6주차 : 위협에 대응하기 위한 보안 환경의 이해

[기술의 변화]

• 클라우드 도입에 따른 인프라 구성 변화
  • 온프라미스 : 방화벽 안에 모든게 구성.
  • 클라우드 : 병화벽안에 일부가 구성, 외부망에 서버를 구성하여 방화벽을 기준으로 외부망과 내부망이 나뉘어짐.
• 빅데이터를 활용한 상관 분석
  • 정보의 양이 확대됨에 따라 관리와 상호 연관 분석 개발 및 연구 활발
  • ELK stack
• 자동화 기술이 발전
  • 사람의 실수를 줄이고 속도 향상을 위한 보안 솔루션에 관심 향상

[제도트러스트]

‘ 아무도 신뢰하지 마라’

• 경계형 보안 : 신뢰할 수 없는 것은 내부로 들어오지 않는다. 또는 내부에서는 신뢰할 수 있는 것만이 존재. 방어 대상의 중심은 네트워크
• 제로트러스트 보안 : 내부에 있어도 신뢰X. 외부 내부 구별없이 의심. 위장 등의 가능성이 높은 경우는 동적으로 액세스권을 정지. 방어 대상의 중심의 데이터, 디바이스 등의 리소스 (자산, 데이터에 초점)

[방화벽]

네트워크를 외부망과 내부망으로 분리시키도 그 사이에 배치 시켜 정보의 악의적인 흐름, 침투 등을 방지하는 시스템. 외부망으로부터 내부망 보호

• 주요기능
  • 접근통제(접근제어) : IP, Port 번호를 바탕으로 패킷 필터링 수행
  • 주소 변환 : NAT 기능을 이용하여 외부망와 내부망 구분
  • 인증 : 트래픽에 대한 사용자 신분 증명 (ID/PW)
    • 식별 : ID
    • 인가 : 본인 인증 → 권한 부여
  • 감사기록/추적기능 : 접속 정보 기록, 네트워크 사용에 따른 통계정보
  • 프록시 : 실제 IP 주소를 감춤

<시대에 따른 분류>

1. 1세대 방화벽 : 패킷 필터 (Packet Filter)
   • 네트워크의 패킷 중 IP 주소와 포트를 보며 허용, 드랍(알리지 않음.), 거부(알림.) 세가지 단계로 구분
   • 인터넷상 컴퓨터 간의 패킷을 검사하여 등록된 정보와 매칭 여부를 확인하여 허용과 거부 여부를 판단.
   • 패킷마다 필터링
   • 기준 : 패킷
2. 2세대 방화벽 : 상태 필터 (Stateful Filter)
   • 상태의 판단을 내리기까지 정보를 보유하고 있다가 처리.
   • 회선 수준 게이트웨이 방화벽
     • 구성 가능한 규칙에 따라 양쪽 끝 간의 연결이 유효한지 판단, 이후 허용된 범위와 시간에서만 트래픽 허용
     • 개별 패킷을 필터링 하지 않아 한번 성공하면 공격자가 이점을 취할 수 있음.
     • 기준 : 세션
3. 3세대 방화벽 : 어플리케이션 계층 (Application Layer)
   • IP 필터와 소켓 투명성의 커널 향상으로 FWTK를 확장.
   • FTP, DNS 등의 내용 해석 가능.
4. 차세대 방화벽 (Next Generation Firewall)
   • 전통적인 방화벽 + 웹 필터링, 안티바이러스, 안티-멀웨어 등의 추가 기능 제공
   <기능>
   • 애플리케이션 식별 및 제어 : 난독화 처리, 디코딩.
   • 실시간 SSL 세션 해독 : 인증된 사용자의 SSL을 통한 트래픽 복호화
   • 고성능 보안 기능 수행 : 사용자별 분리를 통한 앱 통제 가능
   • 알려지지 않은 위협 대응 : 별도 공간에서 분리 및 실행을 통한 위협에 대응
   • URL 필터링 : 트래픽 분석으로 악성 URL 접근 방지
   • 기존 보안 기술 제공

<유형별 분류>

• 네트워크 기반 방식
  • 게이트웨이 위치에 존재
  • 소프트웨어 어플라이언스 장비 또는 하드웨어 기반 어플라이언스 장비 형태를 가짐 ⇒ H/W
• 호스트 기반 방식
  • 시스템 안팎에서 네트워크 트래픽을 제어
  • 응용프로그램 형태를 가짐. ⇒ S/W

