TP-Link 라우터에 대한 SSH 액세스를 신뢰할 수 있는 IP로 제한하는 방법

¿TP-Link 라우터에 대한 SSH 액세스를 신뢰할 수 있는 IP로 제한하는 방법은 무엇입니까? SSH를 통해 네트워크에 누가 접근할 수 있는지 제어하는 ​​것은 변덕이 아니라 필수적인 보안 계층입니다. 신뢰할 수 있는 IP 주소에서만 액세스 허용 공격 표면을 줄이고, 자동 검사 속도를 늦추고, 인터넷으로부터의 지속적인 침입 시도를 방지합니다.

이 실용적이고 포괄적인 가이드에서는 TP-Link 장비(SMB 및 Omada)를 사용하여 다양한 시나리오에서 이를 수행하는 방법, ACL 규칙 및 허용 목록을 고려할 사항, 모든 것이 제대로 닫혔는지 확인하는 방법을 알아봅니다. TCP Wrappers, iptables 및 모범 사례와 같은 추가 방법을 통합합니다. 따라서 아무런 걱정 없이 환경을 보호할 수 있습니다.

TP-Link 라우터에서 SSH 액세스를 제한하는 이유

SSH를 인터넷에 노출시키면 이미 호기심 많은 봇들이 악의적인 의도를 가지고 대규모로 공격할 수 있는 문이 열립니다. [SSH 사례]에서 관찰된 것처럼, 스캔 후 WAN에서 접근 가능한 22번 포트가 감지되는 것은 드문 일이 아닙니다. TP-Link 라우터의 심각한 오류. 간단한 nmap 명령을 사용하면 공용 IP 주소에 포트 22가 열려 있는지 확인할 수 있습니다.: 외부 머신에서 이와 유사한 것을 실행합니다. nmap -vvv -p 22 TU_IP_PUBLICA "open ssh"가 나타나는지 확인하세요.

공개 키를 사용하더라도 포트 22를 열어 두면 추가 탐색, 다른 포트 테스트, 관리 서비스 공격이 가능해집니다. 해결책은 명확합니다. 기본적으로 거부하고 허용된 IP 또는 범위에서만 활성화합니다.가급적이면 직접 고정하여 제어하세요. 원격 관리가 필요하지 않으면 WAN에서 완전히 비활성화하세요.

포트 노출 외에도 규칙 변경이나 비정상적인 동작(예: 일정 시간 후 나가는 트래픽을 '삭제'하기 시작하는 케이블 모뎀)이 의심되는 상황이 있습니다. ping, traceroute 또는 브라우징이 모뎀을 통과하지 못하는 경우 설정과 펌웨어를 확인하고 공장 설정으로 복원하는 것을 고려하세요. 그리고 사용하지 않는 것은 모두 닫아주세요.

정신 모델: 기본적으로 차단하고 허용 목록을 만듭니다.

승리의 철학은 간단합니다. 기본 거부 정책 및 명시적 예외고급 인터페이스가 있는 많은 TP-Link 라우터에서는 방화벽에서 Drop 유형의 원격 수신 정책을 설정한 다음 관리 서비스에 대한 허용 목록에 있는 특정 주소를 허용할 수 있습니다.

"원격 입력 정책" 및 "허용 목록 규칙" 옵션(네트워크 - 방화벽 페이지)이 포함된 시스템에서 원격 진입 정책에서 브랜드 삭제 SSH/Telnet/HTTP(S)와 같은 구성이나 서비스에 접속할 수 있는 CIDR 형식 XXXX/XX의 공용 IP를 허용 목록에 추가하세요. 나중에 혼동을 방지하기 위해 이러한 항목에 간략한 설명을 포함할 수 있습니다.

메커니즘 간의 차이점을 이해하는 것이 중요합니다. 포트 포워딩(NAT/DNAT)은 포트를 LAN 머신으로 리디렉션합니다."필터링 규칙"이 WAN-LAN 또는 네트워크 간 트래픽을 제어하는 ​​반면, 방화벽의 "허용 목록 규칙"은 라우터 관리 시스템에 대한 접근을 관리합니다. 필터링 규칙은 장치 자체에 대한 접근을 차단하지 않습니다. 따라서 라우터로 들어오는 트래픽에 대한 허용 목록이나 특정 규칙을 사용해야 합니다.

내부 서비스에 접근하기 위해 NAT에서 포트 매핑을 생성하고, 외부에서 해당 매핑에 접근할 수 있는 사람을 제한합니다. 방법은 다음과 같습니다. 필요한 포트를 열고 액세스 제어를 통해 제한합니다. 즉, 허가된 출처만 통과시키고 나머지는 차단합니다.

