Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

예제에서는 --zone=dmz 명령으로 적용할 zone 을 지정했지만 하나의 zone 만 있다면 지정할 필요가 없으며 --permanent 옵션을 제외해서 즉시 반영되지만 방화벽 정책 재구동이나 시스템 재부팅시 정책이 유지되지 않으므로 지속해야 할 정책이라면 --permanent 옵션을 주어서 정책을 만들고 --reload 옵션으로 정책을 지속적으로 반영하는 것이 필요합니다.


IPSec 의 ah 프로토콜 허용

IPSec 의 authentication 헤더를 허용하며 family 를 지정하지 않았으므로 ipv4, ipv6 모두 허용됩니다.

...

Scroll Title
titleauthentication header 허용 삭제
Code Block
$ sudo firewall-cmd --remove-rich-rule='rule protocol value="ah" accept'


ftp 허용

192.168.10.0 대역의 모든 서버에서 ipv4 를 사용하여 ftp 연결을 허용하며 30초마다 로깅을 audit 을 사용하여 기록합니다.

Scroll Title
titleftp 허용
Code Block
$ sudo firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" service name="ftp" source address="192.168.10.0/24" log limit value="30/s" prefix="ftp" audit accept'


베스천 호스트에서만 SSH 접속 허용

중요한 서비스인 SSH 를 보호하기 위해 베스천 호스트(예: 192.168.58.2) 에서만 ipv4 를 사용하여 SSH 연결을 허용합니다.

Scroll Title
title베스천 호스트에서만 ssh 허용
Code Block
$ sudo firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.58.2" service name="ssh" accept'
Note



white list 허용

화이트 리스트인 192.168.20.2 에서 public 존에 대한 모든 연결을 허용합니다.

Scroll Title
title화이트 리스트 허용
Code Block
$ sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.20.2" accept'


black list 연결 거부

블랙 리스트인 192.168.58.10 에서 모든 연결을 거부하고 "icmp-net-prohibited"  ICMP 메시지를 전송합니다.

Scroll Title
title블랙 리스트 거부
Code Block
$ sudo firewall-cmd --zone=dmz --add-rich-rule='rule family="ipv4" source address="192.168.58.10" reject type="icmp-net-prohibited"'


black list 연결 차단(drop)

블랙 리스트인 192.168.58.11 에서 모든 연결을 drop 합니다.

...

Expand

Gist
urlhttps://gist.github.com/lesstif/48c1e31ce6a135b2321f8bb4278f570f



IP 위장 방어

공격자는 공격지를 들키지 않기 위해 패킷의 출발지 IP 주소를 위장할 수 있으며 특히 사설 IP 주소가 설정된 패킷이 인터넷상의 서버에 도착한다면 주의가 필요합니다. 사설 IP 주소의 범위를 클래스 별로 CIDR(Classless Inter-Domain Routing 방식으로 기술해 보면 다음과 같습니다.

...

특히 멀티캐스트는 tomcat 의 세션 클러스터링(기본 설정:  228.0.0.4)시 기본 설정이므로 내부 망과 연결된 존에서는 차단하지 말아야 하며 톰캣 클러스터링이 제대로 동작하는지 확인해 보아야 합니다.


Smurf 공격 방어

스머프 공격은 DOS(Denial of Service) 공격의 일종으로서 공격 대상인 서버의 IP 로 위장한 ICMP 패킷을 전체 네트워크에 브로드캐스팅하는 공격으로 다음과 같은 절차에 따라 공격을 수행합니다.

...