방화벽 정책 문의

선배님들. 방화벽에 대해 공부중인데, 헷갈리는게 있어 문의드립니다.


우선 

10.24.87.34 -- F/W -- 192.168.254.3 인 구성에서..

양방향 443 통신이 가능하게 하려면 F/W 에서 아래처럼 정책을 두개 다 넣어줘야 하나요?

아니면 인바운드만 넣어주면 되나요?

   Source                  Destination        action               port

   10.24.87.34            192.168.254.3    allow                443

   192.168.254.3         10.24.87.34             allow                443 


여쭤보는 이유는 

방화벽 작동방식이 아웃바운드를 전부 차단해놓는다고 해서, 인바운드 들어온 트래픽이 3-way 핸드쉐이킹 맺고 다시 아웃바운드로 나가는 트래픽 까지 막는건 아니라고 들어서요. 

그래서 예로, 솔루션 업데이트 정책을 외부에서 받아올 떄 인바운드는 차단해놓고, 솔루션 업체 ip를 아웃바운드로 열어놓는다고 들었어요. 아웃바운드 열어놓으면 인바운드로도 들어온다구요. 

근데 그렇게 치면 서버에서 아웃바운드 차단해놓는게 (물론 통신필요한 장비들만 골라서 allow는 해놓고..) 무슨 의미가 있을까 싶어요. 

어차피 해커가 인바운드 트래픽 유입 성공시키면 outbound 로 reply 도 받는거잖아요..?

좀 헷갈리네요 ㅠ 선배님들 고견 부탁드립니다. 


감사합니다. 


태그가 없습니다.
서버벨은 거의 모든 브랜드의 서버, 네트워크장비, 파트 및 옵션을 운영하고 있습니다.

Sponsored http://www.serverbells.com

서버벨은 HP, DELLEMC, IBM, LENOVO, CISCO, FUJITSU, ARISTA, ARUBA 등 전반적인 IT브랜드 신품/리퍼 재고를 유지 및 서버/스토리지/네트워크/옵션/파트 등을 전문적으로 운영하는 기업입니다.

자세히 보기

13개의 답변이 있습니다.

0 추천 | 약 한 달 전

방화벽 동작에 대한 이해는 대부분 정확합니다. 


인바운드 및 아웃바운드 규칙과 관련된 개념, 상태 저장 검사의 역할, 양방향 통신을 위해 인바운드 및 아웃바운드 정책을 모두 정의해야 하는지 여부를 설명하자면,


위에서 언급한 내용의 경우


1.정책을 두개 다 넣어줘야 하나요?

-> 방화벽이 상태 저장인지 비저장인지에 따라 다릅니다.

o 상태 저장 방화벽: 최신 방화벽은 일반적으로 상태 저장 방식입니다. 상태 저장 방화벽은 활성 연결 상태를 추적하고 설정된 연결에 대한 반환 트래픽을 자동으로 허용합니다. 따라서 포트 443에서 '10.24.87.34'에서 '192.168.254.3'까지의 트래픽을 허용하는 인바운드 규칙을 생성하면 방화벽은 '192.168.254.3'에서 '10.24'까지의 반환 트래픽을 허용합니다. .87.34` 명시적인 아웃바운드 규칙이 필요하지 않습니다 

실용적 의미: 방화벽이 상태 저장형인 경우 일반적으로 '10.24.87.34'에서 '192.168.254.3'까지의 트래픽을 허용하도록 인바운드 규칙만 구성하면 됩니다. 역방향의 응답 트래픽은 동일한 세션의 일부이므로 자동으로 허용됩니다.



o 상태 비저장 방화벽: 상태 비저장 방화벽은 연결 상태를 추적하지 않습니다. 따라서 방화벽이 상태 비저장인 경우 트래픽이 양방향으로 흐를 수 있도록 인바운드 규칙과 아웃바운드 규칙을 모두 구성해야 합니다.


