SharedIT | 묻고 답하기(AMP)

네트워크 통신 관련 문의 입니다.

질문을 창피해 하지 마세요. 답변 해주시는 분들을 위해 많은 정보를 입력해 주세요.

공공기관에서 근무중인 전산 관리자 입니다.  (업무/인터넷 망분리 되어 있습니다.)

보안 장비로는 NAC 장비를 운영중인데요. 

IP 대역대는 10.1.X.X 대역대를 사용하고 있습니다. 

얼마전 업무 인터넷 혼용하고 있는 지역본부를 발견하여 접점을 제거 하였습니다. 

접점 제거후 문의 전화가 많이 오고 있는데 그중에 한개의 IP (169.254.78.20) 으로 

업무 인터넷 에서 프린터로 출력을 하고 있다는 연락을 받았습니다. 

하도 이상해서 본사에 있는 프린터 IP를 169.254.78.20 으로 설정 후 

같은 네트워크 레벨에서 PING 통신을 시도 하였을시 정상적으로 통신이 되는것을 확인하였습니다. 

원래 이게 정상인가요 ? 

* 3줄요약
1.NAC 보안제품 운영중임
2.PC (10.1.X.X) 설정 프린터 (169.245.X.X) 설정
3.PC  단말기에서 프린터로 PING 통신이 가능함

- 보안상 문제가 될거 같아 문의드립니다.

감사합니다.

 

6개의 답변이 있습니다.

hoollachan
  0 추천 | 5년 이하 전
음..저도 네트워크 전문이 아니라서 제가 알고 있는 한도내에서 말씀드려요~
네트워크 구성이나 라우팅 설정등에 따라 아마 뜬금없는 IP 대역도 통신이 가능할 수는 있는것으로 알고 있습니다

다만 NAC이 있음에도 통신한 어떻게 가능했느냐의 문제인데
국내 NAC의 대부분이 제가 알기로는 ARP table을 컨트롤하여 통신을 차단하는 것으로 알고 있습니다
즉 차단 대상이 인지되면 ARP packet으로 IP table(? mac table?)을 NAC 자신으로 바라보게 하여
차단 대상이 통신이 안되도록 하는 방식입니다.

NAC 에서 관리하는 IP 대역에 169.254대역이 없었다면 NAC입장에서는 어? 이 IP는 차단대상 IP(또는 Mac address)가
아니네? 라고 판단 할 수도 있을것 같습니다. 아마도...그때문에 통신이 되지 않았나 싶습니다~~~
mandu
  0 추천 | 5년 이하 전
제가 궁금했던 부분이 PC(10.1.X.X)에서 프린터(169.254.78.20)로 PING 통신이 가능한부분이 궁금한거였는데요.
(출력도 정상적으로 됩니다.)

NAC 차단 센서 L2스위치 보안설정을 했는데도 불구하고 통신이 되는게 신기해서요.. 
보안설정을 잘못한건지 L2스위치 밑에 또 스위치 허브를 연결해서 통신을 하여서 통과된건지 
그 부분이 궁금해서 문의했었습니다.

프린터는 일단 IP 설정해서 사용하게끔 안내를 진행할 예정이고요.

wansoo | 5년 이하 전

차단이 되어야하는데, 왜 차단이 되지 않았냐 하는 문제는... NAC 설정이나 NAC 특성에 따라 차이가 있을거라 생각되고요. L2 스위치라면 MAC Address 기반의 스위치 이겠는데... MAC 기반의 장비에서 L3 기반의 IP를 컨트롤 하지 못하는게 당연한게 아닐까 하는 생각도 들고요. ping이 되고 안되고의 문제와 프린터 출력이 되고 안되고의 문제는 별개일 수도 있습니다. ping은 tcp/ip 프로토콜 기반에서 작동하게 되는 것이고, 프린터 출력은 tcp/ip 기반 뿐만 아니라 요즘 많이 사용되지는 않지만 ipx/spx 나 다른 프로토콜을 사용할 수도 있는 것이고요. 정확한 답을 찾으려면 전문 지식을 가진 엔지니어가 하나 하나 점검해 봐야 가능하지 않을까도 싶네요~

mandu | 5년 이하 전

답변감사합니다 해당 내용은 엔지니어분들하고 공유가 되었고요. 다들 의아해 해서 ㅎㅎ 한번 정기점검시에 증상재현하고 물어봐야겠네요 감사합니다.
데몬
  0 추천 | 5년 이하 전
 지역본부에서 사용하던 프린터가 DHCP 설정이 되어 있었는데 인터넷 접점을 제거하여 프린터가 169.254.78.20으로 설정이 되는것으로 보입니다. wansoo님 말처럼 프린터에 IP를 입력하여 고정으로 사용하게 끔 유도 하시면 됩니다.

mandu | 5년 이하 전

감사합니다 조치는 해당 말씀대로 진행 중입니다.
danis78
  0 추천 | 5년 이하 전 | 제이컴즈 | 010-2871-8756
같은 네트워크 대역에서 당연히 핑도 나가고 통신도 되는 게 정상이죠.

예를 들어 프린터 ip 가 169.245.10.1 이고 내 pc 아이피가 169.254.10.5 라고 가정했을때에
서로 통신이 되는 게 정상이죠.

다만, 해당 ip 대역은 wansoo 님 말씀대로 DHCP 로 ip 를 부여 받지 못했을 경우 
임의로 ip 를 받아와서 사용하는 거죠.

그걸 직원분이 어떻게 알았는지 모르겠지만 그 ip 대역과 맞춰서 프린터를
충분히 사용할 수 있다고 생각합니다.
차바라기
  0 추천 | 5년 이하 전
wansoo님 말처럼 프린터에 IP를 넣어주셔야 할듯 하네요~
wansoo
  0 추천 | 5년 이하 전
169.254로 시작하는 ip는 APIPA( Automatic Private Internet Protocol Addressing )에 해당합니다.
ip를 유동으로 해 뒀는데, ip를 받아 오지 못했다면 OS가 자동으로 임의 ip를 할당해 버리게 되는데...
그 ip가 169.254로 시작하는 ip라고 생각하면 될 것 같네요.

169.254로 시작하는 해당 ip로 ping을 했을 때 ping이 된다는 걸로 봐서,
네트워크가 물리적으로 끊어져 있는 상태는 아닌 것 같고...
그리고, 내부에 DHCP 서버가 작동되지 않고 있는 것으로 보이고요.

해당 프린터에 ip를 넣어 줘서 사용하면 될 것 같아 보이네요.