AWS 인바운드 규칙에서 Anywhere-IPv4 설정 시, 무작위 접근 시도 공격

[TopazKang]

본래 AWS 인스턴스 사용시 경각심의 부재로 인하여 보안그룹의 22번 포트에 대하여 어디서든 pem 키만 있으면 접속이 가능하게끔 인바운드 설정을Anywhere-IPv4로 넣어두고 사용중이었습니다. 금일 오전 중에 Production 인스턴스가 다운되었고, 왜 다운이 되었는지에 대해서 찾아보기 위해 제프의 도움을 받아서 auth.log를 살펴보던 중 여러 IP 주소로부터 port만 변경하여 반복적인 접속 시도를 한 기록을 발견하게 되었습니다.

무작위 접근 시도 로그 기록

현재 AWS의 인스턴스를 사용하고 있는 상황이기에, 본래는 요청이 클라우드 단에서 막혀야 했지만 Anywhere-IPv4 설정으로 인하여 모든 ip에 대하여 접속이 가능하게 되어있었기 때문에 제대로 막지 못하고 서버 단까지 접속 시도가 가능했습니다.

아마 각 팀의 DevOps 담당 팀원 분들께서 설정을 잘 해두셨겠지만, 보안 규칙에 IP 접근 제한이 되어있는지에 대해서 다시 한번 확인 해보시면 좋을 것 같습니다.

[ej31]

답변

• 정확하게는 모든 포트를 열었다가 핵심입니다. 🤡
• 한놈만 걸려라 식으로 아이피에 핑 찌르다가 얻어 걸리면..?
• 툴키디 같은 애들이 와서 포트스캔 스윽 뜨고 브루트 포스 돌려버리면..?
• 심지어 포트 스캔 뜨는건 널 (null) 이나 스텔스 방식으로 스캔떠버리면
  • TCP 의 시그널링만을 이용해 응답을 관찰하면 포트 열려있는지 확인할 수 있습니다.
  • 이런건 로그도 안남습니다.
• 이렇게 되면 서버의 동작을 예측할 수 없게 됩니다.
• 포트를 전부 열어버리면 이번처럼 로그도 없이 알수없는 이유로 행걸려 버리는 원인이 됩니다.
• 조심하십쇼..

[ej31]

귀찮다고 혹은 본인도 모르게 클라우드 인바운드 규칙에 포트 전체 열어두신 분들 절대 그러시면 안됩니다.