L3 스위치에서 arp를 이용한 IP 충돌시 해결방안 (NAC이 없는 경우)

L3 스위치에서 arp를 이용한 IP 충돌시 해결방안 (NAC이 없는 경우)

필자가 근무하는 기관에서도 요즘 가끔 IP 충돌 신고가 오긴한다. 필자가 벌써 여기에서 근무한지도 20년이 넘었는데 처음에 발령받고 처음에 한 3년정도는 정말 힘이 들었다. 개념이 없는 사용자들 때문에 .....

필자는 IP 충돌을 범죄로 간주한다. 왜 자기 IP가 아닌데 비어있다고 아무것이나 집어넣는 놈들 때문에 진짜 미치는 줄 알았다. 그리고, 충돌이 일어나면 필자에 연락하면 되는데 충돌이 난 원주인도 자기 마음대로 IP를 바꾼다. 그때부터 정말 개판이 되어간다. 온데 IP 충돌이 나서 업무가 되지 않았다. 그래서, 필자는 드디어 칼을 뽑아들었다.

IP가 충돌이 나면 절대로 마음대로 변경하지 말고 무조건 필자에게 연락을 할것과 마음대로 IP를 변경하거나 도용하는 경우에는 직위고하를 막론하고 무조건 그 호실로 들어가는 원선을 차단하겠다고 강력하게 선언을 하였다.

필자가 근무하는 기관은 PC나 노트북만 해도 약 7,000대 정도 가량(IP가 나간것을 보면 유추가 가능하다)되는데 이게 IP가 엉망이 되기 시작하면 필자는 정말 힘들다. 답이 없다. 처음에는 필자도 NAC (Network Acess Controller)를 강력하게 주장하였으나 PC가 바뀔때 마다 해당 mac을 일일이 다 등록을 해야하기 때문에 운영상에 문제가 많았다.

NAC이 뭐하는 장비냐면 A라는 user가 172.16.10.25번의 정상적인 IP를 받아서 쓰고 있는데 임시로 노트북을 가져와서 해당 IP를 임시로 가져온 노트북에 입력하면 인터넷이 안되게 막는 장비이다. 즉 NAC에 등록된 IP와 mac 주소가 다르면 동작하지 않게 막아버린다. 이게 어떻게 보면 체계가 잡혀있고 PC의 유동성이 없고 거의 고정되어 있다면 네트워크 관리자로써는 굉장히 편한 장비라고 보시면 되겠다. IP 충돌...절대 있을 수가 없는 이야기이다. 그리고, 외부에서 가져오는 기기들을 함부로 필자가 근무하는 기관에 필자의 허락없이 연결한다는 것은 절대로 불가능한 이야기란 뜻이다. 하지만, 필자가 근무하는 기관은 사용자들이 노트북이나 외부기기 반입이 굉장히 자유로운 편이라서 NAC을 적용했다가는 아마 필자는 전화받는다고 폭삭 말라버릴것이다.  그래서, 현실적으로 NAC 적용이 어렵다고 보시면 되겠다.

그래서, 필자는 필자 나름대로 뭔가 IP에 대한 개념이 없는 사용자들을 휘어잡을 무기가 필요했다.

그것이 L3에서 arp를 이용해서 해당 포트를 차단하는 방법이다. 우선 IP 등록 DB를 조회해서 자기 IP가 아닌 놈들부터 찾아낸다. 그리고, 가차없이 포트차단이다.  그 쪽실은 안된다고 난리다. 그리고, 특정 mac 주소를 불러주면서 그 놈이 범인이니까 빨리 자기 IP로 변경하거나 삭제하지 않으면 안 풀어주겠다고 선언해버린다. 처음에는 선량하게 사용하던 user들까지 아주 거센 반발이 일어났었다.  뭐..당연하겠지..자기는 잘못한게 없는데 인터넷이 차단되니까...하지만 연대책임을 강조한다. 니들쪽에서 문제를 일으켰으니 단체책임을 묻는다.  차단당한쪽에 구성원이 10명이라고 가정하면 처음엔 9명이서 필자에게 엄청난 항의를 했었다. 시간이 지나면서 IP의 개념이라든지 함부로 입력한다던지 아니면 실수로 잘못 넣어도 타인에게 피해를 줄수 있다는 점을 인지하면서 필자가 한 행동에 대해서 차츰 이해하기 시작했다. 나중에 되니까 9명이서 잘못한 1명을 조지기 시작했다. ㅋㅋ  이게 필자가 원하는 그림이었다. 알아서 조질테니 좀 풀어주면 안되겠냐고? 하는 식이다. IP 도용은 명백한 범죄다. 

