안녕하세요.
어제 직원이 토렌트 하고 있는 것 같다고 글 올렸던 사람입니다.
오늘도 방화벽(시큐아이) 기록을 살펴보는 중인데...
보니까 불특정하게 다양한 내부IP(10개 넘어감)들이
토렌트를 접속 시도하고 있는 게 로그 기록으로 확인되네요.
예) 10.0.0.XXX 접속 시도 → 몇분뒤 10.0.0.aaa로 접속 시도 이런식.
내부IP(DHCP 분배 중) 로그 기록 나온 결과를 토대로 생각해 보건데
정말 토렌트를 쓰는 사람이 그 정도로 많을 확률은
제가 생각하기엔 매우 낮다고 봅니다.
그럼 뭘까 생각해보면.
1) 방화벽 애플리케이션 DB가 오탐지한 결과이거나,
2) 아니면 1개의 PC에서 토렌트가 내부 네트워크 IP를 옮겨 다니며 접속을 시도하거나.
둘중에 하나가 아닐까 싶은데.
두번째가 가능한 지가 궁금합니다.
아니면 다른 추정되는 원인 있다면 알려주시면 좋을 것 같습니다.
-----
p.s.
이 직장와서 이 전산보안 업무를 하리라고는 상상도 못했는데,
여기 선생님들 덕분에 잘 헤쳐나가면서 해내고 있습니다.
늘 감사드립니다.
10개의 답변이 있습니다.
여러명이 사용하고 있을 것으로 생각이 됩니다.
DHCP를 사용한다고 해도 IP가 계속 바뀌는게 아니라서 한사람이 IP 변경하면서 사용할 확률은 희박합니다.
DHCT를 사용하지 않고,
수동으로 IP를 셋팅하는 직원이 있을 수도 있겠지만, 희박하지 않을까 생각 합니다.
하나의 PC에 설치되어 있는 토렌트가 여기저기 옮겨다니며 사용할 수는 없는 것으로 보입니다.
아마도 다른 PC에도 설치가 되어 있지만, 사용은 하지 않고 프로세스만 떠 있어서,
해당 프로세스가 주기적으로 호출되는게 아닌가 생각이 드네요.
ipconfig | 약 2년 전
혹시 알약같은 알툴즈 때문일까요. 이게 토렌트 활용한다는 이야기가 있어서요.
인원 규모를 모르겠으나, 망분리 안되어있으면 충분히 10명이상 깔았을 수도 있죠,
꼭 토렌트로 다운받아서 접속시도 하는게아니라 토렌트 프로그램 깔기만해도 백그라운드로 피어체크 계속합니다.
정보보호 관점에서보면 어플리케이션 차단되는 방화벽이면 토렌트 차단하는게 맞습니다.
ipconfig | 약 2년 전
충분히 10명 이상 조용히 깔고 하고 있을수도 있다는 말이군요....
peer check라는게 그런걸수도 있고.
근데 그래서 토렌트 접근 시도한 내부IP 하나 집어서 조사해봤는데
토렌트 프로그램은 전혀 없는 것으로 확인되네요 ㅜ
미궁으로 빠지네 점점...
한장비에서 하기는 힘들것 같고요 만일 여러 Ip을 가지고 있으면 모르겠지만
일전에 IP자동 생성 프로그램으로 한 컴터에서 ip을 변경 해 가면서 접속 가능하다는 애기는 들은적이 있지만
ipconfig | 약 2년 전
IP 변경하고 있는 것 같습니다. 내부 IP 감지된거 하나 PC 바로 조사해보니 토렌트 설치된게 없네요
내부망이 dhcp이고 ip대역이 10.xx.xx.xx이면
토렌트 방식에 따라 달라질수 있겠네요
Swarm 방식
- 트래커가 가지고 있는 것으로,
- 공유 파일마다의 Hash(고유식별자) 정보와 피어 리스트의 정보 모음.
- 다시말해서, 현재 해당 파일을 공유하고 있다고 Track서버 등록되어 있는 있는 피어들을 목록을 의미함.
