리눅스를 이용한 방화벽 드디어 오늘 사고가 터지다.
글쓴이: airpro / 작성시간: 화, 2006/08/22 - 3:33오후
저희 회사에서는 사내 네트워크 구성이 리눅스를 이용한 매스커레이딩을 통하여 2대의 Gateway를 운영합니다.
문제는 이 방화벽 역할까지 하는 Gateway가 최악의 단점이 있다는 겁니다.
이번에도 방화벽 2대가 싹 날라간것을 보니 정말 대단한 해커가 들어왔다라는 생각이 듭니다.
우회 공격을 하여 버퍼오버플로우 취약점을 이용하여 공격을 한거 같은데, 아무리 룰셋 잘 설정한다 해도 정말
상용 방화벽과 같은 성능은 내지 못하는거 같습니다.
이 참에 사내 네트워크 다운된 사건을 이유로 방화벽 도입을 하자고 위에다가 요청해 볼 생각인데
리눅서 분들은 리눅스 방화벽에 대해서 어떻게 생각하시나요?
(내부에서 서비스가 돌아가는 것이 있습니다. 50메가 전용선)
Forums:
추가
하드를 다른 시스템에서 마운트 하여 보니 정말 사이버 수사대에서 수사를 할수 있는 단서는 완전히 없애고 철저하게 파괴를 시켜 놓았더군요. -_-;;
인재라고 생각합니다.
정품 소프트웨어 사용 캠패인
정품 소프트웨어 사용 캠패인
책임은 누가 지어야 합니까?
1. 리눅스 게이트웨이를 쓰자고 우긴 사람
2. 방화벽을 도입하자고 한사람
3. 시스템 운영팀 직원(신입사원 포함)
그 책임 문제 때문에 리눅스 파이어월을 잘안쓰죠...
사실 상용 방화벽도 리눅스 방화벽으로 구축된 제품이 많습니다.
예를들어 옛날에 국정원 무슨레벨 인증 받았던 bimon
그리고 최근에 abstro 등등 리눅스 방화벽 쓰는 제품이 있습니다.
상용방화벽 보다 떨어진다거나 하진 않습니다.
구축 하는 사람의 능력이겠죠...
실제로 구축할 경우 발생 하는 책임 소제의 문제가 발생 합니다.
사실 그거 때문에 도입을 많이 꺼려하죠.
그리고 잘 관리 해줘야 되는데 그것도 잘안되구요.
제가 생각하는 책임은...
책임자가 집니다. 예를 들어 도입하자고 했을때 최종 결제자.
그리고 그밑으로 결제 하신분들 그게 맞지 않을까요?
도입하자고 한사람은 제안한것이므로 문제가 안되겠죠.
의견 제시 한다고 그게 도입되는건 아니니깐요.
3번은 약간의 책임을 피해 갈 수는 없겠죠.
제 생각은 그렇습니다.
회사에
회사에 ...
규정집이나 사규 같은 것에 있지 않나요 ?
보통 일반적으로 어떤 '결재라인'을 따라서 정식 결재를 받아서 행한 일에서 문제가 발생했을 경우에 그 책임소재에 대한 것이 회사 규정집에 있을텐데요.
저희회사 규정집을 보니 .. 결재라인이 담당 - 과장(대리) - 팀장 - 이사 - 대표이사 이렇게 되어 있을 경우, 문제가 발생했을 경우에는 돈과 관련된 것은 이사가, 돈이 아닌 인사사고(기계가 터지거나 작동하다가 문제가 발생했거나...)일 경우에는 대표이사가, 단순히 기계가 고장났거나 한 경우에는 팀장이 책임지도록 되어 있습니다.
예를 들어서 ...
A 라는 주임이 기안을 잡아서 과장과 협의하여 결재를 올려서 팀장 - 이사 - 대표이사 라인을 따라서 쭉 올라갔는데...
그 기안의 내용이 새로운 설비를 설치하는 것이었다면 ...
그런데, 그 새로 설치한 설비가 고장을 일으켰는데, 그 옆에서 동작시키던 오퍼레이터가 설비에서 튄 나사에 맞아서 전치 2 주 정도의 찰과상을 입었다... 라고 한다면 ...
