네트워크 스캔에 대한 처벌규정이 있나요?
글쓴이: k1d0bus3 / 작성시간: 금, 2010/02/19 - 7:10오후
우리나라에서
네트워크 속도를 저하시키거나, 스니핑등....의 다른 피해는 주지않으면서,
namp으로 스캐닝을 하거나, arp poisoning같은 행위를 하는행위가
법적으로 문제가 되나요?
이런쪽 관련된 법같은게 있는가요? 아시는분 얘기좀해주십쇼.
아님 참고자료라도 추천해주세요.
Forums:
귀하께서 바로 아래
귀하께서 바로 아래 하신 '해킹사고시 mac 주소로 추적할수있나요?' 라는 질문과 같이 참고하세요
맥주소에 해당하는 전기신호는 로컬에서만 검출될 수 있고 좀 더 정확하게는 더미환경이 없어지는 현대
통신에서 하나의 시스템을건너는(라우터든 스위치든 리눅서탑재 PC 든)순간 이 전기 신호는 새롭게 재생성
되므로 넷주소상 로칼이라 하더라도 원본과 같지 않습니다.
따라서 바로 옆자리의 사람이 범죄자인 경우가 아니라면 불가능한 일이지요.원천적으로 스위칭기반의
대한민국 통신에서 스니핑은 거의 의미가 없으며,구리회선에서 스니핑도 전화선처럼 쉽지는 않고 광라인에서
는 불가합니다.
해킹관련 문서를 보면 아직도 스니핑이 많이 검색되지요? 적어도 예전의 의미는 없습니다.
따라서 오직 문제가 되는 스니핑은 진짜 IDC 또는 전산실의 관리자가 라우터 및 스위칭 장비에서 하는
것인데 이런 사람이 관리자로 뽑히는 경우는 드물 것이고,웬만큼 바쁜 장비는 네트워크 데이타를 소스 그대로
스캔할 경우 눈에 띄게 느려지거나 다운됩니다.(적어도 제가 10년 전에는 그랬는데)
제대로 된 장비가 들어와 있고 전담 관리자가 있다는 것은 넷트웍 트래픽이 그 장비에 근접하게 많은 곳이란
얘기가 되는데 그런 환경에서 모니터를 한다면 10년전이나 지금이나 이론적으로 마찬가지일 것입니다.
테스트하기 위해 시스코 7천 시리즈나 1만 시리즈에서 시도하는 사람 없겠지요?
모니터링이란 소스를 메모리에 한 번 더 복사하고 그것을 다른 경로로 전송하는 추가 연산이 필요하니
당연하지요.이런 것조차 예견하지 못하면 사실 넷 관리자일 리가 없으므로 스니핑은 이제 패스하시지요.
모든 스위칭 환경에서 원천적인 스니핑은 없으며 전기신호는 버퍼에 있는 소스를 프로그램에 따라 가공하는
과정을 통해 재생성되므로 제대로 된 시스템이라면 이 가공 과정에서 '적절한 다른 값' 이 사용됩니다.
여기 KLDP 에서도 맥주소와 스니핑에 대한 질문을 여러번 보고 있다가 답변드립니다.
관련 법규로는
http://rapidme.egloos.com/4259560
를 참고하세요.
=========================
매일막걸리 한 병 = 상태메롱
=========================
매일막걸리 한 병 = 상태메롱
스니핑 인라인
스니핑 인라인 장비도 꽤 있고, 광이던 아니던 신호를 옆으로 빼서 보면 라우팅 장비와 아무 상관 없이 볼 수 있습니다. 뭐라고 부르는 지 까먹었는데 광라인 빼는 장비 조그만하고 안에 프리즘 몇개 있고 신호 하나 들어가서 양쪽으로 나눠져서 나오는데 양쪽 비율 다르게 할 수 있고 그렇게 비싸지도 않습니다. 어느정도 규모는 있는 시장이고 국내외에 전문적으로 하는 업체들도 꽤 있습니다. Bluecoat이 아마 제일 클 거구요. 인라인 장비 경우엔 예전엔 죽어서 라인 말아먹고 그랬었는데 요즘엔 우회 장비를 달아서 죽으면 그냥 지나가도록 하나보군요. 하여간 대량 sniffing 엔터프라이즈단에서도 ISP단에서도 많이 합니다. 보안, 트래픽 관리 (p2p 트래픽 누르기), 저작권 침범 자료 조사/차단등 다양한 목적으로 쓰구요. 아무도 안 본다고 생각하지 마세요. 제 삼자가 보는 경우가 드물지 않습니다.
