제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

요즘 작은 사무실에서도 메일서버를 자체 두고 운영하고 있습니다. SBS서버 가격이 저렴하다보니 익스체인지 사용을 많이 하는 추세이긴 하지만 그에대한 필수보안이 있다는걸 최근에야 알았습니다. NAT하위에 있으면 인바운드 규칙룰만 넣고 그다지 신경을 쓰지 않았었지만 그게 잘못되었다는 결과를 얻었습니다. SMTP는 포트포워딩을 해줘야만? 메일이 나갈수 있다?는 단순한 생각을 하게된 지금까지 였습니다. IP가 깨끗하고 블랙리스트 IP가 아닌데 어느순간에 포털에서 메일을 받아주지 않길레 이상하다 싶었습니다.

사용자 삽입 이미지
로그를 열어보니 (http://www.spamhaus.org) 어느사이 등록이 되어 있었습니다. 분명 Exchange 서버에서는 스팸을 날리지 않았는데 이해가 가지 않아서 방화벽에 실시간 로그를 감지해본결과 특정 IP가 쉬지않고 여러 외부SMTP에 접근하는것이 잡혔습니다. 처음엔 일을 열심히 하나보다 해서 신경을 쓰지 않았는데 아뿔사 SMTP에 붙어봐야 업무메일 서버나 특정 서버를 제외하곤 여러 SMTP서버에 붙을 일이 없다는걸 알게 되었습니다. 결국 해당 IP를 비롯해 익스체인지를 제외한 모든 클라이언트 IP의 SMTP 아웃바운드를 차단하였습니다.  위그림과 같이 좀비PC가 있었던 것이였습니다. 해당 관계자에게 PC 수상하니 좀 봐라 패킷이 무지 많다고 전달은 하였지만 아무것도 없다고...(믿은 내가 잘못이지)
NT서버 교육할때 OSI7 LAYER를 가르치면서 모든 인바운드를 차단했다고 해킹이 안들어오는게 아니다 아웃바운드 세션이 활성되면 해킹은 마찬가지로 들어온다라고 필자역시 열심히 떠들었는데 그걸 몰랐던 필자였습니다. 단순한 논리에 빠져버린 케이스였습니다. 익스체인지가 보안에 막강하다라고 했지만 스팸IP로 등록되어서 뭐 이게 보안이야라고 욕을 하는 사용자도 많았습니다. 그런 케이스는 바로 이 케이스였습니다.
사용자 삽입 이미지

 아웃바운드 차단을 위해서라면 방화벽을 구입하는게 맞습니다. 하지만 공유기단에서도 많은 필터 정책이 아니라면 모든 클라이언트 PC대역을 SMTP 아웃 차단을 할수 있습니다. 필자는 ISA2004 서버가 있어서 쉽게 차단정책을 설정할수 있지만 공유기나 단순 NAT 장비라면 기초 룰은 설정해야 됩니다. 뭐 SBS서버에 ISA제품도 포함되어 나오긴 합니다만 대부분 ISA를 설정하는데 어려움이 있어서 설치를 안하는 케이스도 많습니다. ISA 좋은데...
클라이언트의 모든 SMTP 아웃바운드를 차단하면 구글 아웃룩 쓰는 사람은 어떻게 될거냐?라고 묻겠지만 해당 구글 아이피만 아웃룰을 잡아주면 됩니다.
역시나 IT기술의 모든 문제는 인재였다는걸 또한번 느끼게 되는 현실입니다. 의심스러우면 본인이 직접 눈으로 확인을 해야 한다는 것입니다

2010/08/16 07:47 2010/08/16 07:47