XP 자체 기능을 이용한 침입 탐지
게시일: 2004/10/01 | 글쓴이: doa | 10527 번 | 프린트 | 메일


BlackICE ZoneAlarm 과 같은 방화벽 프로그램을 사용하다 보면 실시간으로 자신의 컴퓨터에 접속을 시도하는 컴퓨터의 목록을 보여주는 침입 탐지 기능이 있다. 대부분의 사용자는 이러한 경고를 보게되면 많은 사람들이 자신의 컴퓨터를 공격 대상으로 지정, 공격하는 것으로 착각하는 경우가 많다.

사실 윈도우 탐색기에서 내 네트워크 환경/전체 네트워크/Microsoft Windows 네트워크를 클릭하면 동일한 대역의 IP를 사용하는 모든 컴퓨터의 그룹과 컴퓨터의 목록주1을 볼 수 있다. 회사에서 사용하는 경우 이 기능은 상당히 편리한 기능이지만 xDSL이나 케이블과 같은 초고속 인터넷에 직접 연결된 컴퓨터의 경우 손 쉬운 해킹 대상이될 수 있다주2.



익명 사용자가 컴퓨터 목록 상의 임의의 컴퓨터를 클릭하면 해당 컴퓨터에서 사용할 수 있는 자원 목록(예: Movie, 프린터 및 팩스)이 나타나게되는데, 대부분의 방화벽 프로그램은 이러한 접속 시도를 컴퓨터에 대한 행킹 시도로 보고 행킹 경고를 띄우는 것이다.

이련 침입 탐지 기능은 굳이 방화벽 프로그램을 사용하지 않아도 XP 자체 기능을 이용해서 얼마든지 구현할 수 있다. 다만 XP 자체 기능을 이용하는 경우 실시간 경고를 띄우지는 못하며 사용자가 원하는 시점에서 확인할 수 있다. 아울러 침입 탐지 기능에의해 탐지되는 모든 컴퓨터가 해킹을 위해 접속하는 것은 아니라는 점을 기억해 주기바란다.

모든 NT 계열의 OS에는 감사 기능이 있다. 기본적으로 이 팁에서 사용하는 기능 역시 NT 계열의 OS에서 제공하는 감사 기능을 사용한다. 절차는 다음과 같다.

  • 침입 탐지 설정
    1. 시작/실행/secpol.msc를 입력하고 확인을 클릭한다.
    2. 좌측 패널에서 Windows 설정/보안 설정/로컬 정책/감사 정책을 클릭한다.
    3. 우측 패널에서 계정 로그온 이벤트 감사를 두번 클릭한다.
    4. 계정 로그온 이벤트 감사 등록정보 창에서 다음 시도 감사성공실패를 모두 체크하고 확인 버튼을 클릭한다주3.


  • 침입 탐지 확인
    1. 시작/관리 도구/이벤트 뷰어를 클릭한다.
    2. 좌측 패널에서 이벤트 뷰어/보안을 클릭한다.
    3. 우측 패널성공 감사실패 감사를 확인한다.


  • 침입 정보
    1. 실패 감사 다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 administrator 계정으로 로그온을 시도하다 잘못된 암호(0xC000006A)를 입력, 실패한 것주4을 알 수 있다. 인터넷에 직접 물려있는 컴퓨터의 경우 이러한 실패 감사는 수 없이 나타난다.
    2. 성공 감사 다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 Guest 계정으로 로그온에 성공한 것을 알 수 있다. Guest 계정의 로그온 성공이 컴퓨터에 심각한 피해를 주는 것은 아니지만 컴퓨터에 대한 여러가지 정보를 가져갈 수 있으므로 주의하는 것이 좋다.


주1: WINS 서버를 사용하면 다른 대역의 IP 역시 볼 수 있다. 아울러 넷트웍 설정의 넷마스크만 적적히 활용해도 여러개의 IP 대역을 하나의 IP 대역으로 묶을 수도 있다.

주2: Windows 계열에서 사용하는 Microsoft 넷트웍 기능때문에 한때 KT의 VDSL이 문제가 됐었던 적이 있다. 그러나 이런 문제는 간단한 작업만으로 얼마든지 막을 수 있다.

주3: 계정 로그온 이벤트 감사를 실행하게되면 로그온 시 보안 로그가 꽉찼다는 경고 메시지를 받을 수 있다. 이 경우 이벤트 로그의 보안 로그를 지워주면 된다.

주4: 로그온 실패는 주로 잘못된 암호(0xC000006A)나 잘못된 사용자(0xC0000064)로인해 발생한다.


익명 사용자의 NetBIOS 연결막기 기본적으로 NT 계열의 OS는는 익명 NetBIOS 연결을 허... (8163) 2004-10-01
SP2/반드시 기동해 주어야 하는 서비스 필자의 강좌, Windows XP 서비스 완벽 가이드 I... (17053)2004-09-22

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.