none
보안 기능을 좀 더 보완할 수 있는 방법에 대한 의견을 주세요...^^ RRS feed

  • 질문

  • 안녕하세요?

    반갑습니다.

    다름이 아니라 제가 회사에서 관리하는 서버군이 있는데요.

    같은 네트워크 군에 있는 서버들에 대해서 부분적으로 보안 강화를 위해

    접근 제한을 두고 싶습니다.

     

    예를 들어 TCP/IP에 있는 필터링 기능이나 IIS기능을 이용해서 특정 IP 및 포트 차단하는 방식들과 같이

     

    부분적으로 제한하는 기능들이 있지만, 이런 설정들은 일반적으로 관리 포인트만 늘어나는 단점이 있고

     

    장애 발생시 잊기 쉬운 부분들이라 약간 꺼려 지는데요. 마땅히 좋은 방법이 있을까요?

     

    저희팀 자체적으로 운영하려고 하는 부분이라 가능하면 서버자체에서 제공해 주는 기능이면 좋을 것 같은데요.

     

    여러분의 의견을 듣고 싶습니다.

     

    2007년 10월 1일 월요일 오후 3:27

답변

  • 안녕하세요?

     

    언듯 떠오르는 서버 기능이 있는데요.

    IPSec 정책을 이용하면 어떨까 생각됩니다.

    IPsec 정책을 통해 다양한 업무상 이점들이 많을 것으로 생각되는데요.

     

    Workgroup (secpol.msc-로컬보안정책) 또는 AD 그룹정책을 통한 관리가 가능합니다.

    AD가 구성되신 경우라고 한다면 각 OU 별로 구분하셔서 해당 OU에 맞는 정책들을

    중앙에서 관리할 수 있는 이점이 있어서 더욱 효과가 좋습니다.

     

    아래의 링크 정보들을 통해 확인 해 보시고 적용하시면 도움이 되겠네요.

    늘 그렇듯이 자료가 방대하기 때문에 기본적인 개념을 습득하시고

    테스트 실습을 하시면 쉽게 구현 하실 수 있을 것 같습니다.

    서비스에 적용하시기전 영향 평가 꼭 하시고 적용하시기 바랍니다...^^

     

    IPSec 사용법

    http://technet2.microsoft.com/WindowsServer/ko/Library/e3f13b59-33e7-421b-8cf7-6915e61b31e01042.mspx


    IPSec 개념

    http://technet2.microsoft.com/WindowsServer/ko/Library/60841b94-a4fd-40b9-95dd-368ab7025bba1042.mspx

     

    IPsec 및 그룹 정책을 통한 서버 및 도메인 격리(개념 정리하시는 좋은 자료임)

    http://www.microsoft.com/korea/technet/security/topics/architectureanddesign/ipsec/ipsecch1.mspx

     

    2007년 10월 1일 월요일 오후 3:38
  • 안녕하세요? IPSec 정책을 활용 하시는군요...^^

    IPSec의 로그는 특정 레지스트리 값을 변경해 줘야 이벤트로그의 Systemlog에 해당 정보가 남게 됩니다.

     

    방법 2가지가 있으며 결과는 동일합니다.

     

    1. 레지스트리 수정 방법

     

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\EnableDiagnostics DWORD 레지스트리 설정값을 7로 설정합니다. 

     

    2. 컴퓨터를 다시 시작합니다.
     

    2. 명령줄 도구 사용 방법

     

    1. 명령 프롬프트에 다음을 입력하십시오.

        netsh ipsec dynamic set config ipsecdiagnostics 7
     
    2. 컴퓨터를 다시 시작합니다.

     

    아무래도 netsh ipsec을 이용하시는 것이 편하실것 같네요...^^

     

    참고로 기본적으로 IPSec 드라이버는 한 시간에 한 번씩 또는 이벤트 개수 임계값에 도달한 후 시스템 로그에 이벤트를 쓰게 됩니다. 기본적으로 시스템에 적용된 값은 아래와 같습니다.

     

    C:\>netsh ipsec dynamic show config

    IPSec 구성 매개 변수
    ------------------------------
    IPSecDiagnostics       : 1
    IKElogging             : 0
    StrongCRLCheck         : 1
    IPSecloginterval       : 3600
    IPSecexempt            : 3
    부팅 모드              : 상태 저장
    부팅 모드 예외         :
    프로토콜  원본 포트  대상 포트  방향
    --------- --------- --------- ---------
    UDP           0        68     인바운드

     

    님의 경우 해킹 관련된 이슈가 있는듯하고 IP 목록을 작성하시려는 것으로 보아 이 간격을 최소값인 60초로 설정해서 활용해 보시는 것도 좋을 것 같습니다.

