네트워크 및 방화벽
BioStar X를 인증되지 않은 접근이나 네트워크 내 측면 이동(Lateral Movement)으로부터 보호하려면 네트워크 보안 경계 및 호스트 기반 방화벽 설정을 안전하게 유지하는 것이 매우 중요합니다. BioStar X는 HTTPS, REST, gRPC, WebSockets 및 Thrift를 통해 서비스를 제공할 수 있으므로, 인바운드 및 아웃바운드 연결을 엄격하게 제어해야 합니다.
Windows Defender 방화벽 활성화 및 구성
방화벽을 올바르게 구성하면 명시적으로 승인된 트래픽만 BioStar X에 도달하도록 하여 공격 표면(Attack Surface)을 크게 줄일 수 있습니다.
BioStar X 기본 네트워크 포트
| 서비스 | 용도 | 기본 포트 |
|---|---|---|
| BioStar X Core Web Service | HTTPS / 웹 인터페이스 | 5002 |
| Thrift RPC | 9310 | |
| BioStar X Core Service | WebSocket | 9002 |
| FastCGI | 9000 | |
| API | 9010 | |
| RPC | 51218 | |
| Unified Gateway Service | HTTPS | 443 |
| Coordinator Service | 클라이언트 통신 | 21810 |
| Main Server | TCP 서버 | 51212 |
| SSL 서버 | 51213 | |
| gRPC | 51219 | |
| Cache Service | 클라이언트 | 10800 |
| 통신 | 47500 | |
| 검색 | 47100 |
커뮤니케이션 서버를 배포할 때, 메인 서버와 동일한 통신 포트(51212, 51219)를 사용합니다. 관리자는 배포 토폴로지에 따라 커뮤니케이션 서버와 메인 서버 간에 이 포트에 대해 접근할 수 있는지 확인해야 합니다.
단계별 안내
-
고급 보안이 포함된 Windows Defender 방화벽(
wf.msc)을 실행하세요. -
인바운드 규칙에서 필요하지 않은 규칙을 제거하거나 비활성화하세요.
-
다음과 같이 명시적 허용 규칙을 생성하세요.
-
Unified Gateway HTTPS(
443): 필요한 경우 외부/공용 포트로 설정 -
Core Web Service HTTPS(
5002): 가급적443을 통해 프록시 설정 -
내부 전용 포트(gRPC
51219, Cache10800/47500/47100, Coordinator21810, Thrift9310): 로컬 호스트(localhost) 또는 신뢰할 수 있는 서브넷에서만 접속 허용
-
-
다른 모든 인바운드 트래픽은 차단으로 설정하세요.
-
아웃바운드 규칙에서 알려진 신뢰할 수 있는 엔드포인트로 제한하세요.
모두 허용과 같은 포괄적인 규칙은 사용하지 마세요. 기본 포트 변경은 약간의 모호성 개선 효과를 제공하지만 방화벽 적용을 대체할 수는 없습니다.
원격 접근(Remote access) 제한
-
원격 데스크톱(Remote Desktop Protocol, RDP) 접근 권한을 인증된 관리자에게만 제한하세요.
-
RDP가 필요하다면 NLA 사용하거나, 서버를 VPN 뒤에 배치하거나, 점프 호스트를 사용하세요.
-
RDP가 필요하지 않다면 비활성화하세요. (시스템 속성 → 원격 설정).
안전한 네트워크 세분화
-
BioStar X 서버는 사용자 네트워크와 분리된 전용 VLAN 또는 DMZ에 배치하세요.
-
BioStar X와 필수 시스템(예: 데이터베이스 서버, API 소비자, 리더) 간에만 통신을 허용하세요.
-
관리 접근(RDP, SSH)을 관리자 서브넷으로만 제한하세요.
모범 사례
심층 방어(Defense in Depth)를 위해 네트워크를 세분화하고 호스트 방화벽을 결합하세요.
네트워크 프로토콜 강화
SMBv1 비활성화
PowerShell 명령어를 사용하여 SMBv1을 비활성화하세요.
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
TLS 1.2+ 적용
-
레지스트리 경로:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsSSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 비활성화
-
IIS Crypto 또는
nmap --script ssl-enum-ciphers로 검증하세요.
호환성 문제를 방지하려면 프로토콜 비활성화하기 전에 스테이징 환경에서 테스트하세요.
네트워크 침입 감지 및 모니터링
-
IDS/IPS(Snort, Suricata 또는 상용 제품)를 배포하세요.
-
Windows Defender 방화벽에서 차단된 패킷 및 허용된 연결에 대한 로깅을 활성화하세요.
-
중앙 집중식 모니터링을 위해 SIEM으로 로그를 전달하세요.
방화벽 로그 저장 위치: %systemroot%\system32\LogFiles\Firewall\pfirewall.log