방화벽 점검 중 PC - AD서버간 139, 445포트가 연결 되어 있는 것을 보고, 포트 제거를 적용 했습니다
(해당 정책에 53, 88, 139, 445 등등 정책 하나에 여러 포트가 물려 있어서 해당 포트만 제거했죠)
근데 그 후로 새 PC를 AD에 조인 하려고 할 떄마다 네트워크 경로를 찾을 수 없다면서 조인이 불가능 하더군요
알고보니 445포트로 AD연결 하려는데 445를 정책에서 뺴버렸으니 자꾸 디나이 시켜버렸던 것 ;;
그래서 일단 445 넣고 해보니 정상적으로 조인 하더군요.. 허....
취약 포트라서 제한하려 했는데, 제한하면 AD조인이 안되는 문제가 발생해버리네요
차선책으로 IP 하나에만 445포트 연결하게 하고, PC세팅 시 그 IP로 세팅/조인하고 IP 바꾸는 귀찮은 작업을 하고 있습니다...
다만 AD / 방화벽 담당하시는 분들은 445포트 어떻게 제한하시나요 ??
5개의 답변이 있습니다.
445 포트 안쓰고 가능한 방법(포트변경)이 있었던것 같은데요. 한번 알아보세요
보안 관점에서 SMB 포트라는게 가장 위험하기는 한데
AD의 SMB는 AD 기능중에 아주 큰 역할을 하는 부분이라
이를 막는것이 맞는지 모르겠네요.
AD를 쓰는 이유가 디렉토리 서비스의 계정 관리만이 목적이 아니라
그룹정책이나 로그온 스크립트 같은것도 관리에 있어서 큰 부분을 차지하는데
이 부분이 AD 서버에서 기본 공유되는 폴더를 이용합니다.
물론 공유 폴더의 권한 관리는 AD 자체적으로 철저히 관리되기 때문에 이 공유폴더를 억지로 Everyone으로 권한 조정하지 않는 이상
공유 폴더의 내용이 변경될리는 없구요.
무조건 445, 139를 막는것보다는 현황을 파악하여 필요한 서버들에 대해서만 막는게 좋을것 같네요.
AD 서버에서 445, 139를 막는다면 도메인 참가뿐 아니라 여러가지 기능에서 문제가 발생할듯 하네요,.
외부와의 연결은 기본적으로 차단시키고, 꼭 필요한 것만 허용 시키는 방식으로 하는 게 좋을 것 같고...
내부와의 연결은 기본적으로 모두 허용하고 필요하지 않는 것은 차단하는 게 좋지 않을까 싶어 보이고요.
AD 서버와 연결은 가능한 모두 허용하는 걸로 정책을 설정해야 하지 않을까 싶어 보이네요.
가장 강력한 보안을 원한다면 네트워크 자체를 끊어 버리면 되겠고요.
구더기 때문에 장을 담지 못해서는 안되겠고...
필요하기 때문에 연결한것 그 필요한 건 얻을 수 있도록 하면서, 위험성을 최대한 막을 수 있는 방법을 찾는게 현명하겠네요.
위험하기 때문에 필요하지만 하지 말자는 잘못된 선택이라 생각되네요.
AD 조인때 특정 포트를 제한되게 하고싶다면...
netsh advfirewall firewall 명령을 batch file에 넣어서 AD 조인시 실행되게 해 주면 되지 않을까 싶어 보이고요.
AD 와는 별개로 NAS 스토리지를 사용 할 경우
CIFS (윈도우 공유) 공유를 사용할 경우에 해당 139 포트와 445 포트를 사용하고 있습니다.
redhairadol | 2년 이하 전
저희도 NAS를 써서 그 포트를 쓰긴 합니다 ㅠㅠ
AD에도 445를 열어야 하는게 승질입니다 ㅠㅠ 공유할 이유가 없는 서버인데두 취약포트를 열어야 한다니 ㅠㅠ
445포트가 netbios smb 포트라...
외부단 경계에 있는 방화벽은 139, 445 포트 차단하구요.
내부단 core 방화벽에서도 139, 445 포트 허용해서 사용합니다.
다만, AD 서버의 윈도우 방화벽과 core 방화벽에 내부 접속할 IP대역 설정등은 합니다
좀 귀찮긴 하겠지만 말씀하신 것처럼 한개의 !P만 허용해서
사용하는것도 방법일 수 있겠네요.
redhairadol | 2년 이하 전
하아.. 따른 방법이 없겠군요 ㅠㅠ