     

    3. Interval  레지스트리 수정 방법

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\LogInterval DWORD 레지스트리 설정을 60(10진수)로 설정합니다.

        ---> Interval 시간은 환경에 맞게 적용하시면 됩니다. 
    2. 컴퓨터를 다시 시작합니다.
     
    4. Interval 명령줄 도구 사용 방법

    1. 명령 프롬프트에서 netsh ipsec dynamic set config ipsecloginterval 60을 입력합니다.
     
    2. 컴퓨터를 다시 시작합니다.


     

    그리고 로그 수집 관련해서 문의 주셨는데요.

    Dump Event Log 도구(Dumpel.exe)를 사용 하시면 될 것 같습니다.

     

    Dump Event Log는 Windows 2000 Server Resource Kit, Supplement One(Microsoft Press, ISBN: 0-7356-1279-X)에 포함된 명령줄 도구입니다.

     

    dumpel.exe 도구에서 다음과 같은 구문이 사용됩니다.

    dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...] [-r] [-t]
    [-d x]

     

    여기서 다음이 적용됩니다.

     -f file. 출력 파일의 파일 이름을 지정합니다. -f에 대한 기본값이 없으므로 파일을 지정해야 합니다.
     
     -s server. 이벤트 로그를 덤프할 서버를 지정합니다. 서버 이름 앞에 백슬래시를 사용할지 선택할 수 있습니다.
     
     -l log. 덤프할 로그(시스템, 응용 프로그램, 보안)를 지정합니다. 잘못된 로그 이름을 지정하면 응용 프로그램 로그가 덤프됩니다.
     
     -m source. 레코드를 덤프할 위치의 원본(예: redirector (rdr), serial 등)을 지정합니다. 원본은 하나만 지정할 수 있습니다. 이 스위치를 사용하지 않으면 모든 이벤트가 덤프됩니다. 레지스트리에 등록되지 않은 원본을 사용하면 응용 프로그램 로그에서 이러한 유형의 레코드를 검색합니다.
     
     -e n1 n2 n3. 이벤트 ID nn(최대 10개까지 지정할 수 있음)를 필터링합니다. -r 스위치를 사용하지 않으면 이러한 유형의 레코드만 덤프되고 -r을 사용하면 이러한 유형을 제외한 모든 레코드가 덤프됩니다. 이 스위치를 사용하지 않으면 지정된 sourcename의 모든 이벤트가 선택됩니다. -m 스위치 없이 이 스위치를 사용할 수 없습니다.
     
     -r. 특정 원본 또는 레코드를 필터링하여 포함시킬지 아니면 제외시킬지 지정합니다.
     
     -t. 개별 문자열이 탭에 의해 구분되도록 지정합니다. -t를 사용하지 않으면 문자열이 공백에 의해 구분됩니다.
     
     -d x. 이전 x일 동안의 이벤트를 덤프합니다.

    Ex) dumpel -f ipseclog.txt -l system -m ipsec -e 4290 4291

     

    Event ID 4290, 4291 은 IPSec 드라이버에서 인바운드 패킷을 손실된 정보들(원본IP, 대상IP, 원본포트, 대상포트 등)에

    대해서 확인 하실 수 있으십니다.

     

    해당 예제를 응용하셔서 bat 파일로 생성하신 후 예약작업을 통해 텍스트 파일로 저장하시고 그것을 활용해서

    원하시는 데이타를 얻으시면 될 것 같습니다.

     

    참고링크

     

    이벤트 로그를 주기적으로 텍스트 형태로 저장하는 방법

     

    http://support.microsoft.com/kb/602023/ko

     

    dumpel download

     

    http://download.microsoft.com/download/win2000platform/WebPacks/1.00.0.1/NT5/EN-US/Dumpel.exe
     

    2007년 10월 22일 월요일 오후 7:44

모든 응답

  • 안녕하세요?

     

    언듯 떠오르는 서버 기능이 있는데요.

    IPSec 정책을 이용하면 어떨까 생각됩니다.

    IPsec 정책을 통해 다양한 업무상 이점들이 많을 것으로 생각되는데요.

     

    Workgroup (secpol.msc-로컬보안정책) 또는 AD 그룹정책을 통한 관리가 가능합니다.

    AD가 구성되신 경우라고 한다면 각 OU 별로 구분하셔서 해당 OU에 맞는 정책들을

    중앙에서 관리할 수 있는 이점이 있어서 더욱 효과가 좋습니다.

