방화벽 파이썬 스크립트

• BAF PaloAlto

• BEG OPNsense

• BPS Fortigate

  bps_fortigate_250425.zip

  bps_fortigate_250426.zip

  bps_fortigate_250428.zip

| | ★ 방화벽 1팀 임무 ★ 1. 파이썬 스크립트 적용 테스트 2. 서비스 가용성/사용성 이상유무 점검 3. Config 분석 내용 반영 | ★ 방화벽 2팀 임무 ★ 1. 방화벽 CVE 취약성 여부 판단 2. 방화벽 Config 분석 및 정리 3. 방화벽 정책 수립 | | --- | --- | --- | | 1단계 | <방화벽 접속정보 설정 (fw-1/fw-2)>

• 개인별 SSH 클라이언트 세팅

• 방화벽 리버트 가능유무 확인 | - 좌동 | | 2단계 | <방화벽 Config 외부 PC로 백업 (GUI)>

• PaloAlto 2대

• OPNsense 2대

• Fortigate 1대 | - 좌동 | | 3단계 | <방화벽 Config 백업/복구 스크립트 테스트>

• Config 백업 기능

• Config 복구 기능 (GUI로 임의설정 넣은 후 CLI로 복구)

• HA(High Availability)에 의한 정상적인 Config 동기화 확인 (fw-1/fw-2)

• 각 설정 단계 이후 Config 로컬 백업 구문 스크립트 내 작성 | <방화벽 CVE 취약성 여부 판단> ※ ChatGPT 적극 활용

• 방화벽 버전 식별

• 각 벤더사 최신 취약점 유무 확인 | | 4단계 | <방화벽 시스템 기본설정 스크립트 테스트> ※ 지역/언어 변경 금지

• IPv6 GUI 활성화

• 사용자 계정 인증 프로토콜 제한 (https만 허용)

• Syslog 원격 전송 설정 (110.234.161.90)

• Implicit 정책 로그 활성화

• Wi-Fi Controller 비활성화 (AP 사용 없다면)

• 관리자 계정 패스워드 변경

• GUI 화면에 표시되도록 설정 (System → Feature Visibility)

  1. IPsec VPN
  2. SSL-VPN
  3. Certificates
  4. Implicit Firewall Policies
  5. Policy-based IPsec VPN
  6. SD-WAN Interface
  7. WiFi Controller 등 | **- 방화벽 config 분석 ※ ChatGPT 적극 활용

• 방화벽 정책 수립 (Monitoring 팀 협조)

• ISP쪽 IP 따기** | | 5단계 | **<방화벽 시스템 Misconfiguration 제거 스크립트 테스트> ※ 삭제 불가한 경우 비활성화 ‣ ← 참고

• 불필요한 관리자 계정 삭제

• 불필요한 REST API 관리자 계정 삭제

• 불필요한 사용자 그룹 멤버 해제

• 불필요한 사용자 그룹 삭제

• 불필요한 사용자 계정 삭제

• 불필요한 RADIUS 계정 삭제

• 불필요한 TACACS+ 계정 삭제

• 불필요한 LDAP 계정 삭제

• 악성 LDAP 인증 서버 삭제

• 악성 RADIUS 인증 서버 삭제

• 악성 SSH 인증키 삭제

• 악성 방화벽 정책 삭제

• 악성 방화벽 정책 비활성화

• 악성 BGP Peer 삭제

• Default Route 설정 (AD값 10 / 15)

• 불필요한 BGP 광고 네트워크 삭제 (LS24의 경우, IPv4는 DMZ만 광고 중이고 IPv6는 DMZ, INT, SAT를 광고하고 있었음)

• 불필요한 L2TP/GRE/IPsec 터널 삭제 또는 비활성화 (VPN → VPN Location Map 확인)

• IPsec VPN 터널 인증서 변경 (Let’s Encrypt)

  1. sudo certbot certonly --standalone -d vpn.yourdomain.com
  2. openssl pkcs12 -export -inkey privkey.pem -in fullchain.pem -out vpn-cert.pfx
  3. System → Certificates → Import → Certificate → Type: PKCS#12 Certificate

※ 한줄씩 완료 후 서비스 가용성 이상없음 반드시 확인 | | | 6단계 | <방화벽 시스템 BGP 보안설정 스크립트 테스트> ※ 평시 송/수신하는 BGP 광고 정확하게 확인 후 진행 ‣ ← 참고

• IPv4 BGP Prefix-List 보안설정

  1. BGP 광고하는 DMZ 네트워크 대역 확인
  2. prefix-list 생성 (/26 ~ /32 광고 차단)
  3. 나머지 광고에 대해 평시 수신/송신하는 광고에 따라 정의
  4. BGP neighbor에 적용

• IPv6 BGP Prefix-List 보안설정

  1. BGP 광고하는 DMZ 네트워크 대역 확인
  2. prefix-list 생성 (/64 ~ /128 광고 차단)
  3. 나머지 광고에 대해 평시 수신/송신 광고에 따라 정의
  4. BGP neighbor에 적용

• eBGP multi-hop 옵션 비활성화 (BGP Peer 삭제 대상이라면 생략) (set ebgp-enforce-multihop disable) | | | 7단계 | <방화벽 시스템 자산 등록 스크립트 테스트>

• IPv4 주소 객체 생성

• IPv6 주소 객체 생성

• IPv4 그룹 생성 및 멤버 등록

• IPv6 그룹 생성 및 멤버 등록

• 서비스 포트 등록 | | | 8단계 | - 방화벽 정책 삭제

• 방화벽 정책 비활성화 | | | 9단계 | | | | 10단계 | | | | | IDS / IPS | - 최종 스크립트 테스트 및 서비스 정상 확인 | | | - 관리자 계정 인터페이스 접근 프로토콜 제한 ㄱ. ISP로부터 접근은 ping, snmp만 허용 ㄴ. 내부에서 방화벽 접속만 가능 ㄷ. IPv4 / IPv6 별도 진행 | |

방화벽 2팀 Config 분석 내용

• 모든 내용 양식없이 기술
• 네트워크 구조, 인터페이스 구조 등
• 존재하는 취약점, 보안약점 등