4.
Windows 2000 방화벽 설정하기 Windows
2000 시스템은 TCP/IP 필터링 옵션(인바운드 트래픽만 필터링)이나 IPSEC(
인바운드/아웃 바운드 모두 필터링 가능)을 이용하여 유해한 트래픽을 차단할 수 있다.
1) TCP/IP 필터링 옵션을 이용 ( 일반사용자 )
먼저 방화벽을 구성하기 위해서는 아래의 단계를 실행하여 TCP/IP 필터링
설정화면으로 넘어간다.
o 윈도우즈 바탕화면에서 [네트워크환경] 아이콘 선택 한 후 마우스 오른쪽 버튼
클릭하여 [등록정보]를 선택하고 네트워크 및 전화접속 연결창에서 [로컬영역연결]을
선택한다.
o [로컬영역 연결 선택]후 마우스 오른쪽 버튼을 클릭하여 [등록정보] 선택한다.
로컬영역 연결 등록 정보 창에서 [인터넷프로토콜(TCP/IP)선택]한 후 [등록정보]를
클릭한다.
>
o 인터넷 프로토콜(TCP/IP) 등록 정보 창에서 [고급]을 클릭한 후
[옵션]탭의 [TCP/IP필터링]을 선택한다. 마지막으로 [등록정보]를 클릭 한다.
디폴트 설정은 TCP/IP 필터링 사용 (모든 어댑터) 확인란에 체크가 되어 있지
않아 필터링 정책이 설정되어 있지 않다.
※ 세 번째 항목인 IP프로토콜은 모두 허용으로 설정해두고 변경하지
않는다.(구현안된 기능)
일반사용자가 유해 트래픽을 차단하려고 한다면
TCP/IP 필터링 사용 (모든 어댑터) 부분을
체크하고
TCP 포트 부분에서 다음만 허용을 선택한 후 포트를 추가하지 않고
UDP 포트에서 모두허용을 선택하면 된다.
※ 설정이 끝난 후 시스템을 재부팅 하여야 필터링 설정이 적용된다.
물론, Windows XP 방화벽에서처럼 특정포트를 필요로 하는 프로그램을
서비스하는 경우 다음만 허용을 선택한 후 [추가]옵션을 선택하여 서비스포트를 등록해
주면 된다.
예를 들어 웹서비스를 한다면 TCP/80 포트를 등록해 주면 된다.
2) IPSEC(Internet Protocol Security
Protocol) 기능을 이용한 필터링 ( 능숙한 사용자 )
Windows 2000에는 IPSEC 기능을 자체적으로 내장하고 있다. 이
IPSEC은 보안 통신을 위해서 여러 가지 기능을 제공하지만 여기에서는 간단하게
인바운드, 아웃바운드에 대한 필터링 부분만 설명하기로 한다.
※ IPSEC을 이용한 필터링 부분은 인바운드 트래픽 뿐만 아니라 아웃 바운드
트래픽도 제어가 가능하므로 개요부분에서 말한 "사용자도 모르는 사이에 자신의 컴퓨터가
다른 컴퓨터를 공격하는 데 사용되는 것"을 막을 수도 있다.
o IPSEC을 설정하려면 [시작] [제어판] [관리도구]에서 [로컬보안정책]을
더블 클릭한다.
o 로컬 보안설정 창의 [로컬 컴퓨터의 IP 보안정책] 항목에서 설정 가능하다.
① [동작] 메뉴에서 [IP 보안정책 만들기]를 선택한다.
※ 필터링의 예로 Windows 2000에서 공유
관련포트인 TCP/139,445 관련포트를 막는 예를 든다.
② 필터링 규칙 이름을 임의로 정한다. 여기서는 "공유접근막기"로 명명하였다.
기본응답 규칙 활성화 체크를 제거하고 다음을 누른다.
③ [등록정보 편집]이 체크되어 있는 상태에서 [마침]을 누르면 필터링 세부
규칙을 설정할 수 있는 "공유접근막기 등록정보" 창이 뜬다.
④ 개인 PC에서 기본적으로 필터링 규칙만 사용할 것이므로 "추가마법사 사용"이
체크를 지운 후 추가 버턴을 클릭 한다. 첫 번째 [IP 필터 목록]에서 추가를 클릭
한다.
⑤ 이름 칸에 임의의 이름을 넣고(여기서는 "139/445 포트막기"로 정의했다)
[추가]를 클릭 하여 필터 마법사를 시작한다.
⑥ 여기서부터 제일 중요한 부분으로 외부로부터 내부로 들어오는 모든 TCP
139/445번을 막고자 하므로 원본 주소란에는 "모든 IP 주소"를 선택하고 그리고
대상 주소는 "내 IP 주소"를 선택한다.
