위 캡쳐는 일단 현 시점... 해결? 한듯한 모습을 보여주는 MRTG입니다...^^
일단 보안팀에서 그제 알려준 포트는 원격지에서 UDP 0번으로 인바운드
외부로 내부서버의 UDP 0번으로 아웃바운드 된다는 내용이였습니다.
저의 패킷 모니터링 결과는 UDP 포트로 문제가 있다는것을 알고 있었고요,
오늘 직원분의 도움으로 SNMP 포트 또한 문제가 되고 있는것 같다는 얘기를 들었고
일단은 UDP 모든 포트의 인바운드 차단!!
하고나니 문제의 트래픽은 발생되지 않았고요.
하지만 근본적인 원인을 찾아야 한다기에 여유를 가지고 조금더 찾아 보았습니다.
일단 IPS장비의 모니터링 툴에서 보여 로그는
이를 바탕으로 일단은 막았던 포트 오픈...
다시 이상 증상은 시작되었고
패킷 모니터링 결과... 자세히 보니 특정 포트 하나가 보이네요. UDP 161번...
물론 다른 포트도 있겠지만 일단은 161번 차단!!
하고나니 이상증상은 발생되지 않았고요.
UDP 161번을 확인해 보니 주로 사용되는것은 SNMP 서비스
서버 모니터링을 위하여 제 서버들 간에 통신 중이긴 하죠.
그래서 이번에는 UDP 161번 막았던 것을 열어주고
아래와 같이 방화벽 설정
제 모니터링 서버의 서브마스크넷을 제외한 나머진 차단 이거고요.
일단.... 현재 모니터링 상에선
토요일, 일요일 동안 보여지던 이상 트래픽은 잡힌 상태입니다.
물론.... 원인이 이것 때문일지는............
전 전문가는 아니다보니 모르겠고요.
혹시라도 비슷한 경우가 생길수 있다보니 후기 남깁니다....^^
- by inoree.com -
Àιٿîµå¸¸ ¸·¾Ò´Âµ¥µµ ¹®Á¦°¡ ¾ø¾îÁø °ÍÀ¸·Î º¼¶§....
°æÀ¯Áö µîÀ¸·Î¸¸ ÀÌ¿ëµÈ°Í»Ó...
½©µîÀÇ ¹ÙÀÌ·¯½º°¡ ¼¹ö³»¿¡´Â ¿ª½Ã ¾ø¾ú´ø°Å ¾Æ´Ò±î À¯ÃßÇØ º¾´Ï´Ù.
ÇØ´ç ÀÎÀԵǴ ipµµ Á¡Á¡ ´Ã¾î³ª°í ÀÖ¾ú½À´Ï´Ù.
ºÒƯÁ¤ ´Ù¼öÀÇ ¸ðµç ipÀÇ Àιٿîµå¸¦ ¸·´Â´Ù´Â°ÍÀÌ ÇØ°á¹æ¹ýÀº ¾Æ´Ï´Ùº¸´Ï....
¶ÇÇÑ 1ÁÖÀÏ Á¤µµ´Â µé¾î¿À´Â ¸ðµç udpÆ÷Æ®´Â º¸¾ÈÆÀ¿¡¼ ¸·¾ÆÁÙ¼ö ÀÖ´Ù°í´Â ÇÏ¿´Áö¸¸
±Ùº»ÀûÀ¸·Î ÇØ°áÇÒ¼ö ÀÖ´Â ¹æ¹ýÀº ¾Æ´Ï¿©¼
½º½º·Î ¿øÀΰú ÇØ°á¹ýÀ» ã°í ÀÖ¾ú´ø °ÍÀÔ´Ï´Ù.
±×¸®°í... ¸Ç À§¿¡¼ º¸´Ù½ÍÀÌ ½ÇÁ¦ Á¦ ¼¹ö¿¡¼ ÀϾ´Â Àιٿîµå´Â 100kbµµ µÇÁö ¾Ê¾Ò°í¿ä.