아 그리고 라우터 추가로 밖아서 라인 잘게 나눠서 장비 붙이는 경우도 그렇게까지 드물진 않습니다. 라우터 값이 후덜덜해지긴 하는데 편익이 높게 계산되기만 하면 상관없는거죠.
"신호를 옆으로
"신호를 옆으로 빼서",
"우회 장비를 달아서"
와 같은 경우는 이 질문 답변으로 적절치 않음
국정원같은 곳에서 KNIX 프레임을 다 털어보게끔 설계되어 있다면?
일반회사도 여기서 국정원과 같은 뷸순한 부류가 있다면 얼마든지 가능한 것이지만 이건 내가 고려하고 답할 내용이 아님
음 tj 님이시군요....
KLDP 도 아이디를 봐가면서 해야겠군
그냥 술이나 먹자
=========================
매일막걸리 한 병 = 상태메롱
=========================
매일막걸리 한 병 = 상태메롱
스니핑이 불가능한
스니핑이 불가능한 것처럼 말씀하시길래 예전보다 훨씬 대규모로 더 열심히-_-;; 하고 있다는 부분을 말씀드리고 싶었습니다. 예전처럼 개인이 스니핑하기 좋진 않아도 말단 스위치들 arp 플러딩 시키면 브로드케스팅 모드로 떨어지는 애들이 대부분일테고 무선랜도 많이 사용하구요. 하여간 요점은 비밀이 필요한 것들은 기본적인 암호화는 하는 편이 좋다고 생각합니다. ssh, OTR, GPG, 놋북 하드 암호화 정도만 해도 대게의 경우 충분할텐데, 요즘엔 다 GUI로 또각또각 하면 되는 것들이거든요. 술 맛있게 드세용.
아 기억났습니다.
아 기억났습니다. Optical tap이라고 합니다. 따 보면 이렇게 생겼어요.
http://en.wikipedia.org/wiki/File:Fiber_optic_tap.png
optical tab 까지 쓸
optical tab 까지 쓸 필요 없고, 그냥 스위치에서 port mirroring 하면 간단하게 서비스에 영향없이 할 수 있습니다.
아 맞습니다. 부하가
아 맞습니다. 부하가 심하지 않은 경우 포트 미러링이면 충분할 것 같습니다. 이제 오래되서 잘 기억은 안나는데, 관련된 일을 했던 시절에 보통은 라우터에 부하가 걸리는 경우들이 꽤 있어서 피했던 걸로 기억합니다 (패킷을 한 번 더 카피해야하니까요). 아마 지금도 주요 라우터에 포트 미러링으로 장비 붙이는 경우가 흔하진 않을겁니다. 뭔가 정식으로 하는 경우엔 탭 가격 정도야 아무것도 아니고, 망 관리자도 장비 업체도 위험한 상황을 피할 수 있으니까요.
bandwidth 가 아주 클
bandwidth 가 아주 클 경우에는 sampling 이라는 방법이 또 존재를 하죠. Cisco Guard가 이런 방식으로 구성이 되어 작동을 하죠. 저희는 Cisco 6506 10G 포트 하나를 port mirroring 하여 sampling으로 Cisco Guard를 운영하고 있습니다.
그리고, 패킷을 한번더 copy한다는 개념과 port mirror는 좀 다르지 않을까요? 전기 신호 한번 더 주는 정도인데 copy와 비교를 하는 것은 ^^;
네, 원하는 게 뭐냐에
네, 원하는 게 뭐냐에 따라 다른데, 샘플링으로 되는 경우도 있고 전패킷 다봐야하는 어플리케이션도 있으니까요. 텐지에 붙어서 패킷 다 까보면서 커낵션 트래킹해서 스테이트풀 매치도 하고 그러는걸요. 망관리 하시면 이런거 붙어있거나 최소한 와서 비엠티들은 꽤 하고 가지 않나요?
미러링 구현은 저도 라우터에 대해서 많이 아는 건 아니어서 확실하진 않은데, 미러링이 포트별 로직과 phy사이에서 될 거 같지는 않습니다. 그럴려면 배선이 미러가 가능한 포트는 최소 이중으로 돼있어야 하는 건데, 보통은 컨픽에서 소스/데스티네이션 포트를 임의로 정할 수 있으니 포트 로직과 phy들 사이에 완전한 아날로그 스위칭 네트웍이 있어야 하는데 그렇게 구현하긴 비용이 너무 높을 것 같거든요. 이제 꽤 오래전 일이라 가물가물하긴 한데 하여간 백본 라우터에 미러링 설정해서 붙였다가 피본적이 있었던 걸로 기억하고 있습니다.
불법적인 스캐닝
불법적인 스캐닝 (풋프린트라고 하죠 ?) 도 법적으로 제한된다고 본 것 같군요. ^^;;
댓글 달기