38일차(4.6) iptables로 방화벽 설정하기 Bacula(Bacula management server) 백업 서버

  iptables로 방화벽 설정하기 
  이상적으로 CentOS 서버에서 실행되고 있는 모든 서비스는 별도로 보안 어플이나 설정을 추가적으로 해주지 않아도 디폴트로 내장되어 있는 접근통제 설정으로 네트워크로부터 안전하도록 설계되어 있다. 하지만 원치 않는 외부 사용자의 접속과 DDoS와 같은 공격으로부터 시스템은 현실적으로 안전하지 않다. 네트워크 보안의 목적은 오직 권한 있는 사용자들만 서버 서비스에 접속해서 허용된 범위 내에서 서비스를 이용하게 하는 것이다. 
  내부 네트워크든 외부 네트워크든 인터넷에 연결된 어느 호스트라도 해커의 침투머신이 될 수 있다. 내부 로컬 네트워크에서도 소셜 엔지니어링(Social Engineering) 등으로 침투해 들어올 수 있으므로 내부 네트워크도 위협이 될 수 있어서 관리상 간과해서는 안 된다. 
  
  해커는 외부 네트워크를 통해서 방화벽을 뚫고 시스템에 로그인할 권한을 얻으려고 애쓰는 사람이지만 내부인은 로컬 랜을 통해서 자신에게 허가되지 않은 서비스에 접근하려는 사용자로, 예를 들어서 월급명세서가 저장되어 있는 경리과 파일서버에 어느 영업부 직원이 접속하려고 시도하는 경우이다. 따라서 민감한 정보를 서버에 저장하고 있다면 로컬 사용자들도 접근하지 못하게 해 두어야 하는데, 이 경우 경리과 파일서버에 접근권한이 없는 이들을 막기 위해서 방화벽을 걸어 두어야 한다. 그리고 중요한 작업을 자주 수행하고 중요한 설정들이 저장되어 있는 IT 부서의 직원용 호스트에는 내부는 물론이고 원격에서도 접근도 제한시켜 두는 것이 필요하다. Network에서 라우터에 설정하는 ACL(Access Control List)과 유사한 개념으로 이해하면 된다.

  iptables에서 사용되는 용어
용어 설명
policy 패킷에게 적용되는 룰 정책이다.
tables filter(걸러줌), nat(주소전환), mangle(섞임), raw(순수형태)가 있는데  iptables에서는 주로 filter를 사용하고 INPUT(들어옴), OUTPUT(나감),  FORWARD(전달) 체인을 가진다. iptables -t filter --list 해서 확인할 수 있다 .
chain 일단의 룰을 말하는데 하나의 체인에 여러 룰이 한 줄에 하나 씩 들어있다.
match 룰에서의 각 조건을 말하는데 --source(-s 출발지), --destination(-d 목적지),  --protocol(-p 프로토콜), --in-interface(-i 입력_인터페이스), --out- interface(-o 출력_인터페이스), --state(상태), --jump(-j 점프), --match(-m  매치), --syn(-y 동기화), --frag(-f 단편화), --dport(목적지_포트), --sport(출 발지_포트), --mode(-m 모드) 등이 있다. 
stateful 적용할 서비스에 대한 상태로써 NEW(새로 연결), ESTABLISHED(기존 연결),  RELATED(관련된 연결), 그리고 INVALID(무효 연결) 등이 있다. 이들을 여럿  써 줄 때 , 뒤에 빈칸 없이 이어서 써준다.
target 룰과 일치할 때의 행동으로 ACCEPT(받아줌), DROP(로그파일 없이 버림),  REJECT(로그파일 남기고 버림), LOG(로그로 기록함), RETURN(송신자에게  되돌려 보냄), QUEUE(대기열에 저장함) 등이 있다.
기타  이외에도 PREROUTING(먼저 룰을 적용 한 뒤 실행함), POSTROUTING(먼저  실행한 뒤 룰을 적용함)도 있고, 규칙(룰)에 따른 행동으로 ACCEPT, DROP,  REJECT 이외에 NAT에서 사용하는 MASQUERADE(나가는 패킷의 출발지 주 소와 포트변환), SNAT(나가는 패킷의 출발지 주소변환), DNAT(들어오는 패 킷의 목적지 주소변환), 그리고 LOG(로그 기록) 옵션이 있다. 

