접속 IP 및 포트 제한

호스트에 접속 가능한 IP 주소와 포트를 특정하는 함으로써 부적절한 사용자나 시스템의 액세스를 방지하여 네트워크의 보안성과 관리 용이성을 향상시키는 데 도움이 됩니다.

• 허용할 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검

• 허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지하기 위함

• 허용할 호스트에 대한 IP 및 포트제한이 적용되지 않은 경우, Telnet, FTP 같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해 사고가 발생할 수 있음

• Linux : Rocky 9

• 양호 : 접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정한 경우
• 취약 : 접속을 허용할 특정 호스트에 대한 IP 주소 및 포트 제한을 설정하지 않은 경우

과거에는 TCP Wrapper이나 iptables 등이 많이 사용되었지만, 현재에는 더 강력하고 유연한 firewalld 방화벽 데몬을 사용합니다. 예제를 통해 원격 접속(ssh)허용할 IP주소 및 포트를 설정하는 절차를 알아보겠습니다.

1. 원격 호스트(192.168.56.102)에서 ssh 접속 시도 – 현재 192.168.56.103(rocky9u2) 접속 불가

   [root@centos8 ~]# ssh root@192.168.56.103
   ssh: connect to host 192.168.56.103 port 22: No route to host
   

2. firewalld 데몬 상태 및 등록된 rule 확인
   service와 port에 각각 ssh와 22가 등록되지 않아 ssh 접속 불가 상태입니다.

   [root@rocky9u2 ~]# firewall-cmd --state
   running
   [root@rocky9u2 ~]# firewall-cmd --list-all
   public (active)
     target: default
     icmp-block-inversion: no
     interfaces: enp0s3 enp0s8
     sources: 
     services: cockpit dhcpv6-client
     ports: 
     protocols: 
     forward: yes
     masquerade: no
     forward-ports: 
     source-ports: 
     icmp-blocks: 
     rich rules: 
   

3. firewalld 방화벽에 rich rule 등록

   [root@rocky9u2 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.56.1" port protocol="tcp" port="22" accept'
   success
   [root@rocky9u2 ~]# firewall-cmd --reload
   success
   [root@rocky9u2 ~]# firewall-cmd --list-all
   public (active)
     target: default
     icmp-block-inversion: no
     interfaces: enp0s3 enp0s8
     sources: 
     services: cockpit dhcpv6-client
     ports: 
     protocols: 
     forward: yes
     masquerade: no
     forward-ports: 
     source-ports: 
     icmp-blocks: 
     rich rules: 
           rule family="ipv4" source address="192.168.56.102" port port="22" protocol="tcp" accept
   

4. 원격 호스트(192.168.56.102)에서 ssh 접속 시도

   [root@centos8 ~]# ssh root@192.168.56.103
   root@192.168.56.103's password: 
   Activate the web console with: systemctl enable --now cockpit.socket
   
   Last login: Fri Nov 10 11:51:20 2023 from 192.168.56.1
   [root@rocky9u2 ~]# 
   

함께 읽어보면 좋은 Contents

• [Linux]등록된 Host 및 IP를 제외하고 root의 ssh 로그인을 제한하는 방법
• [Linux]Rocky Linux에 ssh 접속하기
• [Linux]SSH의 키 기반 인증으로 원격 접속과 파일 전송
• LINUX서버 취약점 분석/조치법 > ROOT 계정 원격접속 제한
• LINUX서버 취약점 분석/조치법 > 접속 IP 및 포트 제한