시나리오
회사의 정보보안 담당자로 일하고 있는데, 윈도우 취약점을 공격하는 맬웨어가 특정 웹사이트에서 유포되고 있다는 메일을 받음. 유포되는 사이트 링크 두개가 있고, 이를 사내 업무망으로 부터 접근이 불가능하도록 조치해야 한다. 그리고 고객사 웹 사이트는 감염여부 확인을 위해 사내 업무망에서 접속이 가능해야 한다
- 유포 사이트: 192.168.10.30, 192.168.10.40
- 사내 업무망: 192.168.10.0/24
- 고객사 웹사이트: 192.168.10.20
그리고 조치해야 할 사항은 다음과 같음
- OPNSense 방화벽으로 사내 업무망과 악성코드 유포 사이트의 접근을 차단
- OPNSense 방화벽으로 사내 업무망과 고객사 웹 사이트의 접속 허용
- 악성코드 유포 사이트에 접근시도 차단 이력은 방화벽에서 차단로그 로깅 되도록 조치
사내 네트워크인 윈도우10 에서 악성코드 유포 사이트로 접속을 시도해보자
지금은 접속이 허용된다
방화벽 설정을 확인해보자
방화벽 규칙에서 LAN에 들어가보면 두 개의 정책이 적용되고 있음
기존 정책은 LAN에서 목적지가 어디든 통신이 가능하도록 설정되어 있고 접근통제 정책은 없음
이제 접근통제를 위해 방화벽 정책을 추가해보자
| Action | Block |
| Interface | LAN |
| Source | LAN Net |
| Destination | single host or network 192.168.10.30 + 40 /32 |
| Log | log packets that are handled by this rule 체크 |
두 개의 ip 주소를 차단하도록 정책을 적용하고 로그 기록로 남도록 설정
새롭게 추가한 두 개의 룰은 가장 최상단 위치로 이동시켜야 한다
apply changes 버튼을 눌러서 새로운 정책을 적용시킴
아까 접속이 가능했던 악성코드 유포 사이트에 들어가보자
악성코드 유포 사이트에 접속이 차단되었다!
방화벽이 정상적으로 작동하고 있음
점검해야 하는 고객사 웹사이트는 정상적으로 접속 성공
방화벽에서 네트워크를 차단한 로그 기록을 확인해보겠음
Firewall\Log Files\Live view에 들어가면 접근 차단 로그들이 있다
접속을 시도한 source IP 주소도 있다
다음 실습을 위해서 이번 실습에서 만든 정책들은 삭제하기!
다음은 OPNSense 방화벽으로 접근통제 시나리오를 실습해보자
'Defensive' 카테고리의 다른 글
| [정보보호제품군 실습훈련] OPNSense 방화벽의 IPS 플러그인을 이용한 유해패턴 탐지 실습 (0) | 2025.07.02 |
|---|---|
| [정보보호제품군 실습훈련] OPNSense 방화벽을 이용한 포트 주소 기반 접근통제 실습 (1) | 2025.07.01 |
| [정보보호제품군 실습훈련] OPNSense 실습을 위한 환경 구축와 인프라 구조 (2) | 2025.06.27 |
| [정보보호제품군 실습훈련] 방화벽 종류와 작동방식 4가지 (3) | 2025.06.26 |
| [Tryhackme] Preparation - Incident Response 윈도우 로그 기본 실습 (0) | 2025.05.12 |