웹 프록시로 리버스터널 공격 차단하기

이전 포스트에서 밝힌 것처럼 Outbound 트래픽의 통제가 매우 중요해지고 있습니다.(Outbound 방화벽 정책으로 침해사고 줄이기)

하지만 본사 사무실 방화벽의 Outbound를 차단할 경우 업무가 불가능합니다.

이에 대한 해결 방안을 몇가지 생각해봤습니다.

1. 전용 웹 프록시 장비 설치 운영
2. 웹 프록시 서버 설치 운영

첫번째는 Cisco Ironport 같은 전용장비를 백본에 설치하는 것으로, 사용자PC 작업이 필요없어 간단하고 Sender URL DB를 기반으로하기 때문에 신뢰성이 있습니다. 다만 비용 부담이 있고 장애포인트가 될 수 있다는 단점이 있습니다.

두번째는 리눅스 서버에 오픈소스 프록시를 활용하는 것으로 적은 비용으로 간단하게 설치할 수 있다는 장점이 있는 반면, 사용자 PC 인터넷 설정에서 일일이 프록시를 지정해야 한다는 불편함이 있습니다. 솔루션으로는 Squid와 DansGuardian의 조합이 가장 유용할 것 같습니다.

- Squid : http://www.squid-cache.org/
- DansGuardian : http://dansguardian.org/

여기에 실시간 Malware URL 리스트를 제공하는 MalwarePatrol의 서비스를 이용하면 리버스터널이 아닌 정상적인 웹브라우저를 통한 Malware URL 접근도 어느정도 차단할 수 있습니다. 서버에 Cron 설정으로 새로운 리스트를 주기적으로 갱신하도록 할 수도 있습니다.

- MalwarePatrol : http://www.malware.com.br/lists.shtml

복잡한게 싫고 단순히 Squid만 이용하기 원할 경우에는 다음의 링크를 참고하면 됩니다.

- Squid만 이용해 간단하게 설정하기 : http://bit.ly/bnRrAI

웹 프록시 설치와 사용자 PC 프록시 설정을 마친 후, 방화벽에서 Outbound 트래픽중 프록시만 허용하고 나머지는 차단합니다.

이렇게 하면 사용자 PC에서 악성코드가 80, 443 포트 등으로 리버스터널을 여는 것을 막을 수 있습니다.