부로 나가는 포트를 기본적으로 웹페이지만 생각했을 경우 80,443,8080 정도만 열어두는 게 좋겠습니다.
만약 다른 포트를 써야된다고 하면, 어떤건지 확인하고 열어주는 방법밖엔 없습니다.
외부의 파일서버를 어떤 포트로 열지는 마음먹기 달렸으니깐요. 무조건 FTP라고 21, sftp 라고 22만 여는 법은 없으니...
위 방법처럼 내부에서 외부로 나가는 포트는 웹페이지 접속 포트 http, https 정도만 열고,
다른 포트들은 직접 확인 후 열어주는 방법밖엔 없습니다.
에이스퐝 | 8달 전
추가로 이번기회에 내부에서 외부로 나가는 포트에 대해서 점검 진행하는 것도 나쁘지 않을 것 같습니다.
내부에서 외부로 나가는 포트들만 이번기회에 현행화해두면 나중에 큰 도움이 될 것입니다.
zero000 | 8달 전
감사합니다. 명확히 이해가 가네요!!
에이스퐝 | 8달 전
도움이 되셨다니 다행이네요.
집 pc를
계속 켜놓고 양쪽 방화벽(공유기 있다면 공유기설정, pc 방화벽 포함) 열어주시고
회사측 방화벽도 확인 하셔야 합니다.
퍼일질라 ssh 접속등 보안접속 하시면 그나마 보안이 좀 더 강화되겠죠. 물론 접속 포트 변경 해주시면 더 좋고요
내부에서 파일질러는 내부망이기 때문에 가능한거고
DLP에서 매체제어 부분이지만 파일공유에 대한 부분이 있다면 필요에 따라 특정 IP만 접근 가능하게하
고 바로 차단하는게 맞습니다.
그리고 파일질러에 대한 외부 정첵은 방화벽에서 하는겁니다.
해당 개발서버가 같은 대역이 아닌 별도 대역 ip라면 문제는 또 다르죠
외부 접근시 앞단에 방화벽이 있다면 해당 접근 권한을 설정하면 됩니다.
우선 보안정책을 잘 살펴봐야 할 것 같습니다.
방화벽 정책이 있다면 내외부 양방향 정책인지 단방향인지,
그리고 파일질라 권한은 세분화 적용하세요.
접속만 가능, 읽기만 가능, 읽기 쓰기 가능 등
경험상 프로젝트를 할때 소스 등 업로드는 무조건 방문하여 담당자 지시하에 진행하였습니다. 서로 불편하지만 보이지 않는 보안사고는 줄어드는것 같습니다.
DLP만 적용만으로 데이터 유출을 막기엔 역부족입니다.
DLP를 사용하더라도 방화벽 등과 함께 정책 적용이 되어야 누락되는 부분 없이 가능하죠.
위의 경우도 방화벽/DLP에서 허용되어 있다면 가능합니다.
dlp에서 제뢰 설정을 하시면 될것 같네요.
zero000 | 8달 전
뭐를 제외하나요?
방화벽단에서 외부로 나가는걸 웹 또는 기타 서비스 제외 차단하면 될 거 같습니다.
DLP 에서 기능이 지원한다면 정보유출방지 파일첨부 등 기능 활성화 하면 될 거 같구요.
외부에서 내부로 들어올수 없습니다. 방화벽 정책에 등록이 되어져 있다면요~방화벽 정책 확인해보세요
zero000 | 8달 전
내부에서 외부 접속입니다.
DLP 가 아니라 방화벽 단에서 외부 접속할 수 있는 해당 포트를 막으면
외부로의 데이터 유출은 차단할 수 있을꺼에요~~
zero000 | 8달 전
방화벽쪽도 생각해봐야겠네요 감사합니다
사용하는 포트가 외부연결이 허용되있을경우, 외부에서도 IP주소만으로 접속이 가능합니다.
dlp 솔루션에 따라 차이가 있겠지만...
DLP 솔루션이 네트워크 트래픽을 체크해서 외부로 유출되는 내용을 차단하는 형식이 대부분이라 생각되고요.
FTP나, 다른 소켓 프로그램을 이용해서 유출을 시도하더라도 유출을 차단해 줄 수 있는 DLP 솔루션이 제대로된 솔루션이라 할 수 있겠네요.
표준적인 FTP 방식으로 데이터를 외부 유출하려는 것을 허용하는 DLP 솔루션이라면...
솔루션 자체에 심각한 결함이 있는 것이라 생각되네요.
zero000 | 8달 전
원랜 차단이 되고요 파일질라만 예외로 풀어준 상태입니다.