01 핵심 기술 용어 정리
| Core Concept | Description | Additional Info | Example |
|---|---|---|---|
| Remote Probe | 데이터를 로컬에서 수집하여 Core로 전송하는 경량 에이전트 | TCP 23560 포트 하나로 통신 통합 가능 | 내부망 Windows Server에 설치 |
| Core Server | 웹 서버, 데이터베이스, 알림 엔진을 포함하는 중앙 서버 | DMZ 위치 시 IIS 하드닝 필수 | PRTG Core Service 실행 서버 |
| TLS 1.3 / SSL | Core와 Probe 간의 패킷 암호화 표준 | Self-signed 보다는 공인 인증서 권장 | Digicert, Let's Encrypt 적용 |
| 2FA / MFA | 아이디/비번 외 추가 인증 (OTP 등) | DMZ 노출 시 무차별 대입 공격 방어의 핵심 | Google Authenticator 연동 |
| WMI Fixed Port | 랜덤하게 할당되는 WMI 포트를 고정하여 방화벽 최소화 | RPC Endpoint Mapper(135) + 고정포트 | winmgmt /standalone 명령 사용 |
🔍 전문가용 기술 분석 (RCA)
1. 발생 원인 (Root Cause)
폐쇄망 모니터링 시스템의 외부 접근성 요구(모바일 앱, 원격 관리)로 인한 망 전환 시, 기존의 '신뢰 기반' 프로토콜(SNMP v1/v2, WMI 랜덤포트)이 외부 노출 위협에 직면함.
2. 기술적 분석 (Analysis)
PRTG Core가 DMZ에 위치할 경우, 내부망 장비 직접 쿼리 시 방화벽의 Dynamic Port(49152-65535) 개방이 필요하며, 이는 내부 인프라 전체에 대한 침투 경로를 제공함.
3. 기대 결과 (Result)
Remote Probe 아키텍처 도입으로 단일 포트(23560) 기반 암호화 통신을 구현하여 공격 표면을 98% 이상 감소시키고 운영 가시성을 확보함.
※ 구성 방식에 따른 외부 공격 표면 면적 비교 (Canvas 기반)
02 단계별 상세 설정 가이드
인프라 및 인증 준비
- ✔️ DMZ Static IP 할당
- ✔️ 공인 SSL 인증서 (pfx) 준비
- ✔️ OS 하드닝 (Windows Update)
- Tip: Dell/HPE iDRAC/ILO는 별도 관리망 분리 유지.
네트워크 및 방화벽 정책
- ✔️ Inbound: HTTPS (443)
- ✔️ Inbound: Probe Port (23560)
- ✔️ Outbound: SMTP (587)
- Warning: Any-Any 정책 절대 금지, IP 화이트리스팅 적용.
PRTG 서비스 하드닝
- ✔️ 관리자 계정명 변경 (SID 유지)
- ✔️ 2FA Google OTP 활성화
- ✔️ Remote Probe 암호화 키 설정
- Config: Setup > User Interface > Login Restriction.
🔄 마이그레이션 기술 절차도
03 주요 컴포넌트 설정값 (Engineering Value)
🖥️ Core Server 하드닝 (Windows)
📡 Remote Probe 통신 설정
04 실환경 구축 사례 (Case Study)
📌 사례 1: 금융권 외부 모니터링 구축
상황: 사내 IDC 폐쇄망 내 PRTG를 운영 중, 경영진의 외부 모바일 대시보드 확인 요구 발생.
해결: DMZ 영역에 신규 Core 설치 후 기존 DB Migration. 내부망 주요 거점(네트워크, 서버팜)에 Remote Probe 3개소 분산 설치. 2FA 및 AD 연동 해제(로컬 인증 강화) 적용.
결과: 외부 접근성 확보 및 내부망 보안 규정 준수 완료.
📌 사례 2: 글로벌 제조사 멀티 사이트 감시
상황: 해외 지사(5개국)의 인프라 상태를 본사에서 통합 관리 필요.
해결: 본사 DMZ에 Core 서버 배치. 각 해외 지사 로컬망에 Remote Probe 설치. 지사 방화벽에서 본사 Core IP로의 23560 Outbound만 허용.
결과: 복잡한 VPN 연결 없이 전 세계 인프라 가용성 99.9% 모니터링 달성.
PRTG DMZ Configuration Manual
Ver 2.0 | Target: Windows Server 2019/2022
Secure Migration Blueprint
본 문서는 폐쇄망에서 운영 중인 PRTG 모니터링 시스템을 DMZ 구간으로 안전하게 이관하기 위한 엔지니어링 레벨의 상세 설정 가이드입니다. 단순한 포트 오픈이 아닌, Remote Probe 아키텍처를 통한 공격 표면(Attack Surface) 최소화를 목표로 합니다.
⚠️ Critical Security Warning
Core Server가 내부망(Internal)을 직접 WMI/SNMP로 조회하는 구성은 방화벽의 Dynamic Port Range(49152-65535) 개방을 초래하므로 절대 금지합니다.
Risk Reduction Analysis
Phase 1: Network & OS Configuration
DMZ 서버 프로비저닝 시 적용해야 할 필수 네트워크 정책 및 레지스트리 설정값입니다.
| Source | Destination | Port | Action |
|---|---|---|---|
| Any (Filtered) | DMZ Core | TCP 443 | ALLOW |
| Internal Probe | DMZ Core | TCP 23560 | ALLOW |
| DMZ Core | SMTP Server | TCP 587 | ALLOW |
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"
Secure Architecture Logic
Phase 2: Core & Probe Settings
🅰️ Core Server Config
-
1. Probe Connection Settings
Setup > System Administration > Probes
Allow IPs: [Specific Probe IPs Only]
Access Key: [Generate Complex Key] -
2. Web Server Hardening
PRTG Administration Tool
HTTPS: Secure (TLS 1.2/1.3)
HTTP: Redirect to HTTPS
Port: 443
🅱️ Remote Probe Config
-
1. Connection Initiation
PRTG Probe Administrator Tool
Server: [Core Server DMZ IP]
Port: 23560
Type: Probe initiates connection -
2. Data Security
Services.msc > PRTG Probe Service
Log On As: Network Service (Recommended)
Recovery: Restart Service
Traffic Volume by Protocol
Probe 구조 적용 시 WMI/SNMP 트래픽은 내부망에 국한되며, DMZ 구간은 SSL 트래픽만 발생합니다.