회사 내부에서 업무할 때 외부(일반적인 웹서비스들)로부터 파일을 다운로드 하는 것을
방화벽에서 막고자 하는데요, 궁금한 점이 방화벽 기준으로 외부->내부 방향으로 파일 전송을
막아야 한다면 어떤 포트를 막아야 할까요?
이 포트는 외부 서비스에서 정하는 것인지 내부 PC에서 랜덤한 포트가 사용되는 것인지 참 헷갈립니다.
말을 하면서 정리가 잘 안되서 예를 들어보면..
만약 내부에서 업무할 때 네이버만 접속이 가능하게끔 방화벽 정책을 설정했고
네이버 메일, 클라우드와 같은 서비스에서 파일을 다운로드 하는 것을 막고자 한다면
막아야 하는 포트를 알기 위해 네이버에 확인을 해야 하는 것인지 아니면 PC에서 랜덤하게 설정되므로
포트로 막기 어려운 것인지 궁금합니다.
14개의 답변이 있습니다.
이미 많은 답변들이 있지만
파일다운로드를 방화벽에서는 차단하기 어렵구요(특정포트 제어 문제)
DRM이나 DLP의 파일 차단 기능을 이용하셔야 할 듯 합니다.
보통 사무실에서 방화벽을 사용하면, 내부에서 외부로 나갈때 Normal NAT 를 사용합니다.
이말인 즉슨, 내부 -> 외부로 나갈때는 방화벽 인터페이스 하나의 IP로 달고 다나기때문에
절대 외부에서는 내부로 들어갈수가 없다는 말입니다. 외부에서 내부 IP가 뭔지 모르기 때문이죠.
방화벽 IP로 보고 들어가기때문에. 절대 그 IP가 내부의 누구인지는 모르는 거죠.
그렇기 때문에 외부에서 내부로 들어가는 패킷에 대해서는 신경 안쓰셔도 됩니다.
그래서 해커들이 랜섬웨어 공격이나 피싱 메일로 계정 탈취, 내부 자료 암호화 해서 돈을 뜯어내는 것이죠.
방화벽에서 1:1 NAT를 걸지 않는 이상 절대 내부로 못들어갑니다.
에이스퐝 | 7달 전
그리고 두번째 질문에서 처럼 내부에서 클라우드를 막기 위함이면,
그냥 방화벽 정책에 내부 -> 외부 나가는 포트를 http, https 에 한해서만 열어주면 됩니다.
그 외의 포트는 열지 않으면 만약 클라우드가 접속이 되었다 해도 나가는 패킷을 http포트를 사용하지 않을 것이기 때문입니다.
보통 udp나 다른 tcp포트를 사용하기 때문이죠.
접속자 IP을 체크하여 사내 IP인지 비교를 하시면 될것 같네요.
다운로드를 막는 게 아니라 해당 프로그램을 막는걸로 보시는 게 좋을 것 같아요
프로그램 접속을 차단하면 업/다운로드가 다 차단되니까요 ~
DLP도 애매한게 DLP마다 기능이 다르긴 하지만 보통은 첨부 등의 업로드를 막아서 유출방지 용도로
쓰이지 다운로드를 막는다고 보기에는 어렵습니다. 다운로드는 프로그램을 차단하죠 보통
UTM 포함된 방화벽에서 가끔 상세하게 차단에 대한 부분을 설정할 수 있는 애플리케이션 컨트롤 기능
이 포함된 제품들이 있어서 전부는 아니지만 일부 애플리케이션은 업로드/다운로드 구분해서
차단이 가능하도록 시그니쳐 등을 제공하고 있습니다 ~
파일 다운로드를 방화벽에서 포트 설정으로 처리하는 것은 불가능 하고,
별도의 솔루션을 사용해야 처리가 가능 합니다.
해법은 아니지만, 도움될 지 몰라서 비슷한 내용의 자료를 공유 합니다.
https://learn.microsoft.com/ko-kr/defender-cloud-apps/use-case-proxy-block-session-aad
방화벽으로는 힘듭니다. 유해차단 솔루션이라던지 DLP솔루션으로 차단 하는 방법이 있습니다.
파일은 다운로드 하는 방법은 아주 다양해서 예를 들면 ftp, ssh 등 이 있는데 문제는 이런 well-know port들은 외부에서 스캔에 의해 취약점에 노출될 수 있으므로 파일을 외부에서 내부로 가져올대는 주위하셔야 하고 만약 파일을 외부에서 내부로 가져오려고 한다면 망연계와 DLP 솔루션을 이용해서 보안에 대한 충분한 고려가 있는 경우 방화벽 정책을 이 솔루션에 대해서 설정한 후 사용하는 것을 추천합니다. 보안이 충분히 보장되지 않은면 파일의 내외부 전송은 추천하기가 어려울 것 같습니다. 요즘은 공격이 하두 정교해서 L7까지 볼수 있는 방화벽을 사용한다면 아마 보안 설정도 수월할 것으로 생각됩니다.