     

    아래의 링크 정보들을 통해 확인 해 보시고 적용하시면 도움이 되겠네요.

    늘 그렇듯이 자료가 방대하기 때문에 기본적인 개념을 습득하시고

    테스트 실습을 하시면 쉽게 구현 하실 수 있을 것 같습니다.

    서비스에 적용하시기전 영향 평가 꼭 하시고 적용하시기 바랍니다...^^

     

    IPSec 사용법

    http://technet2.microsoft.com/WindowsServer/ko/Library/e3f13b59-33e7-421b-8cf7-6915e61b31e01042.mspx


    IPSec 개념

    http://technet2.microsoft.com/WindowsServer/ko/Library/60841b94-a4fd-40b9-95dd-368ab7025bba1042.mspx

     

    IPsec 및 그룹 정책을 통한 서버 및 도메인 격리(개념 정리하시는 좋은 자료임)

    http://www.microsoft.com/korea/technet/security/topics/architectureanddesign/ipsec/ipsecch1.mspx

     

    2007년 10월 1일 월요일 오후 3:38
  • 늦게 남아 답변 감사합니다.

     

    추가로 문의 드릴 것이 있습니다...

     

    윈도우 서버에서 제공하는 방화벽이나 IIS 자체에서 제공하는 IP 차단 정책을 고민했었으나

    IPSec에 대해서 살펴 본 후 많은 도움이 되었습니다.

    IPSec의 경우 DC에서 그룹정책으로 관리하면 훨씬 효율적으로 운영이 가능하기에

    IPSec을 통해 적용중에 있습니다.

     

    저희 같은 경우 사내에서의 보안을 나름대로 강화하고자 선택한 방법인데요.

    사내에서의 혹시 모를 공격에 대해서 어떤 컴퓨터로 부터 해킹 시도가 있었는지와

    어떤 포트로 접근 시도하려는지에 대해서 어느 정도 파악을 하고 싶은데요.

    IPsec 관련된 로그가 따로 남지 않아서 답답합니다.

     

    그리고 서버마다 IPSec 관련된 로그만을 따로 수집해서 파일로 저장하고 싶은데요.

     

    어떤 방법이 있을까요???

     

    매번 번거롭게 해드리는 것 같습니다...

     

    답변 부탁드립니다.

     

     

     

    2007년 10월 22일 월요일 오전 11:46
  • 안녕하세요? IPSec 정책을 활용 하시는군요...^^

    IPSec의 로그는 특정 레지스트리 값을 변경해 줘야 이벤트로그의 Systemlog에 해당 정보가 남게 됩니다.

     

    방법 2가지가 있으며 결과는 동일합니다.

     

    1. 레지스트리 수정 방법

     

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\EnableDiagnostics DWORD 레지스트리 설정값을 7로 설정합니다. 

     

    2. 컴퓨터를 다시 시작합니다.
     

    2. 명령줄 도구 사용 방법

     

    1. 명령 프롬프트에 다음을 입력하십시오.

        netsh ipsec dynamic set config ipsecdiagnostics 7
     
    2. 컴퓨터를 다시 시작합니다.

     

    아무래도 netsh ipsec을 이용하시는 것이 편하실것 같네요...^^

     

    참고로 기본적으로 IPSec 드라이버는 한 시간에 한 번씩 또는 이벤트 개수 임계값에 도달한 후 시스템 로그에 이벤트를 쓰게 됩니다. 기본적으로 시스템에 적용된 값은 아래와 같습니다.

     

    C:\>netsh ipsec dynamic show config

    IPSec 구성 매개 변수
    ------------------------------
    IPSecDiagnostics       : 1
    IKElogging             : 0
    StrongCRLCheck         : 1
    IPSecloginterval       : 3600
    IPSecexempt            : 3
    부팅 모드              : 상태 저장
    부팅 모드 예외         :
    프로토콜  원본 포트  대상 포트  방향
    --------- --------- --------- ---------
    UDP           0        68     인바운드

     

    님의 경우 해킹 관련된 이슈가 있는듯하고 IP 목록을 작성하시려는 것으로 보아 이 간격을 최소값인 60초로 설정해서 활용해 보시는 것도 좋을 것 같습니다.

     

    3. Interval  레지스트리 수정 방법

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\LogInterval DWORD 레지스트리 설정을 60(10진수)로 설정합니다.

        ---> Interval 시간은 환경에 맞게 적용하시면 됩니다. 
    2. 컴퓨터를 다시 시작합니다.
     
