아웃바운드 요청 필터링

Tier: Free, Premium, Ultimate
Offering: Self-Managed, GitLab Dedicated

데이터 유실 및 노출 위험으로부터 보호하기 위해 GitLab 관리자는 이제 GitLab 인스턴스에서 수행된 특정 아웃바운드 요청을 제한하는 아웃바운드 요청 필터링 컨트롤을 사용할 수 있습니다.

안전한 웹훅 및 통합

최소한의 Maintainer 역할을 가진 사용자는 프로젝트나 그룹에서 특정 변경이 발생할 때 트리거되는 웹훅을 설정할 수 있습니다. 트리거되면, POST HTTP 요청이 URL로 전송됩니다. 웹훅은 일반적으로 데이터를 적절히 처리하는 특정 외부 웹 서비스로 데이터를 전송하도록 구성됩니다.

그러나 웹훅은 외부 웹 서비스 대신 내부 웹 서비스의 URL로 구성될 수도 있습니다. 웹훅이 트리거되면 GitLab 서버나 해당 로컬 네트워크에서 실행되는 비-GitLab 웹 서비스를 악용할 수 있습니다.

웹훅 요청은 GitLab 서버 자체에서 이루어지며 권한 부여를 위해 후크 당 단일 선택적 시크릿 토큰을 사용하며 다음과 같은 것을 사용하지 않습니다:

  • 사용자 토큰.
  • 리포지터리별 토큰.

따라서 이러한 요청은 의도한 것보다 더 넓은 액세스를 갖게 되며, 웹훅을 호스팅하는 서버 상의 모든 것에 액세스할 수 있습니다:

  • GitLab 서버.
  • API 자체.
  • 특정 웹훅의 일부인 경우, 해당 웹훅 서버의 로컬 네트워크에 있는 다른 서버에 대한 네트워크 액세스는 가능하지만, 이러한 서비스는 기본적으로 외부에서 보호되어 접근할 수 없습니다.

웹훅은 인증이 필요하지 않은 웹 서비스를 사용하여 파괴적인 명령을 트리거할 수 있습니다. 이러한 웹훅은 GitLab 서버로하여금 리소스를 삭제하는 엔드포인트로 POST HTTP 요청을 수행할 수 있습니다.

웹훅 및 통합에서 로컬 네트워크로의 요청 허용

선행 조건:

  • 인스턴스에 대한 관리자 액세스가 필요합니다.

보안되지 않은 내부 웹 서비스의 악용을 방지하기 위해 모든 웹훅 및 통합 요청이 다음의 로컬 네트워크 주소로 접근하는 것을 허용하지 않습니다:

  • 현재 GitLab 인스턴스 서버 주소.
  • 127.0.0.1, ::1, 0.0.0.0, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 및 IPv6 site-local (ffc0::/10) 주소 등의 개인 네트워크 주소.

이러한 주소에 대한 접근을 허용하려면:

  1. 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 네트워크를 선택합니다.
  3. 아웃바운드 요청을 확장합니다.
  4. 웹훅 및 통합에서 로컬 네트워크로의 요청 허용 확인란을 선택합니다.

시스템 후크에서 로컬 네트워크로의 요청 방지

선행 조건:

  • 인스턴스에 대한 관리자 액세스가 필요합니다.

System hooks는 기본적으로 로컬 네트워크로의 요청을 수행하도록 설정되어 있습니다. 로컬 네트워크로의 시스템 후크 요청을 방지하려면:

  1. 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 네트워크를 선택합니다.
  3. 아웃바운드 요청을 확장합니다.
  4. 시스템 후크에서 로컬 네트워크로의 요청 허용 확인란을 해제합니다.

DNS 리바인딩 공격 방지 강제화

선행 조건:

  • 인스턴스에 대한 관리자 액세스가 필요합니다.

DNS 리바인딩은 악의적인 도메인 이름을 내부 네트워크 리소스로 해석하도록 하는 기술로, 로컬 네트워크 액세스 제한을 우회하기 위해 사용됩니다. GitLab은 이 공격에 대한 보호 기능을 기본적으로 활성화하고 있습니다. 이 보호 기능을 해제하려면:

  1. 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 네트워크를 선택합니다.
  3. 아웃바운드 요청을 확장합니다.
  4. DNS 리바인딩 공격 방지 강제화 확인란을 해제합니다.

요청 필터링

선행 조건:

  • GitLab 인스턴스에 대한 관리자 액세스가 필요합니다.

여러 요청을 차단함으로써 요청 필터링을 통해:

  1. 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 네트워크를 선택합니다.
  3. 아웃바운드 요청을 확장합니다.
  4. IP 주소, IP 범위 및 허용 디렉터리에 정의된 도메인 이름을 제외한 모든 요청 차단 확인란을 선택합니다.