<기능에 따른 분류 형태>

• 네트워크 계층 또는 패킷 필터
  • TPC/IP 프로토콜 스택의 하위 수준에서 설정된 규칙과 패킷을 비교하여 역할 수행
    • Stateful : 연결 상태를 저장하여 포함한 정책 반영.
    • Stateless : 연결 상태를 저장하지 않고 정책 반영. 세밀한 부분을 놓칠 수 있음.
• 어플리케이션 계층
  • 응용프로그램정보 확인
  • 악성행위 패턴을 감지 차단 가능. 방화벽 역할 수행.
  • 프로세스별 필터링 적용
  • 위약한 서비스를 보호하기 위해 샌드박싱이라고 하는 강제적 접근 제어에 의존하는 차세대 응용 방화벽을 대체되기 시작
• 프록시
  • 내부 사용자와 외부 사용자 중간에서 중개자 역할을 하는 방화벽
  • 장점 : 호스트의 직접 접근을 막아줌.
  • 단점 : 나쁜 확장성과 트래픽 성능 저하의 원인
• NAT
  • NAT 기능을 포함한 방화벽이 존재. 호스트는 방화벽 뒤에 위치해 보호.
  • 실제 연결된 네트워크 숨겨주며 안전하게 보호.
  • 방화벽의 역할 보다는 네트워크 연결을 숨겨주는 기밀서 ㅇ역할을 수행

[WAF] - Web Application Firewall : 웹 방화벽

• 웹 칩임 차단 및 중요 정보 노출 방지 등의 보안 기능을 제공하는 방화벽

<기능>

• 웹 공격 방지
• Positive Security Model 지원
• SSL 지원
• 어플리케이션 구조 변화에 대한 대응

<종류>

• Network Based → 장비
  • 웹 서버의 종류와 무관하게 보호 가능
• Host Based (Agent) → program
  • 웹 서버/OS의 종류에 따라 제한

<Detect method (탐지 방법)>

• Misuse (Knowlege Base) : 시그니처 기반
  • 주기적인 update 필요 → 정의되지 않은 애는 탐지X. (제로데이)
• Anomaly : 행위 기반
  • 기준이 명확하지 않아 정상/비정상 확인이 어려움.

<구현방식>

• Positive Security Model (DB 서버)
  • 안전한 것을 정의, 허락
  • WhiteList와 유사
  • 정의되지 않은 모든 것을 허용하지 않음.
• Negative Security Model (웹 서버)
  • 위험한 것을 정의, 금지
  • BlackList와 유사
  • 정의되지 않은 모든 것을 허용

[IDS]

침입 탐지 시스템의 약어

<분류>

• NIDS (네트워크 기반) : 네트워크 트래픽 분석하고 탐지.
• HIDS (호스트 기반) : 중요 운영체제 파일을 모니터링.
• 이상 징후 기반 IDS : 행위기반 탐지. 늑정 범위 내 행동을 추적하여 악의적인 행위를 찾는 방식. 오탐률이 높음.
• 시그니처 기반 IDS : 지정된 시그니처를 갖는 파일이나 패킷을 방지. 오탐률이 낮음.

[IPS]

침입 차단 시스템의 약어

• 시그니처 기반 탐지 : 오탐 낮음. 미탐 높음.
• 통계적 이상 징후 기반 탐지 : 오탐 높음, 미탐 낮음.
• 상태 프로토콜 분석 탐지
  • 프로토콜 분석을 상태 기반 특성에 추가하여 탐지
  • 페이로드를 포함하는 프로토콜을 검사
  • 공격자가 공격하는 행위를 어플리케이션 계층에서 확인 가능하며 세션으로 연계되어 있는 패킷에 대해서도 탐지 가능.
• NIPS : 전체 네트워크 상 의심스러운 트래픽을 식별
• WIPS : 무선 네트워크 프로토콜 대상 식별
  • 지속적으로 무선랜 환경을 모티너하여 유해하거나 정의된 보안과 위배되는 동작을 탐지한 후 각 탐지에 대해 적절한 방법으로 차단/회피/경고.
  • 인가되지 않은 무선단말기의 접속을 차단하고 보안에 취약한 AP를 탐지하는 솔루션
  • 불법 디바이스 탐지/차단, DoS 탐지/회피, Impersonation 탐지/차단, 패턴 매치 탐지
  • 대략적인 위치 추적, 다수 채널 동시 분석, 무선 포렌식, 통합관리
• NBA : 트래픽을 분석하여 비정상 트래픽 흐름의 위협을 식별
• HIPS “: 호스트에서 발생하는 이벤트를 분석하여 의심스러운 위협을 식별

