하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

Windows 2000/XP에 내장된 방화벽을 통한 보안 (3)
등록일 :
2003.12.03

4. Windows 2000 방화벽 설정하기


Windows 2000 시스템은 TCP/IP 필터링 옵션(인바운드 트래픽만 필터링)이나 IPSEC( 인바운드/아웃 바운드 모두 필터링
가능)을 이용하여 유해한 트래픽을 차단할 수 있다.


1) TCP/IP 필터링 옵션을 이용 ( 일반사용자 )


먼저 방화벽을 구성하기 위해서는 아래의 단계를 실행하여 TCP/IP 필터링 설정화면으로 넘어간다.


o 윈도우즈 바탕화면에서 [네트워크환경] 아이콘 선택 한 후 마우스 오른쪽 버튼 클릭하여 [등록정보]를 선택하고 네트워크 및 전화접속
연결창에서 [로컬영역연결]을 선택한다.



o [로컬영역 연결 선택]후 마우스 오른쪽 버튼을 클릭하여 [등록정보] 선택한다. 로컬영역 연결 등록 정보 창에서 [인터넷프로토콜(TCP/IP)선택]한
후 [등록정보]를 클릭한다.


>


o 인터넷 프로토콜(TCP/IP) 등록 정보 창에서 [고급]을 클릭한 후 [옵션]탭의 [TCP/IP필터링]을 선택한다. 마지막으로 [등록정보]를
클릭 한다.



디폴트 설정은 TCP/IP 필터링 사용 (모든 어댑터) 확인란에 체크가 되어 있지 않아 필터링 정책이 설정되어 있지 않다.



※ 세 번째 항목인 IP프로토콜은 모두 허용으로 설정해두고 변경하지 않는다.(구현안된 기능)


일반사용자가 유해 트래픽을 차단하려고 한다면


TCP/IP 필터링 사용 (모든 어댑터) 부분을 체크하고

TCP 포트 부분에서 다음만 허용을 선택한 후 포트를 추가하지 않고

UDP 포트에서 모두허용을 선택하면 된다.


※ 설정이 끝난 후 시스템을 재부팅 하여야 필터링 설정이 적용된다.


물론, Windows XP 방화벽에서처럼 특정포트를 필요로 하는 프로그램을 서비스하는 경우 다음만 허용을 선택한 후 [추가]옵션을 선택하여
서비스포트를 등록해 주면 된다.


예를 들어 웹서비스를 한다면 TCP/80 포트를 등록해 주면 된다.



2) IPSEC(Internet Protocol Security Protocol) 기능을 이용한 필터링 ( 능숙한 사용자
)


Windows 2000에는 IPSEC 기능을 자체적으로 내장하고 있다. 이 IPSEC은 보안 통신을 위해서 여러 가지 기능을 제공하지만
여기에서는 간단하게 인바운드, 아웃바운드에 대한 필터링 부분만 설명하기로 한다.


※ IPSEC을 이용한 필터링 부분은 인바운드 트래픽 뿐만 아니라 아웃 바운드 트래픽도 제어가 가능하므로 개요부분에서 말한 "사용자도
모르는 사이에 자신의 컴퓨터가 다른 컴퓨터를 공격하는 데 사용되는 것"을 막을 수도 있다.


o IPSEC을 설정하려면 [시작] [제어판] [관리도구]에서 [로컬보안정책]을 더블 클릭한다.



o 로컬 보안설정 창의 [로컬 컴퓨터의 IP 보안정책] 항목에서 설정 가능하다.



① [동작] 메뉴에서 [IP 보안정책 만들기]를 선택한다.


※ 필터링의 예로 Windows 2000에서 공유 관련포트인 TCP/139,445 관련포트를 막는 예를
든다.



② 필터링 규칙 이름을 임의로 정한다. 여기서는 "공유접근막기"로 명명하였다. 기본응답 규칙 활성화 체크를 제거하고
다음을 누른다.



③ [등록정보 편집]이 체크되어 있는 상태에서 [마침]을 누르면 필터링 세부 규칙을 설정할 수 있는 "공유접근막기 등록정보"
창이 뜬다.



④ 개인 PC에서 기본적으로 필터링 규칙만 사용할 것이므로 "추가마법사 사용"이 체크를 지운 후 추가 버턴을 클릭
한다. 첫 번째 [IP 필터 목록]에서 추가를 클릭 한다.



