아웃바운드 요청 필터링
데이터 손실과 노출 위험으로부터 보호하기 위해 GitLab 관리자는 이제 GitLab 인스턴스에서 발생하는 특정 아웃바운드 요청을 제한하는 아웃바운드 요청 필터링 컨트롤을 사용할 수 있습니다.
안전한 웹훅 및 통합
최소한 Maintainer 역할을 가진 사용자는 프로젝트나 그룹에서 특정 변경이 발생할 때 트리거되는 웹훅을 설정할 수 있습니다. 트리거되면 POST
HTTP 요청이 URL로 전송됩니다. 웹훅은 일반적으로 데이터를 적절한 방식으로 처리하는 특정 외부 웹 서비스로 데이터를 보냅니다.
그러나 웹훅은 외부 웹 서비스 대신 내부 웹 서비스의 URL로 구성될 수 있습니다. 웹훅이 트리거되면 GitLab 서버에서 실행 중인 비-GitLab 웹 서비스나 해당 로컬 네트워크에서 악용될 수 있습니다.
웹훅 요청은 GitLab 서버 자체에서 이뤄지며 권한 부여를 위해 훅 당 하나의 선택적인 시크릿 토큰을 사용합니다.
- 사용자 토큰과 달리 저장소별 토큰 사용하지 않음.
결과적으로 이러한 요청은 의도와는 다르게 넓은 액세스를 가질 수 있으며, 훅이 호스트하는 서버에서 실행 중인 모든 것에 액세스할 수 있습니다.
- GitLab 서버.
- API 자체.
- 다른 어떤 웹훅 서버 네트워크에 있는 서버에 대한 네트워크 액세스(다른 서비스가 외부에서 접근할 수 없는 경우임에도 불구하고).
웹훅은 인증이 필요하지 않은 웹 서비스를 사용하여 파괴적인 명령을 트리거할 수 있습니다. 이러한 웹훅은 GitLab 서버에 리소스를 삭제하는 엔드포인트로 POST
HTTP 요청을 만들어 낼 수 있습니다.
웹훅 및 통합에서 로컬 네트워크로의 요청 허용
전제 조건:
- 인스턴스에 대한 관리자 엑세스를 가져야 합니다.
보안되지 않은 내부 웹 서비스 악용을 방지하려면 모든 웹훅 및 통합 요청이 다음의 로컬 네트워크 주소로 허용되지 않습니다:
- 현재 GitLab 인스턴스 서버 주소.
-
127.0.0.1
,::1
,0.0.0.0
,10.0.0.0/8
,172.16.0.0/12
,192.168.0.0/16
, 및 IPv6 site-local (ffc0::/10
) 주소를 포함한 사설 네트워크 주소.
이러한 주소로의 액세스를 허용하려면:
- 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
- Settings > Network을 선택하세요.
- Outbound requests를 확장합니다.
- Allow requests to the local network from webhooks and integrations 확인란을 선택합니다.
시스템 훅에서 로컬 네트워크로의 요청 방지
전제 조건:
- 인스턴스에 대한 관리자 엑세스를 가져야 합니다.
System hooks는 기본적으로 로컬 네트워크로의 요청을 만들 수 있습니다. 로컬 네트워크로의 시스템 훅 요청을 방지하려면:
- 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
- Settings > Network을 선택하세요.
- Outbound requests를 확장합니다.
- Allow requests to the local network from system hooks 확인란을 해제합니다.
DNS 리바인딩 공격 방지 강화
전제 조건:
- 인스턴스에 대한 관리자 엑세스를 가져야 합니다.
DNS 리바인딩은 악의적인 도메인 이름이 내부 네트워크 리소스를 해결해 로컬 네트워크 액세스 제한을 우회하는 기술입니다. GitLab은 기본적으로 이 공격에 대한 보호를 활성화하고 있습니다. 이 보호를 해제하려면:
- 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
- Settings > Network을 선택하세요.
- Outbound requests를 확장합니다.
- Enforce DNS-rebinding attack protection 확인란을 해제합니다.
요청 필터링
전제 조건:
- GitLab 인스턴스에 대한 관리자 엑세스를 가지고 있어야 합니다.
다수의 요청을 차단함으로써 요청을 필터링하려면 다음을 수행하세요:
- 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
- Settings > Network을 선택하세요.
- Outbound requests를 확장합니다.
- Block all requests, except for IP addresses, IP ranges, and domain names defined in the allowlist 확인란을 선택합니다.