  방화벽 설정은 세 가지로 할 수 있는데
1) firewall-config 해서 GUI로 설정하거나 
   firewall-cmd --zone=public --add-ports=80/tcp, ....
2) iptables -A INPUT -p tcp --dport 22 -j REJECT
3) /etc/sysconfig/iptables 파일에 직접 기록하기 
=>조직에서는 CentOS1 서버에서 설정한 방화벽 룰인 /etc/sysconfig/iptables 파일을 복사해서 CentOS2 서버에 붙여 넣으면 CentOS2도 같은 방화벽 룰이 적용되게 된다.
관리자가 조직에 적용되는 정책에 따라서 하나의 표본 방화벽 설정을 해두고 모드 서버에 일괄적으로 적용시킬 수 있다.

  패킷 필터링 작동을 살펴보자. 
∎ 외부에서 시스템으로 패킷 A가 들어오면 
① 먼저 패킷 A 헤더에서 목적지 주소를 확인하는 라우팅(routing) 과정을 거친 뒤, 
② 패킷 A의 목적지가 이 시스템이면 패킷을 ACCEPT 하고 INPUT 체인으로 보내서  CPU가 처리하게 하고, 정책상 패킷 A를 처리할 수 없게 되어 있으면 해당 패킷을   REJECT하거나 DROP시킨다. 
③ 목적지가 다른 네트워크나 시스템이라면 FORWARD 체인이 설정되어 있을 때 패킷  A를 해당 목적지로 보낸다. 

∎ 반대로 내부 시스템에서 패킷 B를 외부로 전송한다면 
① 먼저 OUTPUT 체인으로 패킷 B를 보내고, 
② 라우터나 스위치가 패킷 B를 받아서 FORWARD 체인을 통해서 원하는 목적지로 라우팅 과정을 거쳐서 내 보낸다. 

  iptables 정책(policy)
  iptables policy에는 INPUT, FORWARD(딴 데로 보냄), OUTPUT 체인(chain)처럼 내장된 '내장 체인'이 있고 iptables에 -N 옵션을 주고 새로 생성하는 '사용자_정의 체인'도 있다. Linux 서버로 도착되는 모든 패킷은 INPUT 체인으로 들어오고, Linux 서버에서 생성된 모든 패킷은 OUTPUT 체인을 통해서 나가며, Linux를 거쳐서 특정 목적지로 가는 패킷은 FORWARD 체인으로 나가도록 설정해준다.

  체인 룰(엔트리)에 대한 조작
체인 종류 설명
A(ppend) 추가로써 해당 체인의 룰에서 맨 끝에 자리한다.
I(nsert) 끼워 넣기로써 체인의 시작이나 어느 포인트에도 자리할 수 있는 데 '-I 체인 룰_번호'식으로 지정해서 어느 곳이라도 위치시킬 수  있다. 대부분 체인의 시작에 룰을 둘 때 사용된다. 룰 1뒤에 -I  INPUT 2 ~ 식으로 넣으면 이후의 룰은 번호가 하나씩 밀리게 된 다.
R(eplace) 대체로써 '-R 체인 룰_번호'식으로 사용하면 해당 룰이 새로운 룰 로 대체된다. 
D(elete) 삭제인데, 그냥 -D를 사용하면 매치되는 첫 번째 룰을 삭제하고,  '-D 체인 룰_번호'식으로 해주면 해당 룰만 삭제한다. 
옵션  -C(체인 규칙확인), -L(체인 규칙보기), -F(지정한 체인내의 모든 규 칙제거), -N(사용자_정의 체인생성), -X(사용자_정의 체인삭제), -P( 지정한 체인정책 변경), --line-numbers(체인 룰에 줄번호 매기기)  등이 있다.

∎ 룰의 기본구조는
iptables -A INPUT –p tcp –m multiport —dports 80,443(OR 20:100) –i(인터페이스)0 eth0 –s(출발지 주소) 192. 168.100.0/24(OR 192.168.100.100) –d(목적지) 10.10.10.0/24(OR 10.10.10.10) –m state —state NEW,ESTABLISHED -j ACCEPT식이다. --state NEW,RELATED 등을 사용하려면 앞에 -m state도 함께 있어야 하고, 여러 포트를 한 번에 주려면 앞에 -m multiport가 --dports 앞에 있어야 한다. 여러 포트는 80,443 하면 80과 443 포트가 되고, 20:100 하면 20~100번까지 포트에 해당된다. 혹은 
iptables -A INPUT -p tcp --dport 22 -j REJECT식으로 간단하게 할 수도 있다. 

