2020.02.04

How To : 윈도우 방화벽 설정을 통한 네트워크 액세스 제한 방법

Susan Bradley | CSO
네트워크를 적절히 보호하기 위해서는 누가 네트워크에 액세스했는지, 어디에 민감한 정보들이 위치해 있는지 알아야 한다. 액세스를 더 철저히 통제하기 위해 가장 먼저 할 일은 동일한 서브넷에 위치한 장치들 가운데 정말 중요한 비즈니스 니즈에 요구되는 장치에만 액세스를 허용하는 것이다.
 
ⓒ Getty Images Bank 

인터넷 보안 센터는 서버에 저장된 정보를 분류해서, 이를 기준으로 네트워크를 분리하는 것이 좋다고 권고하고 있다. 방화벽 필터링을 통해 VLANS를 분리시켜 민감한 정보를 보관해야 한다. 이를 통해, 승인된 사람만 자신의 책임을 이행하기 위해 필요한 경우에만 시스템과 통신할 수 있도록 만들어야 한다.

래피드7은 민감도를 기준으로 네트워크의 데이터를 분류하라고 충고한다. 기업 니즈를 토대로 몇몇 수준을 규정할 수 있다.  

- 수준 1: 일반 대중이 소비할 데이터 자유롭게 공개할 수도 있는 데이터
- 수준 2: 일반 대중에게 공개하지 않는 내부 데이터
- 수준 3: 공개되면 기업에 영향이 초래될 수 있는 민감한 내부 데이터
- 수준 4: 아주 민감한 기업, 직원, 고객 데이터

수준 1은 일반 대중이 액세스하도록 설정을 하는 것이기 때문에, 공개 데이터가 아주 민감한 데이터와 동일한 서버에 저장되지 않도록 만들어야 한다.


윈도우 방화벽 규칙 설정

워크스테이션 수준에서도 호스트 기반의 방화벽을 설정, 필요한 최소한의 액세스만 허용해야 한다. 이미 이렇게 하고 있다면, 네트워크의 워크스테이션에 대한 윈도우 방화벽을 활성화시키고, 그룹 정책을 사용해 적절히 방화벽 규칙을 설정한다. 

윈도우 방화벽은 공격자의 내부망 이동을 막는데 도움을 준다. 예를 들어 설명하면, 공격자는 통상 PsExec 같은 OTS(Off-the-Shelf) 도구들과 명령줄 유틸리티, 이터널 블루 익스플로잇 등을 이용한다. 윈도우 방화벽을 사용해 엔드포인트 간 SMB(Server Message Block)과 RPC(Remote Procedure Call)을 차단하면 공격자가 초래하는 영향을 억제할 수 있다.

기본값으로 윈도우 방화벽을 활성화시키고, 인바운드 연결을 차단해야 한다. 침해되는 부분이 없도록, 정기적으로 워크스테이션을 대상으로 설정해둔 규칙들을 검토해야 한다.



가능하다면, RCP 포트(TCP 포트 135) 및 SMB(TCP 포트 445)로의 아웃바운드 연결을 차단하는 그룹 정책을 설정한다. 주의해야 할 것은 SMB가 필요한 구형 애플리케이션의 포트 445 차단이 어려울 수 있다. 이 경우, 네트워크에 초래되는 영향을 테스트한다.


원격 데스크톱 프로토콜 사용 주의

서버 및 워크스테이션 액세스에 원격 데스크톱 프로토콜(RDP)(TCP 포트 3389)을 사용하고 있다면, 이 정책 또한 재고해야 한다. 

랜섬웨어 공격자들은 자격 증명이 침해된 사이트에서 수집한 사용자 이름과 비밀번호를 이용해 네트워크를 공격한다. 수집한 자격 증명을 사용해 RDP를 통해 네트워크에 대한 액세스 권한을 획득한 이후에는 네트워크 내부에서 내부망 이동을 하게 된다. 

