서버에서 VPN 또는 프록시 서비스를 운영하면 여러 위험이 따를 수 있습니다. 예를 들어
해당 IP의 소유자로서, 이용자의 모든 남용 또는 불법 행위에 대한 책임은 이용자 본인에게 있습니다
서비스를 통해 이루어지는 활동에 대한 책임입니다. 이러한 책임으로부터 자신을 보호하려면
문제를 예방하려면 선제적인 조치를 취해야 합니다
reputation.
Strict Mode:
Whitelisting
서버가 악용되지 않도록 하는 한 가지 방법은 다음만 허용하는 것입니다
특정 활동을 허용 목록에 등록하는 이 방식, 즉 화이트리스팅은
남용을 완전히 막을 수는 없습니다. 사용자가 타인을 공격하거나 그로 인해 문제가 발생할 수 있습니다
서버 정지로 이어질 수 있습니다. 다만, 이로 인해 어뷰징 처리 과정이
훨씬 더 어려워지고, 악의적인 사용자들을 내쫓는 데에도 큰 효과가 있습니다
서비스(그리고 안타깝게도 일부 정상적인 사용자까지)를 차단합니다.
여기서 제안하는 것은 모든 수신 및 송신 트래픽을 차단하는 것입니다
서버에서 꼭 필요한 패킷만 허용하고 나머지는 모두 차단합니다.
이렇게 하시면 됩니다.
이 가이드를 따라하기 전에 한 가지만 확인하면 됩니다.
서버에 다른 방화벽이 활성화되어 있지 않아야 합니다.
이 가이드는 Ubuntu를 기준으로 설명하지만, 반드시 해당 환경이 필요한 것은 아닙니다.
OS로 사용하는 경우를 기준으로 설명합니다. 다른 OS도 동일한 방식으로 진행됩니다.
well.
1. Installing UFW
먼저 UFW를 설치해야 합니다.
sudo apt install ufw2.
모든 인바운드 및 아웃바운드 연결 차단
UFW를 비활성화하세요. 다음 명령어가
서버 연결을 끊을 수 있는 상황:
sudo ufw disable아래 명령어들은 기본적으로 다음을 시도하는 모든 패킷을 차단합니다
서버에 대한 접속을 허용하거나 차단합니다. 이후에는 허용된 연결만
저희 사용자들이 필요로 하는 것:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. Allowing
서버에 직접 연결하세요
이제 포트 22로 들어오는 연결을 허용하겠습니다. 포트 22는
SSH 연결을 설정하는 데 사용됩니다. 항상 권장되는 방법이지만
SSH 포트를 다른 포트로 변경하려면:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”아웃바운드 연결은 이미 차단되어 있지만, 특별히
포트 22를 목적지로 하는 모든 아웃바운드 패킷을 차단합니다 (in
나중에 기본 정책을 변경할 경우를 대비해). 이렇게 하면 두 가지 모두
SSH 포트를 통해 다른 서버에 연결할 수 없는 경우
22. 복잡하게 들릴 수 있지만, 실제로는 가장 까다로운 문제 중 하나를 해결해 줍니다
서버 정지로 이어지는 일반적인 불만 사항들입니다. 이를 사용함으로써
명령을 사용하면, 어떤 사용자도 SSH 무차별 대입 공격을 수행할 수 없게 됩니다.
your server:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”포트 22로의 인바운드 연결을 허용한 후,
서버 연결을 끊지 않고 방화벽을 설정하는 방법:
sudo ufw enable혹시 서버 연결이 끊어지더라도,
VNC로 서버에 다시 접속한 후 방화벽을 비활성화하세요.
4.
사용자가 프록시 서버에 접속할 수 있도록 허용/VPN
services
분명히, 사용자들은 서버의 프록시에 연결하여 사용해야 합니다
서비스를 마비시킵니다. 모든 수신 연결을 차단하면 공격자가 이를 실행하기 불가능해집니다.
따라서, 사용자가 사용하는 프록시/VPN 포트를 허용해야 합니다.
예를 들어, 사용자가 포트 1194에 연결할 수 있도록 허용하려는 경우,
는 일반적으로 OpenVPN에 사용됩니다. 사용하려면 다음 명령어를 입력하세요:
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”또는 UDP를 통해 OpenVPN를 실행하는 경우:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”다른 VPN 및 프록시 서버에도 동일한 방식이 적용됩니다.
