4. Windows 2000 방화벽 설정하기 > MySQL Tip

본문 바로가기
 

4. Windows 2000 방화벽 설정하기

페이지 정보

작성자 차동박 이름으로 검색 댓글 0건 조회 20,077회 작성일 05-10-22 12:08

본문

2003/12/03 Windows 2000/XP에 내장된 방화벽을 통한 보안 (3)
4. Windows 2000 방화벽 설정하기

Windows 2000 시스템은 TCP/IP 필터링 옵션(인바운드 트래픽만 필터링)이나 IPSEC( 인바운드/아웃 바운드 모두 필터링 가능)을 이용하여 유해한 트래픽을 차단할 수 있다.

1) TCP/IP 필터링 옵션을 이용 ( 일반사용자 )

먼저 방화벽을 구성하기 위해서는 아래의 단계를 실행하여 TCP/IP 필터링 설정화면으로 넘어간다.

o 윈도우즈 바탕화면에서 [네트워크환경] 아이콘 선택 한 후 마우스 오른쪽 버튼 클릭하여 [등록정보]를 선택하고 네트워크 및 전화접속 연결창에서 [로컬영역연결]을 선택한다.

20031204_main12.gif

o [로컬영역 연결 선택]후 마우스 오른쪽 버튼을 클릭하여 [등록정보] 선택한다. 로컬영역 연결 등록 정보 창에서 [인터넷프로토콜(TCP/IP)선택]한 후 [등록정보]를 클릭한다.

20031204_main13.gif>

o 인터넷 프로토콜(TCP/IP) 등록 정보 창에서 [고급]을 클릭한 후 [옵션]탭의 [TCP/IP필터링]을 선택한다. 마지막으로 [등록정보]를 클릭 한다.

20031204_main14.gif

디폴트 설정은 TCP/IP 필터링 사용 (모든 어댑터) 확인란에 체크가 되어 있지 않아 필터링 정책이 설정되어 있지 않다.

20031204_main15.gif

※ 세 번째 항목인 IP프로토콜은 모두 허용으로 설정해두고 변경하지 않는다.(구현안된 기능)

일반사용자가 유해 트래픽을 차단하려고 한다면

TCP/IP 필터링 사용 (모든 어댑터) 부분을 체크하고
TCP 포트 부분에서 다음만 허용을 선택한 후 포트를 추가하지 않고
UDP 포트에서 모두허용을 선택하면 된다.

※ 설정이 끝난 후 시스템을 재부팅 하여야 필터링 설정이 적용된다.

물론, Windows XP 방화벽에서처럼 특정포트를 필요로 하는 프로그램을 서비스하는 경우 다음만 허용을 선택한 후 [추가]옵션을 선택하여 서비스포트를 등록해 주면 된다.

예를 들어 웹서비스를 한다면 TCP/80 포트를 등록해 주면 된다.

20031204_main16.gif

2) IPSEC(Internet Protocol Security Protocol) 기능을 이용한 필터링 ( 능숙한 사용자 )

Windows 2000에는 IPSEC 기능을 자체적으로 내장하고 있다. 이 IPSEC은 보안 통신을 위해서 여러 가지 기능을 제공하지만 여기에서는 간단하게 인바운드, 아웃바운드에 대한 필터링 부분만 설명하기로 한다.

※ IPSEC을 이용한 필터링 부분은 인바운드 트래픽 뿐만 아니라 아웃 바운드 트래픽도 제어가 가능하므로 개요부분에서 말한 "사용자도 모르는 사이에 자신의 컴퓨터가 다른 컴퓨터를 공격하는 데 사용되는 것"을 막을 수도 있다.

o IPSEC을 설정하려면 [시작] [제어판] [관리도구]에서 [로컬보안정책]을 더블 클릭한다.

20031204_main17.gif

o 로컬 보안설정 창의 [로컬 컴퓨터의 IP 보안정책] 항목에서 설정 가능하다.

20031204_main18.gif

① [동작] 메뉴에서 [IP 보안정책 만들기]를 선택한다.

※ 필터링의 예로 Windows 2000에서 공유 관련포트인 TCP/139,445 관련포트를 막는 예를 든다.

20031204_main19.gif

② 필터링 규칙 이름을 임의로 정한다. 여기서는 "공유접근막기"로 명명하였다. 기본응답 규칙 활성화 체크를 제거하고 다음을 누른다.

20031204_main20.gif

③ [등록정보 편집]이 체크되어 있는 상태에서 [마침]을 누르면 필터링 세부 규칙을 설정할 수 있는 "공유접근막기 등록정보" 창이 뜬다.

20031204_main21.gif

④ 개인 PC에서 기본적으로 필터링 규칙만 사용할 것이므로 "추가마법사 사용"이 체크를 지운 후 추가 버턴을 클릭 한다. 첫 번째 [IP 필터 목록]에서 추가를 클릭 한다.

20031204_main22.gif

⑤ 이름 칸에 임의의 이름을 넣고(여기서는 "139/445 포트막기"로 정의했다) [추가]를 클릭 하여 필터 마법사를 시작한다.