네트워크에 완전히 액세스하기 전까지 며칠, 또는 몇 주 동안 아무런 일을 하지 않는 경우가 많다. 그런 후 랜섬웨어 공격을 한다. 특정 프로세스에 대한 액세스가 반드시 필요한 경우, 신뢰할 수 있는 소스만 액세스를 허용한 포트에 액세스할 수 있도록 만들어야 한다.

그룹 정책을 설정해 윈도우 방화벽을 제어하려면 컴퓨터>정책>윈도우 설정> 보안 설정>고급 보안을 이용한 윈도우 방화벽 아래 그룹 정책 구성에 액세스한다. 또한 설정을 검토하는 파워쉘 명령인 Get-NetFirewallProfile로 방화벽 정책을 설정할 수 있다. 명령줄 명령인 netsh advfirewall show allprofiles를 사용할 수도 있다.

방화벽 정책을 설정할 때 네트워크에 적용하고 있는 조직 단위를 기준으로 생각을 하고, 이를 정책의 경계로 간주한다. 이런 자연스러운 조직 단위 경계를 사용하면 내부망 이동을 제한할 수 있다. 승인된 사용자만 승인된 컴퓨터에서 액세스를 하도록 윈도우 방화벽 규칙을 설정할 수 있다. 먼저 안전한 (보안) 연결만 허용되도록 연결을 설정한다.



이렇게 한 후, 특정 사용자나 컴퓨터로 액세스를 제한할 수 있다.



윈도우 방화벽의 로컬 원칙, 원격 사용자 및 원격 컴퓨터 탭에서 특정 사용자 및 컴퓨터와만 통신을 하도록 설정할 수 있다. 꽤 오래 전에 구현된 IPsec을 사용, 워크스테이션과 서버 간 통신을 안전하게 만들 수 있다. 인바운드 및 아웃바운드 트래픽 모두를 대상으로 연결을 설정할 수 있다.

editor@itworld.co.kr 

 


2020.02.04

How To : 윈도우 방화벽 설정을 통한 네트워크 액세스 제한 방법

Susan Bradley | CSO
네트워크를 적절히 보호하기 위해서는 누가 네트워크에 액세스했는지, 어디에 민감한 정보들이 위치해 있는지 알아야 한다. 액세스를 더 철저히 통제하기 위해 가장 먼저 할 일은 동일한 서브넷에 위치한 장치들 가운데 정말 중요한 비즈니스 니즈에 요구되는 장치에만 액세스를 허용하는 것이다.
 
ⓒ Getty Images Bank 

인터넷 보안 센터는 서버에 저장된 정보를 분류해서, 이를 기준으로 네트워크를 분리하는 것이 좋다고 권고하고 있다. 방화벽 필터링을 통해 VLANS를 분리시켜 민감한 정보를 보관해야 한다. 이를 통해, 승인된 사람만 자신의 책임을 이행하기 위해 필요한 경우에만 시스템과 통신할 수 있도록 만들어야 한다.

래피드7은 민감도를 기준으로 네트워크의 데이터를 분류하라고 충고한다. 기업 니즈를 토대로 몇몇 수준을 규정할 수 있다.  

- 수준 1: 일반 대중이 소비할 데이터 자유롭게 공개할 수도 있는 데이터
- 수준 2: 일반 대중에게 공개하지 않는 내부 데이터
- 수준 3: 공개되면 기업에 영향이 초래될 수 있는 민감한 내부 데이터
- 수준 4: 아주 민감한 기업, 직원, 고객 데이터

수준 1은 일반 대중이 액세스하도록 설정을 하는 것이기 때문에, 공개 데이터가 아주 민감한 데이터와 동일한 서버에 저장되지 않도록 만들어야 한다.