이 확인란을 선택하면 다음에 대한 요청은 여전히 차단되지 않습니다:

  • Geo, Git, GitLab Shell, Gitaly, PostgreSQL, 및 Redis와 같은 중요한 서비스.
  • 객체 리포지터리.
  • 허용 디렉터리

이 설정은 주로 GitLab 애플리케이션에서만 적용되며, Gitaly와 같은 다른 서비스는 이 규칙을 위반하는 요청을 여전히 수행할 수 있습니다. 또한, GitLab의 일부 영역은 아웃바운드 필터링 규칙을 준수하지 않습니다.

특정 IP 주소 및 도메인으로의 아웃바운드 요청 허용

선행 조건:

  • 인스턴스에 대한 관리자 액세스가 필요합니다.

특정 IP 주소와 도메인으로의 아웃바운드 요청을 허용하려면:

  1. 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택합니다.
  2. 설정 > 네트워크를 선택합니다.
  3. 아웃바운드 요청을 확장합니다.
  4. 로컬 IP 주소와 허용 명단에 정의된 도메인 이름에 대한 각 주소와 도메인을 입력합니다.

항목은 다음을 수행할 수 있습니다:

  • 세미콜론, 쉼표 또는 공백(새 줄 포함)으로 구분합니다.
  • 호스트명, IP 주소, IP 주소 범위와 같은 다른 포맷으로 입력할 수 있습니다. IPv6가 지원됩니다. 유니코드 문자를 포함하는 호스트명은 Internationalized Domain Names in Applications (IDNA) 인코딩을 사용해야 합니다.
  • 포트를 포함할 수 있습니다. 예를 들어, 127.0.0.1:8080127.0.0.1의 8080 포트로의 연결만 허용합니다. 포트가 지정되지 않은 경우 해당 IP 주소나 도메인의 모든 포트가 허용됩니다. IP 주소 범위는 해당 범위 내의 모든 IP 주소의 모든 포트를 허용합니다.
  • 각 항목당 255자를 초과하지 않는 최대 1000개의 항목만 입력할 수 있습니다.
  • 와일드카드(예: *.example.com)를 포함해서는 안 됩니다.

예시: 

example.com;gitlab.example.com
127.0.0.1,1:0:0:0:0:0:0:1
127.0.0.0/8 1:0:0:0:0:0:0:0/124
[1:0:0:0:0:0:0:1]:8080
127.0.0.1:8080
example.com:8080

문제 해결

아웃바운드 요청 필터링을 수행하는 동안 다음과 같은 문제가 발생할 수 있습니다.

구성된 URL이 차단됨

구성된 URL이 차단되지 않는 경우에만 IP 주소, IP 범위 및 허용 디렉터리에 정의된 도메인 이름을 제외한 모든 요청 차단 확인란을 선택할 수 있습니다. 그렇지 않으면 URL이 차단되었다는 오류 메시지가 표시될 수 있습니다.

이 설정을 사용할 수 없는 경우 다음 중 하나를 수행하세요:

  • URL 설정을 비활성화합니다.
  • 다른 URL을 구성하거나 URL 설정을 비워 둡니다.
  • 구성된 URL을 허용 디렉터리에 추가합니다.

공개 러너 릴리스 URL이 차단됨

대부분의 GitLab 인스턴스는 public_runner_releases_urlhttps://gitlab.com/api/v4/projects/gitlab-org%2Fgitlab-runner/releases로 설정하여 요청 필터링을 방해할 수 있습니다.

이 문제를 해결하려면 GitLab.com에서 러너 버전 데이터를 더 이상 가져오지 않도록 GitLab을 구성하세요.

GitLab 구독 관리가 차단되었습니다

요청 필터링GitLab 구독 관리가 차단됩니다.

이 문제를 해결하려면 허용 디렉터리customers.gitlab.com:443을 추가하세요.

GitLab 문서가 차단되었습니다

요청 필터링을 수행하면 도움말 페이지 문서 기본 URL이 차단됨: 허용 디렉터리에 없는 호스트 및 IP 주소로의 요청이 거부됨이라는 오류가 발생할 수 있습니다. 이 문제를 해결하려면 다음을 수행하세요:

  1. 변경 내용을 되돌려서 도움말 페이지 문서 기본 URL이 차단됨 오류 메시지가 더 이상 표시되지 않도록 합니다.
  2. docs.gitlab.com 또는 도움말 문서 페이지 URL 리디렉션허용 디렉터리에 추가합니다.
  3. 변경 사항 저장을 선택합니다.

GitLab Duo 기능이 차단되었습니다

요청 필터링을 수행하면 GitLab Duo 기능을 사용하려고 할 때 401 오류가 발생할 수 있습니다.

이 오류는 GitLab 클라우드 서버로의 아웃바운드 요청이 허용되지 않을 때 발생할 수 있습니다. 이 문제를 해결하려면 다음을 수행하세요:

  1. https://cloud.gitlab.com:443허용 디렉터리에 추가합니다.
  2. 변경 사항 저장을 선택합니다.
  3. GitLab이 클라우드 서버에 액세스한 후, 라이선스를 매뉴얼으로 동기화합니다.

추가 정보는 GitLab Duo Code Suggestions 문제 해결 문서를 참조하세요.