⑦ IP 프로토콜은 TCP를 선택하고 외부쪽의 소스포트는 임의적 바뀌므로 "모든
포트에서"를 선택하고 내 시스템으로는 139번 포트로 접속하므로 139번을 적는다.
>
⑧ 이로써 하나의 필터링 룰이 정해졌고 목록에 하나가 정의 있는 것을 볼 수
있다.
⑨ ⑤번에서 ⑧번 까지 반복하면 필터링을 원하는
모든 프로토콜과 포트를 정의할 수 있다. TCP 445번을 필터링 하는
항목도 만든 후 닫기를 클릭하면 [IP 필터목록]에 새로운 목록인 "139/445
포트막기" 항목이 만들어졌다.
⑩ 이제는 정의된 필터목록의 동작을 정의해 주어야 하므로 새롭게 만든 필터목록을
선택한 후 두 번째 탭인 [필터동작]부분을 선택하고 [추가]를 클릭 한다.
⑪ 139/445번 포트로 접근하는 것을 막는 것이기 때문에 거부를 선택하고
확인을 누른다. 이제 새로운 필터 동작이 생성되었다.
등록해 놓은 필터 동작은 다음에도 계속 사용할 수 있으므로 필터 동작을 알기 쉽게
이름을 변경해 놓자. "새 필터 동작"을 선택한 후 [편집]을 클릭 한다.
⑫ 일반탭에 있는 "새 필터 동작"을 "거부"로 이름을 바꾸자. 마지막으로 새
규칙 등록정보 창에서 거부필터 동작을 클릭한 후 [적용]을 누르면 [닫기] 버튼이
[확인]으로 바뀐다. 이제 [확인]을 누르자.
⑬ 이제 마지막으로 [닫기]를 클릭하면 "공유접근 막기"라는 새로운 정책이 완성되었다.
지금까지 IPSEC을 설정하면서 기타 다른 옵션 및 세부설정이 많이 있으나 개인이
사용하기에는 위의 과정만 따라한다면 간단하게 필터링 부분은 쉽게 설정할 수 있으리라
본다.
⑭ 마지막으로 만들어진 정책을 적용하려면 만들어진 정책을 클릭후 마우스 오른쪽
단축 메뉴에서 "할당"을 선택하면 정책이 활성화되고 다시 설정을 해지하려면 할당된
정책을 선택한 후 "해제"를 선택하면 된다.
⑮ 위에서 만들어진 정책이 제대로 작동을 하는지 테스트 해 보자.
정책을 할당하기 전에는 공유 폴더로 접근이 가능했지만 아래쪽에는 정책을 할당한 후
공유 접근이 불가능함을 확인할 수 있다.
5. 마치며
Windows에서 기본적으로 제공하는 방화벽으로 모든 침입을 막는데는 한계가
있으며 침입시 사용자에게 알림 기능이 없으므로 이것만으로는 완전한 보안을 기대하기는
어렵다. 그러므로 현재 개인사용자를 위한 방화벽이 무료 또는 상용으로 많이 나와
있으므로 가능하다면 관련제품을 설치하여 활용하는 방법도 해킹에 대비할 수 있는 좋은
방법이다.
기타 무료 악성프로그램 제거툴이나 개인 방화벽 관련은 아래의 사이트를 참조하기
바란다.
http://www.cyber118.or.kr/tools/tools_windows.html
마지막으로 대부분의 해킹사고와 바이러스 전파는 알려진 취약점을 이용하여 일어나므로
Windows 시스템을 항상 최신버젼으로 업데이트 하여야 하며 사용자 계정에는 꼭
암호를 설정하여 다른 사용자가 암호 없이 시스템에 침입할 수 없도록 해야 함을 잊지
말기를 바란다.
( 참고문서 :
http://www.certcc.or.kr/announce/cyberterror.hwp
)
부록 1.
윈도우즈에서 사용되는 포트 리스트
아래의 링크에 윈도우즈 시스템에서 사용하는 서비스의 포트 리스트가 모두 나와
있다. (영문)
http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp
http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/
cnfc/CNFC_POR.DOC
※ 이 리스트는 윈도우즈 시스템에서 제공하는 서비스이기 때문에 마이크로소프트 외의
회사에서 제공하는 프로그램의 서비스 포트는 나와 있지 않을 수 있으며 널리 알려진
소프트웨어가 사용하는 서비스 포트를 확인하려면
http://www.iana.org/assignments/port-numbers
에서 확인해 보기 바란다.
