랜섬웨어 사전예방 SMB포트 차단 방법




    이번에는 랜섬웨어의 사전예방 방법인 SMB포트 차단방법을 알아보겠습니다.

    마이크로소프트의 윈도우 운영체제의 SMB 취약점을 이용한 이슈가 발생되었으며, SMB 취약점을 이용하여 전파되는 만큼, 취약한 컴퓨터의 경우 부팅시 감염될 수 있습니다.





    랜섬웨어란?

    랜섬웨어는 일종의 맬웨어(악성 소프트웨어)로 사용자의 동의없이 해당 컴퓨터에 불법으로 설치됩니다.

    불법으로 설치된 랜섬웨어는 해당 컴퓨터를 원격으로 잠글 수 있습니다

    그러면 팝업 창이 뜨면서 컴퓨터가 잡겼으니 금액을 지불하지 않으면 컴퓨터에 접속할 수 없다는 경고가 나타납니다


    랜섬웨어(Rensom Ware)란? http://server-talk.tistory.com/124


    우선 랜섬웨어 사전예방 SMB포트 차단방법 진행의 앞서 SMB와 NetBIOS의 대한 이해가 필요하여 SMB와 NetBIOS의 대한 소개와 사용목적의 대하여 먼저 알아보겠습니다.



    SMB 관련포트 : 137(TCP), 138(UDP), 139(TCP), 445(TCP)







     

     NetBIOS란?





    NetBIOS란? 네트워크 상에서 자원을 읽고 쓸 목적으로 제시되었습니다 

    별개의 컴퓨터 상에 있는 어플리케이션들이 근거리 통신망 내에서 서로 통신을 할 수 있게 해주는 프로그램 입니다.


    주로 네트워크 상에서 파일이나 프린터를 공유 할 때 사용되고 있으며, NetBIOS를 사용할 시 139 포트가 오픈되고 139포트를 통해 시스템의 정보들이 유출 될 수있습니다.



    NetBIOS에서 제공하는 서비스


    이름명명법


    1) 네임서비스(Name service) - 137 포트

    UDP 또는 TCP의 137포트 번호 사용하거나, 자신의 이름을 알리때 사용




    ● 통신 모드


    1) 데이터그램(Datagram) 모드 서비스 - 138 포트

    NetBIOS 응용에게 비신뢰적으로, 비순서적으로, 비연결성으로 메세지 전달


    2) 세션(Session)모드 서비스 - 139 포트

    NetBIOS 응용 양단간에 신뢰적으로 메세지를 전달토록하는 서비스





     

     SMB란?





    SMB는 Server Massage Block의 약자이며, 마이크로소프트와 Intel에서 만든 프로토콜입니다.


    SMB (Server Massage Block)는 윈도우 시스템이 다른 시스템과 파일, 디렉토리, 주변 장치 등의 자원을 공유할 수 있도록 하기 위해 개발되었습니다.

    클라이언트는 서버에게 파일 서비스를 요규하고, 서버는 그에 대한 응답으로 자신의 파일 시스템이나 프린터와 같은 여러가지 로컬 자원을 클라이언트가 사용할 수 있도록 공개합니다.



    SMB는 NetBIOS의 사용 포트를 사용할 수 없게 되면 TCP 445 포트를 사용하게 됩니다. 그러므로 NetBIOS와 SMB의 사용해제 작업을 따로 진행 하여야 합니다.



     

     Windows 방화벽에서 SMB에 사용되는 포트 차단




    윈도우 키를 눌러 제어판을 들어갑니다 혹은 실행창 control를 입력하여 들어가시면 됩니다.



     



    제어판으로 들어가시면 시스템 및 보안 혹인 Windows 방화벽이 있으니 선택하셔서 들어갑니다.


    좌측이미지는 보기기준이 범주 우측이미지 보기기준 큰아이콘 제어판의 방화벽 설정상태가 다르게 나오니 참조 하시기 바랍니다.





    Windows 방화벽에 들어오시면 좌측 상단의 고급설정을 선택합니다.





    Windows 방화벽 고급설정으로 들어오시면 좌측의 인바운드 규칙을 선택한 후 우측의 새 규칙을 선택합니다.





    SMB에 사용되는 포트를 차단하기위해 포트를 선택후 다음으로 진행합니다.





    이제 가장 중요한 부분인 포트 입력부분입니다. 특정 로컬포트를 체크후 137-139, 445를 입력후 다음으로 진행합니다.





    연결 차단을 체크 후 다음으로 진행합니다.





    도메인, 개인, 공용 모두 체크후 다음으로 진행합니다.





    이제 차단을 적용할 정책명을 입력하는란 입니다. 여기서 훗날 방화벽 정책을 쉽게 확인하기 쉽게 정책명을 알아보기 슆게 적용하시기 바랍니다.



    정책적용을 모두완료하신후 인바운드 규칙으로 들어가시면 위에서 차단한 SMB_차단 정책이 Windows 방화벽에 정책명으로 적용된것을 확인하실 수 있습니다.


    Posted by Server-talk 서버이야기