주요정보통신기반시설 유닉스(Unix) 서버 U-18 접속 IP 및 포트 제한

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-18 접속 IP 및 포트 제한 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)를 기준으로 진단 및 실습합니다.

 

항목명		접속 IP 및 포트 제한
항목코드		U-18
위험도		상
점검내용		허용할 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검
점검목적		허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지하기 위함

보안위협		허용할 호스트에 대한 IP 및 포트제한이 적용되지 않은 경우, Telnet, FTP 같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해 사고가 발생할 수 있음 ※ TCP Wrapper: 네트워크 서비스에 관련한 트래픽을 제어하고 모니터링 할 수 있는 UNIX 기반의 방화벽 툴 ※ IPFilter: 유닉스 계열에서 사용하는 공개형 방화벽 프로그램으로써 Packet Filter로 시스템 및 네트워크 보안에 아주 강력한 기능을 보유한 프로그램 ※ IPtables: 리눅스 커널 방화벽이 제공하는 테이블들과 그것을 저장하는 체인, 규칙들을 구성할 수 있게 해주는 응용프로그램
판단기준	양호	접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정한 경우
	취약	접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정하지 않은 경우
조치방법		OS에 기본으로 제공하는 방화벽 애플리케이션이나 TCP Wrapper와 같은 호스트별 서비스 제한 애플리케이션을 사용하여 접근 허용 IP 등록

 

■ 실습

해당 점검항목은 유닉스 서버의 TCP Wrapper(/etc/hosts.deny, /etc/hosts.allow) 또는 iptables 설정(허용 호스트 및 서비스만 설정) 유무를 확인하여 양호/취약을 판단합니다. TCP Wrapper 같은 경우에 /etc/hosts.deny, /etc/hosts.allow 파일에 허용 호스트 및 서비스(sshd, mysql, sendmail, pop, vsftpd 등)가 필요 여부를 확인해야 합니다. iptables 같은 경우에 INPUT, FORWARD, OUTPUT 정책에 출발지, 목적지, 서비스명 등 허용/차단 정책을 확인하여서 TCP Wrapper과 마찬가지로 필요 여부를 확인해야 합니다.

• #cat /etc/hosts.deny : 특정IP만 차단하거나 모든IP 및 서비스 차단을 할 수 있습니다.(ex. SSH: ALL)
• #iptables -L : 방화벽 설정 목록

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.