TP-Link SMB(ER6120/ER8411 및 유사)에서 신뢰할 수 있는 IP의 SSH

TL-ER6120이나 ER8411과 같은 SMB 라우터에서 LAN 서비스(예: 내부 서버의 SSH)를 광고하고 소스 IP로 제한하는 일반적인 패턴은 2단계입니다. 먼저 가상 서버(NAT)로 포트를 열고, 그 다음 접근 제어로 필터링합니다. IP 그룹 및 서비스 유형을 기준으로 합니다.

1단계 – 가상 서버: 다음으로 이동 고급 → NAT → 가상 서버 해당 WAN 인터페이스에 대한 항목을 생성합니다. 외부 포트 22를 구성하고 서버의 내부 IP 주소(예: 192.168.0.2:22)를 가리킵니다.규칙을 저장하여 목록에 추가하세요. 다른 포트를 사용하는 경우(예: SSH를 2222로 변경한 경우) 값을 적절히 조정하세요.

2단계 - 서비스 유형: 입력 환경 설정 → 서비스 유형예를 들어 SSH라는 새 서비스를 만들고 선택합니다. TCP 또는 TCP/UDP 그리고 대상 포트 22를 정의합니다(소스 포트 범위는 0~65535가 될 수 있습니다). 이 계층을 사용하면 ACL에서 포트를 명확하게 참조할 수 있습니다..

3단계 – IP 그룹: 이동 환경 설정 → IP 그룹 → IP 주소 허용된 소스(예: 공용 IP 또는 "Access_Client"라는 범위)와 대상 리소스(예: 서버의 내부 IP가 포함된 "SSH_Server")에 대한 항목을 추가합니다. 그런 다음 각 주소를 해당 IP 그룹과 연결합니다. 같은 메뉴 내에서

4단계 – 접근 제어: 방화벽 → 접근 제어 두 개의 규칙을 만듭니다. 1) 허용 규칙: 허용 정책, 새로 정의된 "SSH" 서비스, 소스 = IP 그룹 "Access_Client" 및 대상 = "SSH_Server". ID 1을 지정합니다. 2) 차단 규칙: 차단 정책 소스 = IPGROUP_ANY 및 대상 = "SSH_Server" (또는 해당되는 경우) ID 2를 사용합니다. 이렇게 하면 신뢰할 수 있는 IP 또는 범위만 NAT를 통해 SSH로 이동하고 나머지는 차단됩니다.

평가 순서는 매우 중요합니다. 낮은 ID가 우선합니다따라서 허용 규칙은 차단 규칙보다 (ID가 낮은) 우선적으로 적용되어야 합니다. 변경 사항을 적용하면 허용된 IP 주소에서 정의된 포트를 통해 라우터의 WAN IP 주소에 연결할 수 있지만, 다른 소스에서의 연결은 차단됩니다.

모델/펌웨어 참고 사항: 인터페이스는 하드웨어와 버전에 따라 다를 수 있습니다. TL-R600VPN은 특정 기능을 다루기 위해 하드웨어 v4가 필요합니다.다른 시스템에서는 메뉴 위치가 변경될 수 있습니다. 하지만 흐름은 동일합니다. 서비스 유형 → IP 그룹 → 허용 및 차단이 있는 ACL입니다. 잊지 마세요. 저장하고 적용하세요 규칙이 발효되려면.

권장 검증: 승인된 IP 주소에서 시도해 보세요. ssh usuario@IP_WAN 그리고 접근을 확인하세요. 다른 IP 주소에서는 포트에 접근할 수 없게 됩니다. (도착하지 않거나 거부된 연결, 이상적으로는 단서를 제공하지 않기 위해 배너가 없는 것이 좋습니다).

Omada 컨트롤러를 사용한 ACL: 목록, 상태 및 예제 시나리오

Omada Controller로 TP-Link 게이트웨이를 관리하는 경우 논리는 비슷하지만 시각적 옵션이 더 많습니다. 그룹(IP 또는 포트)을 생성하고 게이트웨이 ACL을 정의하고 규칙을 구성합니다. 최소한만 허용하고 나머지는 모두 거부합니다.

목록 및 그룹: 설정 → 프로필 → 그룹 IP 그룹(서브넷이나 호스트, 예: 192.168.0.32/27 또는 192.168.30.100/32)과 포트 그룹(예: HTTP 80 및 DNS 53)을 만들 수 있습니다. 이러한 그룹은 복잡한 규칙을 단순화합니다. 객체를 재사용하여.

게이트웨이 ACL: 켜짐 구성 → 네트워크 보안 → ACL 보호하려는 내용에 따라 LAN→WAN, LAN→LAN 또는 WAN→LAN 방향으로 규칙을 추가합니다. 각 규칙에 대한 정책은 허용 또는 거부가 될 수 있습니다. 순서에 따라 실제 결과가 결정됩니다. "활성화"를 선택하여 활성화하세요. 일부 버전에서는 규칙을 준비된 상태로 두고 비활성화할 수 있습니다.

