iptables운용중 네이트온 차단법이 있을까요?

안녕하십니까? 오늘과내일의 홍석범입니다.

문의하신 p2p 트래픽의 차단은 서적 및 동영상강좌에서도 자세히 설명된 내용입니다.
자세한 내용은 서적이나 강좌를 참고하시기 바라며 결론적으로 nateon의 차단 방법은 다음과 같습니다.

iptables -A FORWARD -p tcp -m string --string "AUTH 2 DES" -j DROP
iptables -A FORWARD -p tcp -m string --string "REQS 3 " -j DROP
iptables -A FORWARD -p tcp -m string --string "User-Agent: NateOn" -j DROP

p2p 트래픽은 프록시나 포트변경등 다양한 우회기법이 존재하기 때문에 특정 포트나 ip등과 같은 layer 4로 차단이 불가능하며 반드시 layer 7으로 차단하여야 차단가능합니다.  

감사합니다.

이경록 님의 글

최근 보안이 이슈화 되면서 매일같이 해킹사례가 발발하고 뉴스화 되고..
그래서 저희 회사에도 이번 기회에 방화벽 서버를 구축하기로 결정 했습니다.
제가 서버관리겸 전산직원으로서 리눅스를 이용하여 브릿지방화벽을 구축했습니다.
물론 테스트 중이고요..
저희 회사의 경우 모든 사원이 공인IP를 사용하므로 방화벽은 거의 필수라고 생각됩니다.
홍석범님의 훌륭한 저서 "리눅스 서버 보안관리 실무"를 통해 브릿지 방화벽을 그다지
어렵지 않게 구축할 수 있었습니다.
이 자리를 빌어 홍석범님 이하 슈퍼유저 코리아 여러분들께 감사의 말씀 드리며
앞으로도 훌륭한 저서 많이 부탁드리겠습니다.

제가 문의드릴 것은.. 다름이 아니고 사내에서 사용중인 메신저의 차단에 관한 내용입니다.
저희는 급여대행을 하는 회사로서 특히나 정보유출에 대해 상당히 민감합니다.
고객사의 급여정보가 유출되거나 하는 일이 발생한다면.. 암담하게 되죠..
그래서 내린 결론이 네이트온 및 MSN을 사내에서 사용하지 못하도록 차단하는 것이었습니다.
하지만 네이트온을 막는다고 5004번 포트를 막은 결과.. 네이트온이 접속이 되지 않는가
싶더니! 한..20초 후 접속이 되어 버리지 않겠습니까?
당황되어서 아무 생각이 안들더군요.. 제가 룰 설정을 잘못한건가 했습니다..
하지만 분명 접속된 클라이언트에서 netstat -na 명령으로 확인한 결과 분명 5004번 포트는
없었습니다.
전부 80포트 뿐이었죠.. 열린 웹브라우저를 전부 닫고 다시 확인한 결과 네이트온이 80포트를
이용해서 접속을 한다는걸 알았습니다.
더욱이 80포트를 이용하여 접속한 네이트온은 파일전송 기능을 이용할 경우 첨엔 2187, 두번짼
2188, 다음엔 2136등.. 랜덤하게 포트를 이용한다는 것이었습니다.
결국 네이트온은 단순히 룰 설정을 통해 막을 수 없다고 판단되었습니다.

네이트온을 막을 수는 없을까요? 방법이 없는 걸까요?

제가 생각하고 있는것은 네이트온 서버의 아이피를 모두 조사하여 룰에 등록하여 차단하는
방법입니다. 혹시라도 네이트온을 막을 수 없다면 네이트온 또는 기타 메신저의 대화 및
네이트온을 통해 전송되는 파일들의 로그등을 추적하는 방법이 있을까요?



있다면 네이트온을 사용하여 업무를 효율적으로 하면서 파일전송관련 로그가 남는다는것을
사원들에게 인식시키고 보안에 관한 사고사례등을 교육하면 굳이 네이트온을 차단하지
않아도 되리라 생각됩니다.

부디 방법을 아시거나 적용사례가 있을경우 알려주시면 좋겠습니다.