    4. Interval 명령줄 도구 사용 방법

    1. 명령 프롬프트에서 netsh ipsec dynamic set config ipsecloginterval 60을 입력합니다.
     
    2. 컴퓨터를 다시 시작합니다.


     

    그리고 로그 수집 관련해서 문의 주셨는데요.

    Dump Event Log 도구(Dumpel.exe)를 사용 하시면 될 것 같습니다.

     

    Dump Event Log는 Windows 2000 Server Resource Kit, Supplement One(Microsoft Press, ISBN: 0-7356-1279-X)에 포함된 명령줄 도구입니다.

     

    dumpel.exe 도구에서 다음과 같은 구문이 사용됩니다.

    dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...] [-r] [-t]
    [-d x]

     

    여기서 다음이 적용됩니다.

     -f file. 출력 파일의 파일 이름을 지정합니다. -f에 대한 기본값이 없으므로 파일을 지정해야 합니다.
     
     -s server. 이벤트 로그를 덤프할 서버를 지정합니다. 서버 이름 앞에 백슬래시를 사용할지 선택할 수 있습니다.
     
     -l log. 덤프할 로그(시스템, 응용 프로그램, 보안)를 지정합니다. 잘못된 로그 이름을 지정하면 응용 프로그램 로그가 덤프됩니다.
     
     -m source. 레코드를 덤프할 위치의 원본(예: redirector (rdr), serial 등)을 지정합니다. 원본은 하나만 지정할 수 있습니다. 이 스위치를 사용하지 않으면 모든 이벤트가 덤프됩니다. 레지스트리에 등록되지 않은 원본을 사용하면 응용 프로그램 로그에서 이러한 유형의 레코드를 검색합니다.
     
     -e n1 n2 n3. 이벤트 ID nn(최대 10개까지 지정할 수 있음)를 필터링합니다. -r 스위치를 사용하지 않으면 이러한 유형의 레코드만 덤프되고 -r을 사용하면 이러한 유형을 제외한 모든 레코드가 덤프됩니다. 이 스위치를 사용하지 않으면 지정된 sourcename의 모든 이벤트가 선택됩니다. -m 스위치 없이 이 스위치를 사용할 수 없습니다.
     
     -r. 특정 원본 또는 레코드를 필터링하여 포함시킬지 아니면 제외시킬지 지정합니다.
     
     -t. 개별 문자열이 탭에 의해 구분되도록 지정합니다. -t를 사용하지 않으면 문자열이 공백에 의해 구분됩니다.
     
     -d x. 이전 x일 동안의 이벤트를 덤프합니다.

    Ex) dumpel -f ipseclog.txt -l system -m ipsec -e 4290 4291

     

    Event ID 4290, 4291 은 IPSec 드라이버에서 인바운드 패킷을 손실된 정보들(원본IP, 대상IP, 원본포트, 대상포트 등)에

    대해서 확인 하실 수 있으십니다.

     

    해당 예제를 응용하셔서 bat 파일로 생성하신 후 예약작업을 통해 텍스트 파일로 저장하시고 그것을 활용해서

    원하시는 데이타를 얻으시면 될 것 같습니다.

     

    참고링크

     

    이벤트 로그를 주기적으로 텍스트 형태로 저장하는 방법

     

    http://support.microsoft.com/kb/602023/ko

     

    dumpel download

     

    http://download.microsoft.com/download/win2000platform/WebPacks/1.00.0.1/NT5/EN-US/Dumpel.exe
     

    2007년 10월 22일 월요일 오후 7:44
  • 안녕하세요?

     

    IPSec 적용은 잘 진행되고 있으신지요...^^

     

    IPSec에 대한 충분한 이해를 해 두시면 추후 공개될 Windows Server 2008의

    NAP과 결합하여 좋은 보안 시나리오 중 한가지로 활용하시는데 큰 도움이 되실 것입니다.

     

    오늘 문듯 IPSec에 대해 생각이 나서 좀 더 쉽게 이해할 수 있도록 돕는 자료를 보게 되어

    자료 공유합니다....이미 보셨을 수도 있구요...^^

     

    참고하시면 좋을 것 같습니다.

     

    Windows Server IPSEC UCC
    http://blogs.technet.com/koalra/archive/2007/11/15/windows-server-ipsec-ucc.aspx

     

    http://www.microsoft.com/korea/technet/community/columns/secmvp/sv0906.mspx

     

    Internet Protocol Security for Microsoft Windows Server 2003

    http://www.microsoft.com/downloads/details.aspx?FamilyID=e6590330-d903-4bdd-9655-81b86df655e4&displaylang=en

    2007년 11월 17일 토요일 오전 6:49