∎ 체인 규칙은
1) 체인에 있는 룰(각 줄을 엔트리라고 부름)은 처음부터 순차적으로 내려가면서 검사  되고, 
2) 매치되는 룰 엔트리를 만나면 그곳에서 더 이상 아래로 내려가지 않고 체인을 벗어나서 타겟에게 지정한 액션을 적용시킨다. 
3) 추가(-A INPUT ~ ) 하면 맨 아래에 저장된다. 따라서 중요하거나 긴급한 엔트리는 I    로  맨 위로 가게 해야 한다. 
4) 변경한다면 -I INPUT 2 ~ 식으로 두 번째 엔트리로 만들 수 있다.
5) 교체한다면 -R INPUT 3 ~ 식으로 세 번째 엔트리를 바꿀 수 있다.
6) 모든 체인의 끝에는 암묵적(implicity)으로 deny가 있다!!! 따라서 위에서 풀어줄 것을 풀어주지 않으면 나중에는 모두 거부되게 된다. 이것은 마치 tcp_wrapper(/etc/hosts.allow, /etc/hosts.deny)에서 프로세스가 먼저 /etc/hosts.allow를 먼저 보고 나중에  /etc/hosts. deny 파일은 보고 처리해주는 것과 유사한 메카니즘이다. 또 라우터에 설정해주는 ACL에서도 동일한 규칙이 있다.

 

실습

iptables-save > /home/centos/Desktop/iptables.ori

iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED --dport=22 -j DROP

iptables -I INPUT 2 -p tcp -m multiport --dports=22,80,443 -j REJECT

iptables -R INPUT 2 -p tcp --dport 22 -j REJECT

 

 iptables -D INPUT 13

제일 아래쪽 줄 하나를 없앴다.

 

iptables -F INPUT

아예 없앴다.

 

  체인 저장과 복원 
▪ 체인을 저장한다면 iptables-save > /etc/iptables.ori식으로 해주고
▪ 체인을 복원한다면 iptables-restore < /etc/iptables.ori식으로 해주면 된다.

 

iptables-restore < /home/centos/Desktop/iptables.ori 

  포트 지정은 
--sport 23, --dport 21, --m multiport --dports 21:80, -m multiport --dports 20,21
-m multiport --dports 20,21:80, -m mac --mac-source 00:11:22:33:44:55
! --dport 23 하면 23 포트만 제외된다. ! -p tcp 하면 tcp 프로토콜만 제외하고의 의미이다.

 

실습

센토스에서 

iptables -A INPUT -p tcp --dport 22 -j REJECT(맨 아래에 추가)
막아봤자

우분투에서 ssh접속이 가능하다

iptables -I INPUT 1 -p tcp --dport 22 -j REJECT

이제는 안된다.

 

iptables -I INPUT 2 ! -p tcp -j DROP

tcp아닌 놈 다 거절해 로그 남기지도 말고

핑이 안간다.

(icmp)

iptables -I INPUT 2 -p icmp -j REJECT

 

보

1) 로컬에서 요청하는 ping(ICMP 패킷) 이외의 것을 모두 막는 설정
iptables -I INPUT 1 ! -s 127.0.0.1 -p icmp -j DROP 
=>icmp는 ping, tracert에서 사용되는 프로토콜 

2) DDoS 등의 공격으로 인한 패킷거부 설정

3) Syn Flooding(--tcp-flags SYN,RST 옵션을 사용)와 Smurf(가짜 IP 주소를 막는데
–d 255.255.255.255, -d 0.0.0.0/8, ....)를 막는 설정

4) DoS 공격을 받고 있는 웹 서버 확인
① 예를 들어서 웹 서버에 1초에 100번 이상 HTTP 요청이 들어온다면 DoS 공격일 가능성이 크다.
=>이런 SYN 패킷을 다음처럼 막아두어야 한다.
iptables –I INPUT 2 –m state --state NEW,RELATED –p tcp --dport 80 –j ACCEPT 해서 80번 웹 서버로 향하는 일반 요청은 허락하고,
② 초당 50번 이상의 80번 포트로 연결요청을 해오는 패킷을 버린다면
iptables -I INPUT 3 -p tcp --dport 80 -m limit --limit 50/s –j DROP 해준다.
③ 웹 서버에 분당 1,000개의 연결요청이 있고 이중 50개가 일시에 연결되고 있다면, 이 50여개 중 일부는 송수신 주소나 패킷 길이 이상 등으로 연결되지 못했을 수도 있지만 이런 패킷도 역시 DoS 공격일 가능성이 있다.
iptables –I INPUT 3 –p tcp —dport 80 –m limit —limit 1000/m —limit-burst 50 –j DROP 해주면 된다.

