1) RRAS(Routing and Remote Access) 사용
RRAS의 경우 서버 설치시에는 기본적으로 사용안함으로 설정이 되어 있다. 그런 이유 때문인지 이 서비스에 대해서 많은 자료가 존재하지 않는데, 만약 설정을 잘 한 다면, 비싼 침입차단시스템을 쓰지 않고도 비슷한 효과를 낼 수 있다. 그렇다고 침입 차단시스템보다 좋다는 것은 아니다. 침입차단시스템이 있다면 당연히 사용을 하도 록 하는 것이 좋을 것이다. 또한, VPN, NAT, 사내 라우터로도 사용이 가능하다.
아래는 RRAS의 설정 방법이다.
① [시작] [프로그램] [관리도구] [라우팅 및 원격 액세스] 순으로 선택한다.
[그림 58] RRAS 선택
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
② 콘솔 창이 나타나면 서비스가 구성되지 않은 상태로 나타나는데, 서버 아이콘에 마 우스 오른쪽 버튼을 클릭하여 [라우팅 및 원격 액세스 설치 및 구성]을 선택한다.
③ [네트워크 라우터]를 선택한다.
④ 프로토콜 선택창이 나타나는데, 일반적으로 TCP/IP를 사용하므로, 그대로 진행 하도록 한다.
[그림 59] 라우팅 및 원격 액세스 설치 및 구성
[그림 60] 네트워크 라우터 선택
[그림 61] TCP/IP 사용
홈 페 이 지 보 안 가 이 드
⑤ 구성이 완료되면 [IP 라우팅] [일반] 선택하면 메인창에 NIC(Network Interface Card) 리스트가 나타나며, 필터라는 부분이 [사용안함]으로 되어있는 데, 이 부분에서 필터링이 설정가능하다.
⑥ 설정을 원하는 NIC를 선택한 후, 입력필터와 출력필터를 설정한다.
⑦ 입력필터를 설정하도록 하자. 위의 그림에서 입력필터를 클릭하면 추가버튼만이 나타날 것이다. [그림 64]는 먼저 설정을 한 것이다. 아래와 같이 설정을 하면 모 두 닫겠다는 설정이 된다. 조건에 대한 부분은 보안 정책을 어떻게 가져갈 것인가 에 따라 다르다. 두 번째의 조건은 강력하긴 하지만 설정이 복잡하고 일일이 확인 을 해줘야 한다.
[그림 62] RRAS 필터
[그림 63] 입력필터와 출력필터
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
⑧ 필터링 구성은 라우터의 필터링 구성과 유사하다. 아래 [그림 65]는 조건에 맞지 않는 모든 패킷 버리기를 설정하고, 로컬(192.168.192.130)에서 외부 (10.100.100.0/24)에서의 80번 Port로 접속하여 데이터를 가져오기를 원할 경우 의 예이다.
[그림 64] 입력 필터
[그림 65] 인바운드 필터 설정 [그림 66] 아웃바운드 필터 설정
※ 위 설정을 잘못 실행할 경우 서비스가 제대로 이뤄지지 않을 수 있으므로 각별히 신경을 써서 설정하기 바란다. 또한, 이 구성내용은 필터링 리스트를 제외한 나머 지 정보는 다른 시스템에 이전이 되지 않는다. 따라서 대규모 보안 설정을 원할 경우는 IPSec을 사용하길 바란다.
홈 페 이 지 보 안 가 이 드
2) TCP/IP 필터링 옵션을 이용
먼저 필터링을 구성하기 위해서는 컴퓨터 바탕화면에서 [네트워크 환경] 선택 마우스 오른쪽 버튼 클릭하여 [등록정보] 선택 [로컬영역연결] 선택 마우스 오 른쪽 버튼 클릭해 [인터넷프로 토콜(TCP/IP)] 선택 [등록정보] 클릭 [고급] 클 릭 [옵션] 선택 [TCP/IP필터링] 선택 [등록정보] 클릭하여 TCP/IP 필터링 설정화면으로 넘어간다.
기본 설정은 TCP/IP 필터링 사용(모든 어댑터) 확인란에 체크가 되어 있지 않아 필터링 정책이 설정되어 있지 않다. 이 설정은 외부에서 사용자 컴퓨터로의 접근을 할 수 있도록 구성하는 부분이다.
[그림 67] TCP / IP 필터링 설정 시용화면
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
일반사용자가 유해 트래픽을 차단하려고 한다면
단순히 차단하는 게 좋다고 해서 허용을 하지 않을 경우, 기존에 사용하는 기능들 에 문제가 발생할 수 있으므로 서비스별 포트정보를 확인한 후 작업하도록 한다.
지금까지의 설명은 TCP 포트만 설명하였지만, UDP 포트나 IP 프로토콜 부분도 사용 중인 서비스를 제외한 후 포트를 차단하는 방식이다.
※ 세 번째 항목인 IP프로토콜은 모두 허용으로 설정해두고 변경하지 않는다.
TCP/UDP 의 포트 번호는 1 ~ 65535 번까지 존재하며, 1 ~ 1024 국제적 표준 으로(well-known port) 정해져 있다.
◆
TCP/IP 필터링 사용 (모든 어댑터)] 부분을 체크하고◆
[TCP 포트 부분에서 다음만 허용]을 선택한 후 포트를 추가하지 않고◆
[UDP 포트에서 모두허용]을 선택하면 된다.※ 설정이 끝난 후 시스템을 재부팅 하여야 필터링 설정이 적용된다. 참고로 Windows에서 주로 사용하는 서비스 포트 정보는
winnt\system32\drivers\etc\services 파일에 등록되어 있다.
