• 안전한 웹훅 및 통합
  • 웹훅 및 통합에서 로컬 네트워크로의 요청 허용
  • 시스템 훅에서 로컬 네트워크로의 요청 방지
  • DNS 리바인딩 공격 방지 강화
• 요청 필터링
• 특정 IP 주소 및 도메인으로의 아웃바운드 요청 허용
• 문제 해결
  • 구성된 URL이 차단됨
  • 공용 러너 릴리스 URL이 차단됨
  • GitLab 구독 관리가 차단됨
  • GitLab 문서가 차단됨

아웃바운드 요청 필터링

데이터 손실과 노출 위험으로부터 보호하기 위해 GitLab 관리자는 이제 GitLab 인스턴스에서 발생하는 특정 아웃바운드 요청을 제한하는 아웃바운드 요청 필터링 컨트롤을 사용할 수 있습니다.

안전한 웹훅 및 통합

최소한 Maintainer 역할을 가진 사용자는 프로젝트나 그룹에서 특정 변경이 발생할 때 트리거되는 웹훅을 설정할 수 있습니다. 트리거되면 POST HTTP 요청이 URL로 전송됩니다. 웹훅은 일반적으로 데이터를 적절한 방식으로 처리하는 특정 외부 웹 서비스로 데이터를 보냅니다.

그러나 웹훅은 외부 웹 서비스 대신 내부 웹 서비스의 URL로 구성될 수 있습니다. 웹훅이 트리거되면 GitLab 서버에서 실행 중인 비-GitLab 웹 서비스나 해당 로컬 네트워크에서 악용될 수 있습니다.

웹훅 요청은 GitLab 서버 자체에서 이뤄지며 권한 부여를 위해 훅 당 하나의 선택적인 시크릿 토큰을 사용합니다.

• 사용자 토큰과 달리 저장소별 토큰 사용하지 않음.

결과적으로 이러한 요청은 의도와는 다르게 넓은 액세스를 가질 수 있으며, 훅이 호스트하는 서버에서 실행 중인 모든 것에 액세스할 수 있습니다.

• GitLab 서버.
• API 자체.
• 다른 어떤 웹훅 서버 네트워크에 있는 서버에 대한 네트워크 액세스(다른 서비스가 외부에서 접근할 수 없는 경우임에도 불구하고).

웹훅은 인증이 필요하지 않은 웹 서비스를 사용하여 파괴적인 명령을 트리거할 수 있습니다. 이러한 웹훅은 GitLab 서버에 리소스를 삭제하는 엔드포인트로 POST HTTP 요청을 만들어 낼 수 있습니다.

웹훅 및 통합에서 로컬 네트워크로의 요청 허용

전제 조건:

• 인스턴스에 대한 관리자 엑세스를 가져야 합니다.

보안되지 않은 내부 웹 서비스 악용을 방지하려면 모든 웹훅 및 통합 요청이 다음의 로컬 네트워크 주소로 허용되지 않습니다:

• 현재 GitLab 인스턴스 서버 주소.
• 127.0.0.1, ::1, 0.0.0.0, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 및 IPv6 site-local (ffc0::/10) 주소를 포함한 사설 네트워크 주소.

이러한 주소로의 액세스를 허용하려면:

1. 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
2. Settings > Network을 선택하세요.
3. Outbound requests를 확장합니다.
4. Allow requests to the local network from webhooks and integrations 확인란을 선택합니다.

시스템 훅에서 로컬 네트워크로의 요청 방지

전제 조건:

• 인스턴스에 대한 관리자 엑세스를 가져야 합니다.

System hooks는 기본적으로 로컬 네트워크로의 요청을 만들 수 있습니다. 로컬 네트워크로의 시스템 훅 요청을 방지하려면:

1. 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
2. Settings > Network을 선택하세요.
3. Outbound requests를 확장합니다.
4. Allow requests to the local network from system hooks 확인란을 해제합니다.

DNS 리바인딩 공격 방지 강화

전제 조건:

• 인스턴스에 대한 관리자 엑세스를 가져야 합니다.

DNS 리바인딩은 악의적인 도메인 이름이 내부 네트워크 리소스를 해결해 로컬 네트워크 액세스 제한을 우회하는 기술입니다. GitLab은 기본적으로 이 공격에 대한 보호를 활성화하고 있습니다. 이 보호를 해제하려면:

1. 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
2. Settings > Network을 선택하세요.
3. Outbound requests를 확장합니다.
4. Enforce DNS-rebinding attack protection 확인란을 해제합니다.

요청 필터링

• GitLab 15.10에 도입됨.

전제 조건:

• GitLab 인스턴스에 대한 관리자 엑세스를 가지고 있어야 합니다.