유용한 사례(SSH에 적용 가능): 특정 서비스만 허용하고 나머지는 차단합니다(예: DNS와 HTTP는 허용한 다음 모두 거부). 관리 허용 목록의 경우 신뢰할 수 있는 IP에서 "게이트웨이 관리 페이지"로 허용을 생성합니다. 그리고 다른 네트워크에서는 일반 거부를 합니다. 펌웨어에 해당 옵션이 있는 경우 Bidireccional자동으로 역규칙을 생성할 수 있습니다.

연결 상태: ACL은 상태를 유지할 수 있습니다. 일반적인 유형은 새 유형, 확립된 유형, 관련 유형 및 무효 유형입니다."New"는 첫 번째 패킷(예: TCP의 SYN)을 처리하고, "Established"는 이전에 발생한 양방향 트래픽을 처리하며, "Related"는 종속 연결(예: FTP 데이터 채널)을 처리하고, "Invalid"는 비정상적인 트래픽을 처리합니다. 추가적인 세부 설정이 필요하지 않은 경우 일반적으로 기본 설정을 유지하는 것이 가장 좋습니다.

VLAN 및 세분화: Omada 및 SMB 라우터 지원 VLAN 간 단방향 및 양방향 시나리오마케팅→연구개발(R&D)은 차단하고 연구개발(R&D)→마케팅(Marketing)은 허용할 수 있으며, 양방향을 차단하고 특정 관리자에게 권한을 부여할 수도 있습니다. ACL의 LAN→LAN 방향은 내부 서브넷 간 트래픽을 제어하는 ​​데 사용됩니다.

추가 방법 및 강화: TCP 래퍼, iptables, MikroTik 및 클래식 방화벽

라우터의 ACL 외에도 적용해야 할 다른 계층이 있습니다. 특히 SSH 대상이 라우터 뒤에 있는 Linux 서버인 경우 더욱 그렇습니다. TCP 래퍼는 hosts.allow 및 hosts.deny를 사용하여 IP로 필터링할 수 있습니다. 호환 서비스(많은 기존 구성에서 OpenSSH 포함)

제어 파일: 존재하지 않으면 다음을 사용하여 생성합니다. sudo touch /etc/hosts.{allow,deny}. 모범 사례: hosts.deny에서 모든 것을 거부합니다. hosts.allow에서 명시적으로 허용합니다. 예: /etc/hosts.deny pon sshd: ALL 그리고 ~에서 /etc/hosts.allow 오리 sshd: 203.0.113.10, 198.51.100.0/24따라서 해당 IP만 서버의 SSH 데몬에 접속할 수 있습니다.

사용자 정의 iptables: 라우터나 서버에서 허용하는 경우 특정 소스에서만 SSH를 허용하는 규칙을 추가합니다. 일반적인 규칙은 다음과 같습니다.: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT 기본 DROP 정책 또는 나머지를 차단하는 규칙이 뒤따릅니다. 탭이 있는 라우터에서 Custom rules 이러한 줄을 삽입하고 "저장 및 적용"을 사용하여 적용할 수 있습니다.

MikroTik의 모범 사례(일반 가이드로 적용 가능): 가능한 경우 기본 포트를 변경합니다. Telnet 비활성화 (SSH만 사용), 강력한 암호를 사용하거나 더 나은 방법은 다음과 같습니다. 키 인증방화벽을 사용하여 IP 주소로의 접근을 제한하고, 기기에서 지원하는 경우 2FA를 활성화하고, 펌웨어/RouterOS를 최신 상태로 유지하세요. 필요하지 않으면 WAN 액세스를 비활성화하세요.실패한 시도를 모니터링하고 필요한 경우 무차별 대입 공격을 억제하기 위해 연결 속도 제한을 적용합니다.

TP-Link Classic 인터페이스(이전 펌웨어): LAN IP 주소(기본값 192.168.1.1) 및 관리자/관리자 자격 증명을 사용하여 패널에 로그인한 다음 다음으로 이동합니다. 보안 → 방화벽IP 필터를 활성화하고 지정되지 않은 패킷이 원하는 정책을 따르도록 선택합니다. 그런 다음 IP 주소 필터링, "새로 추가"를 누르고 정의하세요 어떤 IP가 서비스 포트를 사용할 수 있고 사용할 수 없는지 WAN(SSH의 경우 22/tcp). 각 단계를 저장하세요. 이렇게 하면 일반 거부를 적용하고 신뢰할 수 있는 IP만 허용하도록 예외를 생성할 수 있습니다.

