누가 언제 어디서 내 컴퓨터에 로그인했을까?

2007/12/27 17:54
Posted by 도아 Posted in " 컴퓨터/QAOS.com " :: 인쇄 :: PDF 저장 :: 읽은횟수(3/5/4901)

부제: Windows 자체 기능을 이용한 침입 탐지

BlackICE    ZoneAlarm    과 같은 방화벽(Firewall) 프로그램을 사용하다 보면 실시간으로 자신의 컴퓨터에 접속을 시도하는 컴퓨터의 목록을 보여주는 침입 탐지 기능이 있다. 대부분의 사용자는 이러한 경고를 보게되면 많은 사람들이 자신의 컴퓨터를 공격 대상으로 지정, 공격하는 것으로 착각하는 경우가 많다.

사실 윈도우 탐색기에서 내 네트워크 환경/전체 네트워크/Microsoft Windows 네트워크를 클릭하면 동일한 대역의 IP를 사용하는 모든 컴퓨터의 그룹과 컴퓨터의 목록주1을 볼 수 있다. 회사에서 사용하는 경우 이 기능은 상당히 편리한 기능이지만 xDSL이나 케이블과 같은 초고속 인터넷에 직접 연결된 컴퓨터의 경우 손 쉬운 해킹 대상이될 수 있다주2.

클릭: 그림 확대

익명 사용자가 컴퓨터 목록 상의 임의의 컴퓨터를 클릭하면 해당 컴퓨터에서 사용할 수 있는 자원 목록(예: Movie, 프린터 및 팩스)이 나타나게되는데, 대부분의 방화벽 프로그램은 이러한 접속 시도를 컴퓨터에 대한 행킹 시도로 보고 행킹 경고를 띄우는 것이다.

이련 침입 탐지 기능은 굳이 방화벽 프로그램을 사용하지 않아도 XP 자체 기능을 이용해서 얼마든지 구현할 수 있다. 다만 XP 자체 기능을 이용하는 경우 실시간 경고를 띄우지는 못하며 사용자가 원하는 시점에서 확인할 수 있다. 아울러 침입 탐지 기능에의해 탐지되는 모든 컴퓨터가 해킹을 위해 접속하는 것은 아니라는 점을 기억해 주기바란다.

모든 NT 계열의 OS에는 감사 기능이 있다. 기본적으로 이 팁에서 사용하는 기능 역시 NT 계열의 OS에서 제공하는 감사 기능을 사용한다. 절차는 다음과 같다.

  • 침입 탐지 설정
    1. 시작/실행/secpol.msc를 입력하고 확인을 클릭한다.
    2. 좌측 패널에서 Windows 설정/보안 설정/로컬 정책/감사 정책을 클릭한다.
    3. 우측 패널에서 계정 로그온 이벤트 감사를 두번 클릭한다.
    4. 계정 로그온 이벤트 감사 등록정보 창에서 다음 시도 감사성공실패를 모두 체크하고 확인 버튼을 클릭한다주3.
      클릭: 그림 확대

  • 침입 탐지 확인
    1. 시작/관리 도구/이벤트 뷰어를 클릭한다.
    2. 좌측 패널에서 이벤트 뷰어/보안을 클릭한다.
    3. 우측 패널성공 감사실패 감사를 확인한다.

  • 침입 정보
    1. 실패 감사
      다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 administrator 계정으로 로그온을 시도하다 잘못된 암호(0xC000006A)를 입력, 실패한 것주4을 알 수 있다. 인터넷에 직접 물려있는 컴퓨터의 경우 이러한 실패 감사는 수 없이 나타난다.
      클릭: 그림 확대
    2. 성공 감사
      다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 Guest 계정으로 로그온에 성공한 것을 알 수 있다. Guest 계정의 로그온 성공이 컴퓨터에 심각한 피해를 주는 것은 아니지만 컴퓨터에 대한 여러가지 정보를 가져갈 수 있으므로 주의하는 것이 좋다.
      클릭: 그림 확대

주의
  1. WINS 서버를 사용하면 다른 대역의 IP 역시 볼 수 있다. 아울러 넷트웍 설정의 넷마스크만 적적히 활용해도 여러개의 IP 대역을 하나의 IP 대역으로 묶을 수도 있다.

  2. Windows 계열에서 사용하는 Microsoft 넷트웍 기능때문에 한때 KT의 VDSL이 문제가 됐었던 적이 있다. 그러나 이런 문제는 간단한 작업만으로 얼마든지 막을 수 있다.

  3. 계정 로그온 이벤트 감사를 실행하게되면 로그온 시 보안 로그가 꽉찼다는 경고 메시지를 받을 수 있다. 이 경우 이벤트 로그의 보안 로그를 지워주면 된다.

  4. 로그온 실패는 주로 잘못된 암호(0xC000006A)나 잘못된 사용자(0xC0000064)로인해 발생한다.

알림 이 글은 QAOS.com2004년 10월 01일에 올린 XP 자체 기능을 이용한 침입 탐지를 블로그에 다시 올리는 것이다. QAOS.com에서 가져온 모든 글은 QAOS.com저작권(불펌 금지, 링크 허용)을 따른다.
제 글이 마음에 든다면 이런 소식을 더 빨리 듣기 위해 트위터 길잡이를 읽고 저롤 폴로하세요. 또 이 글을 더 많은 사람들이 읽을 수 있도록 아래의 추천 단추를 클릭해 주세요.
TAG , , ,
ADD WZD | 구글 | 뉴스2.0 | 다음 | 델리셔스 | 마가린 | 북마커 | 야후 | 한RSS | 정보
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
저작권 제 블로그의 글은 기본적으로 펌금지, 링크 허용의 정책을 취하고 있습니다. 특히 네이버로의 펌은 어떤 경우에도 허용하지 않습니다. 이런 정책이 의아한 분은 제 블로그의 네이버에 대한 글을 읽어 보시기 바랍니다.
컴관련
오늘의글
인기글
Trackback, Comment.

Trackback

Trackback Address :: http://offree.net/trackback/1424

ResponseRSS Feed

Comments

쥐박쥐가 아니라면 소통하세요!!!

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.

질문이라면 단추를 누르기 전에 질문하기 전에 읽어보기를 읽고 도아의 QnA질문과 관련된 글에 올려 주시기 바랍니다.

prev
next
1 ... 163216331634163516361637163816391640 ... 2948
믹시