라우터 egress filtering

라우터 egress filtering

ingress filtering과 함께 권장할 만한 보안설정은 출구필터링, exit필터링으로 불리는 egress filtering이다.

이는 ingress filtering과 반대의 개념으로 내부에서 라우터 외부로 outbound되는 패킷의 소스IP를 체크하여 필터링하는 것으로 라우터 내부에서 소스 IP를 위조하여 다른 네트워크를 향하는 형태의 공격을 차단할 수 있는 필터링 방식이다.

물론 대규모의 네트워크를 운용하거나 Transit을 하는 IX망과 같은 곳에서는 적용에 다소 무리가 있지만, 사용 네트워크 범위가 고정되어 있거나 말단의 네트워크에서는 적용할 것을 권장한다.

즉, ingress 필터링은 외부에서 내부로 공격하는 것을 차단하는 것이라면 egress 필터링은 혹시나 있을 내부에서 외부로의 공격을 차단하는 효과가 있다고 할 수 있다.

위는 egress 필터링과 관련된 config인데, 내부에서 211.1.1.0/24와 211.1.2.0/24 네트워크를 사용한다고 가정할 때 outbound되는 트래픽의 소스를 보아 위 두 대역의 트래픽은 허용하고 나머지는 차단하는 예제를 보여주고 있다.

물론 이 설정을 하려면 먼저 access-list 110번을 선언한 후에 GigabitEthernet2/0 인터페이스에 "ip access-group 110 out"을 지정하여야 하며 위 config에서는 “show run" 실행 시 인터페이스에 대한 정보가 access-list 보다 먼저 나오기 때문에 access-group이 앞에 있는 것뿐이다.

이때 마지막에 있는 log는 매칭 되는 패킷을 로그에 남기도록 하는 설정으로 인터페이스가 여러 개일 경우 log대신 log-input을 사용하여 인터페이스 정보도 함께 남기도록 할 수 있다.

egress 필터링에 의해 차단되는 패킷이 로그에 남는다면 내부의 네트워크 설정에 문제가 있거나 내부에 해킹당한 시스템이 있다는 의미이므로 주의 깊게 살펴보아야 할 것이다.

아래는 실제 egress filtering을 적용했을 때 log-input으로 라우터에 남은 로그를 보여주고 있다.

위 로그의 의미는 access-group 110번에 의해 필터링된 것을 의미하며, 필터링 된 패킷의 소스정보(IP 및 포트)는 211.47.230.75(32678)이며 목적지 정보는 66.74.79.5(14899)인 것을 알 수 있다.

즉, 내부에서는 211.47.230.75를 라우팅 하지 않는데, 마치 이 IP에서 패킷이 나간 것처럼 위조했기 때문에 필터링된 것이다.

물론 소스IP를 위조했으므로 이 트래픽은 비정상적인 것이며 특별한 이유가 없다면 공격일 가능성이 높다.

???? [필자경험담]

강사 : 라쿠텐 홍석범 부매니저