윈도우 방화벽 규칙 설정

워크스테이션 수준에서도 호스트 기반의 방화벽을 설정, 필요한 최소한의 액세스만 허용해야 한다. 이미 이렇게 하고 있다면, 네트워크의 워크스테이션에 대한 윈도우 방화벽을 활성화시키고, 그룹 정책을 사용해 적절히 방화벽 규칙을 설정한다. 

윈도우 방화벽은 공격자의 내부망 이동을 막는데 도움을 준다. 예를 들어 설명하면, 공격자는 통상 PsExec 같은 OTS(Off-the-Shelf) 도구들과 명령줄 유틸리티, 이터널 블루 익스플로잇 등을 이용한다. 윈도우 방화벽을 사용해 엔드포인트 간 SMB(Server Message Block)과 RPC(Remote Procedure Call)을 차단하면 공격자가 초래하는 영향을 억제할 수 있다.

기본값으로 윈도우 방화벽을 활성화시키고, 인바운드 연결을 차단해야 한다. 침해되는 부분이 없도록, 정기적으로 워크스테이션을 대상으로 설정해둔 규칙들을 검토해야 한다.



가능하다면, RCP 포트(TCP 포트 135) 및 SMB(TCP 포트 445)로의 아웃바운드 연결을 차단하는 그룹 정책을 설정한다. 주의해야 할 것은 SMB가 필요한 구형 애플리케이션의 포트 445 차단이 어려울 수 있다. 이 경우, 네트워크에 초래되는 영향을 테스트한다.


원격 데스크톱 프로토콜 사용 주의

서버 및 워크스테이션 액세스에 원격 데스크톱 프로토콜(RDP)(TCP 포트 3389)을 사용하고 있다면, 이 정책 또한 재고해야 한다. 

랜섬웨어 공격자들은 자격 증명이 침해된 사이트에서 수집한 사용자 이름과 비밀번호를 이용해 네트워크를 공격한다. 수집한 자격 증명을 사용해 RDP를 통해 네트워크에 대한 액세스 권한을 획득한 이후에는 네트워크 내부에서 내부망 이동을 하게 된다. 

네트워크에 완전히 액세스하기 전까지 며칠, 또는 몇 주 동안 아무런 일을 하지 않는 경우가 많다. 그런 후 랜섬웨어 공격을 한다. 특정 프로세스에 대한 액세스가 반드시 필요한 경우, 신뢰할 수 있는 소스만 액세스를 허용한 포트에 액세스할 수 있도록 만들어야 한다.

그룹 정책을 설정해 윈도우 방화벽을 제어하려면 컴퓨터>정책>윈도우 설정> 보안 설정>고급 보안을 이용한 윈도우 방화벽 아래 그룹 정책 구성에 액세스한다. 또한 설정을 검토하는 파워쉘 명령인 Get-NetFirewallProfile로 방화벽 정책을 설정할 수 있다. 명령줄 명령인 netsh advfirewall show allprofiles를 사용할 수도 있다.

방화벽 정책을 설정할 때 네트워크에 적용하고 있는 조직 단위를 기준으로 생각을 하고, 이를 정책의 경계로 간주한다. 이런 자연스러운 조직 단위 경계를 사용하면 내부망 이동을 제한할 수 있다. 승인된 사용자만 승인된 컴퓨터에서 액세스를 하도록 윈도우 방화벽 규칙을 설정할 수 있다. 먼저 안전한 (보안) 연결만 허용되도록 연결을 설정한다.



이렇게 한 후, 특정 사용자나 컴퓨터로 액세스를 제한할 수 있다.



윈도우 방화벽의 로컬 원칙, 원격 사용자 및 원격 컴퓨터 탭에서 특정 사용자 및 컴퓨터와만 통신을 하도록 설정할 수 있다. 꽤 오래 전에 구현된 IPsec을 사용, 워크스테이션과 서버 간 통신을 안전하게 만들 수 있다. 인바운드 및 아웃바운드 트래픽 모두를 대상으로 연결을 설정할 수 있다.

editor@itworld.co.kr 

 


X