출처 : IP SENTINEL
ipsentinel
This program tries to prevent unauthorized usage of IPs within the local ethernet broadcastdomain by giving an answer to ARP-requests. After receiving such a faked reply, the requesting party stores the told MAC in its ARP-table and will send future packets to this MAC. Because this MAC is invalid, the host with the invalid IP can not be reached.
얼마전 전체회의 시간에 이쪽회사의 네트워크 관리자로부터 알게된 프로그램인데 개략적인 기능은 이렇다.
L2 SWITCH 영역(SEGMENT)안에 있는 컴퓨터는 ARP란 프로토콜을 이용해 자신의 위치를 알리게 되는데,
IPSENTINEL프로그램이 설치된 컴퓨터가 이런 ARP를 보내는 컴퓨터중에 인증받지 않은 컴퓨터가 접속했을
경우에 FAKE ARP프로토콜을 보내서 내부 컴퓨터의 접속을 보호한다.
ISSUE - 네트워크 세그먼트안에 A와B라는 컴퓨터가 있다. B안에 IPSENTINEL를 설치하여 컴퓨터를 등록하면
C라는 비인증 컴퓨터가 자신의 IP를 취득하기위해 ARP를 Broadcasting하면 B의IPSENTINEL은 C 컴퓨터를
등록하여 C의 whois명령에 대한 모든 회답을 자신이 한다.
이때 A를 호출한다면 B와 A는 교섭이 일어날 가능성이 있다. 하지만 IPSENTINEL의 대답이 결국 C컴퓨터의
ARP TABLE에 등록되게 된다. 때문에 C컴퓨터는 그 SEGMENT안의 컴퓨터에 접속하지 못한다.
대신 외부 망의 접속은 가능함. 단지 L2 SEGMENT안에서의 보안이기 때문이다.
*ARP - MAC ADDRESS를 통해 IP ADDRESS를 요청하는 프로토콜 , 보통 컴퓨터가 처음 네트워크에 연결되면
이 프로토콜을 통해 BROADCASTING 하여 자신의 위치를 알리게된다.
*RARP - IP ADRESS를 통해 MAC ADDRESS를 취득
*WHOIS - 내부 컴퓨터 검색