설비 값 및 각종 보험 ... 이런 건 이사가 담당해서 해결하고 - 물론 이사가 직접하지는 않죠. 이사 책임 하에 한다는 얘기겠죠.
전치 2 주 다친 사람에 대한 피해 보상 및 산재 처리 등은 대표 이사(사장이죠...)의 책임하에 처리하고...
기계 고장나서 고치는 동안 다른 장비를 투입한다든가, 그 기계를 폐기하고 다른 것을 다시 구매한다든가.. 하는 것은 팀장 책임하에 하도록 되어 있습니다.
물론, 실무적인 거야 대리나 과장선에서 알아서들 바삐 뛰어다니겠지만, 최종책임은 저렇게 되어 있다는 거죠.
일단 .. 제가 보기엔 ... 방화벽을 쓰는 걸 최종 승인해준 사람과, 그것을 운영하는 팀에서 책임을 져야 합니다. 어떤 걸 제안한 사람에게 책임을 지우게 하면 그 책임 지는 것을 두려워 해서 아무도 새로운 것을 제안하거나 하지 않게 되기 때문입니다.
현실적으로는 A 주임은 ... 인사고과등에서 어느정도 불이익을 당하겠지만, .. 쩝.. 그런 거야 ... 자기가 일 열심히 해야겠죠 ...
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
보안시스템은 최소
보안시스템은 최소 2가지 이상의 운영체제로 구성되는 것이 좋지요.
두가지 운영체제에 동시에 해박한 지식을 갖추는 것은 어렵죠.
--- 서명 시작
--- 서명 시작 ---
관심과 간섭, 애정과 집착은 동전의 양면과 같다. - 세계정복을 꿈꾸는 오리
질문에 답변하는 법 : http://controller.tvpot.media.daum.net/mflvPlayer.swf?vid=9K53aQisBLc$
아바타 : http://kldp.org/node/71954#comment-339140
--- 서명 끝 ---
사인한 모든사람...
마지막 결재란에 사인한 사람이 제일 큰 책임있고 그 아래로 내려갈수록 적은 책임...
인용: 우회 공격을
버퍼 오버플로우 취약점이 있다는 것이 문제가 되는 것 아닐까요?
마스커레이딩을 통해 내부의 서버가 돌아갈경우, 특정 포트를 통해 그 서버를 해킹하게되면 보통 방화벽 안쪽은 신경안쓰는 경우가 많기 때문에 방화벽을 거치지 않고도 내부를 휘저을 수가 있죠. 그렇게 당한 적이 있습니다.
상용 방화벽같은 그런 경우도 막아주나요? 상용 방화벽을 써보지 않아서.
방화벽은 포트만
방화벽은 포트만 막아줍니다.
원하시는 것은 침입 탐지 시스템(IDS)같습니다.
bof로 들어왔다는 것 까지 알았다면,
취약점에 대한 보고가 이미 있었다는 것이고,
그렇다면 제때 패치 안한 문제도 있어보입니다.
--
Passion is like genius; a miracle.
--
Passion is like genius; a miracle.
내부에 서버
내부에 서버 돌리나요?
어차피 내부에 서버 돌리고 이걸로 뚫렸다면 방화벽 문제가 아니라 서버 관리상의 문제죠.
상용 방화벽장비 들여와도 똑같이 당합니다.
내부에 서버 없다면 Gateway 머신에 대몬들을 띄워놨는지 궁금합니다.
Gateway 머신이 사내에 있다면 대몬 띄울거 하나도 없습니다.
대몬 안띄우면 외부에서 접속 못하므로 공격을 할 여지가 전혀 없습니다.
방화벽은 IP/Port 별 제어만 하지, 열린 포트로 들어오는 공격자들의 조작된 패킷을 거르지 못합니다.
IDS나 IPS는 일부 거르긴 하지만 100% 거른다는 보장 없죠. 이미 알려진 것 외에는 못합니다.
Written By the Black Knight of Destruction
Written By the Black Knight of Destruction