[IDS/IPS의 한계]

• 적용 조건에 의해 오탐과 미탐의 빈번함이 크게 다를 수 있음.
• 시그니처가 적용될 때까지의 지연 발생
• 암호화된 공격 패킷의 경우 단일 소루션으로는 차단/탐지가 어려움
• NIDS/NIPS 성격의 시스템이 TCP/IP 기반 공격 위협의 대상이 되어 위협 요인이 존재 → IP를 갖고있어 스캐닝, DoS 공격 대상이 가능.

[탐지 방법]

• 정확도/성능 측정 : confusion matrix(혼동행렬)
• 정탐 : 정확하게 탐지한 것 = TP, TN = 일반 메일이 일반 메일함으로 분류되는 것 = 스팸 메일이 스팸 메일함으로 분류되는 것
• 오탐 : 잘못 탐지한 것 = FP = 오류가 아니나 오류로 잘못된 판정을 하는 것 = 스팸메일이 아니지만 스팸메일로 분류되는 것
• 미탐 : 탐지하지 못한 것 = FN = 부정적인 것을 잡아내지 못한, 탐지하지 못한 잘못된 판정을 의미 = 스팸메일임에도 일반 메일로 분류되는 것
• TP : True Positive = 실제 값이 1인 대상을 모델에서 1로 예측한 경우
• FP : False Positive = 실제 값이 0인 대상을 모델에서 1로 예측한 경우
• FN : False Negative = 실제 값이 1인 대상을 모델에서 0으로 예측한 경우
• TN : True Negative = 실제 값이 0인 대상을 모델에서 0으로 예측한 경우

[ELK Stack]

• Elasticsesarch = 검색 엔진 = DB 대용
• Logstash = 로그 저장소
• Kibana = 프론트엔드 구성
• Beats(추가 시 Elastic Stack 이라 부름) = 로그 전송

[세대별 보안 관제]

• 1세대 = 단위보안관제 = 단위 보안 솔루션 모니터링
• 2세대 = 통합보안관제 = ESM 기반 보안 관제
• 3세대 = 빅데이터보안관제 = SIEM 기반 보안 관제
• 4세대 = 차세대보안관제 = SOAR 기반 자동화 대응

[NAC]

네트워크 접근 통제. 네트워크 인프라 관리 또는 통제를 위한 네트워크 솔루션

<목표>

• 제로데이 공격 완화
• 사용자 역할에 따라 정책을 조정하고 네트워크 영역에 접근.
• 백신이 없는 엔드 포인트 단말이 다른 네트워크를 통해 오염 위험에 빠뜨리지 못하게 함.
• 최소한의 사용자만 네트워크에 접근할 수 있도록 지정

<주요기능>

• 접근 제어/인증
• PC 및 네트워크 장체 통제 (무결성 검증)
• 해킹/웜/유해 트래픽 탐지 및 차단

<분류>

• Pre-admission : 내부망에 접근 하기 전에 방침 따르게 하는 방법
• Post-admission : 내부망에 접근 하고나서 방침 따르게 하는 방법
• Agent : 엔드포인트에서 정보를 얻기위해 Agent를 통한 제어와 관리 수행. 설치형 방식. 부하가 클수도.
• Agentless : 설치되는 SW없이 네트워크의 접근 통제 역할 수행. Agent보다 기능적이 부분에서 떨어지지만 부하가 크지않다.
• Inline : 접근계층을 위한 내부 방화벽과 같이 동작되고 정책을 강제화. 새로운 네트워크에서 구축하기 용이.
• Out-of-Band(Out-of-Path) : 에이전트 설치되어 있는 엔트포인트에서 중앙 서버 및 콘솔로 전달 이후 제어하는 방식. 기존 인프라 활용이 가능.

