제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

요즘 작은 사무실에서도 메일서버를 자체 두고 운영하고 있습니다. SBS서버 가격이 저렴하다보니 익스체인지 사용을 많이 하는 추세이긴 하지만 그에대한 필수보안이 있다는걸 최근에야 알았습니다. NAT하위에 있으면 인바운드 규칙룰만 넣고 그다지 신경을 쓰지 않았었지만 그게 잘못되었다는 결과를 얻었습니다. SMTP는 포트포워딩을 해줘야만? 메일이 나갈수 있다?는 단순한 생각을 하게된 지금까지 였습니다. IP가 깨끗하고 블랙리스트 IP가 아닌데 어느순간에 포털에서 메일을 받아주지 않길레 이상하다 싶었습니다.

사용자 삽입 이미지
로그를 열어보니 (http://www.spamhaus.org) 어느사이 등록이 되어 있었습니다. 분명 Exchange 서버에서는 스팸을 날리지 않았는데 이해가 가지 않아서 방화벽에 실시간 로그를 감지해본결과 특정 IP가 쉬지않고 여러 외부SMTP에 접근하는것이 잡혔습니다. 처음엔 일을 열심히 하나보다 해서 신경을 쓰지 않았는데 아뿔사 SMTP에 붙어봐야 업무메일 서버나 특정 서버를 제외하곤 여러 SMTP서버에 붙을 일이 없다는걸 알게 되었습니다. 결국 해당 IP를 비롯해 익스체인지를 제외한 모든 클라이언트 IP의 SMTP 아웃바운드를 차단하였습니다.  위그림과 같이 좀비PC가 있었던 것이였습니다. 해당 관계자에게 PC 수상하니 좀 봐라 패킷이 무지 많다고 전달은 하였지만 아무것도 없다고...(믿은 내가 잘못이지)
NT서버 교육할때 OSI7 LAYER를 가르치면서 모든 인바운드를 차단했다고 해킹이 안들어오는게 아니다 아웃바운드 세션이 활성되면 해킹은 마찬가지로 들어온다라고 필자역시 열심히 떠들었는데 그걸 몰랐던 필자였습니다. 단순한 논리에 빠져버린 케이스였습니다. 익스체인지가 보안에 막강하다라고 했지만 스팸IP로 등록되어서 뭐 이게 보안이야라고 욕을 하는 사용자도 많았습니다. 그런 케이스는 바로 이 케이스였습니다.
사용자 삽입 이미지

 아웃바운드 차단을 위해서라면 방화벽을 구입하는게 맞습니다. 하지만 공유기단에서도 많은 필터 정책이 아니라면 모든 클라이언트 PC대역을 SMTP 아웃 차단을 할수 있습니다. 필자는 ISA2004 서버가 있어서 쉽게 차단정책을 설정할수 있지만 공유기나 단순 NAT 장비라면 기초 룰은 설정해야 됩니다. 뭐 SBS서버에 ISA제품도 포함되어 나오긴 합니다만 대부분 ISA를 설정하는데 어려움이 있어서 설치를 안하는 케이스도 많습니다. ISA 좋은데...
클라이언트의 모든 SMTP 아웃바운드를 차단하면 구글 아웃룩 쓰는 사람은 어떻게 될거냐?라고 묻겠지만 해당 구글 아이피만 아웃룰을 잡아주면 됩니다.
역시나 IT기술의 모든 문제는 인재였다는걸 또한번 느끼게 되는 현실입니다. 의심스러우면 본인이 직접 눈으로 확인을 해야 한다는 것입니다

2010/08/16 07:47 2010/08/16 07:47
Posted
Filed under Study

사용자 삽입 이미지

내서버가 익스체인지인거 까지 알고 스팸을 보내다니... 클릭할뻔한 메일이다. 너무 절묘해~!
날이 갈수록 지능적인 스팸.
일반인들은 그냥 접속해서 클릭하면 개인정보및 모든게 탈취 될게 뻔하다.
그러나 우리나라 사람들, 영어라면 무조건 닫아버리는 습성을 가지고 있어 안먹힐수도 있다 ㅋㅋㅋ.
내 Exchange 2003 서버에서 자동 발송되었나? 라는 생각을 곰곰히 해보다가 도메인 주소의 속임수를 보고 스팸인지 바이러스인지는 몰라도 뜨끔한 메일이다.
스팸과의 전쟁은 어떻게 해결할지...

2009/10/20 02:35 2009/10/20 02:35
Posted
Filed under Study
사용자 삽입 이미지
블로그 스팸차단 플러그인이 있는걸로 알지만 어짜피 서버보호를 위하여 IP를 24비트 대역으로 막을수 밖에 없다. 이아이피들은 어짜피 취약한 경로를 타고 들어오기 때문에 블로그뿐만이 아니고 게시판 공격이외에도 SQL 공격도 할것이기 때문이다. 무조건 툴만 믿어서도 안된다. 2008서버이기 때문에 방화벽 고급옵션을 한번 써먹어 보기로 했다. 인바운드 규칙에 255.255.255.0 대역을 넣어주다보면 깨끗해질거 같다는 필자의 생각이다. 대부분 외국IP 겠지만...
사용자 삽입 이미지
윈도우서버 RRAS에도 인바운드 아웃바운드 필터규칙이 있기는 하나 2008서버의 방화벽 고급옵션은 정책설정한걸 내보내고 가져오기가 있어 편리할거 같다는 생각이다.
리눅스에서 ipstable 옵션으로 몇개 막기는 했었지만 윈도우로 넘어오면서 필터링 IP들을 넣지 않아서 중복된 아이피들이 있는지도 모르겠다. 웹스팸이다 웹공격이다 해서 80번포트만 막는다는것은 단순히 눈가리고 아옹하는 식이 아닐까?
한번 잘못보인 IP는 영원히 내서버에서는 접근금지라는 신념으로 오늘 하루 쓸데없는 노가다일지는 모르겠지만 이 대역들을 블랙리스트화 한다.
2008/05/23 07:43 2008/05/23 07:43