강좌
클라우드/리눅스에 관한 강좌입니다.
네트워크 분류

라우터 egress filtering

작성자 정보

  • 구돌 작성
  • 작성일

컨텐츠 정보

본문

라우터 egress filtering

 

ingress filtering과 함께 권장할 만한 보안설정은 출구필터링, exit필터링으로 불리는 egress filtering이다.

 

이는 ingress filtering과 반대의 개념으로 내부에서 라우터 외부로 outbound되는 패킷의 소스IP를 체크하여 필터링하는 것으로 라우터 내부에서 소스 IP를 위조하여 다른 네트워크를 향하는 형태의 공격을 차단할 수 있는 필터링 방식이다.

 

물론 대규모의 네트워크를 운용하거나 Transit을 하는 IX망과 같은 곳에서는 적용에 다소 무리가 있지만, 사용 네트워크 범위가 고정되어 있거나 말단의 네트워크에서는 적용할 것을 권장한다.

 

, ingress 필터링은 외부에서 내부로 공격하는 것을 차단하는 것이라면 egress 필터링은 혹시나 있을 내부에서 외부로의 공격을 차단하는 효과가 있다고 할 수 있다.

 

interface GigabitEthernet2/0

ip access-group 110 out

 

access-list 110 permit ip 211.1.1.0 0.0.0.255 any

access-list 110 permit ip 211.1.2.0 0.0.0.255 any

access-list 110 deny ip any any log

 

위는 egress 필터링과 관련된 config인데, 내부에서 211.1.1.0/24211.1.2.0/24 네트워크를 사용한다고 가정할 때 outbound되는 트래픽의 소스를 보아 위 두 대역의 트래픽은 허용하고 나머지는 차단하는 예제를 보여주고 있다.

 

물론 이 설정을 하려면 먼저 access-list 110번을 선언한 후에 GigabitEthernet2/0 인터페이스에 "ip access-group 110 out"을 지정하여야 하며 위 config에서는 “show run" 실행 시 인터페이스에 대한 정보가 access-list 보다 먼저 나오기 때문에 access-group이 앞에 있는 것뿐이다.

 

 

이때 마지막에 있는 log는 매칭 되는 패킷을 로그에 남기도록 하는 설정으로 인터페이스가 여러 개일 경우 log대신 log-input을 사용하여 인터페이스 정보도 함께 남기도록 할 수 있다.

 

egress 필터링에 의해 차단되는 패킷이 로그에 남는다면 내부의 네트워크 설정에 문제가 있거나 내부에 해킹당한 시스템이 있다는 의미이므로 주의 깊게 살펴보아야 할 것이다.

 

아래는 실제 egress filtering을 적용했을 때 log-input으로 라우터에 남은 로그를 보여주고 있다.

 

Jun 21 11:02:17.725 KST: %SEC-6-IPACCESSLOGP: list 110 denied tcp 211.47.230.75(32678) (GigabitEthernet2/0 0002.fc08.c4a0) -> 66.74.79.5(14899), 1 packet

 

위 로그의 의미는 access-group 110번에 의해 필터링된 것을 의미하며, 필터링 된 패킷의 소스정보(IP 및 포트)211.47.230.75(32678)이며 목적지 정보는 66.74.79.5(14899)인 것을 알 수 있다.

 

, 내부에서는 211.47.230.75를 라우팅 하지 않는데, 마치 이 IP에서 패킷이 나간 것처럼 위조했기 때문에 필터링된 것이다.

 

물론 소스IP를 위조했으므로 이 트래픽은 비정상적인 것이며 특별한 이유가 없다면 공격일 가능성이 높다.

 

 

 

 

???? [필자경험담]

필자의 경험담은 아니고, 그냥 넋두리라고나 할까? 세미나에서 발표할 때나 글을 통해 egress 필터링을 언급할 때면 항상 생각하게 되는 것이 있다.

 

물론 불가능하겠지만 만약 전 세계의 모든 네트워크 관리자들이 자신의 네트워크에서 egress 필터링을 충실히 설정한다면 어떨까?”하는 생각 말이다.

 

물론 트래픽을 transit하는 IX등에서는 불가능하겠지만 제대로만 적용한다면 이를 통해 소스 IP를 위조하는 형태의 각종 공격을 근원적으로 차단할 수 있지 않을까? 당장은 힘들겠지만 이 글을 보는 관리자부터 egress 필터링을 설정할 것을 권장한다.

 

물론 필자가 관리하는 네트워크에도 이 설정을 하고 있으며 위조된 패킷에 대해서는 로그를 남기도록 하였는데, 이를 통해서 내부에 공격자가 있는지의 여부를 알 수 있는 계기도 될 수 있다.

 

(물론 IP를 위조하기 때문에 공격자의 정보는 쉽게 알 수 없을 것이다.

 

) 그리고 egress 필터링이 어렵다면 뒤에서 살펴볼 “ip verify unicast reverse-path(uRPF)”를 지정해도 동일한 효과를 기대할 수 있다.

 

 

강사 : 라쿠텐 홍석범 부매니저

 

 

 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 전체 회원수 59,444 명
  • 전체 게시물 30,916 개
  • 전체 댓글수 11,873 개