디스크샷, ARP스푸핑 방지 기능 관련

어느덧 네트워크에 입문한지도 벌써 10년이 다되어 갑니다.

한 ISP의 네트웍/IP/VoIP 관련 담당자로 업무를 진행하면서 정말 많은 백본라우터/스위치를 비롯하여 IP관리, VoIP백본 관리 등 수많은 업무와 프로젝트를 수행해 왔던 기억이 새록새록 떠오르는군요...

아... 인생이여~~~ 인생무상... ^^;;

요즈음에는 정말 많은 네트웍 관련 장비와 보안 프로그램, PC 관리 프로그램 등 정말 헤아릴 수 없을 정도의 많은 제품들이 쏟아지고 있으며 또한 사라지고 있습니다.

예전 PC통신 시절에는 생각치도 못했던 바이러스나 스파이웨어 등이 최근에 와서는 핵심 자료를 빼내어가는 크래킹부터 시작하여 시스템을 무력화시키는 악성 코드까지에 이르기까지, 정말 네트웍 보안에 있어서 큰 경각심을 갖고 보안에 힘써야할 시대가 도래한 것입니다.

그에 따라 많은 방화벽/IPS/IDS 를 비롯한 보안 제품들이 쏟아지고 있으며 그 장비와 소프트웨어를 다룰 수 있는 보안 전문가들이 양성되고 있는 실정이죠...

오늘은 그 중 소프트웨어의 입장에서, 수많은 PC들을 한번에 관리하고 제어할 수 있는, 보통의 게임방(PC방)에서 PC 관리 통합 프로그램 중 가장 많이 사용되고 있는 "디스크샷 (DiskShot)"의 ARP 스푸핑 방지 기능에 대해 잠시 설명해 드리고자 합니다.

디스크샷은 보통 PC방/기업체에서 많은 컴퓨터들을 한번에 통합 관리 및 제어, 그리고 강력한 보호막을 이용한 컴퓨터 보호를 위해 제작된 프로그램입니다.

자세한 내용은 디스크샷 홈페이지를 참고하시면 되겠습니다.

네트웍 관리자 입장에서 생각해 보겠습니다.

보통 PC방에는 하나의 서비스 프로바이더로부터 인터넷망을 임대해 온 후 그 망을 이용하여 PC들에게 인터넷 서비스를 제공하는 방식으로 구성되어 있습니다.

광케이블을 통하여 L3 또는 L2 광 스위치를 거쳐 여러대의 스위칭허브를 이용한 서비스인 것이죠.

stub 네트워크의 대표적인 예입니다.

여기서 만약 L3 또는 L2 스위치의 장애 또는 불량, 교체 등으로 부득이하게 메인 광스위치를 교체하게 되었을 경우 발생할 수 있는 문제가 있어 공유하고자 합니다.

PC방에서 관리용으로 사용하고 있는 디스크샷 프로그램에는 L2급 스위치 이상에서 제어 가능한 ARP스푸핑 방지 기능이 탑재되어 있습니다.

물론 L7 소프트웨어이기 때문에 모든 제어가 가능하겠지만...

바로 그 ARP 스푸핑 방지 기능으로 인해 최초 보유하고 있던 Default Gateway의 MAC과 IP에 대한 정보로 인하여 새롭게 교체된 L3/L2 메인 광스위치의 MAC과 달라 PC들이 아예 인터넷/통신이 되지 않는 경우가 발생할 수 있겠습니다.

이 경우는 최근 본인이 타 ISP의 운영인력의 협조요청에 의해 잠시 알아본 내용으로 네트워크 전반에 걸쳐 전혀 통신에 지장이 없는 상태에서, PC -> 디폴트게이트웨이까지 PING 테스트가 불가한 증상이 확인되어 잠시 확인해본 내용입니다.

PC들은 디스크샷을 통한 통신 제어를 받게 되는데요(보통은 카운터 PC가 이를 담당함), 이미 캐시에서 알고 있던 Default Gateway 정보에 대한 IP의 MAC 주소가 바뀌게 된 것을 인식하고 이것을 ARP Spoofing (MAC변조) 바이러스 등으로 인식하게 되어 차단하게 되는 것입니다.

물론 이것은 많은 PC방 사장님들과 네트워크 전문가들에게 이미 익숙한 내용이 될 수도 있겠지만, 디스크샷 프로그램의 경우 그리 많이 접하지 못한 네트웍 관리자들이 많기 때문에 이를 조금 더 널리 알려드리고자 하는 것입니다.

간단하게 디스크샷 관리자 창에서 ARP 스푸핑 기능을 해제하고 적용하는 화면을 보여드리도록 하겠습니다.

사진출처 : PC방다모아카페 http://cafe.naver.com/pcbangdamoa

디스크샷 고급 옵션에서 해당 옵션을 OFF 후 ON 시켜야지만 디폴트 게이트웨이에 대한 정보를 업데이트 하게 됩니다.

이것은 클라이언트 보안 부분에서 "ARP 바이러스/해킹 방지 기능" 이며 라우터 장비 교체 시 재설정 필요하다는 경고 알림 메시지를 확인하실 수 있겠습니다.

라우터 장비라고 함은 L3 급을 나타내기 위한 단어로, 예전에는 CISCO 제품 등의 라우터로 서비스 되었지만 요즘에는 수많은 제조사의 제품들이 대상이 될 수 있겠습니다.

위에서 말씀드린 광스위치도 이에 해당하겠습니다.

아주 간단한 재설정 행동이지만 이 부분을 간과하게 되면 PC방 전체가 인터넷이 되지 않는 혼돈의 늪에 빠져들게 될 것입니다.

네트웍 관리자 입장에서는 1계층, 2계층, 3계층을 모두 재검토 했지만 전혀 ping 테스트가 불가한 상황에서 손을 놓아버리게 될 지 모른다는 것입니다.

아주 간단한 제어이지만 회선 전체에 영향을 미치게 되는 ARP 스푸핑 설정 부분에 대해 잠시 설명해 드렸습니다.

잘못된 내용이나 오류, 또는 궁금하신 내용이 있다면 댓글 또는 e-mail 로 문의 바랍니다.

-----

방문 감사합니다 (___)