회사에서 내부 IP 를 고정 IP 로 사용하고 있는데
최근들어 IP 충돌이 자주 발생하는 상황입니다
의심되는 상황으로는 제가 192.168.0.23 이라는 IP를 사용하고 있는데 누군가 휴대폰 공유기로 제 IP 23번을
사용하고 있는거 같습니다
문의사항
1.누군가 휴대폰으로 고정 IP를 넣어 사용하면 출처를 알수 없는데 알수 있는 방법이 있을까요?
(cmd 에서 nbtstat -a IP주소 로 해도 나오지가 않습니다)2.IP를 사용중이라면 강제로 사용하지 못하게 하는 방법이 있나요?
3.다른 분들은 회사 내부 IP를 어떻게 관리하는지 ?
감사합니다
11개의 답변이 있습니다.
172역대로 바꾸고 동적할당을 하면 편하실텐데요.
굳이 고정IP 로 사용해야되는있나요
NAC가 제일 확실하죠. 아니면 DHPC설정에서 해당IP들 정기적으로 모니터링해서 MAC하고 필터링 할 수도 있구요
NAC 솔루션 도입이 필요해 보입니다.
그전에 IP , MAC을 허용하고 MAP을 만들어서
팀장들에게 배포하는것도 좋을것 같습니다.
IP가 공유기에서 사용하는 대역이어서
어느 사용자가 공유기의 LAN포트에 사무실 망을 연결하지 않았을까 생각됩니다.
사무실 대역에서 패킷으로 DHCP 패킷이 나오는 MAC을 찾아보시는게 좋을듯 싶네요
CISCO같은 workgroup 스위치인 경우 각 포트에 매핑된 MAC도 확인 가능하니
MAC을 찾은 다음에는 스위치에서 해당 포트를 찾는수 밖에 없을듯 싶어요
무선AP에 DHCP가 동작을 하면 해당 내부IP에 MAC을 확인하셔서 AP나 방화벽에서 차단을 해버리면 됩니다.
nmap을 이용해서 특정 ip를 가진 장치의 정보를 확인해 보는 간단한 방법을 예로 설명 드려 볼께요~
nmap -p 1-65535 -T4 -A -v 192.168.0.23
와 같이 명령을 주면 192.168.0.23 ip에 할당된 장치에 1번 포트 부터 65535번 포트까지 모든 포트를 검색해서 열린 포트를 확인할 수 있고요. OS에 대한 정보도 확인가능하게 됩니다.
iptime 공유기를 샘플로 해서 나온 결과 중, 간단한 추가 설명도 붙여 볼께요.
Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-20 10:33 ´eCN¹I±¹ C¥AؽA
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating NSE at 10:33
Completed NSE at 10:33, 0.00s elapsed
Initiating ARP Ping Scan at 10:33
Scanning 192.168.0.23 [1 port]
Completed ARP Ping Scan at 10:33, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:33
Completed Parallel DNS resolution of 1 host. at 10:33, 0.01s elapsed
Initiating SYN Stealth Scan at 10:33
Scanning 192.168.0.23 [65535 ports]
Discovered open port 8080/tcp on 192.168.0.23
SYN Stealth Scan Timing: About 21.76% done; ETC: 10:36 (0:01:51 remaining)
SYN Stealth Scan Timing: About 55.51% done; ETC: 10:35 (0:00:49 remaining)
Completed SYN Stealth Scan at 10:35, 92.47s elapsed (65535 total ports)
Initiating Service scan at 10:35
Scanning 1 service on 192.168.0.23
Completed Service scan at 10:35, 6.06s elapsed (1 service on 1 host)
Initiating OS detection (try #1) against 192.168.0.23
NSE: Script scanning 192.168.0.23.
Initiating NSE at 10:35
Completed NSE at 10:35, 0.16s elapsed
Initiating NSE at 10:35
Completed NSE at 10:35, 0.02s elapsed
Initiating NSE at 10:35
Completed NSE at 10:35, 0.00s elapsed
Nmap scan report for 192.168.0.23
Host is up (0.00034s latency).
Not shown: 65534 filtered ports
PORT STATE SERVICE VERSION
8080/tcp open http Boa httpd ---> 8080 포트가 열려 있죠. 웹브라우저에서 http://192.168.0.23:8080 주소로 접속한다면 웹 관리 콘솔에 접속 가능할 걸로 보이고...
| http-methods:
|_ Supported Methods: GET HEAD POST
|_http-server-header: Httpd/1.0
|_http-title: Site doesn't have a title (text/html).
MAC Address: 88:36:6C:6B:BD:C5 (EFM Networks) ---> 이 장치의 제조사 정보를 확인할 수 있겠고요.
( EFM Networks는 iptime이죠 )
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|media device|VoIP phone|WAP|router
Running: Linux 2.4.X, LifeSize embedded, ShoreTel embedded, Draytek embedded, D-Link embedded, Netgear embedded ---> OS가 Linux 2.4.X일 걸로 추정할 수 있겠고요.
