Windows 원격접속 특정 IP 차단

반응형
320x100
반응형
 
Introduction

  이번에 블로그 및 서버에 있는 자료를 정리하며, 문득(?) 원격 접속관련하여 보안이 어떤지 생각하다 검색해보니, 엄청 놀랄만한 충격을 받았습니다.  컴퓨터를 사용하고 있는 지금도 외부의 어딘지 모르는 장소로부터 윈도우 원격접속을 시도하고 있으니깐요.  놀라울 따름인데, 로그인 시도 로그를 보고 IP차단을 하면 어떨까 생각되어 블로그를 포스팅 하게 되었습니다.  인터넷을 조금 찾아찾아 정리하는거라 간단하게 요약(?) 정도로만 올리도록 할께요. 
 
목차는 다음과 같습니다. 이미지가 많아서 저도 혼돈혼돈...
 
#목차
  • 원격접속 로그(Log) 확인 방법
  • 원격 접속한 IP 확인하기(목록 저장 후 추출)
  • 방화벽을 이용하여 IP 차단하기
 
 
 
원격접속 로그(Log) 확인 방법

  현재 사용하고 있는 컴퓨터에 윈도우 원격접속을 실시한 로그(Log)를 보는 방법은 다음과 같습니다. 
 
 
  • 내컴퓨터 > (마우스 우클릭) > 관리 선택
 
 
  • 컴퓨터관리 > 시스템 도구 > 이벤트 뷰어 > Windows 로그 > 보안 선택
 
상단 결과와 같이 알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다. 라고 메시지가 뜨게 됩니다. 이러한 메시지가 엄청 많죠? 계속 접속을 시도 하고 있다는 뜻입니다. 
 
 

 

 

 
원격 접속한 IP 확인하기(목록 저장 후 추출)

 
이제 원격 접속하는 IP 리스트를 추출하여 차단하는 작업을 시작합니다. 이를 위해 먼저 IP목록이 저장된 로그를 다음과 같이 전체 저장합니다. 
 
 
  • 보안 > 마우스 우클릭 > 다른 이름으로 모든 이벤트 저장
 
 
 
  • 파일이름과 형식(csv/txt) 파일로 저장(원하는 형태로)
 
 
 
notepad++ 다운 받아서 open을 합니다. 그렇게하면 상단과 같이 엄청 많은(?) 로그가 있습니다. 이중에중복된 내용은 제거하고 필요한 IP정보만 추출 해야합니다. 2번에 걸처 IP만 추출할 예정이니 참고 바랍니다. 
 
 
 
"원본 네트워크 주소"를 선택하고 단축키(Ctrl+F) 를 입력합니다. 그리고 나타나는 창에서 상단 그림과 같이 체크박스 선택 후 검색 버튼을 누릅니다. 
 
 
 
그럼 또 엄청 긴 결과물을 볼 수 있습니다. 이중에 중복된 데이터를 하나로 추출하는 작업을 해야합니다. 이를 위해 플러그인을 설치해야 합니다. 
 
 
플러그인(Plugins) 설치 : TextFX Characters

 
  • Plugins > Plugins Admin 선택
 
 
 
 
  • 설치화면에서 Available > textFX 검색 후 설치 (SW 재시작됨)
  • 저는 이미 설치된 상태라 상단 결과와 같습니다. 
 
 
이제 검색된 결과에서 중복된 데이터를 추출하기위해 다음과 같이 진행합니다. 
  • 상단그림과 같이 "새파일"을 열어 검색된 결과를 붙여넣기 실시
 
  • 상단(?)과 같이 선택(불필요한 작업이던가요...)
 
 
 
IP만 남기고 앞에 부분을 삭제 해야 중복제거를 할 수 있겠죠? 이를 위해, 사용자 블럭지정형태로 선택 후 삭제 해야합니다. 진행방법은 다음과 같습니다. 
 
#진행방법
  • 0 Line(첫번째 라인)에 키보드 커서를 두고 제일 아래로 스크롤을 내립니다. 
  • Shift + Alt + 마우스 클릭 을 선택하여 IP만 남기고 선택
  • Delete Key를 입력하여 선택된 항목 삭제
 
#결과물
 
  • 결과 : IP만 추출됨

 

 

 
중복된 데이터 제거 방법

  • 상단 결과와 같이 나타나게 되면 전체선택(Ctrl + A)
 
  • textFX > textFX Tools > Sort lines case insensitive(at column) 선택
 
상단과 같이 제거를 실시하면 결과는 다음과 같습니다. 
 
#결과
 
 
검색된 결과는 총 17개의 IP가 나타나게 됩니다.  이제 검색된 IP전체를 방화벽에 차단만 하면 됩니다. 차단은 다음과 같이 실시하면 됩니다. 
 
 
방화벽을 이용하여 IP 차단하기

 
  • 윈도우 > 방화벽 검색 > 고급설정 선택
 
 
인바운드 규칙에서 다음과 같이 설정합니다. 
 
 
 
  • 인바운드 규칙 > 새 규칙 선택
 
 
  • 사용자 지정 선택
 
 
 
  • 모든 프로그램 선택
 
 
  • 프로토콜 종류 "모두" 선택 (기본설정임)
 
 
 
  • 차단할 IP는 하단에 추가 합니다. (이미지가 잘못되어 이리저리 표기해두었으니 참고 바랍니다.)
 
 
 
  • 등록된 IP에 대해 "연결 차단" 을 선택합니다. 
 
 
마지막으로 이름과 설명을 추가하고 마침을 선택합니다. 
 
 
이제 결과를 확인하면 다음과 같습니다. 
 
 
#인바운드 규칙 추가 결과
 
 
 

 

 

 
보안 로그 기록 확인하기

 
#기존
 
#최근
 
 
#결론
일단 IP를 전부 찾아서 차단 걸었지만, IP가 자동으로 변경되어 다시 로그인을 시도하고 있었습니다. 대신, 접속하는 횟수가 줄어들더군요. 그래도 컴퓨터를 하는동안 계속 모니터링하면서 IP를 계속 차단하였더니, 저시간 이후로는 로그인 기록이 생기지 않더군요. 
(이시간에....뭔짓을 하는지..ㅠㅠ)
 
그래도 원격 제어를 사용하고 있다면, 수시로 확인하여 모든 IP를 차단하는 것이 좋지 않을까 하네요. (특히, 사용하는 IP는 허용으로 하시기 바랍니다. 같이 차단하면...)
320x100
반응형

댓글(0)

Designed by JB FACTORY