ESXi 쓰시는분들 질문있습니다!

   조회 5681   추천 0    

ESXi 서버가 그냥 인터넷에 노출이 되어있는 상황인데요... 정말 열심히 브룻포스가 들어옵니다.... 만약 ESXi 가 점령당하면 그 아래 써버들도 그냥 다 점령당하는 수준이니... 참 무서운일이죠... 그래서 root을 permission에서 빼버렸거든요... 그리고 shell 에서도 접속이 안되게 해놓고... 그런데도 root 로그인을 시도하네요... 어떤식으로 하는지 몰라도 말입니다... 제가 시도해보니 전혀 먹히지가 않는데...

이것을 방지하려면 어찌해야 할까요?

ESXi앞에다가 방화벽을 놓는것은 지금 현재 가능하지가 않습니다. ESXi안에 vm으로 라우터가 있는데 그것을 사용하는 방법이 있을까요?

더 막아야 하는 포트가 있을까요?
ESXi 서버 보안팁에 관하여 좀 부탁드립니다.

짧은글 일수록 신중하게.
Ryan 2015-05
제가 이전 글에 적었는데요, 아마존 ec2 에서 30GB HDD 까지 무료로 주고 고정IP 까지 1개 무료로 줍니다. 고정IP 는 Elastic IP 라고 부르고요 ec2에서. Elastic IP 를 생성해서 ec2 windows 2013 서버에 연결해 줄 수 있습니다.

그리고, esxi 에 들어가서 위 고정 ip 로만 접속할 수 있게 하면 (체크되어 있는 전 항목). 외부에서는 그 어떤 포트로토 접근할 수가 없습니다. 모든 포트가 닫혀 있는데 아무것도 못하죠. ^^

ec2 의 windows2013 은 원격터미널을 제공해 주고 그거로 접속하심 됩니다. 거기다 ESXi client 깔고 접근하심 되요.

이게 참 웃긴게.. 제가 ec2 없이 그냥 오픈된 상태로 쓰고 있었을 때 root 계정을 비활성화 하고, 다른 계정을 생성해서 그걸 root 권한 줬거든요. 그런데도 어느날 서버가 접속이 안되더라고요. 뭔가 OS 적인 결함을 이용한것 같습니다. 그래서 결국 IDC 가서 esxi 초기화를 했습니다.

제가 쓴 이 방법으로 하면 돈 한푼 안들이고 완벽하게 막을수 있습니다.

ps) ec2 에서 windows 2013 서버로 생성하시고요, (1) 그 서버에서도 유저를 하나 만들고 administrator 권한을 주고, (2) administrator 계정을 원격 접속 막고, (3) 유저 비번 3회 오류시 5분간 잠금 (너무 길게 잡으면 나 조차도 접속을 못함 ;;)  (4) 비밀번호는 숫자+영문자+특수문자 조합 12자리 이상. 이거 까지 하면 정말 완벽해 집니다. 아무래도 윈도우 비번이 브루투스 공격으로 뚫는데 시간을 걸리는게 마우스로 클릭해서 커서를 놓고.. 이런게 자동화가 좀 힘들어서 그런거 같기도 하고요.

(3) 로컬보안설정 > Account Policies > Password Policy > Account Lockout Policy > 3회, 5~10분으로 설정

(2) 이 순서대로 하면 됩니다.
1. Start | Run | Gpedit.msc if editing the local policy or chose the appropriate policy and edit it.
2. Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignment.
3. Find and double click "Deny logon through Remote Desktop Services"
4. Add the user and / or the group that you would like to dny access.
5. Click ok.
     
방금 가입하고 윈도우 인스턴스 하나 만들어봤습니다.
속도가 좀 많이 느리긴 합니다만...이것도 괜찮네요.

근데...1년간 무료라고 나오는군요. 이후에는 유료로 전환될지도 모르겠습니다.
여튼...좋은 정보 감사합니다.
          
파닥파닥 2015-05
AWS 에 최초 가입한 유저는 Free tire 로 1년간 t1-micro 인스턴스 외에 몇가지 서비스가 제한된 용량으로 무료 제공됩니다.

1년 지나면 알짤없이 과금 됩니다.
http://aws.amazon.com/ko/free/
Ryan 2015-05
제가 며칠동안 삽질해서 알아낸 거 썼습니다.
여기서 도움 많이 받았으니 저도 좀 풀어야죠 ^^

그리고, linux 의 경우 fail2ban 이란걸 깔면 브루투스 공격 및 기타 각종 공격이 막아 지더군요. 가령 비밀번호 3회 틀리면 그 IP 를 영구히 막아 버릴수 있습니다. 이거도 한번 알아 보시구요.

아마존에서 Windows 2013, Redhat 두가지 생성할 수 있는데 Windows 2013 만 생성하고 Redhat 은 생성하지 마세요. 30GB 까지만 무료입니다. 즉, Redhat 까지 생성하면 과금이 됩니다. 사용량이 없을때 한달에 3천원 정도 나오더군요. Windows 2013은 ESXi client 설치하느라 필요하지만 Redhat 은 ESXi 에서 생성하면 되므로 그다지 쓸떼가 없긴 합니다.
     
그럼 router/firewall 을 외부에 있는 다른 서버로 사용하신다는 것 인가요?

아마존 EC2 계정의 서비스로 router/firewall 을 만들어서 실제의 서버에 연결하도록 하는방식?
          
stone92 2015-05
Ryan님이 적은 내용은 외부에 특정 호스트를 만들고 그 호스트만  esxi서버에 접근하는 방식입니다.