다수의 요청을 차단함으로써 요청을 필터링하려면 다음을 수행하세요:

1. 왼쪽 사이드바에서 맨 아래에서 Admin Area를 선택합니다.
2. Settings > Network을 선택하세요.
3. Outbound requests를 확장합니다.
4. Block all requests, except for IP addresses, IP ranges, and domain names defined in the allowlist 확인란을 선택합니다.

이 확인란을 선택하면 아래의 요청은 여전히 차단되지 않습니다:

• Geo, Git, GitLab Shell, Gitaly, PostgreSQL, 및 Redis와 같은 코어 서비스.
• 객체 저장.
• 허용 목록에 정의된 IP 주소 및 도메인(들).

이 설정은 주로 기본 GitLab 애플리케이션에 의해 존중되며 Gitaly와 같은 다른 서비스는 여전히 이 규칙을 어겼을 수 있는 요청을 만들 수 있습니다. 게다가 GitLab의 일부 영역은 아웃바운드 필터링 규칙을 존중하지 않습니다.

특정 IP 주소 및 도메인으로의 아웃바운드 요청 허용

• GitLab 12.2에서 도입되었습니다.

필수 조건:

• 인스턴스에 관리자 액세스해야 합니다.

특정 IP 주소 및 도메인으로의 아웃바운드 요청을 허용하려면 다음을 수행합니다:

1. 왼쪽 사이드바에서 맨 아래에서 관리 영역을 선택합니다.
2. 설정 > 네트워크를 선택합니다.
3. 아웃바운드 요청을 확장합니다.
4. 훅 및 통합에서 액세스할 수 있는 로컬 IP 주소 및 도메인 이름에 IP 주소 및 도메인을 입력합니다.

입력 항목:

• 세미콜론, 쉼표 또는 공백(새 줄 포함)으로 구분할 수 있습니다.
• 호스트명, IP 주소, IP 주소 범위와 같이 다양한 형식으로 입력할 수 있습니다. IPv6가 지원됩니다. 유니코드 문자를 포함하는 호스트명의 경우 응용 프로그램에서의 국제화된 도메인 이름 (IDNA) 인코딩을 사용해야 합니다.
• 포트를 포함할 수 있습니다. 예를 들어 127.0.0.1:8080은 127.0.0.1의 8080 포트로의 연결만 허용합니다. 포트가 지정되지 않으면 해당 IP 주소나 도메인의 모든 포트가 허용됩니다. IP 주소 범위는 해당 범위 내 모든 IP 주소의 모든 포트를 허용합니다.
• 각 항목당 255자까지 최대 1000개의 항목을 입력할 수 있습니다.
• 와일드카드(예: *.example.com)는 포함시킬 수 없습니다.

예시:

example.com;gitlab.example.com
127.0.0.1,1:0:0:0:0:0:0:1
127.0.0.0/8 1:0:0:0:0:0:0:0/124
[1:0:0:0:0:0:0:1]:8080
127.0.0.1:8080
example.com:8080

문제 해결

아웃바운드 요청 필터링 시 다음 문제가 발생할 수 있습니다.

구성된 URL이 차단됨

만일 구성된 URL이 차단되지 않는다면, 차단 목록에 정의된 IP 주소, IP 범위 및 도메인 외의 모든 요청을 차단 옵션을 선택할 수 있습니다. 그렇지 않으면 URL이 차단된다는 오류 메시지를 받을 수 있습니다.

이 설정을 활성화할 수 없다면, 다음 중 하나를 수행하세요:

• URL 설정을 해제합니다.
• 다른 URL을 구성하거나, URL 설정을 비워 둡니다.
• 구성된 URL을 허용 목록에 추가합니다.

공용 러너 릴리스 URL이 차단됨

대부분의 GitLab 인스턴스는 public_runner_releases_url을 https://gitlab.com/api/v4/projects/gitlab-org%2Fgitlab-runner/releases로 설정하지만, 이는 요청 필터링을 방해할 수 있습니다.

이 문제를 해결하려면, GitLab에서 더 이상 GitLab.com에서 러너 릴리스 버전 데이터를 가져오지 않도록 구성하세요.

GitLab 구독 관리가 차단됨

요청을 필터링할 때, GitLab 구독 관리가 차단됩니다.

이 문제를 해결하려면, customers.gitlab.com:443를 허용 목록에 추가하세요.

GitLab 문서가 차단됨

요청을 필터링할 때, 도움말 페이지 문서 기본 URL이 차단됨: 허용 목록에 없는 호스트 및 IP 주소로의 요청은 거부됨라는 오류가 발생할 수 있습니다. 이 오류를 해결하려면:

1. 오류 메시지 도움말 페이지 문서 기본 URL이 차단됨이 더 이상 표시되지 않도록 변경을 되돌립니다.
2. docs.gitlab.com 혹은 리다이렉트 도움말 문서 페이지 URL을 허용 목록에 추가합니다.
3. 변경 사항 저장을 선택합니다.