계정 잠금 현상 및 무차별 대입(Brute Force) 방지

계정 잠김 현상 및 Brute Force 방지

 

계정 잠금 현상 및 무차별 대입(Brute Force) 방지 (로컬 보안 정책 및 계정 잠금 현상 원인)

 

Windows에서 smb 공유 폴더를 사용하거나, FTP 서버, RDP 서버를 운용하는 경우 Brute Force 공격을 받아도 관리자가 쉽게 알아채기 어렵습니다.

그래서 "로컬 보안 정책" - "계정 잠금 정책" - "계정 잠금 임계값"과 "계정 잠금 기간"을 설정하면 Brute Force 공격을 받았을 때 그 공격이 자동으로 차단되며 공격받은 계정도 설정된 시간 동안 계정이 잠금 상태로 변경되게 됩니다.

이 기능과 계정 잠김 상태에 대해서 살펴보도록 하겠습니다.

 

FTP 서버 무차별 대입(Brute Force) 보안 점검

 

ftp 서버 Brute Force 보안 점검

 

개인 FTP 서버에 설정한 ID 및 Password에 취약점이 있는지 "로컬 보안 정책" - "계정 잠금 정책" - "계정 잠금 임계값"에 "3번의 잘못된 로그온", "계정 잠금 기간: 30분"으로 설정된 상태입니다.

Windows 설치 시 기본값은 "계정 잠금 임계값: 0"으로 되어 있어서, Brute Force 공격 시 Windows에서 자동으로 차단하지 않습니다. 관리자 입장에서는 눈뜨고 코 베이는 경우가 생길 수 있겠지요.

보안점검을 위한 모의 Brute Force를 실행하자 곧바로 프로그램에서 ERROR "all children were disabled due too many connection errors"라고 나오면서 종료되게 됩니다. FTP 서버의 계정이 잠금 상태로 바뀌게 된 것입니다.

 

Brute Force 방지를 위한 로컬 보안 정책

 

로컬 보안 정책 - 계정 잠금 정책 - 30분, 3번의 잘못된 로그온 시도

 

Windows "검색 창"에 "로컬 보안 정책"이라고 입력해서 "관리자 권한으로 실행"해서 위 이미지처럼 정책을 수정해두시면 됩니다.

계정 잠금 임계값과 계정 잠금 기간을 적절하게 설정하시면 됩니다.

 

FTP 서버 Log 기록 (Brute Force)

 

개인 FTP 서버의 LOG 기록을 살펴보면 PASS를 3회 입력한 것이 확인됩니다. 그리고 바로 추가 연결은 막힌 상태입니다.

 

FTP 서버 - 계정 잠금 상태

 

접속을 시도한 IP만 차단된 것인지, 다른 장비에서 개인 FTP 서버에 접속을 시도해 보겠습니다.
그러나 각각 다른 IP에서 연결을 시도해보았지만, 둘 다 모두 연결이 불가능한 상태입니다.

로그인 3회 시도한 IP를 차단하는 것이 아닌 공격 받은 계정을 잠금 상태로 보호하는 것입니다.

 

Windows 계정 잠금 상태

 

잠금 상태 - ftp 계정 로그인시 보여지는 메시지

 

Windows 관리자 계정을 로그아웃 하고 FTP 계정으로 로그인을 시도해 보았습니다.

정상적인 비밀번호를 입력했음에도 불구하고, 위와같이 "참조된 계정이 현재 잠겨 있으므로 그 계정으로 로그온할 수 없습니다."라는 메시지가 보이게 됩니다.

이런 현상이 바로 "계정 잠금"입니다. FTP 계정이 Brute Force 공격을 받아서 계정이 잠긴 상태로 바뀐 것이며 이 상태에서는 모든 FTP 연결도 Windows에 FTP 계정으로 로그인도 안되는 상태가 됩니다.

"로컬 보안 정책"에 설정해둔 "잠금 기간: 30분"이 경과하면 계정 잠금상태와 FTP 접속 제한은 자동으로 풀리게 됩니다.

 

30분 경과후 FTP 정상 접속

 

계정 잠금 설정 30분이 너무 길다면 적절하게 줄여서 사용하셔도 됩니다.

제 개인 서버(Windows Pro)에는 FTP 계정과 관리자 권한, 총 2개의 사용자 계정이 생성되어 있습니다.
FTP 서버 Brute Force 공격을 받게되면 FTP 사용자 계정만 잠금 상태로 바뀌게 됩니다.