20031204_main23.gif

⑥ 여기서부터 제일 중요한 부분으로 외부로부터 내부로 들어오는 모든 TCP 139/445번을 막고자 하므로 원본 주소란에는 "모든 IP 주소"를 선택하고 그리고 대상 주소는 "내 IP 주소"를 선택한다.

20031204_main24.gif

⑦ IP 프로토콜은 TCP를 선택하고 외부쪽의 소스포트는 임의적 바뀌므로 "모든 포트에서"를 선택하고 내 시스템으로는 139번 포트로 접속하므로 139번을 적는다.

20031204_main25.gif>

⑧ 이로써 하나의 필터링 룰이 정해졌고 목록에 하나가 정의 있는 것을 볼 수 있다.

20031204_main26.gif

⑤번에서 ⑧번 까지 반복하면 필터링을 원하는 모든 프로토콜과 포트를 정의할 수 있다. TCP 445번을 필터링 하는 항목도 만든 후 닫기를 클릭하면 [IP 필터목록]에 새로운 목록인 "139/445 포트막기" 항목이 만들어졌다.

20031204_main27.gif

⑩ 이제는 정의된 필터목록의 동작을 정의해 주어야 하므로 새롭게 만든 필터목록을 선택한 후 두 번째 탭인 [필터동작]부분을 선택하고 [추가]를 클릭 한다.

20031204_main28.gif

⑪ 139/445번 포트로 접근하는 것을 막는 것이기 때문에 거부를 선택하고 확인을 누른다. 이제 새로운 필터 동작이 생성되었다. 등록해 놓은 필터 동작은 다음에도 계속 사용할 수 있으므로 필터 동작을 알기 쉽게 이름을 변경해 놓자. "새 필터 동작"을 선택한 후 [편집]을 클릭 한다.

20031204_main29.gif

⑫ 일반탭에 있는 "새 필터 동작"을 "거부"로 이름을 바꾸자. 마지막으로 새 규칙 등록정보 창에서 거부필터 동작을 클릭한 후 [적용]을 누르면 [닫기] 버튼이 [확인]으로 바뀐다. 이제 [확인]을 누르자.

20031204_main30.gif

⑬ 이제 마지막으로 [닫기]를 클릭하면 "공유접근 막기"라는 새로운 정책이 완성되었다.
 
20031204_main31.gif

지금까지 IPSEC을 설정하면서 기타 다른 옵션 및 세부설정이 많이 있으나 개인이 사용하기에는 위의 과정만 따라한다면 간단하게 필터링 부분은 쉽게 설정할 수 있으리라 본다.

⑭ 마지막으로 만들어진 정책을 적용하려면 만들어진 정책을 클릭후 마우스 오른쪽 단축 메뉴에서 "할당"을 선택하면 정책이 활성화되고 다시 설정을 해지하려면 할당된 정책을 선택한 후 "해제"를 선택하면 된다.

20031204_main32.gif

⑮ 위에서 만들어진 정책이 제대로 작동을 하는지 테스트 해 보자.

20031204_main33.gif

정책을 할당하기 전에는 공유 폴더로 접근이 가능했지만 아래쪽에는 정책을 할당한 후 공유 접근이 불가능함을 확인할 수 있다.

20031204_main34.gif

5. 마치며

Windows에서 기본적으로 제공하는 방화벽으로 모든 침입을 막는데는 한계가 있으며 침입시 사용자에게 알림 기능이 없으므로 이것만으로는 완전한 보안을 기대하기는 어렵다. 그러므로 현재 개인사용자를 위한 방화벽이 무료 또는 상용으로 많이 나와 있으므로 가능하다면 관련제품을 설치하여 활용하는 방법도 해킹에 대비할 수 있는 좋은 방법이다.

기타 무료 악성프로그램 제거툴이나 개인 방화벽 관련은 아래의 사이트를 참조하기 바란다.
http://www.cyber118.or.kr/tools/tools_windows.html

마지막으로 대부분의 해킹사고와 바이러스 전파는 알려진 취약점을 이용하여 일어나므로 Windows 시스템을 항상 최신버젼으로 업데이트 하여야 하며 사용자 계정에는 꼭 암호를 설정하여 다른 사용자가 암호 없이 시스템에 침입할 수 없도록 해야 함을 잊지 말기를 바란다.
( 참고문서 : http://www.certcc.or.kr/announce/cyberterror.hwp )

부록 1. 윈도우즈에서 사용되는 포트 리스트

아래의 링크에 윈도우즈 시스템에서 사용하는 서비스의 포트 리스트가 모두 나와 있다. (영문)

http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp

http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/
cnfc/CNFC_POR.DOC

※ 이 리스트는 윈도우즈 시스템에서 제공하는 서비스이기 때문에 마이크로소프트 외의 회사에서 제공하는 프로그램의 서비스 포트는 나와 있지 않을 수 있으며 널리 알려진 소프트웨어가 사용하는 서비스 포트를 확인하려면 http://www.iana.org/assignments/port-numbers 에서 확인해 보기 바란다.

