보안취약점 노출의 기본 조건은 F5 BIP-IP의 Management IP 혹은 Self IP로 접근할 수 있는 네트워크 환경이 제공 되어야 한다 입니다.
보안 취약점 노출 환경 진단
- 주로, F5 장비의 MGMT IP 혹은 Self IP 가 외부에서 접근이 가능한 공인 IP 인 경우에 해당됩니다.
보안 취약점 노출 환경 차단 방법
1. 방화벽과 같은 보안 장비에서 외부로부터의 F5 장비 접근에 대한 액세스를 제한합니다.(강력 권장)
2. 외부에서 접근이 가능한 F5 Self IP의 설정에서 Port Lockdown 셋팅
Network ›› Self IPs ›› ext_self 에서 Port Lockdown 옵션을 Allow None 으로 설정하여 Self IP 에 대한 모든 액세스를 차단할 수 있습니다.
(Self IP 별로 설정이 가능합니다. 기본적으로 iControl REST는 TCP 포트 443를 사용합니다.)
3. HTTPS 데몬 셋팅에서의 접근 액세스 제한
Allow 해야 할 Source IP 만 액세스 하도록 셋팅 합니다.
https://support.f5.com/csp/article/K13309 - Restricting access to the Configuration utility by source IP address (11.x - 17.x)
데몬에서의 액세스 차단이므로, 네트워크 상의 Connection이 발생 됩니다.(완벽한 차단은 아닙니다.)
3. Packet Filter 적용(ACL 적용)
Network ›› Packet Filters 에서 외부에서 접근이 가능한 F5 Self IP 에 대해
액세스를 제한 셋팅 합니다. 허용할 Source IP 만 액세스 하도록 세부 설정을 합니다.
참고: 어플라이언스 장비인 경우 tcp 443, Public Cloud 의 VE 인 경우 tcp 8443 에 대해 셋팅 합니다.
네트워크 상의 액세스 차단이므로 방화벽이 없을 경우 세팅을 권장 합니다.
참고 문서: https://support.f5.com/csp/article/K13092 - K13092: BIG-IP 시스템에 대한 보안 액세스 개요