iptables 방화벽을 사용하여 해커로부터 네트워크를 보호하는 방법.
침입 탐지 및 격리 시스템으로 보호되는 원격 네트워크에서도 해커는 여전히 다양하고 정교한 침입 방법을 찾고 있습니다. IDS/IPS는 네트워크를 장악하려는 해커의 공격을 막거나 줄일 수 없습니다. 부적절한 구성으로 인해 공격자는 배포된 모든 보안 조치를 우회할 수 있습니다.
이 글에서는 보안 엔지니어나 시스템 관리자가 이러한 공격을 피할 수 있는 방법을 설명하겠습니다.
거의 모든 Linux 배포판에는 Linux 호스트에서 실행되는 프로세스와 애플리케이션을 보호하기 위한 방화벽이 내장되어 있습니다. 대부분의 방화벽은 IDS/IPS 솔루션으로 설계되었습니다. 이러한 설계의 주요 목적은 악성 패킷이 네트워크에 진입하는 것을 탐지하고 방지하는 것입니다.
Linux 방화벽에는 일반적으로 iptables와 ipchains 프로그램이라는 두 가지 인터페이스가 있습니다(LCTT 번역: systemd를 지원하는 시스템에서는 최신 인터페이스인 방화벽이 사용됩니다). 대부분의 사람들은 이러한 인터페이스를 iptables 방화벽 또는 ipchains 방화벽이라고 부릅니다. 두 인터페이스 모두 패킷 필터로 설계되었습니다. iptables는 이전 패킷을 기반으로 결정을 내리는 상태 저장 방화벽입니다. ipchains는 이전 패킷을 기반으로 결정을 내리지 않으며, 상태 비저장 방화벽으로 설계되었습니다.
이 글에서는 커널 2.4 이후 등장한 iptables 방화벽에 초점을 맞춰보겠습니다.
iptables 방화벽을 사용하면 커널에 특정 패킷을 처리하는 방법을 알려주는 정책이나 순서가 지정된 규칙 세트를 만들 수 있습니다. 커널에는 Netfilter 프레임워크가 있습니다. Netfilter는 iptables 방화벽의 프레임워크이자 프로젝트 이름입니다. 프레임워크로서 Netfilter를 사용하면 iptables 후크를 설계하여 패킷 기능을 조작할 수 있습니다. 간단히 말해서, iptables는 Netfilter 프레임워크를 사용하여 패킷 데이터 필터링과 같은 기능을 구축합니다.
각 iptables 규칙은 테이블의 체인에 적용됩니다. iptables 체인은 패키지의 유사한 특성을 비교하는 규칙 세트입니다. nat 또는 mangle과 같은 테이블은 다양한 기능 디렉터리를 설명합니다. 예를 들어, 맹글 테이블은 패키지 데이터를 수정하는 데 사용됩니다. 따라서 여기에는 패킷 데이터를 수정하기 위한 특정 규칙이 적용되고, 필터 테이블은 패킷 데이터를 필터링하므로 필터링 규칙이 필터 테이블에 적용됩니다.
iptables 규칙에는 일치 세트와 규칙을 준수하기 위해 패킷으로 수행할 작업을 iptables에 알려주는 Drop 또는 Deny와 같은 대상이 있습니다. 따라서 대상 및 일치 세트가 없으면 iptables는 패킷을 효율적으로 처리할 수 없습니다. 패킷이 규칙과 일치하면 대상은 수행될 특정 작업을 가리킵니다. 반면, iptables가 이를 처리하려면 각 패킷이 처리되기 전에 일치해야 합니다.
이제 iptables 방화벽이 어떻게 작동하는지 알았으니, iptables 방화벽을 사용하여 스푸핑된 주소를 감지하고 거부하거나 삭제하는 방법을 살펴보겠습니다.
보안 엔지니어로서 원격 스푸핑된 주소를 처리할 때 가장 먼저 취하는 단계는 커널에서 소스 주소 확인을 활성화하는 것입니다.
소스 주소 확인은 네트워크에서 오는 것처럼 가장하여 패킷을 삭제하는 커널 수준 기능입니다. 이 기능은 역방향 경로 필터 방식을 사용하여 수신된 패킷의 소스 주소가 패킷이 도착한 인터페이스를 통해 도달 가능한지 여부를 확인합니다. (LCTT 변환 주석: 도착하는 패킷의 소스 주소는 패킷이 도착한 네트워크 인터페이스에서 반대 방향으로 도달할 수 있어야 합니다. 이 효과는 소스 주소와 대상 주소를 간단히 반대로 하면 얻을 수 있습니다.)
수동 작업 없이 소스 주소 확인을 켜려면 다음의 간단한 스크립트를 사용하세요.
으아아아위 스크립트가 실행되면 Enabling source address verify 메시지만 표시되고 줄바꿈은 되지 않습니다. 기본 역방향 경로 필터링 값은 0입니다. 이는 소스 확인이 없음을 의미합니다. 따라서 두 번째 줄은 기본값인 0을 1로 재정의합니다. 1은 커널이 역방향 경로를 확인하여 소스 주소를 확인한다는 의미입니다.
마지막으로 다음 명령을 사용하면 DROP 또는 REJECT 대상 중 하나를 선택하여 원격 호스트에서 스푸핑된 주소를 삭제하거나 거부할 수 있습니다. 하지만 보안상의 이유로 DROP 타겟을 사용하는 것이 좋습니다.
IP 주소 자리 표시자를 아래와 같이 자신의 IP 주소로 바꿉니다. 또한 동시에 REJECT 또는 DROP을 사용하도록 선택해야 하며 두 가지를 동시에 사용해서는 안 됩니다.
으아아아이 문서에서는 원격 스푸핑 공격을 방지하기 위해 iptables 방화벽을 사용하는 방법에 대한 기본 지식만 제공합니다.
위 내용은 Linux 방화벽을 사용하여 로컬 스푸핑된 주소를 격리하는 방법을 가르쳐주세요!의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!