안녕하세요! 1인 전산으로 근무하고 있는 신입입니다!
이번에 DB 서버(windows server 2016)에 랜섬웨어 감염으로 고생을 좀 하게 되어서 질문 드립니다
기존에 공유기 대신 UTM을 사용하고 있었는데 UTM을 사용하는 것보다 공유기+방화벽 장비를 구성하는것이 나을지와 사내보안을 어떻게 해야할지가 감이 잡히질 않아서 도움을 받고자 합니다
클라이언트 70대 가량은 기업용 알약백신 사용중이며, 프로그램 사용으로 방화벽은 모두 해제하고 있고
서버(업데이트중지 중) 또한 방화벽은 해제하고 V3 서버용 백신사용하고 DB는 나스에 일일 백업중이며
단독으로 외장하드 구매하여 추가백업 진행하고 긴급시 사용할 예비서버 구축도 생각하고있습니다,
여기서 추가로 보완할 사항이나 UTM이나 방화벽등에서 보안정책을 어떻게 넣어야할지 도움좀 부탁드립니다!
특이사항으로는 서버에선 종종 원격진행 받을일이 있는편입니다! (80, 443포트 개방사용)
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
10개의 답변이 있습니다.
UTM 이 있는데 왜 방화벽을 별도로 고민하시는지요?
UTM이란 장비가 통합 보안 솔루션으로 방화벽, VPN, IPS의 기능을 모두 가지고 있습니다.
제가 봤을 때 문제는 장비가 있지만 제대로 활용이 안되는 상황으로 보입니다.
보안이란 것은 편하자고 하는 것이 아니고 불편함을 감수하고 하는 것입니다.
해서 우선 포트는 모두 막고 필요한 부분만 필요한 때에 열고/닫고 해야 합니다.
그리고 메일이 가장 취약한데 자체 구축 메일 서버인지 모르겠지만 Spam 서버 사용해서 악성 메일 막아야 합니다. 물론 그 경우도 패턴이 최신 악성 메일을 못 막는 경우 빈번하게 발생합니다. 따라서 직원들 교육도 중요합니다. 의심하고 신고하고.
안티바이러스 소프트웨어는 윈도우 디펜더 좋습니다. 무료이고요.
안녕하세요
공유기 대신 보안스위치를 두는 것은 어떠실까요?
보안스위치 기능중에는 내부 비정상적인 접근 트래픽 확인 등 보안 관제 기능이 있는 서비스가 있으니
서버에 비정상적인 접근을 확인할수 있을 듯 합니다.
서버 백업도 중요 할 것으로 생각 됩니다.
꿀식이 | 2년 이상 전
조언 감사드립니다!
방화벽 정책에 대해 별도 컨설팅을 받으세요
그리고 endpoint 보안을 더욱 강화 해야 합니다
백업도 네트워크로 연결되어 있으니
별도 zone 구성으로 백업 해야합니다
랜섬웨어는 어떻게 하던 걸릴수 있으나
예방과 보안 조치 사항으로 줄일수 있으니
최대한 보안에 신경써야 합니다
꿀식이 | 2년 이상 전
조언 감사드립니다!
클라우드 백업 알아봐야 될 것 같습니다!
방화벽은 기본으로 하시고. 별도 랜섬웨어 장비와 백업도 2차 백업(클라우드, 원격지) 하시길 추천드립니다.
꿀식이 | 2년 이상 전
조언 감사드립니다
서버에서 방화벽 설정시 클라이언트에서 DB연결이 끊어지는 현상이 발생하네요 ㅠ
UTM장비에서 회사에서 필요한 Port만 오픈을 하고 나머지는 차단을 하는게 좋을듯합니다.
꿀식이 | 2년 이상 전
조언 감사드립니다! 현재 UTM업체에선 솔루션을 정확히 못받고 있는데 업체를 바꾸든 문의를 다시 넣든 해야겠습니다!
랜섬웨어는 백업을 받았다고 해서 안심할 수 있는 대안은 아닙니다.
이미 데이터가 랜섬웨어에 감염이 되었다면,
백업을 받은 데이터 또한 감연되었을 가능성이 높아 지는 거니까요.
랜섬웨어를 방지하기 위해선 여러가지 방안이 있는데, 비용이 그만큼 들어가는 부분이라서
어느 정도 선에서 타협을 해야 합니다.