실용적 의미: 상태 비저장 방화벽을 사용하는 경우 두 규칙을 모두 구성해야 합니다.


그리고, 방화벽이 인바운드 트래픽을 차단하지만 3방향 핸드셰이크 후에 아웃바운드 트래픽을 허용한다고 가정하면,


o 아웃바운드 시작 연결: '192.168.254.3'의 서버가 '10.24.87.34'에 대한 연결을 시작하는 경우(예: 업데이트 가져오기), 아웃바운드 규칙은 '192.168.254.3'에서 '까지의 트래픽을 허용합니다. 포트 443의 10.24.87.34`가 이 연결을 허용합니다. 연결이 설정되면(3방향 핸드셰이크) 상태 저장 방화벽은 인바운드 반환 트래픽이 기존 연결의 일부이기 때문에 자동으로 허용합니다.

인바운드 시작 연결: '10.24.87.34'가 연결을 시작하는 경우 '10.24.87.34'에서 '192.168.254.3'까지의 트래픽을 허용하는 인바운드 규칙이 필요합니다. 방화벽은 동일한 연결의 일부로 응답으로 아웃바운드 트래픽을 허용합니다.


2. 아니면 인바운드만 넣어주면 되나요?

-> 아웃바운드 트래픽을 차단하는 이유는, 


o 데이터 유출: 아웃바운드 트래픽을 차단하면 승인되지 않았거나 잠재적으로 악의적인 데이터가 네트워크를 떠나는 것을 방지할 수 있습니다.


o 봉쇄: 침해가 발생한 경우 아웃바운드 트래픽을 제한하면 손상된 장치와 외부 악의적 개체 간의 통신을 제한하여 공격을 억제하는 데 도움이 됩니다.



결론적으로,

1. 상태 저장 방화벽: 방화벽이 상태 저장인 경우 일반적으로 양방향 통신을 활성화하려면 인바운드 규칙(10.24.87.34 ~ 192.168.254.3)만 필요합니다.


2. 상태 비저장 방화벽: 방화벽이 상태 비저장인 경우 인바운드 규칙과 아웃바운드 규칙이 모두 필요합니다.



사용 중인 방화벽 유형을 이해하는 것이 방화벽을 올바르게 구성하는 데 중요합니다. 대부분의 최신 네트워크에서는 상태 저장 방화벽이 표준이므로 일반적으로 양방향 통신에는 인바운드 규칙만 구성하는 것으로 충분합니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

방화벽 정책에서 

양방향 443 통신이 가능하게 하려면 F/W 에서 아래처럼 정책을 두개 다 넣어줘야 하나요?

아니면 인바운드만 넣어주면 되나요?

   Source                  Destination        action               port

   10.24.87.34            192.168.254.3    allow                443

   192.168.254.3         10.24.87.34             allow                443 


--> 외부에서 소스 ip로 접속한다것은 해당 아이피로만 접속하는거고

    target 으로 443 port로만 접속 가능하다는 거죠

    그리고  outbound로 나가는 것은  any입니다. 어떤 port로 나가는지 내부

    에서 어떤 서비스를 외부로 보내지는지 모르잖아요

    그렇기 때문에 특정 지울수 없습니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

3way 핸드쉐이크와 그 이후 데이터를 주고 받는 것을 인/아웃바운드가 아닙니다

처음에 연결을 요청하는 것이 내부에서 외부이면 아웃바운드, 외부에서 내부이면 인바운드입니다

그럼 3웨이핸드쉐이크와 이후에 데이터 송수신은 무엇인가?

