[보안 트러블슈팅 -3]
어느 날, 정비기사님께서 PC 한 대를 가져오셨다.
해당 PC는 AP 무선 통신을 하는 단말기였는데, 네트워크 오류 문제가 있다고 하셨다.
IP도 배정받은 값으로 잘 할당되어 있었고, 다른 PC들과 차이가 없었다.
cmd창에서 ‘ipconfig /all’ 명령어를 입력해보니 3개의 MAC이 바인딩 되어있었다.
기본적으로 PC들은 NAC서버로 정보를 보내기 위한 Agent가 설치되어있다.
무선 AP통신하는 PC들은 LAN을 직접적으로 꽂는 데스크탑들과는 다른점이 있다.
외부 인터넷과 통신할 수 있도록 공인 IP로 변환과정이 필요한데, 해당 작업을 하는 AP단말기와 통신하는 ‘동글이’의 유무이다.
동글이는 AP와 Radio Frequency 기반으로 단말기 간의 무신통신 역할을 한다.
이때 동글이도 IP 정보를 가져야하는 단말기의 일종으로, 고유의 MAC을 가지고 있다.
PC와 동글이의 MAC 정보는 각각 네트워크의 WIFI와 이더넷 인터페이스에 바인딩된다.
그리고 맵핑된 정보는 Agent를 통해 NAC 정책서버로 보내진다.
그렇다면 이제 문제상황을 해석할 수 있다.
ipconfig /all에서 MAC 인터페이스가 3개 인식되었다는건, PC의 MAC 한개와 다른 통신 단말기 즉, 동글이의 MAC 2개가 WIFI에 맵핑되었다고 유추할 수 있다.
그래서 인터페이스 MAC 중복으로 인한 통신장애가 발생했다고 추론했다.
이 가정을 전제로 역추론하면 동글이를 새로 갈아끼운 행위가 있어야한다.
해당 PC 사용자에게 전화해 문의해보니 가설이 맞다는 것을 확인할 수 있었다.
이런 경험을 바탕으로 같은 행위를 바로 파악할 수 있게끔, 정책서버에서 중복 MAC 할당 시, alert 해주는 Policy를 추가해주어 보안을 강화했다.
*보안 상의 이유로 허구의 내용을 섞어 작성했음을 밝힙니다.