⑤ 이름 칸에 임의의 이름을 넣고(여기서는 "139/445 포트막기"로 정의했다) [추가]를 클릭 하여 필터 마법사를
시작한다.



⑥ 여기서부터 제일 중요한 부분으로 외부로부터 내부로 들어오는 모든 TCP 139/445번을 막고자 하므로 원본 주소란에는 "모든
IP 주소"를 선택하고 그리고 대상 주소는 "내 IP 주소"를 선택한다.



⑦ IP 프로토콜은 TCP를 선택하고 외부쪽의 소스포트는 임의적 바뀌므로 "모든 포트에서"를 선택하고 내 시스템으로는
139번 포트로 접속하므로 139번을 적는다.


>


⑧ 이로써 하나의 필터링 룰이 정해졌고 목록에 하나가 정의 있는 것을 볼 수 있다.



⑤번에서 ⑧번 까지 반복하면 필터링을 원하는 모든 프로토콜과 포트를 정의할 수 있다.
TCP 445번을 필터링 하는 항목도 만든 후 닫기를 클릭하면 [IP 필터목록]에 새로운 목록인 "139/445 포트막기"
항목이 만들어졌다.



⑩ 이제는 정의된 필터목록의 동작을 정의해 주어야 하므로 새롭게 만든 필터목록을 선택한 후 두 번째 탭인 [필터동작]부분을 선택하고
[추가]를 클릭 한다.



⑪ 139/445번 포트로 접근하는 것을 막는 것이기 때문에 거부를 선택하고 확인을 누른다. 이제 새로운 필터 동작이 생성되었다. 등록해
놓은 필터 동작은 다음에도 계속 사용할 수 있으므로 필터 동작을 알기 쉽게 이름을 변경해 놓자.
"새 필터 동작"을
선택한 후 [편집]을 클릭 한다.



⑫ 일반탭에 있는 "새 필터 동작"을 "거부"로 이름을 바꾸자. 마지막으로 새 규칙 등록정보 창에서
거부필터 동작을 클릭한 후 [적용]을 누르면 [닫기] 버튼이 [확인]으로 바뀐다. 이제 [확인]을 누르자.



⑬ 이제 마지막으로 [닫기]를 클릭하면 "공유접근 막기"라는 새로운 정책이 완성되었다.




지금까지 IPSEC을 설정하면서 기타 다른 옵션 및 세부설정이 많이 있으나 개인이 사용하기에는 위의 과정만 따라한다면 간단하게 필터링 부분은
쉽게 설정할 수 있으리라 본다.


⑭ 마지막으로 만들어진 정책을 적용하려면 만들어진 정책을 클릭후 마우스 오른쪽 단축 메뉴에서 "할당"을 선택하면 정책이
활성화되고 다시 설정을 해지하려면 할당된 정책을 선택한 후 "해제"를 선택하면 된다.



⑮ 위에서 만들어진 정책이 제대로 작동을 하는지 테스트 해 보자.



정책을 할당하기 전에는 공유 폴더로 접근이 가능했지만 아래쪽에는 정책을 할당한 후 공유 접근이 불가능함을 확인할 수 있다.



5. 마치며


Windows에서 기본적으로 제공하는 방화벽으로 모든 침입을 막는데는 한계가 있으며 침입시 사용자에게 알림 기능이 없으므로 이것만으로는
완전한 보안을 기대하기는 어렵다. 그러므로 현재 개인사용자를 위한 방화벽이 무료 또는 상용으로 많이 나와 있으므로 가능하다면 관련제품을
설치하여 활용하는 방법도 해킹에 대비할 수 있는 좋은 방법이다.


기타 무료 악성프로그램 제거툴이나 개인 방화벽 관련은 아래의 사이트를 참조하기 바란다.

http://www.cyber118.or.kr/tools/tools_windows.html


마지막으로 대부분의 해킹사고와 바이러스 전파는 알려진 취약점을 이용하여 일어나므로 Windows 시스템을 항상 최신버젼으로 업데이트 하여야
하며 사용자 계정에는 꼭 암호를 설정하여 다른 사용자가 암호 없이 시스템에 침입할 수 없도록 해야 함을 잊지 말기를 바란다.