* A ∼ Z 올림차순 정렬
Service Name |
UDP |
TCP |
|
|
|
Browsing datagram responses
of NetBIOS over TCP/IP |
138 |
|
Browsing requests of NetBIOS
over TCP/IP |
137 |
|
Client/Server Communication
|
|
135 |
Common Internet File System
(CIFS) |
445 |
139, 445
|
Content Replication Service
|
|
560 |
Cybercash Administration
|
|
8001 |
Cybercash Coin Gateway |
|
8002 |
Cybercash Credit Gateway
|
|
8000 |
DCOM (SCM uses udp/tcp to
dynamically assign ports for
DCOM) |
135 |
135 |
DHCP client |
|
67 |
DHCP server |
|
68 |
DHCP Manager |
|
135 |
DNS Administration |
|
139 |
DNS client to server lookup
(varies) |
53 |
53 |
|
|
|
Exchange Server 5.0 |
|
|
Client Server Communication
|
|
135 |
Exchange Administrator |
|
135 |
IMAP |
|
143 |
IMAP (SSL) |
|
993 |
LDAP |
|
389 |
LDAP (SSL) |
|
636 |
MTA - X.400 over TCP/IP
|
|
102 |
POP3 |
|
110 |
POP3 (SSL) |
|
995 |
RPC |
|
135 |
SMTP |
|
25 |
NNTP |
|
119 |
NNTP (SSL) |
|
563 |
File shares name lookup
|
137 |
|
File shares session |
|
139 |
FTP |
|
21 |
FTP-data |
|
20 |
HTTP |
|
80 |
HTTP-Secure Sockets Layer
(SSL) |
|
443 |
Internet Information
Services (IIS) |
|
80 |
IMAP |
|
143 |
IMAP (SSL) |
|
993 |
IKE (For more information,
see Table C.4) |
500 |
|
IRC |
|
531 |
ISPMOD (SBS 2nd tier DNS
registration wizard) |
|
1234 |
Kerberos de-multiplexer
|
|
2053 |
Kerberos klogin |
|
543 |
Kerberos kpasswd (v5) |
464 |
464 |
Kerberos krb5 |
88 |
88 |
|
|
|
Kerberos kshell |
|
544 |
L2TP |
1701 |
|
LDAP |
|
389 |
LDAP (SSL) |
|
636 |
Login Sequence |
137, 138
|
139 |
Macintosh, File Services
(AFP/IP) |
|
548 |
Membership DPA |
|
568 |
Membership MSN |
|
569 |
Microsoft Chat client to
server |
|
6667 |
Microsoft Chat server to
server |
|
6665 |
Microsoft Message Queue
Server |
1801 |
1801 |
Microsoft Message Queue
Server |
3527 |
135, 2101
|
Microsoft Message Queue
Server |
|
2103, 2105
|
MTA - X.400 over TCP/IP
|
|
102 |
NetBT datagrams |
138 |
|
NetBT name lookups |
137 |
|
NetBT service sessions |
|
139 |
NetLogon |
138 |
|
NetMeeting Audio Call
Control |
|
1731 |
NetMeeting H.323 call setup
|
|
1720 |
NetMeeting H.323 streaming
RTP over UDP |
Dynamic |
|
NetMeeting Internet Locator
Server ILS |
|
389 |
NetMeeting RTP audio stream
|
Dynamic |
|
NetMeeting T.120 |
|
1503 |
NetMeeting User Location
Service |
|
522 |
NetMeeting user location
service ULS |
|
522 |
Network Load Balancing |
2504 |
|
NNTP |
|
119 |
NNTP (SSL) |
|
563 |
Outlook (see Exchange for
ports) |
|
|
Pass Through Verification
|
137, 138
|
139 |
POP3 |
|
110 |
|
|
|
POP3 (SSL) |
|
995 |
PPTP control |
|
1723 |
PPTP data (see Table C.4)
|
|
|
Printer sharing name lookup
|
137 |
|
Printer sharing session
|
|
139 |
Radius accounting (Routing
and Remote Access) |
1646 or 1813
|
|
Radius authentication
(Routing and Remote Access)
|
1645 or 1812
|
|
Remote Install TFTP |
|
69 |
RPC client fixed port
session queries |
|
1500 |
RPC client using a fixed
port session replication |
|
2500 |
RPC session ports |
|
Dynamic |
RPC user manager, service
manager, port mapper |
|
135 |
SCM used by DCOM |
135 |
135 |
SMTP |
|
25 |
SNMP |
161 |
|
SNMP Trap |
162 |
|
SQL Named Pipes encryption
over other protocols name lookup
|
137 |
|
SQL RPC encryption over
other protocols name lookup
|
137 |
|
SQL session |
|
139 |
SQL session |
|
1433 |
SQL session |
|
1024 - 5000
|
SQL session mapper |
|
135 |
SQL TCP client name lookup
|
53 |
53 |
Telnet |
|
23 |
Terminal Server |
|
3389 |
UNIX Printing |
|
515 |
WINS Manager |
|
135 |
WINS NetBios over TCP/IP
name service |
137 |
|
WINS Proxy |
137 |
|
WINS Registration |
|
137 |
WINS Replication |
|
42 |
X400 |
|
102
|
|
|