최근에 장비실 공사가 있어서 잠시 장비 전원을 차단을 하였습니다.
추후 공사 이후 전원을 올리고 정상적으로 서비스는 동작중인데
공사 완료 이후 서비스 동작 여부를 확인하고 퇴근 했을 무렵부터 포트스캐닝을 시도하는 패킷이 방화벽 장비에 기록되어있더군요..
약 일주일정도 지속적으로 시도중인데 이것이 정확히 공격으로 의심되는 포트스캐닝인지 아니면 서비스가 다시 재기동하면서 곳곳에서 접속 시도를 한것인지 전산관리자 3개월차인 저로서는 잘 판단이 서지를 않습니다..
내공이 깊으신 선배님들의 도움이 필요합니다!
요약
1. 58.176.39.200/ 219.78.117.250/ 116.48.45.186 ....등등 다양한 IP로 10~20차례 정도 포트번호를 바꾸면서 접속 시도
2..현재는 장비에서 자체적으로 패킷을 DROP 시키면서 차단중 (장비 기능)
궁금점
1. 공격을 목적으로 하는 포트스캐닝인지 아니면 누군가 시스템 확인용으로 하는 것인지 구분을 짓는 방법
* 물론 관리자라면 저렇게 말도 안되는 방법으로 시도하지 않을것이라는 것은 알고 있습니다.. 그래도 선배님들이라면 어떻게 판단하시는지! 듣고 싶습니다.
2. 장비에서 일단 차단을 하고 있는데 이것을 그냥 두고 있는 것이 맞는지 아니면 조치를 해야하는지! 조치라면 어떤 조치가 있는지!
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
2개의 답변이 있습니다.
단순히 ip 주소를 잘못 입력해서 접속 시도를 할 수도 있고, 심심 풀이로 무작위 접속 시도를 해 볼 수도 있고, 취약점이 있지 않나 해서 공격 대상으로 접속 시도를 해 볼 수도 있고요.
공인 ip가 할당되어 있다는 자체가 상시적으로 위험에 노출되어 있다고 보면 될것 같고요.
이러한 이유 때문에 방화벽 장비가 필요하고, 다양한 보안 기술이 필요하고, 최신 패치 적용이 필요한 것이고, 보안 담당자가 필요한 것이고요.
한두번 접속 시도 있었다는 것에 심각성을 부여할 필요는 없을 것 같고요.
접속이 필요한 곳에 대해서는 접속 가능하게 최대한 열수 있는 방법을 찾아야야 할 것이고, 접속이 불 필요한 곳에서는 접속이 불가능하도록 최대한 차단할 수 있는 방법을 찾아야 하는 것이고요.
일시적인 접속 시도인지, 아니면 지속적인 접속 시도인지, 단순한 접속 시도인지 공격을 위한 접속 시도인지, 허용해 줘야할 접속 시도인지 차단 시켜야할 접속 시도인지를 판별해 내는 것이 중요할 것 같네요.
enterenable | 약 5년 전
샘플 3개 IP 모두 홍콩이네요...
홍콩에서 이쪽으로 포트스캐닝이 필요한 서비스가 있으면 정상일 수 있고요..
하지만 그런 서비스가 있을까요?
아니라면 드롭하셔야죠...
그리고 해당 IP들은 block 하셔야죠..
enterenable | 약 5년 전