차세대 방화벽 또는 IPS에서 URL filter 기능이 있습니다.
불법 사이트 , 게임 , 특정 사이트에서 접근을 차단 진행하는 방법이 있습니다.
그리고 외부로 부터 다운로드 ( FTP, 포탈 사이트) 는 일괄적으로 막을 수 없습니다.
예를 들어 필요한 업무로 다운 받을시 다 대 일 대응을 할 수도 있습니다.
별도 파일서버를 만들어 해당 서버로 다운로드 받게 만들어 승인을 받아
재 다운로드 할수 있게 하는 방법도 있습니다
DLP는 솔루션마다 다르고 기능적으로 제한이 되어 있어 사용이 어려울수 있습니다.
방화벽 포트로 대응하긴 어렵구요.
요즘 다운로드 차단하는 기능이 있는 EDR 솔루션이 있습니다.
그리고 DLP 솔루션에서도 가능할것 같구요.
zero000 | 7달 전
DLP 있습니다. 근데 다운로드를 DLP에서 어떻게 막나요?
앵그리파파 | 7달 전
제조사 또는 유지보수 계약이 되어있으면 업체 엔지니어에게 물어보세요. 그것도 아니면 네이버 또는 요즘은 유튜브로 사용설명 해놓은 업체도 있으니 두루 살펴보는게 좋을 듯 합니다. 공부도 될겸!
DLP 도입으로 솔루션에서 막아야 할 거 같네요..
zero000 | 7달 전
DLP 있습니다. 근데 다운로드를 DLP에서 어떻게 막나요?
ioi | 7달 전
회사마다 다르겠지만 저희는 카테고리별 차단설정을 이용해서 웹메일/쇼핑/증권/취업/게임/SNS/웹하드/클라우드스토리지 다 차단으로 설정 해놨습니다.
사이트 자체 접속이 안되니 다운로드도 안되죠.
현재 소만사 제품 웹키퍼를 활용해서,
네이버 접속(로그인)은 가능하지만 메일 기능은 차단하는 정책을 적용해서 보안을 하고 있는데 이 제품은 특징이 URL로 차단, 필요시 수동으로 해당URL(포트 포함)을 등록해서 정책적용 가능하니 이런 솔루션도 일다는 것 참고해보세요.
상시 업데이트를 통해 보안정책이 추가, 변경되고 카테고리화 되어 있어 보기도 편합니다.
다운로드 하는 방법은 여러가지의 방식, 여러가지의 포트로 할 수 있기에
포트를 이용해서 막기는 쉽지 않을 거라고 보여지네요.
일부 기관에서는 cloud 서비스나 다운로드 관련 서비스로의 접속 자체를 막는것 같더라구요.
보안은 정말 어려운것 같아요....
포트는 가변적이라서 막기 어려울 듯
합니다.
그리고 대용량 메일이나
웹하드 이용도 많이해서..
다른 방법이 있는지 저도 궁금하네요.
파일 다운로드를 막기 위해 포트로 막기는 어렵습니다.
다양한 포트를 통해 파일을 전송할 수 있습니다.
FTP와 같이 특정 프로토콜을 이용할 경우에는 파일 전송에 이용되는 포트를 차단하면 되겠지만...
파일을 특정 포트로만 전송하지 않습니다.
http 프로토콜의 post로 파일을 전송하는 경우도 많기 때문에 포트로 차단하려할 경우라면 웹 포트 자체를 차단해야 하는 상황이 되기 때문에 파일 전송을 차단하기 위해 웹 자체를 사용하지 못하게 됩니다.
메일 처럼 SMTP 프로토콜을 통해 파일을 전송하거나 소켓 통신으로 파일을 송수신할수도 있기 때문에...
포트를 통한 파일 송수신을 차단하지 못합니다.
다운로드라는 것은 inbound에 해당하겠고...
파일을 전송할 경우에는 파일명이나 파일 확장자 등도 함께 전송하기 때문에 특정 파일명, 특정 확장자에 대한 패턴을 감지해서 차단하거나 MIME 타입을 이용해 특정 MIME type에 대한 전송을 차단하는 방법도 있을 수 있겠고...
암호화 등을 통해서 전송되는 내용을 변조해서 보낸다면 특정 패턴으로 차단하기도 어려울 수 있을 것 같습니다.
일반적으로 MIME 타입이나 확장자 등의 파일 전송에 사용되는 특정 패턴을 찾아 차단하는것이 최선일 거라 생각되어 지네요.
전송되는 트래픽의 사이즈로 차단하는 방법도 고려해 볼 필요가 있을 것 같기도하네요.
모든 파일 송수신에 대한 차단을 엄격하게 막기는 어려울지라도 일반적인 전송에 대한 특정 패턴 검색 차단 기법을 이용한다면 대부분의 파일 송수신에 대한 차단이 가능할 걸로 보여지네요.
다운로드라면 인파운드에 대한 특정 패턴에 대한 차단 처리를 하면 될 것 같고...