이 확인란을 선택하면 아래의 요청은 여전히 차단되지 않습니다:
- Geo, Git, GitLab Shell, Gitaly, PostgreSQL, 및 Redis와 같은 코어 서비스.
- 객체 저장.
- 허용 목록에 정의된 IP 주소 및 도메인(들).
이 설정은 주로 기본 GitLab 애플리케이션에 의해 존중되며 Gitaly와 같은 다른 서비스는 여전히 이 규칙을 어겼을 수 있는 요청을 만들 수 있습니다. 게다가 GitLab의 일부 영역은 아웃바운드 필터링 규칙을 존중하지 않습니다.
특정 IP 주소 및 도메인으로의 아웃바운드 요청 허용
- GitLab 12.2에서 도입되었습니다.
필수 조건:
- 인스턴스에 관리자 액세스해야 합니다.
특정 IP 주소 및 도메인으로의 아웃바운드 요청을 허용하려면 다음을 수행합니다:
- 왼쪽 사이드바에서 맨 아래에서 관리 영역을 선택합니다.
- 설정 > 네트워크를 선택합니다.
- 아웃바운드 요청을 확장합니다.
- 훅 및 통합에서 액세스할 수 있는 로컬 IP 주소 및 도메인 이름에 IP 주소 및 도메인을 입력합니다.
입력 항목:
- 세미콜론, 쉼표 또는 공백(새 줄 포함)으로 구분할 수 있습니다.
- 호스트명, IP 주소, IP 주소 범위와 같이 다양한 형식으로 입력할 수 있습니다. IPv6가 지원됩니다. 유니코드 문자를 포함하는 호스트명의 경우 응용 프로그램에서의 국제화된 도메인 이름 (IDNA) 인코딩을 사용해야 합니다.
- 포트를 포함할 수 있습니다. 예를 들어
127.0.0.1:8080
은127.0.0.1
의 8080 포트로의 연결만 허용합니다. 포트가 지정되지 않으면 해당 IP 주소나 도메인의 모든 포트가 허용됩니다. IP 주소 범위는 해당 범위 내 모든 IP 주소의 모든 포트를 허용합니다. - 각 항목당 255자까지 최대 1000개의 항목을 입력할 수 있습니다.
- 와일드카드(예:
*.example.com
)는 포함시킬 수 없습니다.
예시:
example.com;gitlab.example.com
127.0.0.1,1:0:0:0:0:0:0:1
127.0.0.0/8 1:0:0:0:0:0:0:0/124
[1:0:0:0:0:0:0:1]:8080
127.0.0.1:8080
example.com:8080
문제 해결
아웃바운드 요청 필터링 시 다음 문제가 발생할 수 있습니다.
구성된 URL이 차단됨
만일 구성된 URL이 차단되지 않는다면, 차단 목록에 정의된 IP 주소, IP 범위 및 도메인 외의 모든 요청을 차단 옵션을 선택할 수 있습니다. 그렇지 않으면 URL이 차단된다는 오류 메시지를 받을 수 있습니다.
이 설정을 활성화할 수 없다면, 다음 중 하나를 수행하세요:
- URL 설정을 해제합니다.
- 다른 URL을 구성하거나, URL 설정을 비워 둡니다.
- 구성된 URL을 허용 목록에 추가합니다.
공용 러너 릴리스 URL이 차단됨
대부분의 GitLab 인스턴스는 public_runner_releases_url
을 https://gitlab.com/api/v4/projects/gitlab-org%2Fgitlab-runner/releases
로 설정하지만, 이는 요청 필터링을 방해할 수 있습니다.
이 문제를 해결하려면, GitLab에서 더 이상 GitLab.com에서 러너 릴리스 버전 데이터를 가져오지 않도록 구성하세요.
GitLab 구독 관리가 차단됨
요청을 필터링할 때, GitLab 구독 관리가 차단됩니다.
이 문제를 해결하려면, customers.gitlab.com:443
를 허용 목록에 추가하세요.
GitLab 문서가 차단됨
요청을 필터링할 때, 도움말 페이지 문서 기본 URL이 차단됨: 허용 목록에 없는 호스트 및 IP 주소로의 요청은 거부됨
라는 오류가 발생할 수 있습니다. 이 오류를 해결하려면:
- 오류 메시지
도움말 페이지 문서 기본 URL이 차단됨
이 더 이상 표시되지 않도록 변경을 되돌립니다. -
docs.gitlab.com
혹은 리다이렉트 도움말 문서 페이지 URL을 허용 목록에 추가합니다. - 변경 사항 저장을 선택합니다.