안녕하세요. 담당하고 있는 고객사에서 보안감사에 대비하여 Infortrend NAS 스토리지의 SMB 서비스인 445 포트를 port scan에서 숨기고 싶다는 요청을 받아 ahnlab trusguard 70b 장비를 구매해서
NAS의 UPlink를 방화벽에 연결하고 방화벽의 업링크를 L2 스위치에 연결 하였습니다.
**추가**방화벽과 NAS는 같은 대역, 사용자는 다른 대역입니다.
방화벽의 UPlink, NAS의 UPlink를 묶어 Bridge로 설정하였고.
정책기반 NAT 설정에서 변환전 출발지: any, 변환전 포트: 5445 - 변환후 출발지: 변경x, 변환 후 포트: 445로 설정한 뒤 ipv4 기반 정책에서 출발지: any, 포트: 445 정책을 적용하였습니다.
SMB Client는 윈도우10을 사용중 이기에 그룹정책 편집에서 포트를 변경하는 기능이 없기에
루프백 주소를 사용하여 127.0.0.1:445 들어오는 포트를 NAS의 5445로 변경하는 portproxy 기능을 적용하였습니다.
위와 같은 환경에서 사용자가 127.0.0.1로 접속 시도 시 NAT 정책을 타지 않는 것인지 트래픽 로그에서는 5445 포트로 SYN 패킷만 찍히고 있습니다.
또한 초기 목표인 445접속을 막기위한 의도에 반하는 ipv4 기반 정책에 445포트 허용 정책이 필요하다고 하여 도입 자체가 잘못된 것인지 궁금합니다.
NAT 설정은 변환전 출발지:any, 변환전 포트: 5445 - 변환후 출발지: 방화벽 IP, 변환후 포트: 445로 변경도 해보았습니다.
14개의 답변이 있습니다.
내용을 보고 정리 해보면,
우선, 로컬 루프백은 NAT 대상이 아닙니다. 127.0.0.1은 로컬 내부의 주소이므로 방화벽을 통과하지 않습니다. 즉, portproxy나 로컬 리디렉션은 방화벽과 무관하게 해당 PC 안에서만 처리되며, 방화벽 NAT 정책은 적용되지 않습니다. 그래서 방화벽에서 5445 -> 445 NAT 정책을 설정해도, 해당 정책은 트리거되지 않습니다.
즉, 사용자 PC에서 127.0.0.1:5445로 접속해도 이 트래픽은 방화벽으로 절대 가지 않습니다. 그래서, 당초 목표가 포트 스캔 회피(445 은닉)이라면 SMB 포트를 완전히 감추는 건 어렵습니다. 그러나 대체 포트 사용을 통해 은닉 수준의 효과는 낼 수 있습니다.
해결하는데, 참고하세요.
1.사용자 대역 <-> NAS 대역 간 포트 포워딩 기반 우회 접속
- 사용자 -> 방화벽 (5445포트) 접속 시 -> 방화벽이 NAS의 445포트로 포워딩
- 사용자 입장에서는 445 포트를 전혀 사용하지 않음
- SMB 매핑 시 사용자는 \\방화벽IP:5445처럼 사용해야 함
- 단, Windows는 \\IP:포트 형식으로 SMB 접속을 지원하지 않습니다 (HTTP와 달리)
방법: 사용자가 SMB 연결 시 FQDN 기반으로 접속하도록 유도하고, 내부 DNS에서 CNAME -> portproxy 서버를 지칭 후, 포트 포워딩 서버에서 localhost:5445 -> NAS:445 리디렉션
즉, 사용자 → portproxy 서버 (localhost:5445) → NAT 통해 NAS:445
다만, 현실적인 방식이긴 하나 사용자 PC마다 portproxy 구성 필요하고 유지보수 부담이 크다는 단점이 있습니다.
보안감사에서 가장 중요한 건 접근 제어와 감사 로그입니다. 단순히 포트 숨기기보다는, SMB 접근을 통제하고 감사 가능한 구조를 만드는 것이 현실적으로 더 낫습니다.
자세한 답변 감사합니다. 아마 챗지피티를 통해 답변을 주신 것 같습니다.
제가 회사에서 테스트 한 결과 윈도우 PC에서 portproxy 설정을 했음에도 445포트를 사용하는지 여부를 확인하기 위해 아래와 같이 설정을 하였습니다.
테스트 결과 윈도우 PC에서 445 패킷은 덤프에 찍히는게 없지만 portproxy로 설정한 15445는 덤프에 찍히는 것을 확인했습니다.