[안티디도스 (Anti-DDoS)]

DDoS 방어하기 위한 전용 네트워크 보안장비. 최상단에 위치

• Transparent mode : 백본 네트워크의 하단에 위치하여 악의적 공격 행위 차단.
• Bypass mode : 백본 라우터 옆에 위치하여 비정상 트래픽 감지 시 자신에게 패킷을 이동시켜 정리 후 정상 패킷을 내부로 보내는 방식

[DLP]

기업의 중요자산이 밖으로 유출되는 것을 방지하기 위한 솔루션

• Standard Measure : 내부와 외부의 공격 차단.
• Advaced Measure : 비정상적인 전자 메일 교환에 대한 접근 탐지
• Designed Systems : 민감 데이터 접근 가능자가 민감 데이터 전송 시도 및 복사하는 행위 차단 또는 탐지
• Network : 네트워크 출구 지점에 설치.
• Endpoint : 서버나 단말 내 실행하고 내부 외부의 통신을 탐색
• Data identification : 민감한 데이터 식별
• Data leak detection : 인가되지 않은 장소에 발견된 누출 여부 탐지
• Data at rest : 장기간 사용되지 않은 데이터 관리
• Data in use : 사용중인 데이터를 보호하여 불법적 활동을 모니터링하고 표시
• Data in motion : 네트워크를 통해 단말로 이동하는 데이터 모니터링 표시

[DRM]

하드웨어 및 저작권이 있는 저작물 사용을 제한하기 위한 접근 제어 기술

• Verification(확인)
  • Production key : (vmware) 소프트웨어에 키를 넣어 자격증명 수행
  • Limited install activations : (office 365) 온라인 서버 인증을 요구하여 다른 컴퓨터에서 활성화 할 수 있는 설치 수 제한
  • Persistent online authentication : (멜론) 온라인 서버의 연결을 계속 지속하여 인증 상태 유지
• Encryption : 소프트웨어 수정하여 다른 제한 조치를 우회할 수 없도록. 데이터를 암호화하여 유출 시 읽기, 수정이 불가하도록
• Copy Restriction : 전자책과 문서 등에 적용되어 있으며, 복사, 프린트, 전달, 백업 저장 기능을 제한
• Anti-tampering : 서명되지 않은 소프트웨어가 컨텐츠에 접근하는 것을 방지
• Regional lockout : 특정 지역을 벗어나거나 특정 소프트웨어를 통해 실행하지 못하도록 수행
• Tracking
  • 워터마크 : 스테가노그래피 방식으로 내장하거나 문서 출력시 문서 자체에 이미지가 내장되어 함께 출력
  • 메타데이터 : 데이터의 데이터

[EDR]

엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용하여 공격을 탐지하고 대응하는 솔루션

• 4가지 필수기능 : 탐지, 대응, 조치, 치료
• 엔드포인트에서 다양한 정보를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 정보들을 기반으로 행위 분석, 머신러닝, IOC 탐지 등의 기술로 알려진 혹은 알려지지 않은 위협 탐지 필요

[EPP]

동적 보안 사고 및 경고 대응 시 필요한 조사, 치료 기능을 제공하기 위해 배포된 솔루션

주로 알려진 위협 등에 대해 빠른 처리를 위한 기능들을 수행

• 주요기능 : 패치관리, 취약 시스템 점검 및 조치, 디바이스제어, 개인정보 유출 방지, 위협 탐지 및 대응, 안티 멀웨어

[EDR vs EPP]

• EDR : 복합적인 대상, EPP : 단일 대상.
• EDR이 상대적으로 EPP보다 많이 비용이 필요

[NPB]

• 라우터 또는 스위치 링크 사이에서 네트워크 트래픽을 지시하는 네트워크 장비
• 패킷의 통합/분산 역할 수행과 필터링, 로드밸런싱 등의 네트워크 트래픽 제어 통합 역할 기능 수행
• 상세 기능
  • Aggregation : 여러 링크, 세그먼트에서 나온 트래픽을 통합.
  • Filtering: 과부하 방지하기 위해 조건에 맞게 걸러냄.
  • Load-Balancing
  • Regeneration : 여러 툴로 동일한 트래픽 보냄.