사용자가 연결해야 하는 포트를 확인하고 인바운드 트래픽을 허용하세요
connections to it.
이제 사용자들은 서버와 VPN에 연결할 수 있지만,
외부와 어떤 연결도 할 수 없게 됩니다. 이것이 바로
화이트리스팅의 정확한 목적: 사용자는 어떤
포트를 허용하지 않는 한 접근할 수 없습니다. 이렇게 하면
어뷰즈 신고를 받고 있습니다.
5.
사용자가 웹사이트를 방문하고 사용할 수 있도록
applications
이제 웹 브라우징에 사용되는 포트의 아웃바운드 트래픽을 허용하겠습니다.
웹 환경에서 웹 서버에 API 호출을 실행하려면 다음을 허용해야 합니다.
TCP 포트 80과 TCP 포트 443입니다. UDP 포트 443도 허용하면
사용자가 HTTP3 연결을 사용할 수 있도록 설정하세요:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. Allowing
필요에 따라 다양한 서비스를
보통 포트 80과 443만 열어도 충분하지만, 모든 기능을 활용하려면
특정 애플리케이션이나 소프트웨어가 제대로 작동하려면 다음을 허용해야 할 수 있습니다.
사용자가 다른 포트도 사용할 수 있도록 허용합니다.
일반적으로 직접 조사를 진행하고, 신뢰할 수 있는 소스만 허용하는 것을 권장합니다.
포트는 반드시 필요한 경우에만 허용하세요. 주요 애플리케이션마다
네트워크 관리자를 위한 네트워킹 문서
여러분과 같은 사용자를 위한 문서입니다. 이 문서에서 해당 서비스가 사용하는 포트를 확인할 수 있습니다.
애플리케이션에서 사용하는 포트도 확인하여 화이트리스트에 추가하세요. 자주 사용되는 몇 가지를 소개합니다.
ones as examples.
WhatsApp
(영상 또는 음성 통화 없음):
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”Git:
sudo ufw allow out 9418/tcp comment “Git”다음과 같은 일부 서비스는 Discord,
Zoom,
또는 WhatsApp 음성 및 영상 통화는 다양한 범위의 UDP 포트가 필요하므로, 귀하는
이 항목들은 본인의 판단에 따라 열어보실 수 있습니다.
Lenient Mode:
Blacklisting
화이트리스트 방식에서는 모든 트래픽을 차단한 뒤 특정 포트만 허용합니다. 반면
블랙리스트 방식에서는 모든 트래픽을 허용하되, 특정 포트만 차단합니다.
1. Installing UFW
먼저 UFW를 설치해야 합니다.
sudo apt install ufw2. Blocking the
incoming connections
UFW를 비활성화하세요. 다음 명령어가
서버 연결을 끊을 수 있는 상황:
sudo ufw disable서비스를 제공하는 경우가 아니라면, 모든 수신 연결을 차단하는 것이 합리적입니다
특정 서비스를 차단합니다. 우선 모든 수신 트래픽을 거부해 보겠습니다:
sudo ufw default deny incoming이번에는 모든 아웃바운드 연결을 차단하는 것이 아님에 주의하세요.
이 설정을 통해 사용자는 원하는 어떤 포트에도 연결할 수 있습니다. 이것은
사용자를 완전히 신뢰할 수 있는 경우가 아니라면 권장하지 않습니다.
3.
서버에 연결하는 방법
이제 포트 22로 들어오는 연결을 허용하겠습니다. 포트 22는
서버에 SSH 연결을 설정하는 데 사용됩니다. 이 연결은
SSH 포트는 다른 번호로 변경해 두는 것이 좋습니다:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”SSH 포트에 대한 무차별 대입 공격 신고를 방지하려면 해당 포트를 차단하세요.
다음 명령어를 사용하세요:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. Block BitTorrent
같은 논리로, 다음 용도로 사용되는 포트를 차단해야 합니다.
BitTorrent. 단, 포트가 여러 개이므로
공개 트래커 IP와 포트를 직접 조사하여 차단하는 것
일반적으로 BitTorrent에 사용되는
궁금한 점이 있으시면 언제든지 문의해 주세요. submitting a
ticket.