안녕하세요.
국내 금융사의 해외법인에서 정보보안 업무를 담당하고 있습니다.
한국에 있을 때는 주로 취약점, ISMS 인증, 엔드포인트 보안 부분을 담당했었는데요.
해외로 와서는 네트워크쪽 보안도 담당하게 되니 낯선 부분이 많네요..ㅠㅠ
한국 본사에서 해외 공격지 IP를 차단하라고 하는데,
IP 국가 조회해보면 제가 근무하고 있는 국가이고
방화벽, IPS 네트워크 보안장비 조회해도 정상적인 접속 로그만 있을 뿐 공격 시도는 안 보이구요.
괜히 차단했다가 저희 서비스 접속되지 않는다고 문의 전화만 올 것 같은 상황입니다.
그래서 제가 질문하고 싶은 건,
DMZ 구간으로 들어오는 외부 공인 IP 1개가 실제로 얼마나 많은 클라이언트(사설IP)를 포함하는지 알고 싶습니다.
가정집 1개 규모인지, 아파트 1개동 규모인지, 아파트 단지 전체 규모인지 등등이요.
5개의 답변이 있습니다.
DMZ 구간으로 들어오는 외부 공인 IP 1개가 실제로 얼마나 많은 클라이언트(사설IP)를 포함하는지 알고 싶습니다.
: 공인ip 1개를 가지고 몇개가 될수 있고
수십개의 NAT ip가 쪼개져 있는지는
알수 없습니다
방화벽과 ips에서 특정 ip를 통해 트래픽 유발되는걸 확인할수 밖에 없는거죠
공인 ip 개당 사설 ip 숫자는 진짜 범위가 너무 다양해서 일반적인 상황을 알기 어렵고
평균도 크게 의미 없어 보입니다.
다만 제 추측으로는 예전에 구성된 환경에서는 공인 ip 수가 좀 여유가 있어서 상대적으로
대응하는 사설 ip 숫자가 적지 않을까 합니다.
공인 IP 하나가 얼마나 많은 사설 IP를 포함하는지를 알려면 해당 공인 IP를 사용하는 네트워크의 내부 환경을 알 수 있어야 가능할 것 같네요.
해당 네트워크를 해킹하기 위해 분석할게 아니라면 얼마나 많은 사설 IP를 가지고 있는지 아는게 도움되는 것도 아닐것 같아 보이고요.
해당 공인 IP에 대해 whois 조회를 한번해 보세요.
그러면 해당 공인 IP가 어느 기관 소유이고, 해당 기관에 할당된 공인 IP 범위가 어떻게 되고 담당자 메일 주소가 어떻게 되고, 기관의 주소가 어떻게 되는지 하는 정보들을 알 수 있습니다.
IP를 소유하고 있는 기관에서 우리 서버 쪽으로 접속해 들어올 만한 이유가 있다면 차단하면 안될 것이고, 들어올 이유가 없는 곳이라면 차단 처리하면 되겠고요.
그리고 접속 로그를 확인해서 로긴 실패횟수를 확인해 보세요.
로긴을 실패하면서 반복적으로 로긴 시도를 하는 IP라면 차단이 필요한 IP로 분류할 필요가 있습니다.
허용되지 않은 접속을 반복적으로 로긴 시도하는 IP들을 찾아 내어서 방화벽에서 접근 차단 등록을 해 주면 공격지 IP들을 차단하는 작업이 되겠네요.
왠만한 B2C용 서비스라면 대역을 제한하거나 특정 IP를 차단하는 이슈에 대해 신중할 필요는 있는데 해당 질문의 범위는 굉장히 넓습니다.
기본적인 상태 이상의 시스템이라면 공격형태의 커넥션을 로그로 남기거나 알림으로 위험을 알려주는게 정상이라고 생각이 들구요, 일반적인 시스템에서 우리 페이지를 초당 몇번이나 호출하느냐로 판정하시는게 맞을듯 합니다.
보통 1개의 IP가 초당 2-3번이상의 로드를 불러온다면 이상하다고 볼 수 있는데, 이마저도 서비스가 메신저 같은거라면 더 잦은 통신이 발생할수도 있구요. 웹페이지 형태라면 초당 10회 내외가 되지 않을까 하는데 웹페이지가 아닌 서비스라면 그에 따른 1인당 초당, 분당 최대 커넥션 정도를 잡고 그에 따라 대응하시는게 맞을거라고 봅니다.
초당 10회이상, 분당 300회이상의 커넥션과 페이지 호출등이 발생한다면 일반적인 케이스는 아닐 수 있다고 보고 그걸 최대한 넉넉하게 판정해줘도 한국으로 치면 네이버의 메인페이지 정도가 아닌 이상 한 대역에 묶여서 공유를 하는 서비스를 쓴다고 해도 과한 호출이 일어나긴 어렵다고 봐야 할 것 같습니다.
사실 이 부분은 귀에걸기 따라 코에 걸기 따라 다른데, 1개의 공인 IP가 몇개의 사설 클라이언트를 이용할 수 있냐의 문제보단 평균적으로 1개의 이용자가 정상적인 접속을 시도할 때 어느정도의 접속률을 보이냐에 따라 적정 배율로 그 이상의 트래픽이나 호출이 발생할 때 안전범위까진 로깅, 위험이상의 범위라면 차단을 하도록 DMZ등에서 정리하실 수 있도록 하는게 옳다고 생각됩니다.
실제로 DMZ단에서 로그가 남아있으실 테니 일반적인 사용자의 접속에 따른 평균적인 호출이나 트래픽량은 어느정도 검증 가능하실거라고 생각되구요.
아이피 수십 수백개 차단해도 그런 민원 안들어와요.
민원들어오면 해당사유를 알려주시면 됩니다.
공인아이피 하나를 몇개가 공유하는 문제는
하는 사람의 맘이라서
몇개가 정답이라고는 없습니다.
동시 사용자가 많으면 좀 낮추고
사용자가 많으면 높일 여력이 있겠죠.
케바케입니다
거북이 | 일 년 이상 전
답변 감사합니다.