방화벽 생성 및 제어

Ubuntu에서 방화벽

• 방화벽 서비스: ufw
• 관리 명령: ufw 서브명령
  • 서브 명령
    • enable
    • disable
    • default allow|deny|reject [incoming|outgoing]: 기본 동작을 설정
      • 기본적으로는 allow incoming이다.
    • status [verbose]
    • allow 서비스|포트/프로토콜
    • deny 서비스|포트/프로토콜
    • delete 명령
• 방화벽 실행

sudo systemctl start ufw
sudo systemctl enable ufw

• 웹 서버(http) 막기

sudo ufw deny http

• 규칙 삭제 후 rule 상태 확인

sudo ufw delete deny http
sudo ufw status

• 포트를 추가
  • 포트를 추가할 때는 tcp나 udp 프로토콜을 지정해줘야 한다.
  • 프로토콜을 알지 못하면 tcp와 udp 모두 추가해줘야 한다.
  • http(80) 프로토콜은 tcp이다.

sudo ufw allow 80/tcp

• 특정 IP 주소에 대해서 설정
  • ex. 10.0.2.201이 http에 접속하는 것을 거부하고 10.0.2.202는 안 막고 싶다.

  sudo ufw allow|deny from 소스주소 to 포트와 프로토콜
  sudo ufw deny from 10.0.2.201 to any port http
  sudo ufw allow from 10.0.2.202 to any port http
  

보안 관리 도구

nmap [옵션][목적지주소]

내 서버나 원격지 서버가 사용 중인 포트, 운영 체제 등을 스캔해서 출력해주는 도구

• 네트워크 관리용으로도 사용하고 취약한 포트의 사용 여부를 확인할 수 있다.
• 스캔을 하는 것을 보안 침입을 위한 준비 과정으로 간주하기 때문에 원격 서버를 스캔할 때는 주의해야 한다.
• 기본 애플리케이션이 아니므로 설치를 해야 한다.

sudo apt install nmap

• 옵션
  • sS: TCP SYN을 스캔
  • sT: TCP 연결을 스캔
  • sP: ping을 스캔
  • sU: UDP를 스캔
  • sO: IP 프로토콜을 스캔
  • -O: 운영체제 확인
  • -v: 스캔 결과를 상세하게 출력
  • -f: 빠른 모드로 기본 스캔보다 적은 수의 포트만 스캔
• 내 포트에서 열린 서비스 있는지 확인

  nmap localhost
  # master에서는 http 열려있는데 slave1에서는 안 열려있다.

• 특정 서버 스캔

sudo nmap 옵션 IP주소

• UDP 포트 스캔

sudo nmap -sU -v localhost

• 특정 네트워크 대상으로 포트 스캔

sudo nmap -sT -O -v 네트워크주소/서브넷마스크
sudo nmap -sT -O -v 10.0.2.0/24
= sudo nmap -sT -O -v 10.0.2.101/24

(스캔할 애들 먼저 찾기)

53번 포트는 DNS, 135번 포트와 445번 포트는 Windows에서 원격 프로시저를 호출(RPC - Remote Procedure Call)할 때 사용하는 포트

ip address: 10.0.2.101 → 정확해야 한다.

network address: 10.0.2.0/24 → 네트워크 대역에 있는 ip 중 아무거나 하나 쓰면 된다.

PAM

사용자가 시스템의 서비스를 이용하려면 사용자의 신원을 확인하는 인증(Authentication)을 받아야 하는데 프로그램별로 다른 인증 방식을 사용한다.

우분투에서는 많은 프로그램이 중앙 집중화된 인증 기법을 사용한다.

중앙 집중화된 인증 기법이 PAM(Pluggable Authentication Modules, 삽입형 인증 모듈) → 모듈 방식으로 되어 있어서 관리자가 추가하거나 삭제 및 편집이 가능하다.

• PAM 모듈은 /etc/pam.d 라는 디렉토리에 설정 파일을 가지고 있다.

• 설정 파일 형식
  • <모듈인터페이스><제어플러그><모듈이름><모듈인자>
  • 모듈 인터페이스
    • auth: 사용자 인증에 관련된 것으로 암호 등을 확인
    • account: 접근이 허용되는지를 확인
    • password: 암호를 변경할 때 사용
    • session: 사용자의 세션을 설정하고 관리

(22번 포트: ssh 원격 접속이 안 될때: ufw active 상태에서 22번 포트 접속 확인이 되어있는지 확인해보고 ssh 설치 되었는지 확인해보기!)