윈도우에서 IP 2개 사용하기 (망혼용) 실습

윈도우에서 IP 2개 사용하기 (망혼용) 실습

1. 윈도우에서  IP 2개 사용하기 (하나의 인터페이스에서) 

2. 망 혼용 토폴로지 설정 및 실습 (보안상 비추천)

---

1. 윈도우에서  IP 2개 사용하기 (하나의 인터페이스에서)

 

노트북에 유선 인터넷 + WiFi를 동시에 사용하면 NIC가 2개면서 자동으로 IP가 2개를 받는다.

네트워크 인터페이스 카드(NIC)가 1개일 때도 IP를 2개 넣어서 사용하는 방법이 있다.

 

윈도우OS 기준

ncpa.cpl 실행 →  해당 NIC 선택 및 속성 → TCP/IPv4 속성 → (다음 IP 주소사용) 고급 → 추가

 

정보보안기사 실기에서 'NetBIOS 사용안함 방법'을 읊으라는 문제도 나왔는데, 이 것도 충분히 나올만한 문제이다.

 

IP2개 사용하기.

 

 

 

---

2. 망 혼용 토폴로지 설정 및 실습 (보안상 비추천)

보안상, 보안장비 없이는 권장하지 않는(사용하면 안되는) 토폴로지이다.

하지만 이렇게도 사용이 가능하다는 것을 알아보기 위해 토로폴지를 만들었다.

 

망혼용 상황

 

 

시나리오

• 원래는 폐쇄망으로, R1과 WAN이 없었다고 생각하면 된다.
• PC1, PC2, Win10 은 회사 내부망(인터넷 안되는 폐쇄망)의 단말기들로서 192.168.1.x 대역을 갖고 있다.
• 여기서 Win10 PC가 인터넷이 되도록 만들라는 지시를 받아, 네트워크 엔지니어가 라우터를 도입하여 세팅한다.
• 보안은 고려하지 않아도 된다는 엄청 관대한 지시를 받았기에 통신만 되도록 세팅한다.
• 결국 목적은 Win10이 내부망과도 통신이되고, 외부와도 통신이 되면 된다.

프로시저

• PC1, PC2 IP 세팅.
  아래 입력 명령어
  ip 192.168.1.2/24
  ip 192.168.1.3/24
  
  
• Win10은 포스트의 제일 위 그림처럼 Win10에서 IP 2개를 입력해준다.
  192.168.1.4 255.255.255.0 (내부망)
  192.168.3.4 255.255.255.0 (외부로 나가기위해 새로 만든 네트워크)
  GW : 192.168.3.1 로 세팅하였다.
  
  
• R1 라우터 세팅 (인터넷 사용을 위해 신규 도입한 장비)
  라우터는 게이트웨이 역할을 해야하기 때문에 e2/0 인터페이스에 192.168.3.1/24를 넣어주고
  밖으로 통신할 인터페이스 f0/0에는 본인 PC가 외부로 통할 수 있는 통로의 IP를 넣어준다.
  
  여기서 필자는 내부망 사설 네트워크가 172.16.192.0/24이므로 임의의 IP 172.16.192.222를 넣어준 것이다.
  그 다음 NAT를 하여 내부와 외부간 통신이 되도록 설정한다.(NAT 중에 PAT를 사용하였다.)
  
  또한, 외부와 통신을 하기위해 Default Routing을 적용하였다.
  
  ※따라하실 분들은 본인 PC가 잡고 나가는 GW의 네트워크의 사용하지 않는 임의의 IP를 하나 f0/0에 입력하시고, 디폴트 라우팅 목적지로 GW의 IP를 넣어주시면 됩니다.
  
  

!R1
conf t
int e2/0
ip add 192.168.3.1 255.255.255.0
no sh
int f0/0 
ip add 172.16.192.222 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 172.16.192.1
int f0/0
ip nat outside
int e2/0
ip nat inside
exit
ip nat pool MYNAT 172.16.192.222 172.16.192.222 netmask 255.255.255.0
access-list 1 permit 192.168.3.0 0.0.0.255
ip nat inside source list 1 pool MYNAT overload
end

 

 

이제 Win10에서 내부망, 외부망으로 핑을 보내본다.

 

ping 192.168.1.2

ping 192.168.1.3

ping 8.8.8.8 (구글 DNS 주소이다.)

모든 곳으로 핑이 잘 간다.

 

모두 핑이 잘 가는 것을 확인하였다. 성공.

여기서 패킷을 감시해본다.

ICMP 패킷을 감시해본다.

 

 

내부망으로 패킷을 보낼 때는 출발지 IP(Src.IP)가 192.168.1.4이고

외부망으로 패킷을 보낼 때는 출발지 IP(Src.IP)가 192.168.3.4로 나가는 것을 확인할 수 있다.

 

윈도우에서로 라우팅 테이블을 확인할 수 있는데, CMD에서 route print를 입력하면 라우팅 테이블을 볼 수 있다.

윈도우의 라우팅 테이블

 

참고로 윈도우에서 정적 라우팅 테이블을 추가하는 명령어는 아래와 같다.

route add [대상 네트워크] mask [서브넷 마스크] [게이트웨이] [metric 메트릭] [if 인터페이스 번호]

재부팅 후에도 삭제되지 않게 영구적으로 추가하는 명령어는 -p 옵션을 붙여준다.

route -p add [대상 네트워크] mask [서브넷 마스크] [게이트웨이] [metric 메트릭] [if 인터페이스 번호]

 

'메트릭'은 경로 비용이라고 생각하면 되는데, 쉽게 우선순위 값이라고 생각하면 된다.(낮을수록 우선순위 높음)

 

IPv4 경로 테이블의 제일 첫번째 줄에 0.0.0.0 0.0.0.0으로 나와있는 것이 Default Routing 이다.

다른 라우팅 테이블에 적힌게 없으면 디폴트 라우팅에 해당하여 패킷은 게이트웨이 192.168.3.1로 보내어진다.

인터페이스가 192.168.1.4로 되어 있는데 실제로 Src.IP는 192.168.3.4가 된다.

이는 윈도우에서 처리하는 로직에 의해 가장 적합한 인터페이스 및 IP로 바꿔서 출발한 것으로 보인다.

 

실제로 8.8.8.8로 핑을 보낼 때 강제로 Src.IP를 192.168.1.4로 고정해서 보내면 응답이 오지 않는다.

source ip를 192.168.1.4로 고정해서 핑을 보내보기

 

재미있는 점은 편도로 목적지까지는 패킷이 전달된다.

즉, 8.8.8.8 구글 DNS까지 ICMP request 패킷은 잘 갔지만, 구글 DNS가 응답할 방법이 없다.

왜냐하면 192.168.1.0/24 대역은 R1에서 NAT를 걸어주지 않았기 때문이다.

(구글 입장에서는 사설 IP로 응답할 수가 없다.)

 

 

끝으로 망혼용이 위험한 이유

외부와 통신이 가능한 Win10 PC를 장악하면 내부망까지 장악할 수 있기 때문에 위험하다.

애초에 망 분리는 금융권과 같이 의무적으로 분리해야 하는 경우이거나, 보안상 분리해 놓은 경우가 대다수이다.