정적 경로를 사용하여 특정 IP 차단

어떤 경우에는 특정 서비스(예: 스트리밍)의 안정성을 높이기 위해 특정 IP로 나가는 것을 차단하는 것이 유용합니다. 여러 TP-Link 장치에서 이를 수행하는 한 가지 방법은 정적 라우팅을 사용하는 것입니다., 해당 목적지에 도달하지 않도록 /32 경로를 생성하거나 기본 경로에서 사용되지 않는 방식으로 경로를 지정합니다(지원은 펌웨어에 따라 다름).

최신 모델: 탭으로 이동 고급 → 네트워크 → 고급 라우팅 → 정적 라우팅 "+ 추가"를 누르세요. "네트워크 대상"에 차단할 IP 주소를 입력하고, "서브넷 마스크"에 255.255.255.255를, "기본 게이트웨이"에 LAN 게이트웨이(일반적으로 192.168.0.1)를, "인터페이스"에 LAN을 입력하세요. "이 항목 허용"을 선택하고 저장하세요.제어하려는 서비스에 따라 각 대상 IP 주소에 대해 반복합니다.

이전 펌웨어: 다음으로 이동 고급 라우팅 → 정적 라우팅 목록, "새로 추가"를 누르고 같은 필드를 채우세요. 경로 상태를 활성화하고 저장합니다.어떤 IP를 처리해야 할지 알아보려면 서비스 지원팀에 문의하세요. IP는 변경될 수 있습니다.

확인: 터미널이나 명령 프롬프트를 열고 다음을 사용하여 테스트하세요. ping 8.8.8.8 (또는 차단한 대상 IP). "시간 초과" 또는 "대상 호스트에 연결할 수 없음"이 표시되는 경우차단이 작동 중입니다. 작동하지 않는 경우 단계를 검토하고 라우터를 다시 시작하여 모든 테이블이 적용되도록 하세요.

검증, 테스트 및 사고 해결

SSH 허용 목록이 작동하는지 확인하려면 승인된 IP 주소를 사용해 보세요. ssh usuario@IP_WAN -p 22 (또는 사용하는 포트)를 입력하고 액세스를 확인하세요. 승인되지 않은 IP 주소에서는 포트가 서비스를 제공할 수 없습니다.. Usa nmap -p 22 IP_WAN 뜨거운 상태를 확인하세요.

무언가가 제대로 응답하지 않으면 ACL 우선순위를 확인하세요. 규칙은 순차적으로 처리되며, ID가 가장 낮은 사람이 승리합니다.허용보다 높은 거부 설정은 허용 목록을 무효화합니다. 또한 "서비스 유형"이 올바른 포트를 가리키고 "IP 그룹"에 적절한 범위가 포함되어 있는지 확인하세요.

의심스러운 동작(일정 시간 후 연결 끊김, 자체적으로 변경되는 규칙, 중단되는 LAN 트래픽)이 발생하는 경우 다음을 고려하십시오. 펌웨어를 업데이트하세요사용하지 않는 서비스(원격 웹/Telnet/SSH 관리)를 비활성화하고 자격 증명을 변경하고 해당되는 경우 MAC 복제를 확인하고 궁극적으로 공장 설정으로 복원하고 최소한의 설정과 엄격한 허용 목록으로 재구성합니다..

호환성, 모델 및 가용성 참고 사항

기능(상태 저장 ACL, 프로필, 허용 목록, 포트의 PVID 편집 등)의 가용성 하드웨어 모델 및 버전에 따라 달라질 수 있습니다.TL-R600VPN과 같은 일부 기기에서는 특정 기능이 버전 4 이상에서만 제공됩니다. 사용자 인터페이스도 변경되지만 기본 프로세스는 동일합니다. 기본적으로 차단됩니다. 서비스와 그룹 정의특정 IP만 허용하고 나머지는 차단합니다.

TP-Link 생태계 내에는 기업 네트워크에 사용되는 다양한 장치가 있습니다. 설명서에 언급된 모델은 다음과 같습니다. T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, 페스타 FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQ다른 것들 중에서도. 다음 사항을 명심하세요. 지역에 따라 제공되는 혜택이 다릅니다. 그리고 일부 서비스는 귀하의 지역에서 이용이 불가능할 수도 있습니다.

최신 정보를 받으려면 제품 지원 페이지를 방문하여 올바른 하드웨어 버전을 선택하고 확인하십시오. 펌웨어 참고 사항 및 기술 사양 최신 개선 사항이 적용됩니다. 업데이트를 통해 방화벽, ACL 또는 원격 관리 기능이 확장되거나 개선되는 경우가 있습니다.

닫습니다 SSH 특정 IP를 제외한 모든 IP에 대해 ACL을 적절히 구성하고 각 항목을 제어하는 ​​메커니즘을 이해하면 불쾌한 놀라움을 피할 수 있습니다. 기본 거부 정책, 정확한 허용 목록 및 정기적 검증을 통해필요할 때 관리를 포기하지 않아도 TP-Link 라우터와 그 기반 서비스는 훨씬 더 잘 보호됩니다.