처음에 내부에서 외부로 연결을 시도하면 새로운 세션이 생성됩니다. 이 세션이 유효한 시간동안 3웨이핸드쉐이크와 크라이언트가 서버에 요청한 데이터 송수신이 이루어집니다. 이 세션내에서 데이터 방향과 상관없이 모두 인바운드입니다. 또한 이 세션내에서는 클라이언트가 요청한 응답에 대한 결과로 데이터를 보내줄 수는 있어도, 상대측에서 임의로 내부에 자료를 요청하거나 받아갈 수 없습니다. 만약 그럴려면 외부에서 새로운 세션을 맺어야하는데 방화벽에서 인바운드 정책이 차단되어 있으면 내부와 통신이 불가하면 데이터를 뺄 수 없습니다

그래서 문의하신 솔루션 업데이트 같은 경우는

내부 서버에서 솔루션 업데이트 서버로의 아웃바운드 정책을 화이트 리스트로 등록하고, 인바운드는 차단합니다.

내가 서비스하는 https(443)이 있다면 외부에서 들어올 수 있도록 any로 인바운드를 허용합니다. 해킹등으로 데이터 유출을 막고자 아웃바운드는 차단합니다

서비스의 목적과 대상등에 따라석 적절히 하시면 되는데, 보통 양방향은 특수한 목적이 아니면 잘 사용하지 않습니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

443이면 https SSL 통신을 하시려는 것으로 판단이 됩니다. 방화벽 기능상 외부 -> 내부로 오는 443포트를 열어주는 것이 효과적인 세팅이라 생각 됩니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

서버단이 아니면 아웃바운드까지 설정하면

담당자 일이 너무 많아집니다.

사용자도 불편해 하구요. 여러가지를 고민하셔서 정책을 정하시길 추천드립니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

10.24.87.34 -- F/W -- 192.168.254.3 -> 이 정보가 외부 - 방화벽 - 내부로 보면 되나요?


그러면 통신하는 목적에 따라 열어주시면 되요 ~ 



192.168.254.3 IP가 -> 10.24.87.34로 시도하면 방화벽에서 아웃바운드 포트 허용해주면 되고,


10.24.87.34 IP가 -> 192.168.254.3로 통신 시도하는 거면 방화벽 기준 인바운드 포트를 허용해주시면 되요


방화벽 기준으로 어디서 어디로 통신을 시도하는 지만 고민 하시면 됩니다.!

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

네트월 유지보수 하는 회사와 상의를 해보시는게 어떨지

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전 | 제이컴즈 | 010-2871-8756

말씀하신대로 해커가 사용자 PC 를 해킹해서 아웃 바운드로 자료 유출 하거나 공격이 가능하죠

그건 어디까지나 해당 사용자가 본인 PC 에 악성 프로그램이나 해킹 툴을 모르고 설치했을때에나

가능하겠죠 

인 바운드를 차단하고 아웃 바운드도 차단하겠다 라고 하면 보안상 가장 안전하겠죠 

그러면 인터넷을 아예 안쓰겠다 라는 거랑 마찬가지인데 그렇게 보안을 하는 건 합리적이지 

못하다고 봅니다. 대부분 업무들은 외부 인터넷도 같이 써야 하니깐요 

정말 보안이 빡센 곳이 아니라면 말이죠 

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

내부의 IP는 사설 IP 이기에 방화벽 Open 의미가 없다고 보여지네요.

다른 분들이 잘 설명해 주셨듯이 내부에서 외부로의 정책만 설정해서 Open 해 주면 될 듯 합니다. 

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

보통은 양방향 옵션 체크 부분이 있습니다. 필요시 체크해서 사용하시면 됩니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 한 달 전

방화벽은 WAN(인터넷)과 LAN으로 구분된 양쪽 네트워크를 연결 시켜주는 게이트웨이 역할을 하는 장비가 되겠는데요.

기본적으로 LAN에서 WAN으로 연결될 수 있는 길목을 열어 주는 역할을 합니다.

WAN에서 LAN으로 들어 오는 것은 기본적으로 허용해 주고 있지 않고요.

