블로그

프로그래밍 가능한 프록시는 인터넷의 더크트 테이프입니다.

로리 맥비티 썸네일
로리 맥비티
2017년 8월 14일 게시

프로그래밍 가능한 프록시는 오늘날 SMB를 표적으로 삼는 것과 같은 포식자로부터 포트를 보호합니다.

인터넷이 초창기였을 때, 나의 세 자녀는 모두 10대였습니다. 그때조차도 – 인터넷 규모가 훨씬 작았음에도 – 우리는 무제한적인 접근을 허용하고 싶지 않았습니다. 믿으셔도 됩니다. 아이들은 브라우저 주소창에 엄청난 내용을 입력합니다. 오늘날 "부모의 통제"가 널리 퍼졌지만, 그 당시 우리는 더크트 테이프와 묶음줄로 스스로 통제 시스템을 만들어야 했습니다.

네, 사실 우리는 Squid를 사용했지만 그렇게 멋지지 않은 것 같아요. 그래도, 이것이 바로 이 글의 요점입니다. 정확히 말하면 Squid가 아니라, 웹 애플리케이션의 부하 분산을 위한 메커니즘이 아닌 프록시를 사용하는 것입니다.

아시다시피, 오늘날 프록시는 웹 앱에만 사용되는 것이 아닙니다. 이를 사용하면 원하는 모든 항구의 모든 트래픽을 제어할 수 있습니다. 집에서는 주로 호기심 많은 10대 3명의 아웃바운드 인터넷 웹 트래픽을 제어하는 데 Squid를 사용했고, 사무실에서는 소수의 직원으로 왜 이렇게 많은 대역폭을 소모하는지 파악하기 위해 아웃바운드 트래픽을 기록하는 중앙 위치를 제공하는 데 사용했습니다.

프록시

인터넷으로의 아웃바운드 접근을 제어하기 위해 프록시를 사용하는 예는 많이 있으며, 놀랍지 않게도 인바운드 경로에 대한 예도 많습니다.

프록시는 부하 분산, 액세스 제어, 변환(게이트웨이) 및 '데이터 센터' 내부의 귀중한 리소스와의 트래픽을 제어, 강화, 관리하는 기타 다양한 '네트워크 호스팅' 서비스의 기반입니다(물리적으로 온프레미스이든 퍼블릭 클라우드이든). 프록시는 보안 및 다운스트림 리소스 방어를 포함한 다양한 목적으로 사용할 수 있는 유입 트래픽에 대한 전략적 제어 지점을 제공합니다.

최근 발생한 WannaCry/SambaCry 사태는 프록시가 웹 앱이 아닌 리소스를 타겟으로 하는 공격으로부터 어떻게 보호 기능을 제공할 수 있는지 보여주는 좋은 사례입니다. 최신 iHealth 통계를 잠깐 살펴보면 포트 445를 통해 접근할 수 있는 공개적으로 노출된 SMB 서비스가 상당수임을 알 수 있습니다. 바로 예상했던 곳에 있죠. 5월 30일 현재, shodan.io에서 "port:445"를 검색하면 1,928,046개의 장치/시스템이 검색됩니다. 초기 WannaCry 공격이 구체적으로 Microsoft SMB를 표적으로 삼았다면, 최근 공격의 표적은 samba.org의 Linux 구현체로, 포트 445가 전 세계에 개방된 722,000개 이상의 Unix 운영 체제가 엄청난 공포의 대상이 되고 있습니다.

F5에는 사용 가능한 "차단기"가 있지만 중요한 것은 차단기가 있다는 것이 아니라 차단기를 사용하는 이유입니다. BIG-IP는 프로그래밍 가능한 프록시 기반 플랫폼입니다. 

문제는 프록시(특히 듀얼 스택을 갖춘 전체 프록시)가 단순히 데이터 경로에 있기만 해도 정밀한 검색과 보안 위협 거부를 제공할 수 있다는 것입니다. 검사는 프록시의 일부이며, 프로토콜 변환과 같은 보다 고급스럽고 유연한 기능을 구현하기 위해서는 검사를 수행할 수 있는 능력이 필수적입니다. 교통을 가로채서 검사하기 때문에 완벽한 가시성을 확보할 수 있습니다. 따라서 임박한 위협이나 공격의 시작을 나타내는 특정한 이상 징후를 감시하도록 지시할 수 있습니다.

이것이 프록시의 특성입니다. 거래에 참여하는 두 당사자를 대신하여 중개자 역할을 하는 것입니다. 기술의 경우 요청자 시스템과 응답자 시스템이 있습니다. 클라이언트와 앱. 그리고 교환이 포트 80을 통한 HTTP를 사용하든 포트 445를 통한 SMB를 사용하든 상관없습니다. 프록시는 악성 트래픽을 인식하는 데 필요한 트래픽에 대한 가시성을 제공할 수 있으며, 이를 통해 악성 트래픽을 거부할 수 있습니다.

프록시는 웹 앱이나 청소년만을 위한 것이 아닙니다. 이러한 솔루션은 공격이 리소스에 심각한(그리고 비용이 많이 드는) 피해를 입히는 것을 감지하고 방지하기 위해 모든 인바운드 트래픽에 대한 가시성과 제어가 필요한 진지한 전문가를 위한 것입니다.

프로그래밍 가능한 프록시는 인터넷의 강화 테이프입니다. 하나만 있다면, 필요할 때마다 필요한 일을 무엇이든 할 수 있습니다.