승훈님의 질문에 대한 저의 답입니다.
물리적으로 방화벽을 분리하기 전까지 제가 사용했던 방법 입니다.
1. Esxi에 방화벽용 VM을 생성합니다.(Pfsense,untangle,MS FTMG  등등)
2. Esxi서버는  위에서 생성한 방화벽의 사설망 IP를 부여합니다.(대부분은 NAT방화벽으로 셋업합니다)
3. 방화벽에 포트 포워딩을 하던지 1:1 NAT를 하던지 해서 esxi서버는 외부 접속이 가능하게 하고
4. 방화벽 룰은 특정네트워크나 호스트 IP 만 esxi서버로 향하도록 합니다.
위의 방법말고 VPN을 이용하는 방법도 있습니다.
VM을 생성하고 방화벽에서 지원하는 VPN서버를 구동하고 외부에서는 무조건 VPN에 접속해서  esxi서버에
접근하는 방식입니다. 위에서 3,4번 셋업 대신에 VPN서버를 셋업해야겠지요.
               
이것도 재미있는 방식입니다... 저도 비슷한 방식을 상상 중이였는데... 형식이 재미있지 않은가요?

근데 만약 router VM 이 다운되면 ESXi에도 접속이 안되는거죠?
                    
stone92 2015-05
넵 router VM 이 다운되면  방화벽 하단에 물린 모든 VM이 접속이 안되는 상황들이 생깁니다.
Pfsense로 6개월 이상 운영해봤는데 한 번도 다운된 적은 없었습니다.
esxi 업그레이드 하고 재부팅 할 때 아무것도 안되는 상황들이 조금은 불편해서
현재는 pfsense방화벽을 외부로 두고 사용 중 입니다.
                         
지금 IP가 두개있는데 하나를 esxi 메니지먼트에 올인시켜놓은 상태라서 좀 아까워 밖에다가 라우터를 두고 싶은 마음뿐입니다... 그런데 밖에 router를 두려면 데이터센터에 돈을 더 내야 해서... 그러지도 못하고... 1U서버 안에다가 넣을 수 있는 router를 하나 찾고 있는데요...

SBC로 그런 라우터를 만들어서 파는건 어떤지 ㅎㅎ 구상중입니다.
               
그런데 지금 세팅에 어짜피 root 계정이 disable 되어있는 상태이기 때문에 brute force로 패스워드를 알아내서 접속을 한다면 아주 재미 있는 현상이 있겠습니다...

제가 상상을 해보니... 브룻포스로 패스워드를 헤킹했는데 로그인이 안되는 그런 현상?

그냥 놔두어도 될것 같습니다만... 어떻게 생각하시나요?
                    
stone92 2015-05
그냥 사용하셔도 되시겠지만 저는 기본적으로 서비스하는 서버들은 모두 방화벽 뒷단에 배치한다는게 원칙이라서요...^^;
아무래도 외부로 노출되는 서버는 신경을 많이 쓸 수밖에 없잖습니까..
                         
그렇죠... 100% 맞는 말씀입니다!

좀 고민되는 사항이네요...
                         
Cannot login user @XXX.98.228.XX: no permission
error
5/13/2015 11:18:06 PM

root 으로 로그인에 성공하면 위와 같이 나옵니다...

그리고 root 으로 fail 하면 이렇게 나오네요...
Cannot login root@222.69.94.13
error
5/13/2015 12:25:48 AM
root
          
Ryan 2015-05
firewall 이 아니라, 접근을 ec2 의 windows 2013 고정IP 에서만 할 수 있게 한다는 겁니다.
선별적 통과를 시키는 firewall 보다 더 강한 보안방식입니다.
해커가 ec2 서버에 로그인을 하지 못하는 이상 그 어떤 방법으로도 접근이 불가능합니다.
               
특정 IP만 접속이 가능하게 해놓으셨군요...  저도 ssh는 그렇게 해놓았습니다... vSphere 클라이언트는 특정 IP만 열어 놓지 않고 그냥 다 열어 놓은 상태이구요... 지금은 setting 을 좀 바꾸어서 5번 틀리면 1시간 쉬게 해놓았습니다...
viper9 2015-05
저도 같은 방법으로 (새 계정 생성 후 root 계정 disable) ESXi 설정 후 IDC에 넣어서 사용하고 있습니다.

해킹시도가 무진장 오지만 아직까지는 뚫린 적이 없긴한데 혹시 털리면 어쩌나... 고민이긴 합니다.

딱히 대책이 아직 없어서 그냥 쓰고 있네요.
     
Ryan 2015-05
제가 위에 적은 방법을 참고해 보심 될거 같은데요.

ESXi 서버란게 파악되면 해커들이 집중적으로 뚫기 시작합니다...
요즘 중국애들 자동화 톨로 해킹 엄청나게 하는거 같습니다.
linux 이상한 IP 접속 시도 들어오면 다 중국이더군요..
          
viper9 2015-05
그렇지 않아도 Ryan님 댓글을 보고 어젯밤에 잠시 찾아봤습니다.

ec2가 12개월이 무료라고 되어있습니다.

무제한 평생무료는 아닐듯하기도하여 고민되는 부분입니다.


QnA
제목Page 2366/5708
2014-05   5139477   정은준1
2015-12   1674028   백메가
2005-12   5681   김남수
2006-04   5681   조용주
2011-11   5681   메이트
2009-03   5681   Sico
2006-03   5681   곽선호
2008-02   5681   박찬민
2012-09   5681   유호준
2011-10   5681   방o효o문
2005-06   5681   강정혁
2011-12   5681   김윤술
2007-04   5681   이정동
2009-02   5681   안형곤
2016-12   5681   다온
2016-01   5681   송진현
2007-10   5681   박승진
2016-03   5681   초보IT
2005-06   5681   이상철
2005-11   5681   최영철
2007-10   5681   박병희
2006-06   5681   김동률