특별하게 WAN(인터넷)에서 LAN으로 들어 오게 하기 위해서는 포트 포워딩과 같은 특수 조치를 취해 줘야만 제한적으로 WAN에서 LAN에 접속할 수 있게 되겠고요.


아마도 10.24.87.34가 WAN이고, 192.168.254.3이 LAN 일 걸로 보여지는데요.

일반적으로 LAN이 인터넷에 있는 서버들에 대한 클라이언트 역할을 하게 되고, WAN이 서버 역할로 접속을 받아 주는 역할을 하게 되는데...

192.168.254.X에 있는 클라이언트가 10.24.87.X에 있는 서버에 접속하는 형태가 될 거라 보여 지고요.

방화벽 포트를 허용하고 차단하는 것은 LAN에서 WAN으로 연결하는 방향에 대해서 설정하면 되겠습니다.

앞에서 말했듯이 WAN에서 LAN 방향은 기본적으로 접속되지 않습니다.


해커가 외부에서 내부로 직접 들어오는 것은 방화벽이 기본적으로 허용하지 않는다는 말씀을 드리고 싶고요.

해커가 외부에서 내부로 들어 올 수 있으려면 (1)방화벽에서 포트 포워드 설정을 해 두어 포트 포워딩되어 있는 특정 서비스 포트를 통해 내부 컴퓨터에 접근을 하거나 아니면 (2)방화벽을 해킹해서 방화벽에 1차 접속한 후에 다시 방화벽에서 내부 서버에 접속하는 방식으로 들어 오거나, (3) 내부 좀비 컴퓨터나 내부 조력자를 통해서 내부 컴퓨터가 외부에 있는 해커 컴퓨터에 접속해서 내부 컴퓨터의 제어권을 가지거나, (4) VPN 연결을 통해 외부에 있는 해커의 컴퓨터가 내부 네트워크와 가상으로 동일한 네트워크에 있는 것처럼 묶어서 내부 시스템에 접근해야 가능한 것이겠고요.


내부 클라이언트 컴퓨터에서 외부 서버 컴퓨터에 접속하는 request 패킷이 전달되었을 때 reply 패킷은 request의 역 방향으로 기본적으로 전달 됩니다.

길게 설명했는데...

간단하게 줄여서 설명하면...

내부(192.168.254.3)에서 외부(10.24.87.34)로 가는 것에 대한 것만 허용 처리해 주면 되겠습니다.


외부에서 내부로 들어 오는 것은 허용 처리해 준다해서 들어 올 수 있는 것이 아닙니다.

외부에서 내부로 들어 올 수 있으려면...

포트 포워딩 설정을 별도로 해 주거나, VPN을 사용할 수 있게 허용해 줘야 할 내용이 되겠습니다.


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

방화벽에 정책 설정할때 옵션에 양방향 설정이 있습닏 해당 부분 체크만 해주시면 될듯합니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

방화벽은 기본적으로 양방향통신 정책을 넣어줄 필요가 없습니다.

3way 맺는것도 기본적으로 단방향으로 해도 다 맺어집니다.

방화벽 기준으로 해서 출발지쪽에서 목적지쪽으로 웹서버 접속한다고 하면 출발지 -> 목적지: 443 만 열어주면 됩니다.

보통 웹서버를 내부에 둔다고 하면 외부 사용자들이 443을 접속을 하지 내부에서 외부의 사용자한테 443을 접속하는 일은 없으니까요.

그냥 단순하게 내가 어디를 접속을 한다 그럼 그 정책만 열어주면 됩니다. 3way 핸드쉐이크랑은 상관없습니다.

그렇게 무분별하게 모든 정책을 다 양방향 열어두게 되면 나중에 문제가 되겠죠.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

보안 카테고리의 다른 질문들...

  • 4일 전
  • 댓글 : 약 15시간 전
  • 6일 전
  • 댓글 : 6일 전
  • 12일 전
  • 댓글 : 12일 전
  • 18일 전
  • 댓글 : 7일 전