[그림 68] TCP / IP 필터링
홈 페 이 지 보 안 가 이 드
3) IPSEC(Internet Protocol Security Protocol) 기능을 이용한 필터링
Windows 2000에는 IPSEC 기능을 자체적으로 내장하고 있다. IPSEC은 보안 통 신을 위해서 여러 가지 기능을 제공하지만 여기에서는 간단하게 인바운드, 아웃바운 드에 대한 필터링 부분만 설명하기로 한다.
IPSEC을 설정하려면 [시작] [제어판] [관리도구] [로컬보안정책] 더블클릭 [로컬 컴퓨터의 IP 보안정책] 선택한다. 아래 그림은 Windows 2000에서 공유와 관련된 포트인 TCP/139, TCP/445 관련 포트를 막는 예를 보여준다.
① [동작] 메뉴에서 [IP 보안정책 만들기]를 선택한다.
② 필터링 규칙 이름을 임의로 정한다. 기본응답 규칙 활성화 체크를 제거한다.
[그림 69] IP 보안 설정 만들기 [그림 70] 보안정책 마법사
[그림 71] IP 보안정책 이름 [그림 72] IP 보안정책 마법사
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
③ 등록정보 편집이 체크되어 있는 상태에서 [마침]을 누르면 필터링 세부 규칙을 설 정할 수 있는 [공유접근막기 등록정보] 창이 뜬다.
④ PC에서 기본적으로 필터링 규칙만 사용할 것이므로 [추가마법사 사용]체크를 지 운 후 [추가] 버튼을 클릭 한다. 첫 번째 [IP 필터 목록]에서 [추가]를 클릭 한다.
⑤ 이름 칸에“139/445 포트막기”등 임의의 이름을 넣고 [추가]를 클릭 하여 필터 마 법사를 시작한다.
[그림 73] 공유접근 막기 등록 정보1
[그림 76] IP필터 마법사
[그림 74] 공유접근 막기 등록정보2 [그림 75] IP 규칙 등록정보
홈 페 이 지 보 안 가 이 드
⑥ 여기서부터 제일 중요한 부분으로 외부로부터 내부로 들어오는 모든 TCP 139/445번을 막고자 하므로 원본 주소란에는 [모든 IP 주소]를 선택하고 그리고 대상 주소는 [내 IP 주소]를 선택한다.
⑦ IP 프로토콜은 TCP를 선택한 후 [다음] 버튼을 누른 후 외부 쪽의 소스포트는 임 의적으로 바뀌므로 [모든 포트에서]를 선택하고 내 시스템으로는 139번 포트로 접속하므로 139번을 적어놓고 [다음] 버튼을 누른다.
⑧ 화면에서 [속성편집]을 체크되지 않도록 한 후 [마침]버튼을 누르면, 이로써 하나 의 필터링 규칙이 정해졌고 목록에 하나가 정의 되어 있는 것을 볼 수 있다.
[그림 77] 필터 마법사 실행 화면
[그림 78] 필터 마법사
[그림 79] IP필터 목록 확인
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
⑨ ⑤번에서 ⑧번까지 반복하면 필터링을 원하는 모든 프로토콜과 포트를 정의할 수 있다. TCP 445번을 필터링 하는 항목도 만든 후 닫기를 클릭하면 새로운 목록이 만들어진다.
⑩ 이제는 정의된 필터 목록의 동작을 정의해 주어야 하므로 새롭게 만든 필터 목록 을 선택한 후 두 번째 탭인 [필터동작]부분을 선택하고 [추가]를 클릭 한다.
⑪ 139/445번 포트로 접근하는 것을 막기 위해서는“새 필터 동작”을 생성해야 한 다. [추가 마법사 사용]은 체크하지 않게 한 후 생성은 [추가] 버튼을 클릭 하여 거 부를 선택하고 확인을 누른다. 이제 새로운 필터 동작이 생성되었다. 등록해 놓은
[그림 80] TCP / 445필터 추가 등록 정보
[그림 81] 필터 목록의 동작 정의
홈 페 이 지 보 안 가 이 드
⑫ [적용]을 누르면 [닫기] 버튼이 [확인]으로 바뀐다. [확인]을 누르고 [닫기] 버튼을 누르면 [공유접근 막기]라는 새로운 정책이 만들어졌다. 지금까지 해오면서 기타 옵션 및 세부설정이 많이 있으나 개인이 사용하기에는 위의 과정만 따라한다면 간단하게 필터링 부분은 쉽게 설정할 수 있다.
[그림 82] 필터 동작 편집
[그림 83] 공유접근 차단 정책
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
⑬ [로컬보안정책] [동작] 메뉴에서 [할당]을 선택하면 정책이 활성화되고 다시 설 정을 해지하려면 할당된 정책을 선택한 후 [해제]를 선택하면 된다.
마지막으로 만들어진 정책을 할당하고 테스트 해 보면 된다. 위쪽에서 정책을 할당 하기 전에는 공유 폴더로 접근이 가능했지만 아래쪽에는 정책을 할당한 후 공유 폴 더 접근이 불가능함을 확인할 수 있다.
[그림 84] 공유 접근 불가 예