45일차 UTM9(4) ospf

Web Protection

사용자들이 사용하는 웹 환경을 안전하게 만들어 주는 기능

요청메시지를 보고 보안상에 문제가 있을 것 같은 사이트들의 주소를 자동으로 차단.

Allow인 경우 아래에 매칭이 되지않으면 허용

항목이 더럽게 많다..

만약에 왼쪽에 체크해도 필터링 되지 않는다면 오른쪽에 추가해주면 된다.

auction.co.kr 를 따로 추가 해주고 접속해보았다.

블락 뜬다.

혹시나 해서 nslookup으로 ip를 알아와서 ip로 직접 접속하니 우회가 된다.

Server Load Balancing

엄청나게 많은 요청이 들어오면 정상적인 요청임에도 불구하고 서버 입장에선 DOS공격처럼 느껴진다. 따라서 Load Balancing이 필요하다.

DB는 서버가 여러대라면 서로 동기화를 시킨다.

이 로드 밸런싱은 자동으로 포워딩 해주고, 웹 방화벽과 동시에 사용하지 못한다.

만약에 동시에 사용하겠다고 하면 웹 방화벽 자체에서 Real Web Server를 두개를 만들어주면 알아서 부하분산 해준다.

 

그래서 꺼줬다.

만드는건 가상 웹서버 만드는 것과 크게 다르지 않다.

부하분산이 되는지 테스트 하기 위해서

실제 서버를 서로 다른 것을 해준다.

하나는 camel, 하나는 webhack

Automatic Firewall rules 체크로 자동 방화벽 예외 추가도 해준다.

IPS

Anti-port scan

정상적인 사용자라면 출발지 주소는 같은데  포트번호를 계속 바꿔가면서 연결요청을 할 이유가 없다. 일정 시간안에 얼마나 들어오는지도 볼 필요가 있다.

UTM 장비는 기준이 아래와 같다.

well known port 에 접속하면 3점

그 외에 포트는 1점

0.3초내에 도합 21점이면 port scanning이라고 판단한다.

위에는 차단전

아래는 차단후 한개가 차단됐다..

도합 21점 되기전에 스캔한 것은 나오게된다.

보호할 대상이 되는 네트워크를 추가하고 Apply

SYN을 받으면 TCP 백로그 Q에 TCP 연결 도중이다 라는 정보를 잠시 저장한다.

ACK 를 보내면 사라지게 되지만

이 공간의 크기는 제한적이다. 가득차게 되면 새로운 TCP를 받을 수 없다.

TCP SYN Flood는 이를 겨냥한 공격이다.

TCP, UDP , ICMP Flood Protection 을 모두 체크하고 적용 시켜보았다.

[ 백트랙에서 공격 실습]

- TCP SYN Flood

hping3 -S <UTM External IP> -a 44.44.44.44 -p 80 --flood

-UDP Flood

hping3 -2 <UTM External IP> -a 44.44.44.44 --flood

- ICMP Flood

hping3 -1 <UTM External IP> -a 44.44.44.44 --flood

####

UTM9 OSPF 라우팅 하기

Router ID는 일반적으로 가장 큰 IP 주소를 써준다.

이 설정을 해주면 라우터들이 utm쪽으로 dafault gateway로 한다.