5) IP 위장('사설 IP'로 들어오는 패킷) 막기
192.168.0.0, 172.16.0.0, 10.0.0.0  주소로 시작되는 IP들이다.
④ 거부할 패킷만 기록하게 하는데 192.168.100.101(BT)에서 들어오는 패킷을 거부한다면 
a. iptables –nL --line-numbers 해서 룰의 줄 번호를 보고, 맨 아래 REJECT(6) 위에 
b. iptables –I INPUT 6 –p tcp –s 192.168.100.101(BT) —dport 22 –j LOG 해준다. 이 뒤에 —log-level 4를 추가하면 warning 레벨 이상만 기록하고, —log-prefix "LOGGED"식으로 해주면 로그파일에 LOGGED~ 식의 메시지로 볼 수 있게 된다. 
*** 경고 레벨 DINWECAE(Debug>Info>Notice>Warn>Err>Critic>Alert>Emerg)

  Firewall 설정은 
∎ CentOS에서는 
firewall-config 해서 GUI로 설정 가능
OR firewall-cmd --permanent --zone=public --add-ports 22/tcp 한 뒤
     firewall-cmd --reload 해준다. 
∎ Ubuntu에서는 
ufw deny from 10.10.10.0/24 to any port 22 proto tcp식이다.
∎ Ubuntu에서도 iptables는 CentOS에서와 같이 동일하게 적용된다!!!  
iptables -A INPUT -p tcp -s 10.10.10.0/24 -d 0.0.0.0 -j REJECT

실습

ufw status verbose

ufw enable && ufw status verbose

ufw allow 80/tcp

ufw status numbered

 

  Backup
  backup은 restore를 위해서 사용된다. 관리자는 백업을 늘 잘 해두고 필요하면 매우 빠르고 정확하게 복원할 수 있어야 한다. 
  Windows 2016 서버에서는 Windows backup 도구가 내장되어져 있다. 그리고 백업할 수 있는 시간 등을 scheduler 등으로 지정해둔다. 
=>Linux에서는 crond(crontab -e) 등으로 시간을 설정해서 백업해줄 수 있다. 
    Bacula라는 강력한 GUI 도구도 있다. 

  Bacula(Bacula management server) 백업 서버 
  바큘라 서버는 상용 프로그램과 비교해도 손색없이 백업과 복원을 수행해주는 매우 강력하고 풍부한 기능을 가지고 있는 도구이다. 그리고 무료이다. 서버-클라이언트 개념으로 작동되며 
Bacula 서버네는 모든 백업/복원 관련 지시를 해주는 Director(dir), 실제 백업 데이터를 저장하는 Storage(sd), 콘솔에서 명령어를 수행하게 해주는 Console, 
백업할 데이터를 발생시키는 리얼 서버들인 Agent(fd)가 있다. 
bat(Bacula Admin Tool)은 그래픽 도구이다. 
  Bacula 클라이언트는 실제 웹, 파일, 데이터베이스 서버 등으로써 Bacula 서버에 백업될 데이터를 발생시키는 리얼 서버 머신들을 말한다. 

 

실습

yum -y install epel-release

yum -y groups mark install "Development Tools"

yum -y install bacula-director-mysql bacula-storage-mysql bacula-console bacula-console-bat

yum -y groupinstall "Development Tools"

yum -y install mariadb-server

systemctl start mariadb
systemctl enable mariadb.service

mysqladmin -u root -h localhost password "rootoor"

 

파이어월에서 bacula랑 클라이언트, mysql 체크

 

권한 주고 갱신하고 나온다.

 

이제 바큘라와 mysql 연동해야겠다.

 

/usr/libexec/bacula/grant_mysql_privileges -prootoor
/usr/libexec/bacula/create_mysql_database -prootoor

/usr/libexec/bacula/make_mysql_tables -prootoor

 

nano /etc/bacula/bacula-dir.conf

/usr/sbin에서 /data로 

 

나머지는 오늘 이어서!!