실습 시나리오
방화벽에 문제가 생겨 설정과 정책들이 다 리셋되는 상황이 발생했다. 사내에서 외부 네트워크 접속은 문제없지만 사내 네트워크 주소가 외부 시스템에 그대로 노출되고 있다는걸 알게됨. 기존에는 Outbound NAT 기능으로 내부 서버에서 출발하는 패킷의 IP 주소가 외부 주소로 변환되었지만 지금은 해당 설정이 초기화되었다.
- 외부 네트워크: 192.168.10.0/24
- 내부 네트워크: 192.168.20.0/24
해야할일
OPNSense 방화벽의 Outbound NAT 정책을 사용해서 사내망에서 외부로 나가는 패킷들의 ip주소를 외부 주소로 변환해야 함
일단 보호대상인 내부망에서 외부 네트워크 웹 서버로 나가는 패킷을 분석해보자(LAN-> WAN)
윈도우 데스크탑에서 공격자의 웹 서버로 접속을 시도해서 wireshark로 패킷을 살펴보면됨
공격자 시스템에서 웹 서버를 구동중인 상태여야 웹 서버에 접속이 되므로
웹 서버를 구동시키고, 포트가 수신대기중인지 확인함
다시 데스크탑으로 넘어가기
브라우저에서 웹 서버가 동작중인 kali 시스템으로 접속해봤다
접속에 성공했고 이때 HTTP 요청 메시지가 전달되었을것이고, wireshark에서 이 패킷을 살펴보자
캡쳐된 패킷들을 보면 데스크탑 IP 주소가 외부로 그대로 노출되어 있는게 보인다
내부 IP주소를 그대로 노출하면 나중에 악의적 침투의 타깃이 될 수 있으므로 IP 정보를 보호할 필요가 있다
이제 OPNSense 방화벽 설정에서 설정을 해야함
Firewall->NAT->Outbound 탭에 들어감
일단 NAT 정책을 수동으로 설정할 수 있도록 manual outbound NAT rule 옵션을 선택하고
+ 버튼을 눌러서 정책을 만들어야 함
| Automatic outbound NAT rule | 시스템이 자동으로 NAT 규칙 생성 |
| Hybrid outbound NAT rule | 자동+수동 규칙 |
| Manual outbound NAT rule | 모든 규칙을 수동으로 설정 |
| Disabled outbound NAT rule | Outbound NAT 정책 비활성화 |
- 인터페이스: WAN
- 프로토콜: Any
- 출발 주소: LAN Net
- 도착 주소: Any
- Translation/target: Wan address
이렇게 정책을 설정해서 저장하고 적용하면 끝
그리고 ssh 원격 접속으로 192.168.10.1 접속
여기부터가 중요함!
일단 pfctl은 패킷 필터링 장치와 통신하는 명령어임
Outbound NAT1을 적용하기 전
Outbound NAT1을 적용한 후
결과가 다르게 나타남을 알 수 있다
윈도우 데스크탑에서 kali 브라우저로 다시 접속해서 HTTP 패킷을 발생시키고
Wireshark 에서 패킷들을 살펴보자
데스크탑의 출발 ip주소가 노출되지 않고 방화벽에서 WAN 네트워크 카드 주소로 변환되었다!
'Defensive' 카테고리의 다른 글
| [엔드포인트보안] Wazuh 아키텍처와 역할 (2) | 2025.08.12 |
|---|---|
| [엔드포인트보안] Wazuh XDR에 대해 알아보자 (1) | 2025.08.10 |
| [정보처리기사 실기] 1. 요구사항 확인 - 현행 시스템 분석 (1) | 2025.07.04 |
| [정보보호제품군 실습훈련] OPNSense 방화벽의 IPS 플러그인을 이용한 유해패턴 탐지 실습 (0) | 2025.07.02 |
| [정보보호제품군 실습훈련] OPNSense 방화벽을 이용한 포트 주소 기반 접근통제 실습 (1) | 2025.07.01 |