( 참고문서 : http://www.certcc.or.kr/announce/cyberterror.hwp )


 



부록 1. 윈도우즈에서 사용되는 포트 리스트


아래의 링크에 윈도우즈 시스템에서 사용하는 서비스의 포트 리스트가 모두 나와 있다. (영문)


http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp


http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/
cnfc/CNFC_POR.DOC


※ 이 리스트는 윈도우즈 시스템에서 제공하는 서비스이기 때문에 마이크로소프트 외의 회사에서 제공하는 프로그램의 서비스 포트는 나와 있지
않을 수 있으며 널리 알려진 소프트웨어가 사용하는 서비스 포트를 확인하려면 http://www.iana.org/assignments/port-numbers 에서
확인해 보기 바란다.


* A ∼ Z 올림차순 정렬





























































































































































































































































































































































































































































































































































































Service Name UDP TCP
     
Browsing datagram responses of NetBIOS over TCP/IP 138  
Browsing requests of NetBIOS over TCP/IP 137  
Client/Server Communication   135
Common Internet File System (CIFS) 445 139, 445
Content Replication Service   560
Cybercash Administration   8001
Cybercash Coin Gateway   8002
Cybercash Credit Gateway   8000
DCOM (SCM uses udp/tcp to dynamically assign ports for DCOM) 135 135
DHCP client   67
DHCP server   68
DHCP Manager   135
DNS Administration   139
DNS client to server lookup (varies) 53 53
     
Exchange Server 5.0    
Client Server Communication   135
Exchange Administrator   135
IMAP   143
IMAP (SSL)   993
LDAP   389
LDAP (SSL)   636
MTA - X.400 over TCP/IP   102
POP3   110
POP3 (SSL)   995
RPC   135
SMTP   25
NNTP   119
NNTP (SSL)   563
File shares name lookup 137  
File shares session   139
FTP   21
FTP-data   20
HTTP   80
HTTP-Secure Sockets Layer (SSL)   443
Internet Information Services (IIS)   80
IMAP   143
IMAP (SSL)   993
IKE (For more information, see Table C.4) 500  
IRC   531
ISPMOD (SBS 2nd tier DNS registration wizard)   1234
Kerberos de-multiplexer   2053
Kerberos klogin   543
Kerberos kpasswd (v5) 464 464
Kerberos krb5 88 88
     
Kerberos kshell   544
L2TP 1701  
LDAP   389
LDAP (SSL)   636
Login Sequence 137, 138 139
Macintosh, File Services (AFP/IP)   548
Membership DPA   568
Membership MSN   569
Microsoft Chat client to server   6667
Microsoft Chat server to server   6665
Microsoft Message Queue Server 1801 1801
Microsoft Message Queue Server 3527 135, 2101
Microsoft Message Queue Server   2103, 2105
MTA - X.400 over TCP/IP   102
NetBT datagrams 138  
NetBT name lookups 137  
NetBT service sessions   139
NetLogon 138  
NetMeeting Audio Call Control   1731
NetMeeting H.323 call setup   1720
NetMeeting H.323 streaming RTP over UDP Dynamic  
NetMeeting Internet Locator Server ILS   389
NetMeeting RTP audio stream Dynamic  
NetMeeting T.120   1503
NetMeeting User Location Service   522
NetMeeting user location service ULS   522
Network Load Balancing 2504  
NNTP   119
NNTP (SSL)   563
Outlook (see Exchange for ports)    
Pass Through Verification 137, 138 139
POP3   110
     
POP3 (SSL)   995
PPTP control   1723
PPTP data (see Table C.4)    
Printer sharing name lookup 137  
Printer sharing session   139
Radius accounting (Routing and Remote Access) 1646 or 1813  
Radius authentication (Routing and Remote Access) 1645 or 1812  
Remote Install TFTP   69
RPC client fixed port session queries   1500
RPC client using a fixed port session replication   2500
RPC session ports   Dynamic
RPC user manager, service manager, port mapper   135
SCM used by DCOM 135 135
SMTP   25
SNMP 161  
SNMP Trap 162  
SQL Named Pipes encryption over other protocols name lookup 137  
SQL RPC encryption over other protocols name lookup 137  
SQL session   139
SQL session   1433
SQL session   1024 - 5000
SQL session mapper   135
SQL TCP client name lookup 53 53
Telnet   23
Terminal Server   3389
UNIX Printing   515
WINS Manager   135
WINS NetBios over TCP/IP name service 137  
WINS Proxy 137  
WINS Registration   137
WINS Replication   42
X400   102
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top