이전 포스트에서 밝힌 것처럼 Outbound 트래픽의 통제가 매우 중요해지고 있습니다.(Outbound 방화벽 정책으로 침해사고 줄이기)
하지만 본사 사무실 방화벽의 Outbound를 차단할 경우 업무가 불가능합니다.
이에 대한 해결 방안을 몇가지 생각해봤습니다.
1. 전용 웹 프록시 장비 설치 운영
2. 웹 프록시 서버 설치 운영
첫번째는 Cisco Ironport 같은 전용장비를 백본에 설치하는 것으로, 사용자PC 작업이 필요없어 간단하고 Sender URL DB를 기반으로하기 때문에 신뢰성이 있습니다. 다만 비용 부담이 있고 장애포인트가 될 수 있다는 단점이 있습니다.
두번째는 리눅스 서버에 오픈소스 프록시를 활용하는 것으로 적은 비용으로 간단하게 설치할 수 있다는 장점이 있는 반면, 사용자 PC 인터넷 설정에서 일일이 프록시를 지정해야 한다는 불편함이 있습니다. 솔루션으로는 Squid와 DansGuardian의 조합이 가장 유용할 것 같습니다.
- Squid : http://www.squid-cache.org/
- DansGuardian : http://dansguardian.org/
여기에 실시간 Malware URL 리스트를 제공하는 MalwarePatrol의 서비스를 이용하면 리버스터널이 아닌 정상적인 웹브라우저를 통한 Malware URL 접근도 어느정도 차단할 수 있습니다. 서버에 Cron 설정으로 새로운 리스트를 주기적으로 갱신하도록 할 수도 있습니다.
- MalwarePatrol : http://www.malware.com.br/lists.shtml
복잡한게 싫고 단순히 Squid만 이용하기 원할 경우에는 다음의 링크를 참고하면 됩니다.
- Squid만 이용해 간단하게 설정하기 : http://bit.ly/bnRrAI
웹 프록시 설치와 사용자 PC 프록시 설정을 마친 후, 방화벽에서 Outbound 트래픽중 프록시만 허용하고 나머지는 차단합니다.
이렇게 하면 사용자 PC에서 악성코드가 80, 443 포트 등으로 리버스터널을 여는 것을 막을 수 있습니다.
Monday, May 17, 2010
Subscribe to:
Posts (Atom)