안녕하세요.
이호스트데이터센터 지게꾼입니다.
호스팅 서버보안 중 VPN악용에 대한 안내를 포스팅하도록 하겠으며, 해당 글은 "한국인터넷진흥원 호스팅 보안"관련 자료를 발췌함을 말씀드립니다.
1. 개요
VPN 서버 악용 사례는 Windows 시스템에서 기본적으로 제공하는 Routing and Remote Access 서비스를 사용한 것이므로 PPTP 프로토콜의 1723 포트 사용 유무 확인을 통해 비교적 수월하게 탐지 할 수 있다.
Linux 시스템에서는 PopTop의 PPTPD를 이용하여 VPN을 구축한다. 따라서 PPTPD의 실행 유무 및 PPTP 프로토콜의 1723 포트 사용 유무 확인을 통해 VPN 서비스를 탐지 할 수 있다.
2. VPN 실행 여부 확인
1) 윈도우 환경에서 확인
① netstat –na 명령으로 PPTP 프로토콜 1723 포트가 LISTENING 상태인지 확인
② 제어판 => 컴퓨터 관리 => 서비스 및 응용프로그램 “서비스” 항목에서 Routing and Remote Access의 상태 확인
2) 리눅스 환경에서 확인
① Root 권한으로 터미널 실행
② PPTP 프로토콜 1723번 포트 상태나 프로세스 리스트에서 PPTPD 유무확인
- netstat –nlp 명령으로 PPTP 프로토콜 1723 포트가 LISTENING 상태인지 확인
3. 설치된 VPN 제거 방법
1) 윈도우 환경에서 VPN 설정 제거
① 제어판 => 컴퓨터 관리 => 서비스 및 응용프로그램 “서비스” 항목 선택
② 아래 “Routing and Remote Access" 선택하여 ”서비스 중지“ 실행
③ Routing and Remote Access 속성 창에서 시작 유형을 “사용 안 함”으로 변경 후 적용
2) 리눅스 환경에서 VPN 설정 제거
① 불법적으로 실행된 PPTPD을 종료
- 실행 중인 PPTPD의 프로세스 ID를 확인 한다.
- kill –9 명령어를 이용해 해당 데몬을 중지 시킨다.
② PPTPD 패키지를 삭제
- rpm –e pptpd 명령어를 이용하여 PPTPD 패키지를 삭제한다.
③ PPTPD에 의해 열려있던 port를 iptables에서 차단
- TCP 1723번 port로 들어오는 패킷을 막는다.
- UDP 1723번 port로 들어오는 패킷을 막는다.
4. 포트 점검 및 차단을 통한 VPN 접근 제한
시스템에서 PPTP VPN을 제거 및 포트를 차단한 후에는 문제가 없는 검증 하는 것이 좋다. 이를 위해 NMAP 등과 같은 툴을 이용하여 포트를 점검할 수 있다.
① 네트워크 내부에서 점검
- 네트워크 내부에 PPTP 포트(기본포트: 1723)가 열려있는지 확인 한다.
- 또한 VPN으로 사용될 수 있는 L2TP(Layer 2 Tunneling Protocol)의 기본 포트인 1701에 대해서도 위와 같은 방법으로
확인할 수 있다.
- 포트가 열려있는 서버가 발견되면 해당 서버에 VPN 실행 여부를 확인 후 제거한다.
② 네트워크 외부에서 점검
- 호스팅사업자의 경우 자사에서 운영중인 IDS/방화벽 등을 활용하여 외부에서 PPTP 포트(기본포트: 1723)또는 L2TP
포트(1701)를 차단하는 것이 가능하다.
- 자사에서 운영중인 IDS/방화벽 등에 맞는 정책을 만들어 적용시킨다.
*** 한줄 광고 ***
*귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시는
고객사는(이호스트IDC 고객을 포함한 모든 서버를 보유한 고객대상)
-
언제든지 전화 및 메일주시면 보안취약성 점검을 통한
보안레포트를 제공해드리겠습니다.
보안취약성 점검을 위한 무상장비는 : 웹방화벽, IPS 무상 지원해드립니다.
서버호스팅 및 보안 컨설팅 : 070-7600-5513(7311) / contact@ehostidc.co.kr
'[IT 알아보기]' 카테고리의 다른 글
서버호스팅, ARP 스푸핑 공격 증상 및 확인 방법 (0) | 2015.06.25 |
---|---|
EhostiDC. 디도스 대피소,서버호스팅 특별가 제공~!!! (0) | 2015.06.08 |
EhostIDC. 서버이전 없는 디도스 보안 회선 제공 서비스 소개. (0) | 2015.05.07 |
EhostiDC. 디도스 공격 방어를 위한 서버 대피소 서비스 제공~! (0) | 2015.04.22 |
오늘도 웹서버는 웹 공격시도를 당하고 있다는 사실~~ (0) | 2015.03.13 |