계정 잠금 정책 설정 후 정상적으로 로그인 시도했는데 계정이 잠겨 버리는 현상이 발생함.
확인한 결과, 외부에서 RDP 무차별 대입 공격으로 내 로그인 시도까지 잠겨 버림. ㅠㅠ
무차별 대입 공격을 보호해줄 프로그램 중 RdpGuard 프로그램을 추천함.
윈도우용 GUI 프로그램으로 사용법이 간단함.
RdpGuard 프로그램은 NetSDK Software 사에서 개발한 다양한 프로토콜 및 서비스에 대한 무차별 대입 공격으로부터 서버를 보호하는 호스트 기반 침입 방지 시스템(HIPS)임.
참고로 유로 프로그램으로 1대당 89.95 달러에 구입이 가능함.
홈페이지 : https://rdpguard.com/
현재 최신버전인 7.5.3 버전 기준으로 RDP 차단 사용법을 간단히 설명함.
( 1 ) 차단 설정
설치 후 Tools > Options > General 탭으로 이동함.
3가지 조건의 설정값을 조정하면 됨.
(아래 화면의 경우 1시간 내에 최대 5회 로그인 실패 시도 후 1달 동안 차단)
- Maximum failed logon attempts from a single ip address
단일 IP에서 실패한 최대 로그인 시도 횟수
- Reset counters of failed logon attempts after
이후에 실패한 로그인 시도의 횟수를 재설정할 시간
- Unban ip addresses automatically after
이후에 IP 주소를 자동으로 금지 해제할 시간
IP Cloud 탭은 차단할 IP 정보를 NetSDK Software 사에서 제공하는 블랙리스트 정보에서 가져올 것인가 설정하는 페이지임.
그리고 GeoIP 탭은 수동으로 국가별 CIDR 로 입력하여 차단할 것인가 설정하는 페이지임.
개인적으로 사용할 경우 굳이 IP Cloud 나 GeoIP 탭을 설정할 필요는 없을 듯 함.
차단 설정 후 프로그램 메인 화면의 Monitoring 에서 RDP 모니터링 체크를 실행시킴.
추가로 RdpGuard Service 시작/종료 기능은 Tools > RdpGuard Service 에 있음.
( 2 ) 알람 설정
Tools > Custom Actions / Notifications 로 이동함.
IP 차단, IP 차단 해제, 사용자 로그인 시에 알람을 받을 수 있도록 설정할 수 있음.
그리고 알람을 이메일로 받을 건지, HTTP 요청 패킷으로 받을 건지, 특정 프로그램 스크립트로 받을 건지 설정함.
아래 화면은 IP 차단할 경우 이메일로 알람을 받도록 설정한 화면임.
이메일로 알람을 받을 경우 SMTP 서버를 설정해야 함.
상용 포탈 이메일 서비스에 SMTP 서비스를 이용하면 됨.
(네이버 같은 경우 SMTP 서비스 정보를 확인할 경우 네이버 메일 로그인 > 환경 설정 > POP3/IMAP 설정 > IMAP/SMTP 설정 탭에서 확인할 수 있음)
마지막으로 IP 가 차단될 경우 윈도우 방화벽에 rdpguard 로 시작하는 규칙에 IP 가 입력되어 자동으로 차단됨.
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
글
댓글 없음:
댓글 쓰기