[UTM]

통합 위협 관리 솔루션

[TMS]

• 네트워크 장비로부터 실시간 데이터를 수집/분석 하여 회선별 이용 모니터링 및 정보 제공
• 수집된 데이터를 이용하여 과다트래픽, 유해트래픽 등의 이상징후를 감지하여 통보
• 가시성과 호환성을 고려해야함.

[NMS]

• 네트워크 장비상태와 회선 상태 등 필요한 정보를 가지고 와서 각 시스템 모니터링
• 그래프형식으로 보여주는 솔루션이 유행

[ESM]

통합 보안 관리 솔루션

• 보안 관제를 위한 목적으로 활용
• 전문 보안 관리자의 경험적 지식 및 판단을 자동화하여 사내 보안 능력 향상을 목표로함.
• 다양한 보안 시스템을 하나의 통합 뷰로 관리하고 보안 정책을 일괄적으로 관리하여 서로 간의 상호연관 분석을 도와주는 솔루션

감지기에 의한 이벤트 정보 수집 → 이벤트 정보 파싱 및 상관 분석 → 침입행위 통보 또는 차단 동의 대응 조치

[SIEM]

보안 정보 및 이벤트 관리 솔루션

• 방대한 양의 데이터를 상관분석과 포렌식 기능 제공, 지능형 위협에 대한 모니터링 역할 수행
• 목표 : 기업 내 정보 시스템의 내외부 위협을 모니터링 하여 공격과 정보 유출 방지
• 주요기능 : 로그관리, 로그분석, 보안

[SOAR]

SIEM의 한계를 극복하고자 하는 좀 더 확장된 개념의 기술

• 공격 유형별 대응을 위한 수많은 요소들을 하나의 과정으로 묶은 ‘플레이북’에 기반해 단순 반복적인 프로세스는 자동 처리
• 보안 위협 우선순의에 따라 대응 단계를 자동으로 분류, 표준화된 업무절차에 따라 대응
• 위협 인텔리전스를 주력으로 수행
• 여러보안장비가 서로 상호작용하는 솔루션인만큼 각 솔루션에서 API가 필요
• SOA (자동화) + SIRP(침해사고대응플랫폼) + TIP(위협인텔리전스플랫폼)
• 플레이북 : SOAR 운영 핵심. 일종의 매뉴얼.
  • 모든 사건 또는 위협에 성공적으로 대응하는데 필요한 단계와 조치의 목록
  • 이전에 발생한 공격과의 유사성을 확인
  • 어떤 목적으로 진행되고 있는지 분석한 후 대응 방안을 마련하여 각 조직과 시스템에 내려 보내는 일련의 절차를 표준화.

[방화벽 구성 예]

• 직원 내부망 → 외부망(또는 인터넷망)
• 직원 내부망 → DMZ Zone(외부에 서비스하는영역)
• DMZ Znoe → 외부망
  • WSUS 서버를 통해 패치파일 다운로드 이후 배포 ⇒ 공급망 공격대비, 호환성 확인, 외부망 단절
  • 아웃바운드 정책은 대부분 차단.
• 외부망 → DMZ Zone
  • 외부고객대상으로 웹 등의 서비스 제공
  • 인바운드 정책을 기반

[NAT]

NAT 기능의 활용에 따라 효율적인 보안 수준 강화 수행. 추적이 어려워 악성 행위에 대한 정확한 대응이 어려울 수 있음.

• IP 패킷의 TCP/UDP 포트 숫자와 소스 및 목적지 IP 주소 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고받는 기술
• 방화벽에서 NAT 의미
  • 공인 IP 절약
  • 사설망을 구성하여 외부에서 내부 인프라를 숨겨 보호
  • 침해사고 대응시 네트워크의 흐름을 파악하기 위한 보안 설계 고려 필요
• DNAT : 내부로 집입할 경우 네트워크 주소가 변환되는 것. D_IP가 변환
• SNAT : 내부에서 외부와의 통신을 하기 위해 네트워크 주소가 변환되는 것을 의미. S_IP 변환
• NAT의 취약성 : 추적이 어려움
  • 로드 밸런싱이 적용된 스위치 환경에서 추가적으로 SNAT가 적용되어 있는 경우 여러대의 서버가 특정 장비로 트래픽이 흘러갈 때 하나의 IP로 비춰 추적이 어려움.

