TRACK

NETWORKING

SLA

60분

SEV

SEV-2

PHASES

6단계

ENV

local

INCOMING TICKET

“보안팀 티켓: "프로덕션 서버 SSH가 0.0.0.0으로 열려있습니다. 지난 24시간 동안 러시아·중국 IP에서 4,200번의 브루트포스 시도가 탐지됐습니다. 사내 IP(10.0.0.0/8)에서만 접근 가능하도록 즉시 제한해주세요."”

YOUR ROLE

인프라 엔지니어 (온콜 당번)

IMPACT IF UNRESOLVED

SSH 브루트포스 미조치 시 계정 탈취 후 랜섬웨어 배포 가능. 지난 분기 유사 사고에서 데이터 복구에 72시간 소요됨.

보안팀에서 긴급 티켓이 들어왔습니다.

서버 로그를 확인하니 /var/log/auth.log 에 수백 줄의 "Failed password" 항목이 쌓이고 있습니다. 공격은 지금 이 순간도 진행 중입니다.

iptables로 방화벽을 설정하는 것은 간단해 보이지만 치명적인 함정이 있습니다: 순서를 잘못 설정하면 자기 자신의 SSH 연결이 끊겨 서버 접근 자체가 불가능해집니다. 콘솔 접근이 없다면 서버를 재시작하는 방법밖에 없습니다.

이 Lab에서는 다음을 배웁니다:

- "절대 잠기지 않는" 안전한 순서로 iptables 설정

- ESTABLISHED 규칙이 왜 먼저여야 하는지

- -A(append)와 -I(insert)의 차이가 왜 치명적인지

- 재부팅 후에도 살아있는 영구 저장 방법

- 현업에서 iptables를 관리하는 실전 패턴

• [실습] networking-port-diagnosis

• [이론] networking/tcp-ip-basics

환경: local

필요 도구: iptables, iptables-save, iptables-restore, ss, netstat

검증 스크립트: /labs/lab-networking-04-iptables/scripts/verify.sh

NOTES