안녕하세요
선배님들로부터 많은걸 배우고 있는 제조업의 전산인 입니다.
정말 질문이 끊임없이 나온다는게 신기하지만 이번엔 서버보안 관련 질문이 있어 글 남깁니다.
현재 제가 다니는 회사는 구축형의 서버를 운영중에 있습니다. 해당 서버를 보호하기위해 서버백신과 방화벽, 포트변경 등 기본적인 셋팅은 해둔 상태입니다.
여기서 문제가 발생하는데..
1.얼마전부터 외국IP로부터 서버를 지속적으로 침투하는 기록을 확인하고 방화벽에 해외 IP로부터 접속을 모두 차단을 시켰습니다.
2.그런데.. 그렇게 해외 IP를 모두 차단시키고 나니, 해외기업들로부터 메일도 안들어 오기 시작하게 되었습니다.
기업특성상 외국업체랑 거래를 하는경우도 많고, 신규거래 또한 외국계기업이랑 메일을 주고받는일이 많은데.. 기존 거래업체야 관계가 있다보니, 기업별 서버IP를 받을 수 있겠지만..
회사가 삼성처럼 갑의 개념이 아니다보니 신규업체의 경우에는 우리랑 거래를 하고싶으면 IP를 연결해야된다.. 이런식으로 진행하기 조금 애매하고 어려운 부분이 있습니다.
정리하자면
1.서버를 보호하기위한 방어 및 보안조치가 추가적으로 어떤게 있는지 도움을 구하며
2.방화벽으로부터 해외 IP차단시 거래처 메일까지 안들어오는 문제에 대한 도움을 구합니다.
선배님들의 많은 조언 부탁드리겠습니다.
18개의 답변이 있습니다.
IPS를 두고 블랙/화이트 리스트로 필요한 ip는 허용하고 그외 불법사이트는 차단을 해줘야 하구요 특정 ip나 패킷 등 모니터링을 통해 차단 하면 되겠습니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입화이트리스트 방식을 적용하신 듯 합니다.
접근대상을 확실하게 제어가 가능하면 적절한 방식이지만, 현 문제는 블랙리스트 방식이 나을 것 같습니다.
다른분들 댓글처럼 로그나 여러 이슈를 참조하여 문제가 있는 곳만 차단하세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입솔루션상담실을 이용바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입국가 단위로 차단하신 것으로 보이는데, 지속 모니터링을 통해 침해 시도하는 IP만 차단하는 것을 권장드립니다.
아.. 국가단위 차단시 문제가 많이 될까요??
조언 감사드립니다. 다른분들말씀도 종합해보면 접속하는 IP만 차단하는게 좋을것같네요..ㅠㅠ
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입선택적 보안 조치를 할 수밖에 없습니다.
해당 IP를 우선 차단하고 로그 몬터링하면서 계속 차단할수밖에요.
아니면 다 차단하고 필요한 ip만 허용해도 됩니다.
서버단인지 방화벽단인지 먼저 구분하시고 방화벽단에서 처이하시는게 맞습니다.
지속적인 모니터링이 가장 중요한건 저도 이번에 체감했습니다.
감사합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽모델을 모르겠으나. 아마 특정 국가 차단 기능과 서비스(메일)별 설정기능이 있을거예요.
IP보다는 특정국가차단을 하시고 메일은 오픈하고. 스팸에서 관리하시는게 좋을것 같습니다.
맞습니다.
해당 모델에 기능이 있어.. 해외국가 ip를 모두 차단하게되면 해외서버를 거쳐서 들어오는 거래처 메일 조차도 안들어오더라구여ㅠㅠ
그래서 곤란하고 .. 난감한 상황입니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입서버 어디에 공격 ip가 찍힌단 말씀이신가요?
서버방화벽 말씀이신가요 아니면 서버 접속로그 말씀이신가요?
어디냐에 따라 문제가 상당히 달라지는데..
망구성부터 잘못되어있을 가능성이 있네요..?
서버 접속 로그쪽입니다.
무슨 문제가 생길수 있고 어떤 조치를 할수있을까요...;;
걱정됩니다..
서버방화벽이 따로 없는건가요?
외부ip가 서버 access log에 찍혔다는건 외부에서 서버로의 직접접근이 가능하단 소리고,, 관문방화벽하고 서버방화벽 모두에서 내부 서버팜으로의 inbound를 모두 차단해야 합니다.
혹시 사용자망과 서버팜 네트워크 분리가 안되어 있나요??
간혹 보안구성이 전혀 안된경우엔 외부에서 기업 서버에 3389 직접접속도 다 열어놓고 그러던데...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입특정된 IP가 아닌 이상 IP로 차단 관리하기는 어렵습니다.
기본적으로 서버의 모든 포트를 차단하시고 외부와 통신이 필요한 서비스 포트만 허용하시고,
통신하는 서비스의 IP 대역에가 있다면 IP까지 추가해서 하는게 좋지 않을까 생각됩니다.
모두를 막고 하나씩 푸는 방향이 낫다는말씀이시죠...
고지식한분들 설득시키는 방법도 준비해봐야겠네요 감사합니다..
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입해외 IP라고 무조건 차단하는 것 보다는 로그를 기반으로 해서 차단시키는 것이 맞을 걸로 보이네요.
방화벽이나 인터넷에 노출되어 있는 서버에 인증 실패 횟수가 몇번 이상되는 IP들을 추출해 내어서 그 IP들에 대해 whois 조회를 해서 국적이 어떻게 되는지는 확인해서 방화벽 차단으로 등록 처리하면 될 것 같네요.
이 작업을 리눅스에서 자동으로 처리하는 스크립트를 전에 만들다가 시간이 부족해서 거의 완성해 두고서 마무리 작업을 하지 못했는데... ^^;;
하루에 한번 정도 auth.log, secure 등의 log file을 체크해서 whois 조회해서 국적 확인하고 ipchain에다 등록하도록 하는 방식으로 만들면 되다 보니... ^^
맞습니다. 해당사이트에서 조회하여 네덜란드쪽에서 침입함을 확인하여 네덜란드쪽은 거래할일이 아예없어 차단을 해둔상태이긴 합니다.
그럼 전체보다는 이런식으로 주기적인 로그관리를 통해 접속시도하는 지역을 차단하는 방식으로 가는게 나을수도 있겠네요..
이런 기능을 만드실수 있다니 대단하십니다!
조언 감사드립니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입메일을 사용하고 있다면 스팸서버가 있어야 하고 방화벽에서 거래처 업체 고정IP등록후 Port 등록 하시고
22Port는 되도록이면 오픈하시지 마시기 바랍니다.
우선 말씀주신대로 메일 상단에 스팸서버는 존재합니다. 별도의 스팸서버를 통해 스팸은 잡고있 있습니다 감사합니다!
22PORT 를 오픈하지 말라는 말씀은 검색해보니 FTP 같긴한데 아직 전문지식이 부족해 더 찾아보고 조심하겠습니다
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입