OS CPE: cpe:/o:linux:linux_kernel:2.4 cpe:/h:shoretel:8800 cpe:/h:draytek:vigor3300 cpe:/h:dlink:dir-100 cpe:/h:netgear:kwrgr614 cpe:/h:netgear:rt614 cpe:/h:netgear:wg602
OS details: Linux 2.4.18 - 2.4.35 (likely embedded), Linux 2.4.20, Linux 2.4.21, Linux 2.4.21 - 2.4.27, Linux 2.4.32 (x86), LifeSize video conferencing system or ShoreTel 8800 VoIP phone (Linux 2.4), D-Link DIR-100; DrayTek Vigor3300; or Netgear KWRGR614, RT614, or WG602 router (Linux 2.4)
Uptime guess: 0.315 days (since Thu Feb 20 03:01:04 2020)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=197 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE
HOP RTT ADDRESS
1 0.34 ms 192.168.0.23 ---> 장치에 도달하기 까지 통과한 라우터 정보인데... 로컬 네트워크라서 바로 접속되어죠~
NSE: Script Post-scanning.
Initiating NSE at 10:35
Completed NSE at 10:35, 0.00s elapsed
Initiating NSE at 10:35
Completed NSE at 10:35, 0.00s elapsed
Initiating NSE at 10:35
Completed NSE at 10:35, 0.00s elapsed
Read data files from: C:\Program Files\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 102.14 seconds
Raw packets sent: 131173 (5.773MB) | Rcvd: 85 (4.074KB)
----------------------
해당 장비에 서비스가 많이 사용된다면 열려 있는 포트도 많이 있을 것이고요.
전산실에서 설정해 둔 장비라면... 원격 제어 툴이 작동하면서 원격 제어 포트가 열려 있을 수도 있어 원격 제어를 할 수도 있을 것이고...
그리고...
아래 답글 중에 노트북등을 AP에 무선 접속했을 경우에는 ip 충돌이 일어 나지 않는다는 내용이 있는데요.
AP를 공유기 모드(게이트웨이 모드)로 작동했을 경우라면 다른 네트워크에서 작동되기 때문에 충돌이 안일어 나겠지만 AP는 기본적으로 스위치 모드로 작동시키는 장치이기 때문에 무선과 유선이 동일 네트워크에서 작동되게 되고요.
무선 인터넷 공유기의 경우 스위치 모드로 작동시키거나, 유선 케이블을 WAN이 아닌 LAN에 연결 해서 사용한다면 AP처럼 스위치 모드로 사용할 수 있기 때문에 무선과 유선이 동일 네트워크에서 작동하게 되고요.
노트북이나 휴대폰이 자동 할당받은 ip와 유선으로 고정 할당한 ip가 충돌이 일어 날 수 있게 됩니다.
사무실 내에서 개인적으로 또는 프로젝트에서 공유기를 사용하면서 발생하는 경우가 대부분 입니다.
그래서 저희 회사 같은 경우는
공유기 사용이 발각될 경우는 공유기 압수를 하게 됩니다.
질문 주신 것을 사전에 방지하기 위해서
자주 공지를 하시는 것도 하나의 방법이라고 생각 합니다.
먼저 내부 네트워크에 DHCP 서버가 작동되고 있는 지 부터 확인하셔야 할 거 같습니다.
IP를 먼저 할당해서 뒤에 할당된 호스트 장치만 IP 충돌 문제로 네트워크 장애가 생기는 것이 아닙니다.
양쪽 컴퓨터가 서로 반복적으로 충돌 문제가 생기게 되기 때문에 서로 영향을 받게 됩니다.
내부에 DHCP 서버가 작동되고 있는지 작동되지 않는지 확인하는 간단한 방법은 고정으로 할당한 설정을 자동할당으로 변경해서 IP를 받아 오는지를 확인해 보면 됩니다.
그리고, 대부분 공유기의 DHCP 설정이 IP 정보를 던져줄때 gateway 주소로 DHCP서버 자신의 IP 주소값으로 던져 주기 때문에 자동 할당 받은 컴퓨터에서 ipconfig 등의 명령으로 할당 받은 ip 정보를 확인해서 gateway에 해당하는 주소의 장치에 접속해서 DHCP 설정 정보를 변경할 수 있겠고요.
특정 ip 주소에 대한 장치에 대한 정보를 좀 더 구체적으로 확인해 볼 수 있는 툴로 nmap을 이용해 보면 도움이 많이 됩니다.
추가적으로 적고 싶은 내용들은 많지만 글이 너무 길어지는 관계로 줄여 적습니다.
무선AP는 DHCP 서버가 있어요 별도 공인IP가 아니죠
DHCP 서버에서 뿌려 줍니다.
노트북에서 무선을 잡거나 휴대폰에서 무선을 잡아도 충돌은 안납니다.
다만 인증관련 문제가 가끔 발생이 됩니다.
전산훈련병 | 약 4년 전
방화벽에서 IP 주소와 MAC을 확인할수 있어요
그리고 방화벽에서 차단 가능합니다.
그외 일년전 쉐어드IT에서 비슷한 내용 링크 합니다.
참고 하세요
https://www.sharedit.co.kr/qnaboards/21339
휴대폰을 비롯한 모바일 기기는 일반적으로 유동 IP를 받아 사용하도록 되는 경우가 대부분이지 싶은데...
DHCP에서 뿌려 주는 IP 대역의 일부가 고정으로 할당하는 IP와 중복되는 걸로 보이네요.
고정으로 할당한 IP 현황과 DHCP 서버에서 자동 할당으로 뿌려 줄수 있는 IP 대역을 확인해서 고정 IP나 DHCP 서버 설정이나 둘 중 하나를 수정해 줄 필요가 있을 것 같네요.
wansoo | 약 4년 전