- 이를 기반으로 Tracker 에게 접속하는 client들에게 peer 목록을 전송해줌
내부 사용자 트래픽 문제와 해킹, 랜섬웨어, 바이러스 문제가
될수 있으니 방화벽 단에서 불법사이트로 filter 걸어
무조건 차단해야합니다
ipconfig | 약 2년 전
아 이거 인 것 같네요! 보니까 차단 메시지에 upload tracker라고 되어 있어요. 이걸 계속 막아버리니 그런것 같네요. 그럼 내부 사용자 중 한명이 어쨌든 토렌트를 쓰고 있는거고 지금 peer마다 hash를 뿌려서 다운을 받게 유도 하고 있는거지요?
토렌트를 차단했음에서 끊질기게 시도하는 사람이라면
ip를 변경하거나 다른 장비로도 시도할 가능성이 높겠네요.
많이 해보고 막혔다는 걸 받아들이겠죠..
아직은 포기하지 못하고 미련이 남아있는 상태인 듯 합니다..
ipconfig | 약 2년 전
목적지 IP가 찾아보니 부산이더라고요...ㅋㅋ 부산에서 우리 IP로 무슨 파일을 받고 싶은걸까요 ㅜ
wansoo | 약 2년 전
토렌트는 P2P 서비스입니다.
토렌트를 사용하는 모든 컴퓨터가 서로 서버와 클라이언트 역할을 하는 분산 저장 장치 개념이 되겠고요.
예를 들어 A라는 동영상을 서울에 있는 철수와 부산에 있는 영희가 다운 받고 있거나 다운 받았을 경우에, 강원도에 있는 순희가 A라는 동영상을 다운 받으려고 할 경우에 철수 컴퓨터와 영희 컴퓨터 모두 접속해서 영상을 분할해서 다운받아서 전체 영상을 조립하게 됩니다.
동일 파일을 여러사람이 가지고 있다면 가지고 있는 모든 사람들로 동시에 분할 다운 로드를 받으려고 시도하게 되고요.
저작권 있는 영화를 다운 받았을 경우에 자신도 모르게 영화를 다른 사람에게 배포까지 해 버리게 되기 때문에 저작권 침해 소송을 당하게 되기도 하기 때문에 주의가 필요합니다.
추가적으로 말씀드리자면,
내부IP들이 계속 접속 시도를 하지만
토렌트 업로드를 하려는 목적지 IP는 딱 2가지로 나옵니다.
그래서 내부IP 옮겨타는게 아닌가 강한 의심이 듭니다.
내부망이 어떻게 구성이 되어져 있나요? DHCP로 되어져 있으면 그럴수 있구요~~UTM장비에서 DHCP IP대역을 차단해놓으세요
ipconfig | 약 2년 전
DHCP 말고 일일이 부여하는게 바람직하려나요?
DHCP로 IP를 자동 할당하고 있다면...
DHCP 서버의 IP 임대 기간 설정에 따라 또는 컴퓨터를 재 부팅이나 IP 주소 갱신에 의해 동일한 컴퓨터라도 IP 주소가 유동적으로 변경될것 같은데...
어느만큼의 기간동안 측정된 IP List인가요?
문제 진단 등을 위해서는 유동 IP를 사용하는 것 보다는 고정 IP를 사용하는게 좋을 것 같아 보이고요.
여러 컴퓨터에 토렌트가 설치되어 있을 가능성도 검토해 보시고...
사내 전체 컴퓨터 대상으로 전수 조사를 해 보시는게 필요하지 않을까 싶어 보이기도 하네요.
ipconfig | 약 2년 전
하루동안 대여 설정되어 있긴한데... 차라리 내부 IP 입력하게 해서 명확히 하는게 좋을까요?
wansoo | 약 2년 전
사설 IP로 고정해서 사용하는게 문제를 찾기도 쉽고, 책임 추궁하기도 쉽습니다.
그냥 여러명이 다 쓰고 있어서일수도 있고, 한명이 이리저리 옮기는 걸수도 있고
한명이 여러곳에 깔아두고 시딩(파일 공유하는 업로딩)형태로 유지하는걸 수도 있고 그렇습니다.
기본적으로 지금이야 그럴일 없을텐데 어둠의 경로 사이트들은 받는 파일 vs 업로드 파일 비율 유지를 하거나 기타등등의 목적으로 여러곳에서 시딩가능하게 세팅할 수도 있습니다.