CrowdStrike 보안 프록시(Squid) 구축 및 센서 연동 가이드
본 가이드는 폐쇄망 환경에서 CrowdStrike 센서가 외부 클라우드와 안전하게 통신할 수 있도록 보안이 강화된 Forward Proxy(Squid)를 구축하고, Linux 센서를 연동하는 절차를 다룹니다.
- 출발지 통제: 허가된 내부 네트워크 IP만 접속을 허용
- 목적지 통제: CrowdStrike 클라우드 외의 접속은 전면 차단
- SSL 터널링: 패킷을 복호화하지 않고 그대로 전달(Bypass)
먼저 Proxy 역할을 수행할 리눅스 서버에 Squid 패키지를 설치합니다. (RHEL/CentOS 기준)
sudo dnf install squid -y
# 2. 부팅 시 자동 시작 등록
sudo systemctl enable squid
단순 프록시가 아닌, 보안 게이트웨이 역할을 수행하도록 /etc/squid/squid.conf 파일을 수정합니다.
# — [설정 파일 최상단 또는 ACL 섹션에 아래 내용 추가] —
# 1. [보안] 접속을 허용할 내부망 대역 정의
acl my_internal_net src 10.0.0.0/8 # 예: 내부망 대역
# 2. [보안] 접속할 CrowdStrike 목적지 정의 (화이트리스트)
acl cs_domains dstdomain .cloudsink.net
acl cs_domains dstdomain .crowdstrike.com
# 3. SSL 포트 및 메서드 정의
acl SSL_ports port 443
acl CONNECT method CONNECT
# =======================================================
# [접근 제어 규칙 적용] (순서가 매우 중요합니다)
# =======================================================
# (1) 출발지 보안: 우리 내부망이 아니면 즉시 차단
http_access deny !my_internal_net
# (2) 포트 보안: 443(HTTPS) 포트가 아니면 차단
http_access deny !SSL_ports
# (3) 목적지 허용: CrowdStrike 도메인으로 가는 터널링 허용
http_access allow CONNECT cs_domains
http_access allow cs_domains
# (4) Default Deny: 그 외 모든 접속 시도는 차단
http_access deny all
sudo systemctl restart squid
# 2. 서비스 상태 확인 (Active: running 확인)
sudo systemctl status squid
# 3. 방화벽 포트(3128) 개방
sudo firewall-cmd –permanent –add-port=3128/tcp
sudo firewall-cmd –reload
CrowdStrike 센서에 위에서 구축한 Proxy 정보를 주입합니다. 설정 후 서비스 재시작이 필수입니다.
# 1. 프록시 정보 설정 (본인의 Proxy IP 입력)
sudo /opt/CrowdStrike/falconctl -s –aph=192.168.X.X –app=3128
# 2. 프록시 활성화 (Disable 옵션을 FALSE로)
sudo /opt/CrowdStrike/falconctl -s –apd=FALSE
# 3. 센서 재시작 (필수)
sudo systemctl restart falcon-sensor
설정이 정상적으로 적용되었는지 확인합니다.
sudo /opt/CrowdStrike/falconctl -g –aph –app –apd
# [예상 출력 결과]
# aph=192.168.X.X
# app=3128
# apd=FALSE
sudo curl -v -x localhost:3128 https://ts01-gyr-maverick.cloudsink.net
Secure Connectivity & Infrastructure