none
Active Directory 보안관련 Port 관련 문의 입니다. RRS feed

  • 질문

  • 안녕하세요

    Clicent 컴퓨터가 도메인 멤버로 가입하려면 기본적으로 1025포트가 열려 있어야 합니다.

    하지만 1025포트가 바이러스가 유입되는 포트라 회사가 전체가 내에 막혀 있는 상태입니다.

     

    이럴때 AD가입을 위한 1025포트를 다른 포트로 변경이 가능한가요?

    가능 하다면 어떻게 변경하는지 알고싶습니다.

     

    갑자기 생각난 단순한 의문점은 Active Directory 는 보안이나 계정관리를 위해 구성하는데 그 포트 자체가

    바이러스가 유입되는 포트라는게 아이러니 하네요 이건 MS에서 1025포트를 쓰는 이유가 있나요?

     

    답변 부탁드리겠습니다.

     

    2008년 2월 18일 월요일 오전 7:42

모든 응답

  • TCP 1025 Port는 AD를 위한 포트가 아니라, TCP 135를 통한 RPC Port 입니다.

    정확하게는 1024~65535 까지 이며, 일반적으로 NSPI Proxy가 1025, 1026에서 대기됩니다.

     

    포트 변경이나 자세한 내용은 아래 백서와 기술문서를 참조하시기 바랍니다.

     

    방화벽에 사용할 RPC 동적 포트 할당을 구성하는 방법 (http://support.microsoft.com/kb/154596/)

    도메인 및 트러스트를 위한 방화벽을 구성하는 방법 (http://support.microsoft.com/kb/179442/ko)

    Restricting Active Directory replication traffic and client RPC traffic to a specific port (http://support.microsoft.com/kb/224196/)

    Active Directory in Networks Segmented by Firewalls (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en)

     

    추가로 Virus가 유입되는것은 가장 흔한것이 NetBT의 취약점을 이용해서 공격합니다. TCP Port를 막는 방법보다 단순한 암호를 쓰지 않는 정책이 훨씬 효율적인 방법입니다. (AD의 정책으로 가능하지요?)

    요즘은 Virus는 예전에 비해서 Vaccine들이 잘 잡아내는 편이라서 대단히 위협적이지 않으나, Web Application의 취약점을 이용한 Malware 들이 훨씬 위험하고 공격적입니다.

     

    Windows Update만 제때 해줘도 많은 Malware로 부터 자유로울 수 있습니다. (실제로 4중으로 방화벽을 구성한 회사에서 2005년 11월 이후에 업데이트를 하지 않은 Windows XP 10대로 부터 Syn Flood Attack을 당해서 방화벽이 모두 Meltdown 되는 것을 본적도 있습니다.)

    2008년 2월 18일 월요일 오후 4:43
  •  

    AD에서  Replication에 RPC를 사용합니다.

    RPC는 가변포트를 사용하기 때문에 Port 135 RPC Mapper서비스가

    클라이언트에게 바인딩된 가변포트를 알려주게 됩니다.

     

    일반적으로 가변포트는 1024-5000 내의 범위를 쓰게 됩니다.

     

    RPC를 사용하는 서비스들 중 제일 먼저 시작되는 서비스들중 하나가

    항상 1025 포트를 바인딩합니다.

     

    그렇기 때문에 AD Replication을 할때 항상 1025 포트를 사용한다는 보장을 할 수 없습니다.^^

    다른 모든 RPC기반 서비스도 마찬가지 입니다

     

    회사내 Firewall Rule에 의해 1025 포트를 열지 못하는 상황이면

    RPC 가변포트 Range를 다른 범위로 할당하면 됩니다.

     

    가령 5000 - 5500 식으로 열수있는 범위로 RPC 가변포트 Range를

    조정하면 되지요.

     

    가변포트 범위는  RPCCfg.exe를 이용하면 쉽게 가능합니다 ( 재부팅이 필요합니다 )

     

    ------------------------------------------------------------------

    2003 리소스킷 RPCCfg.exe를 사용하여 RPC 동적 포트 범위 재할당 및 줄이기

    RPCCfg.exe를 사용하여 RPC 동적 포트 범위를 재할당하고 줄이려면 다음과 같이 하십시오.

     

    1. RPCCfg.exe를 구성할 서버에 복사합니다. 

    2. 명령 프롬프트에서 rpccfg.exe -pe 5001-5021 -d 0을 입력합니다. 예) 5000 ~ 5021

     

    참고 이 범위의 포트는 다른 응용 프로그램용으로는 거의 할당되지 않으므로
         RPC 종점에 이 포트 범위를 사용하는 것이 좋습니다.

         기본적으로 RPC에서는 종점에 포트를 할당할 때 1024부터 5000까지의 포트 범위를 사용합니다.
         그러나 이 범위의 포트는 Windows 운영 체제에서 Windows 소켓 응용 프로그램에도 동적으로 할당되므로
         원격 시스템으로 나가는 호출이 많은 터미널 서버와 중간 계층 서버와 같이 사용량이
         많은 서버에서는 소모될 수 있습니다.

     

     

    참고KB

     

    Windows Server 2003에서 Active Directory 변경 내용이 복제되지 않는다
    http://support.microsoft.com/?kbid=830746

     

    방화벽에 사용할 RPC 동적 포트 할당을 구성하는 방법
    http://support.microsoft.com/?kbid=154596

     

    RPC에서 특정 포트를 사용하도록 구성하는 방법과 IPsec을 사용하여 이러한 포트를 보호하는 방법
    http://support.microsoft.com/kb/908472

     

    How to troubleshoot RPC Endpoint Mapper errors
    http://support.microsoft.com/kb/839880/en-us

     

    포트할당
    Windows 2000의 경우:
    http://www.microsoft.com/technet/itsolutions/network/deploy/depovg/tcpip2k.mspx (http://www.microsoft.com/technet/itsolutions/network/deploy/depovg/tcpip2k.mspx)(영문)

    Windows Server 2003의 경우
    http://technet2.microsoft.com/WindowsServer/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true)(영문
     

    2008년 2월 18일 월요일 오후 11:49
  •  

    새로운 문제가 생겼습니다.

    TCP말고 UDP도 1025포트가 막혀 있어 포트를 변경해야 할거 같은데

    UDP 포트를 변경하는 방법도 알려주시기 부탁드립니다.

    2008년 2월 20일 수요일 오전 1:11
  • 나는 영어를 잘모으로  여러분의 도와주는 덕분에 이용하고있어요.   좀 사용하게 입력과 처리방법 지도하여 주십시요. 부탁합니다.병이 지금 악화되여서요.

    2008년 3월 29일 토요일 오후 12:15