[HA] Active가 up상태인지 down 상태인지 : health check (패킷 교환을 하는데 응답이 없으면 down 상태라고 판별)

• L4 스위치는 일정한 주기로 구성 장비들에게 health check를 위한 패킷 전달
• 해당 패킷에 응답을 하게 되면 장비가 up 상태에 있다고 판단.
• 만약 해당 패킷에 응답이 없을 경우 장비가 down 상태인 것으로 판단. (여러개 패킷을 보냈을때 응답이 없어야 down 상태로 판단)
• 대칭형 HA ------ A-S 방식
• down 상태로 반단된 장비가 Active 상태의 장비일 경우 Standby 상태의 장비를 Active 상태로 전환 --> Failover 발생
• down 상태로 판단된 장비가 Standby 상태의 장비일 경우 기존 구성 그대로 Active 상태의 장비에게 트래픽을 흘려줌

Up : 장비가 동작할 수 있는 상태 Down : 장비가 동작할 수 없는 상태 Active : 메인으로 사용하고 있다. Standby : Active가 Down 상태가 될것을 대비하여 Up상태로 있어야함.

• ------ A-A 방식
• 한 대의 Active 장비가 Down 상태로 판단이 될 경우 살아있는 나머지 장비에게 트래픽을 흘려줌
• Fallback 차단의 기능 보다는 가용성에 대해 우선순위 비중을 높인 구조
• Full Mesh 방화벽고 각 스위치를 모두 이중화 (mash형)

[방화벽 룰] 고려사항

1. 우선순위 숫자가 작은것이 우선순위 높음.

• 예제 1
• 결과 : Rule 1 적용 우선 순위 반영하여 1.1.1.1 사이트 허용
• 예제 2
• 결과 : Rule 1 적용에 따라 1.1.1.1 사이트 접속이 가능하나 그 외 다른 사이트 접속 불가

1. 최소한의 원칙에 따라 적용

• 방화벽 룰의 각각은 독립성과 목적에 따라 각각 설계
• 목적이 2개 이상이거나 독립성을 갖지 못하는 룰은 추후 룰 중복이나 미 반영될 수 있음.
• 예제
• 이유 : 목적이 개발과 페이지 뷰로 두 개 이상이며 독립된 활용이 가능한 영역이기에 룰 하나로 통합하여 적용 불가

1. 방화벽의 허용 또는 차단에 대한 사유는 명확하게 구성 : 근거가 있어야함!

• 차단보다는 허용이 더 명확한 사유가 필요함.
• 예제 1
• 이유 : 전체 대역을 열어줄 이유가 명확하지 않음
• 예제 2
• 이유 : 원격 접속을 위한 22번 포트의 개방 조건 없이 모든 포트에 대하여 허용. 22번 외에 다른 포트의 개방 사유가 분명하지 않기 때문
• 잘된 예 : 출발지는 A씨의 IP, 도착지는 개발 서버B의 22번 포트 TCP 프로토콜의 개방을 허용

[pfsense] FreeBSD(리눅스) 기반 오픈소스 방화벽/라우터 컴퓨팅 소프트웨어 pfsense 방화벽 기본 룰 정책은 화이트리스트 기반으로 운영

• 룰 구조 WAN : 화이트리스트 기반 pass 정책을 별도로 추가해야함.. LAN : 관리자 페이지를 접근할 수 있는 구간. 기본 정책에서 80포트허용. All Allow 정책 적용

action: allow, block, reject disable interface address family protocol source destination destination port range log description

[실습] vmware15에서 진행

vmnetcfg -> wnet1~4 10.0, 8 192.168.0.0

크롬 안들어가지면 속성에 ipv4 ip맞추기

문제 1. : IPv4 UDP Destination !8.8.8.8 port : 53 (block)

문제 2. : TCP Destination !222.122.52.4 port 80 or 443

[IPS - Suricata]

• p.312 = NFQueue Support : yes # yes 설정 확인
• p.314 = net.ipv4.ip_forward=1 # 0->1로 변경
• p.315 pkts bytes target port opt in out source 3 266 MASQUERADE all -- * ens33 0.0.0.0/0
• p.317 pkts bytes target prot opt in out source 0 0 NFQUEUE all -- * * 0.0.0.0/0