특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침

요약
악의적인 사용자는 SMB(서버 메시지 블록) 프로토콜을 악의적인 용도로 사용할 수 있습니다. 

방화벽 모범 사례와 방화벽 구성은 잠재적으로 악의적일 수 있는 트래픽이 엔터프라이즈 경계 네트워크를 통과하지 못하게 하여 네트워크 보안을 향상할 수 있습니다. 

엔터프라이즈 경계 방화벽은 다음과 같은 SMB 관련 포트에 대해 인터넷으로부터 들어오는 원치 않는 통신과 인터넷으로 나가는 트래픽을 차단해야 합니다.

137
138
139
445
추가 정보
이러한 포트는 잠재적으로 악의적일 수 있는 인터넷 기반 SMB 서버와의 연결을 시작하는 데 사용될 수 있습니다. SMB 트래픽은 개인 네트워크 또는 VPN(가상 사설망)으로 제한되어야 합니다. 

제안 사항 

엔터프라이즈 에지 또는 경계 방화벽에서 이러한 포트를 차단하면 SMB를 악의적인 용도로 활용하려는 시도로부터 방화벽 뒤에 있는 시스템을 보호하는 데 도움이 됩니다. 조직에서는 포트 445를 통해 특정 Azure 데이터 센터 IP 범위(다음 참조 확인)에 액세스할 수 있도록 허용하여 엔터프라이즈 방화벽 뒤에 있는 온-프레미스 클라이언트가 SMB 포트를 통해 Azure 파일 저장소와 통신하는 혼합된 시나리오를 구현할 수 있습니다.

접근 방법 

경계 방화벽에서는 일반적으로 "차단 목록"이나 "승인된 목록" 규칙 방법론(또는 둘 다)을 사용합니다. 

차단 목록 
거부(차단 목록에 포함됨) 규칙에 따라 금지되는 경우를 제외하고 트래픽을 허용합니다. 

예제 1
모두 허용
137 이름 서비스 거부
138 데이터그램 서비스 거부
139 세션 서비스 거부
445 세션 서비스 거부

승인된 목록 
허용 규칙에 따라 허용되는 경우를 제외하고 트래픽을 거부합니다. 

다른 포트를 사용할 수 있는 공격을 손쉽게 방지하도록, 인터넷으로부터 들어오는 원치 않는 통신은 모두 차단하는 것이 좋습니다. 허용 규칙 예외(승인된 목록)를 적용한 상태에서 전면적인 거부를 선택하는 것이 좋습니다. 

참고 이 섹션의 승인된 목록 방법은 허용 규칙을 포함하지 않는 방식으로 NetBIOS 및 SMB 트래픽을 암시적으로 차단합니다. 

예제 2
모두 거부
53 DNS 허용
21 FTP 허용
80 HTTP 허용
443 HTTPS 허용
143 IMAP 허용
123 NTP 허용
110 POP3 허용
25 SMTP 허용

허용 포트 목록에 허용되는 포트가 모두 포함되어 있는 것은 아닙니다. 회사의 요구 사항에 따라 추가 방화벽 항목이 필요할 수도 있습니다.

해결 작업의 영향

여러 Windows 서비스에서 영향을 받는 포트가 사용됩니다. 이러한 포트에 대한 연결을 차단하면 다양한 응용 프로그램 또는 서비스가 제대로 작동하지 않을 수 있습니다. 영향을 받을 수 있는 일부 응용 프로그램 또는 서비스는 다음과 같습니다.
  • SMB를 사용하는 응용 프로그램(CIFS)
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(SMB를 통한 RPC)
  • 서버(파일 및 인쇄 공유) 
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스 
  • 인쇄 스풀러 
  • 컴퓨터 브라우저 
  • 원격 프로시저 호출 로케이터 
  • 팩스 서비스 
  • 인덱싱 서비스 
  • 성능 로그 및 경고 
  • Systems Management Server
  • 라이선스 로깅 서비스 

해결 작업을 실행 취소하는 방법

방화벽에서 포트의 차단을 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당을 참조하십시오.

참조

Azure 원격 앱 https://azure.microsoft.com/en-us/documentation/articles/remoteapp-ports/

Azure 데이터 센터 IP http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/ko-kr/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
속성

문서 ID: 3185535 - 마지막 검토: 09/01/2016 14:42:00 - 수정: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
피드백