그럼 필자가 NAC이 없는 상태에서도 어떻게 도용하는 놈을 찾았고, 어떻게 차단했는지 알려드리겠다. 앞에 글에서 대규모 네트워크를 운영할때 필자가 arp를 긁어서 해당 mac을 찾는 것을 올려드린 적이 있다. 바로 그것을 응용한 것이다.

-------------------------------------------------------------------------------------------------------------------------------------

네트워크 관리사 1급문제에서 나온 사례가 있는데...필자 나름대로 복원을 해봤다.

네트워크 관리사 Kim은 총무과직원 Lee로 부터 인터넷에 장애가 생겼다는 연락을 받았다. Kim이 L3에 접속하여 해당사항을 확인하였다. 아래의 L3 화면을 보고 상황파악 및 장애처리에 필요한 모든 사항을 선택하시오.

※ Lee의 IP 주소는 172.16.1.100번이 맞으며 Lee PC의 mac 주소는 7825.ad61.39f0 이다. Kim이 관리하는 보안장비중에는 NAC이 존재하지 않는다.

해당 그림을 보고 보기에서 옳은것을 모두 고르시오

보기가 1번부터 7번까지 존재하는데 옳은 것을 골라라 이다. 그림을 보면 L3 스위치에서 arp를 보여주고 있다. 

살살 문제를 풀어보도록 하자. 

우선 보기와 해당 그림을 같이 대조해보면

보기 1번: 누군가가 Lee의 IP를 잘못 입력하였거나 도용으로 인한 IP 충돌현상이다.( O ) 지극히 옳다. Lee는 아무것도 한것도 없으며 Lee가 IP가 맞다고 했다. 그런데 L3에 보면 172.16.1.100번에 대해서  arp가 8425.1955.3aad가 찍힌다. 즉 mac 주소의 끝자리 3aad를 가지고 있는 user가 총무과 직원 Lee의 IP를 잘못 입력했다고 볼수 없다.

보기2번: Lee가 게이트웨이 주소를 잘못 입력하였다. ( X ) 이건 틀렸다. Lee는 아무것도 한게 없다. 게이트웨이와는 전혀 상관없는 내용이다.

보기3번: 해당 장애를 해결하기 위해서는 172.16.1.100번의 IP를 차단해야한다. ( X ) 이건 틀렸다. 100번 IP를 차단하게 되면 Lee도 인터넷이 안되기 때문에 이렇게 처리해서는 안된다. 원 IP의 주인인 Lee는 인터넷이 되어야하는 상황이기 때문이다. 저 IP가 충돌난다고해서 해당 IP를 차단하면 그럼 충돌날때마다 계속 차단하게 된다면 과연 나중에는 몇개나 남을까?

보기4번: 8425.1955.3aad의 사용자를 찾아서 포트차단 (shutdown)을 해야한다.( O ) 지극히 옳다. L3에서 해당 mac을 찾아서 올라오는 포트를 차단함이 지극히 옳다. 그럼 Lee는 PC를 재부팅만 하게 되면 정상적으로 인터넷이 된다.

보기5번: 보안장비에서 7825.ad61.39f0 주소를 찾아서 강제로 활성화 해야한다. ( X ) 이건 틀렸다. 보안장비 NAC이 없다고 했다. 

보기6번: Kim이 L3에 내린 명령어는 arp이다.( O ) 지극히 옳다. 현재 알고 있는것은 Lee의 IP나 mac 밖에 없다. 그래서, 도용 mac을 찾기 위해서는 arp (IP 를   mac 주소로 변환하는 프로토콜)로 도용 mac을 찾아야한다.

보기7번: Kim이 L3에 내린 명령어는 rarp 이다. ( X ) 이건 틀렸다. rarp는 arp의 반대로 mac 주소를 IP로 변환하는 프로토콜이다. arp로 변환해봐야 도용하는 mac 주소를 알수 있기때문에 이건 틀렸다고 보는게 옳다.

그래서 정답은 보기1, 보기4, 보기6이 정답이라고 보시면 되겠다.

https://www.youtube.com/watch?v=vz42syyRC6g

필자가 제작한 영상이다

ICQA 네트워크 관리사 1급 문제에 출제된 기출문제를 복원해봤다. 일반적인 문제와는 수준이 다른 문제이며 굉장히 잘 만든 문제라고 보여진다. 네트워크에서 문제가 생겼을때 어떻게 장애를 복구하는 것이 네트워크 엔지니어한테는 중요한 일이라고 생각한다. 상당히 고급스러운 문제이며 실무적인 내용이 반영되었다고 느껴진다.

오늘의 포스팅을 마친다.