안녕하세요. 고구마군 입니다.

지난번에는 fail2ban 유틸리티를 이용하여 불법적 접속을 차단 하는 방법을 올렸습니다.

오늘은 불법 접속의 시발점이 되는 서버의 포트 스캐닝의 방법 중 NULL/XMAS 패킷 포트 스캐닝 방법에 대한 방어를 

올려보도록 하겠습니다.

[포트 스캐닝]

타겟 서버로 특정 패킷(NULL 패킷 or XMAS 패킷 등등... )을 날려 타겟 서버의 열린 포트를 탐지는 방법으로

20, 21 포트는 = FTP, 22  포트 = SSH, 25 포트 = 텔넷 서비스 ... 등등 잘 알려진 것 처럼 네트워크 포트는

타겟 서버의 운용중인 서비스와 연결되어 해당 서비스에 맞는 암호 대입 툴로 root  비밀번호 취득을 시도 합니다.

즉 포트 스캐닝만 잘 막아내어도 기본적인 접속 시도의 양이 줄어들 수 있습니다.

[NULL /XMAS 패킷 방어]

제약 조건 : 관리 장비의 root 권한 취득이 가능 해야 함. vi 를 사용 가능 해야 함.

1. vi /etc/sysconfig/iptables 실행

2. -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 추가

3. -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 추가

4. vi 저장 후 종료 ( :wq )

5. service iptables reload 

모든 과정은 root 권한으로 진행 하셔야 합니다.

그리고 2번과 3번의 추가 시 iptables 설정은 순서에 민감 하므로 맨 위쪽에 넣어 주셔야 합니다.

NULL 패킷이란 TCP 메세지 헤더 중 플래그를 전혀 세팅하지 않은 상태의 패킷을 말하면

XMAS 패킷이란 NULL 패킷의 정 반대로 TCP 메세지 헤더의 전체 플래그를 세팅해서 보내는 패킷을 말합니다.

위 두가지만 추가 하여 운용하셔도 기본적인 포트 스캐닝에 포트가(서비스) 노출 될 우려는 많이 줄어들게 됩니다.

100%라고는 못하지만 그래도 최소한의 노력으로 많은 부분 외부에 노출되지 않는 방법이기에

여러분과 공유 하고자 글 올립니다.

그럼 오늘도 좋은 하루 되세요.