그렇기에 답변해주신 내용중에 윈도우 PC에서 5445로 외부로 나가지 않는 다는 말씀은 잘못되었습니다.
portproxy 서버를 구축하는 것도 도움이 되긴 하겠지만 일반 PC에 Linux를 설치하여 구축하기엔 안정성이 떨어지고 서버를 도입하자니 당장 진행할 수 없는 환경입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보안감사를 위해 445 포트를 완전히 숨기고 싶다면, TrusGuard의 IPSec/SSL VPN 기능을 활용하여 내부 사용자만 NAS에 접근하도록 설정.
VPN > SSL VPN 메뉴에서 사용자 인증 및 NAS 접근 허용 설정.
VPN 접속도 고려해보겠습니다. 감사합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입답변 참고합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입브릿지 모드로 네트워크를 구성하셨기 때문에 별도의 라우팅이 없어도 통신이 가능 할 겁니다.
라우팅을 추가하셔서 NAS 접속시 방화벽 정책을 타게끔 변경 하셔야 합니다.
의견 감사합니다! 최후의 방법으로 생각중인 것도 방화벽 네트워크를 L3 모드로 바꾸고 NAS의 IP를 별도의 대역으로 분리하여 무조건 방화벽을 타게끔 설정하는 것도 고민중이었습니다.
백업서버 등 연관된 서비스가 있어서 최후의 수단으로 두려고 했지만요....
제가 네트워크를 잘 몰라서 NAS의 UPlink가 방화벽으로 연결되어있어서 무조건 방화벽을 지나쳐서 갈텐데 상단의 L3에서 라우팅을 받게되어 방화벽의 정책을 타지 않는다는거는 잘 이해가 되지 않습니다.
라우팅을 받은 패킷이더라도 방화벽 정책에 해당되는 패킷이라면 정책을 타야 방화벽의 존재 의미가 있다고 생각합니다.
현재 브릿지 모드여도 방화벽 정책을 안타는건 아닌 것 같습니다! 트래픽 로그에서 5445가 찍히고 5445포트에 대한 allow 정책이 없기에 차단되었던 로그가 있었습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입일단 제가 봤을땐 내부든 외부든 보안점검을 포트스캔으로 하는데 NAS의 포트가 안걸렸으면 하는것 같습니다.
그럼 일단 포트스캔을 어디서 하는지에 따라 방화벽에서 외부 -> 내부로 들어오는 445포트를 막고.. 내부사용자들은 그냥 평소대로 사용을 하고.
아님 내부에서 포트스캔을 돌린다 그러면.. NAS스토리지 설정을 바꾸든 해서... 하는 수밖엔 없어보입니다.
포트 스캔에 대한 설명이 부족했었네요. 포트스캔은 방화벽 상단 <-> 내부 사용자 사이에서 이뤄지며 온프레미스 환경이라서 외부(인터넷)은 접근 불가능합니다.
사실 NAS에서 포트를 변경 해주는게 제일 좋겠지만 제조사 측에서 그건 불가능 하다는 공문까지 온 상황이라 포기했습니다...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입127.0.0.1 ( localhost )은 해당 컴퓨터 내의 네트워크로 부터 응답 받는 통신입니다.
방화벽이라는 것은 외부 인터넷을 나가는 길목에 있는 장비가 되겠고요.
해당 컴퓨터 내에서 통신이 일어 나는 것과 인터넷으로 나가는 길목에 있는 방화벽과는 관련이 없습니다.
해당 컴퓨터 뿐 만 아니라, 해당 네트워크 내에서는 통신 또한 방화벽과는 무관하고요.
방화벽의 NAT은 내부에서 외부(인터넷)으로 나갈때 사용되게 됩니다.
아 그럼 제가 개념 자체를 잘못 접근한 것일 수 있겠습니다.
방화벽과 NAS의 대역은 xxx.xxx.1.0/24이고 사용자들은 xxx.xxx.2.0/24입니다. 그래서 외부에서 들어오는 것으로 인식이 될 줄 알았습니다.
그리고 NAT 설정에서 IP 매핑을 빼고 사용한다면 포트포워딩 효과를 낼 수 있을 거라고 생각했습니다.
xxx.xxx.1.0/24 와 xxx.xxx.2.0/24는 서로 다른 네트워크에 있는 IP 입니다.
서로 통신을 하려면 게이트웨이의 도움을 받아야 하고요.
방화벽이 게이트웨이 역할을 하게 되는 것이고...
xxx.xxx.1.0/24 와 xxx.xxx.2.0/24의 통신에 있어서는 방화벽이 중간에 통로 역할을 해 줘야 합니다.
방화벽에서 라우팅 설정을 해 주면 됩니다.
방화벽이 게이트웨이, L3 스위치 모드로 설정을 하지 않아도 NAT 설정이 추가 설정이 있으면 가능하다고 들은 기억이 있어서요.
NAS에 대한 라우팅을 방화벽에서 설정해주려면 현재 구성에서 NAS IP가 바뀌어야 하는데 최대한 건드리지 않으려고 합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입