송신 필터링이 있는 방화벽은 무엇입니까?

송신 필터링은 네트워크에서 나가는 트래픽을 제어할 때 사용됩니다. 이그레스 필터링은 방화벽 규칙을 도입하여 아웃바운드 트래픽 흐름을 축소된 하위 집합으로 제한합니다.

송신 필터링을 구현하는 데 사용할 도구는 무엇입니까?

우분투 배포판에서 기본적으로 제공되는 ufw 도구를 사용할 것입니다. 다른 Linux 배포판에도 설치할 수 있습니다ufw.

먼저 뿌리를 내리자

sudo su

여기서 우리는 우분투가 있는 시스템이 있다고 가정하고 있습니다.
활성화하여 시작하겠습니다ufw.

ufw enable

송신 필터링이 필요한 이유는 무엇입니까?

Egress 필터링은 인터넷으로 유출되고 싶지 않은 정보를 제한합니다. 내부 시스템이 손상되고 우리가 피할 수 있는 일부 원격 호스트에 정보를 공유하는지 여부, 잘못된 구성 또는 네트워크 매핑 시도로 인해 정보 유출이 발생할 수 있으며 피할 수도 있습니다.

이제 일부 TCP/UDP 포트와 IP가 아웃바운드 연결을 설정하지 못하도록 차단합니다.

간단한 파일 전송 프로토콜 - TFTP - UDP - 69

TFTP는 원격 호스트 간에 파일을 이동하는 데 도움이 되므로 공격자가 페이로드를 손상된 시스템으로 이동하는 관문이 됩니다. tftp를 통한 시스템과 원격 호스트 간의 비정상적 연결은 손상된 시스템의 표시입니다.

다음 명령을 사용하여 이 포트를 통해 설정된 연결이 있는지 확인할 수 있습니다.

netstat -anu | grep ":69" 

아웃바운드 통신을 수행하지 않도록 포트를 차단하는 것이 좋습니다.

이를 위해 다음 명령을 시도하십시오

ufw deny out 69/udp

이제 포트 69에서 UDP의 TFTP를 차단하도록 방화벽이 업데이트되었습니다.

시스템 로그 - UDP - 514

포트 514의 UDP에서 작동하는 Syslog는 서버에 로그를 보내는 데 도움이 됩니다. 로그 파일에는 민감한 정보나 개인 정보가 포함될 수 있습니다. 시스템이 확실하지 않은 경우 언제든지 syslog가 발신 연결을 만들지 못하도록 차단할 수 있습니다.

노력하다,

ufw deny out 514/udp

단순 네트워크 관리 프로토콜 - SNMP - UDP - 161-162

포트 범위 161~162에서 UDP의 SNMP는 정보 수집, 구성, 네트워크 모니터링, 네트워크 오류 감지, 때로는 원격 장치 구성에도 사용할 수 있습니다.

SNMP를 차단하려면 다음을 시도하십시오.

ufw deny out 161:162/udp

SMTP 메일 서버 TCP - 25

이메일 전송을 위한 스팸 릴레이로 사용하기 위해 많은 시스템이 손상되었습니다. 이를 방지하기 위해 메일 서버 IP를 제외한 모든 IP가 TCP 포트 25에 액세스하지 못하도록 차단할 수 있습니다.

ufw allow from <our-mail-server-ip> to any proto tcp port 25

ufw deny from any to any proto tcp port 25

인터넷 릴레이 채팅 – IRC - TCP 6660-6669

IRC는 텍스트 기반 메시징을 위한 네트워크입니다. 공격자는 IRC를 통해 손상된 시스템과 통신할 수 있지만 IRC는 모든 포트에 연결할 수 있지만 가장 일반적인 포트 범위는 6660~6669입니다.

노력하다,

ufw deny out 6660:6669/tcp

인터넷 제어 메시지 프로토콜 - ICMP

ICMP는 네트워크 통신 문제를 진단하기 위해 네트워크 장치에서 사용하는 네트워크 계층 프로토콜입니다. ICMP는 주로 데이터가 적시에 의도한 대상에 도달하는지 여부를 확인하는 데 사용됩니다.

ICMP를 사용하면 세 가지 취약성 시나리오가 발생할 수 있습니다.

에코 요청 패킷 수신에 대한 응답으로 시스템에서 에코 응답 패킷(유형 0 코드 0)을 반환합니다. 이것은 누군가가 우리 시스템이 회신하는 것을 ping할 때입니다. 공격자는 이를 비밀 통신 채널로 사용할 수 있습니다.

공격자는 연결된 호스트로 네트워크를 ping하고 연결할 수 없는 호스트(유형 3 코드 1)를 찾아 네트워크에서 회신하여 어떤 호스트가 오프라인이고 어떤 호스트가 온라인인지 식별하여 공격자를 위한 네트워크 매핑 도구가 될 수 있습니다.

Time Exceeded in Transit(유형 11 코드 0) traceroute, tracert, Firewalk 및 tcptraceroute와 같은 네트워크 매핑 도구는 TTL(Time To Live)이 비정상적으로 낮은 수정된 패킷을 생성하여 소스와 대상 호스트 간의 모든 라우터를 매핑합니다. . 따라서 해당 경로의 라우팅 장치는 초과된 ICMP 시간을 반환합니다.

평소와 같이 뿌리를 내렸습니다.

sudo su

방화벽 규칙을 백업해 보겠습니다.

cp /etc/ufw/before.rules /etc/ufw/before.rules_backup

vi /etc/ufw/before.rules

아래와 같이 출력됩니다

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

아래와 같이 변경해보세요

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

그런 다음 방화벽을 다시 로드하십시오.

ufw reload

너희들이 유용하다고 생각하길 바래

쿠키를 구매하여 지원