[7주차] iptables

[패킷 캡쳐 실습]

주분투에서 서비스하는 것들 접속

ftp: 다운로드, 업로드 시 포트가 서로 다름. 파일 전송 속도 빠를 수 있음. 암호화 통신 안 하는 문제점

패킷캡쳐를 통해 암호화/비암호화 확인 가능

 

[iptables] - 접근 허용 및 차단

방화벽: 특정한 pc는 차단하고 다른 특정한 pc는 허용. iptables는 하나의 패킷이 왔을 때 Y/N로 표시.

 

[방화벽 동작 위치]

1. 서버 내

단점: 과부화 문제(올인원의 문제). 하나 안 되면 다 영향 갈 수 있음

장점: 돈 절약 가능. 비용이 절약됨(컴퓨터 수로 생각해보면 1번은 2대, 2번 3대 필요한 것)

2. 네트워크 중간

역할이 서로 분리 > 특정한 하나의 역할만 줄 수 있음. 해당 기능만 하니까 단순하게 돌릴 수 있고 관리 쉬움

단점: 디바이스 하나 더 설치해야 함(작은 규모에선 1번, 큰 규모에선 2번이 좋음)

장점: 네트워크 보안성 유지하면서 확장 편함(확장성: 하나를 통해 3대를 막을 수 있는 효과)

⇒ 많은 경우 2번 사용함

* 실습은 1번 환경구성. 실제 실무에서는 2번 훨씬 더 많이 쓰임

 

[IP Chain] - 3가지 유형

1→2 이동: forward (한 랜카드에서 다른 랜카드로 이동)

input, output

우리는 input 실습만. 나머지는 유사

 

[명령어]

-F 중요 : 모든 규칙을 삭제하는 것.

현업에서 보안 규칙 적용되어 있는데 모든 규칙을 삭제하는 경우는 없음

⇒ 디스켓 포멧과 같은 의미

실습에서 학습용으로 룰 지웠다가 해봐야 돼서 사용하는 것임

 

[정책 순서] - 먼저 등록한 규칙이 가장 높은 효력

⇒ 파이썬 예시: if, elif, else 사용 시 먼저 사용할 것 가장 위에 적어주면 됨

알고리즘 정의: 소스코드 ‘효과적’ 실행이 목적(코드 줄이고 빠르게 돌리는 방법)

⇒ 허용 정책 → 거부 정책 순서가 좋음

 

[실습]

칼리 > 주분투 ping

와이어샤크 실행 > 패킷 보면 TCP 무시하고 ICMP 보면 통신 잘 되고 있는 것 확인 가능

칼리(공격자) 입장: 주분투와 네트워크 연결되어 있다고 생각

앞에 PC가 꺼져있는지, 네트워크 안 되는지 확인하려면 ping 날리면 됨

그 다음부터 공격기법 생각함

iCMP 열려있는 게 썩 좋지 않음 > 윈도우즈에서 기본적으로 닫아놓는 것.

인풋, 아웃풋, 포워드 다 없음. 룰이 없음

anywhere 어디에서 오든지 막겠다

칼리 터미널 다시 보면 방화벽 생성돼서 unreachable 메시지 보냄: 주분투 열려져있지만 열려져있는 게 아니라고 숨길 수 있는 것임

칼리 > 주분투 되면 칼리 > 호스트도 같음

네트워크 연결된 게 맞지만 ping 나가는 게 안됨

주분투 와이어샤크: 아깐 다 핑크색이었는데 다양한 색 번갈아가면서 나옴

⇒ iptables에서 icmp 프로토콜 막는 것 = 가장 간단