꿀식이 | 2년 이상 전
조언 감사합니다! 한번 겪고나니 두렵네요 ㅠ
DB서버 원격 받을 경우, DB섭 ---(443포트)--- 원격지 로 직접 연결하는 것 보다는
DB섭 ---접속용PC--- 원격지 로 중간에 PC를 두어서 그 PC를 통해 DB원격 받는게 더 안전합니다.
원격자 PC의 보안 수준이 어떨지는 외부자인 우리로서는 알 수 없으니, 차라리 내부PC로 중계기를 하면 PC를 직접 관리 하니 보안에 관한 걱정은 덜 수 있죠.
덤으로 원격하는 애들이 뭘 하고 있는지 감시도 가능하니..
꿀식이 | 2년 이상 전
말씀하신 구성 참고하겠습니다 감사합니다!
요즘 랜섬웨어 감염 경로의 대부분은 메일입니다.
토렌트나 악성 웹 서버, 악성 배너 광고 등을 통한 감염도 있을 수 있지만....
외부에서 해커가 내부 방화벽을 무력화 시키면서 직접들어올 가능성은 거의 없습니다.
UTM 등의 스팸 필터, 안티 바이러스 등의 기능이 포함되어 있긴 하지만...
내부 사용자가 외부로 부터 악성 코드를 안으로 끌어들여서 감염시키는 형태를 원천적으로 차단하기는 쉽지 않을거라 보여 지고요.
UTM이나 DLP, 백신 등의 정책등을 강화해서 사용한다면 사용에 불편이 있을 수도 있을 것 같고...
UTM이나 일부 보안 솔루션을 도입했다 해서 외부 공격을 원천 차단할 수 있는 방법은 있지는 않겠고요.
지금 환경에서 도입할 수 있는 최선의 솔루션을 도입해서 대비할 필요성은 분명히 있지만...
내부 사용자 교육 등이 우선적이라 생각되네요.
그리고, 서버에서는 일반 사용자가 인터넷 작업을 하지 않도록해야 합니다.
서버가 랜섬웨어로 부터 공격을 당했다는 건, 서버에서 인터넷에 접속했거나 메일 등을 확인했을 가능성이 높고요.
아니면 서버 특정 폴더들을 읽기/쓰기로 공유 설정해 뒀기 때문에 서버 자체가 랜섬웨어에 간염된게 아닌데도 공유된 폴더에 있는 파일들이 랜섬웨어 공격으로 암호화되었을 수도 있겠고요.
랜섬웨어에 대한 대비라면...
사용자 교육 및 사용자들에 대한 통제가 우선적으로 시행되어야 할 것 같고...
그리고, 백업과 안티 랜섬웨어 솔루션을 도입해서 보완하는게 우선되어 줘야 할 것 같아 보이네요.
꿀식이 | 2년 이상 전
현재 감염경로 파악이 힘드네요 ㅠ
백업과 안티랜섬 진행하여 보완해야겠습니다 조언감사합니다!
UTM = 공유기 + 방화벽 + 기타(IPS, VPN)
UTM에서 안되는 기능이 있어서 교체하시는 거 아니라면 단순 공유기 + 방화벽으로 교체는 별로이고요.
방화벽에 기본적으로 공유기 기능이 제공됩니다.
일단 UTM에서 DB서버 in/out 모두 차단하시고요
DB서버에서는 딱 접속할 서버만 IP:포트만 개방하세요.
그리고 UTM에서 다른 서버에 대해서도 inbound를 모두 차단하시고
외부에서 서비스는 하는 서버의 포트가 개방하세요. ex) 홈페이지:80, 443
그리고 outbound도 차단을 권유드리고 싶지만 일이 커질거 같으니 정책을 세워서 대체적으로 차단정책으로 가세요.
마지막으로 웹 취약점 점검도 받으세요.
꿀식이 | 2년 이상 전
어떤 포트 개방해야 할지 아직 파악이 어려운데 알아보고 참고해야겠습니다!
조언 감사드립니다!
방화벽을 모두 해제하는 부분 문제가 발생할 여지가 커서, 필요한 부분만 별도 포트만 오픈하시고,
클라이언트도 보안 업데이트는 지속적으로 하는 것을 추천드립니다.
저희는 랜섬웨어 대비 별도 솔루션을 추가로 운영하고 있습니다.
꿀식이 | 2년 이상 전
의견 감사드립니다! 참고하겠습니다!