* A ∼ Z 올림차순 정렬

Service Name UDP TCP
Browsing datagram responses of NetBIOS over TCP/IP 138
Browsing requests of NetBIOS over TCP/IP 137
Client/Server Communication 135
Common Internet File System (CIFS) 445 139, 445
Content Replication Service 560
Cybercash Administration 8001
Cybercash Coin Gateway 8002
Cybercash Credit Gateway 8000
DCOM (SCM uses udp/tcp to dynamically assign ports for DCOM) 135 135
DHCP client 67
DHCP server 68
DHCP Manager 135
DNS Administration 139
DNS client to server lookup (varies) 53 53
Exchange Server 5.0
Client Server Communication 135
Exchange Administrator 135
IMAP 143
IMAP (SSL) 993
LDAP 389
LDAP (SSL) 636
MTA - X.400 over TCP/IP 102
POP3 110
POP3 (SSL) 995
RPC 135
SMTP 25
NNTP 119
NNTP (SSL) 563
File shares name lookup 137
File shares session 139
FTP 21
FTP-data 20
HTTP 80
HTTP-Secure Sockets Layer (SSL) 443
Internet Information Services (IIS) 80
IMAP 143
IMAP (SSL) 993
IKE (For more information, see Table C.4) 500
IRC 531
ISPMOD (SBS 2nd tier DNS registration wizard) 1234
Kerberos de-multiplexer 2053
Kerberos klogin 543
Kerberos kpasswd (v5) 464 464
Kerberos krb5 88 88
Kerberos kshell 544
L2TP 1701
LDAP 389
LDAP (SSL) 636
Login Sequence 137, 138 139
Macintosh, File Services (AFP/IP) 548
Membership DPA 568
Membership MSN 569
Microsoft Chat client to server 6667
Microsoft Chat server to server 6665
Microsoft Message Queue Server 1801 1801
Microsoft Message Queue Server 3527 135, 2101
Microsoft Message Queue Server 2103, 2105
MTA - X.400 over TCP/IP 102
NetBT datagrams 138
NetBT name lookups 137
NetBT service sessions 139
NetLogon 138
NetMeeting Audio Call Control 1731
NetMeeting H.323 call setup 1720
NetMeeting H.323 streaming RTP over UDP Dynamic
NetMeeting Internet Locator Server ILS 389
NetMeeting RTP audio stream Dynamic
NetMeeting T.120 1503
NetMeeting User Location Service 522
NetMeeting user location service ULS 522
Network Load Balancing 2504
NNTP 119
NNTP (SSL) 563
Outlook (see Exchange for ports)
Pass Through Verification 137, 138 139
POP3 110
POP3 (SSL) 995
PPTP control 1723
PPTP data (see Table C.4)
Printer sharing name lookup 137
Printer sharing session 139
Radius accounting (Routing and Remote Access) 1646 or 1813
Radius authentication (Routing and Remote Access) 1645 or 1812
Remote Install TFTP 69
RPC client fixed port session queries 1500
RPC client using a fixed port session replication 2500
RPC session ports Dynamic
RPC user manager, service manager, port mapper 135
SCM used by DCOM 135 135
SMTP 25
SNMP 161
SNMP Trap 162
SQL Named Pipes encryption over other protocols name lookup 137
SQL RPC encryption over other protocols name lookup 137
SQL session 139
SQL session 1433
SQL session 1024 - 5000
SQL session mapper 135
SQL TCP client name lookup 53 53
Telnet 23
Terminal Server 3389
UNIX Printing 515
WINS Manager 135
WINS NetBios over TCP/IP name service 137
WINS Proxy 137
WINS Registration 137
WINS Replication 42
X400 102
01_btn_13.gif
   

댓글목록

등록된 댓글이 없습니다.

Total 243건 9 페이지
MySQL Tip 목록
번호 제목 글쓴이 조회 날짜
열람중 차동박 이름으로 검색 20078 10-22
98 차동박 이름으로 검색 9788 10-21
97 차동박 이름으로 검색 20593 10-19
96 차동박 이름으로 검색 20209 10-19
95 차동박 이름으로 검색 22438 10-19
94 차동박 이름으로 검색 18992 10-15
93 차동박 이름으로 검색 10917 10-13
92 차동박 이름으로 검색 17126 10-13
91 차동박 이름으로 검색 17877 10-13
90 차동박 이름으로 검색 19449 10-13
89 차동박 이름으로 검색 18993 09-27
88 차동박 이름으로 검색 16776 09-21
87 차동박 이름으로 검색 18751 09-21
86 차동박 이름으로 검색 23842 09-14
85 차동박 이름으로 검색 19305 09-13
84 차동박 이름으로 검색 18496 09-13
83 차동박 이름으로 검색 10956 09-13
82 차동박 이름으로 검색 10918 09-13
게시물 검색