SharedIT | 묻고 답하기(AMP)

솔루션 없이 고정IP 변경 금지하는 정책 기능이 있을까요?

ISMS 심사 후 망분리PC에 대한 IP관리가 결함 내역으로 나왔습니다

내용인 즉슨

내부 개발자들이 대부분의 업무가 가능한 업무망 PC + DB접속만 허용되는 망분리 PC 를 사용 중
업무망 랜선 / 망분리 랜선 따로 따서 각 PC에 연결 후 방화벽에서 정책으로 물리적 망분리 실행 
(간단히 말해서 2 PC 사용)

그런데 망분리 PC로 DB에서 개인정보 다 빼낸 뒤에, 망분리 랜선을 뽑고 업무망 랜선으로 연결하고 IP를 바꾸면 그대로 유출이 가능하다는 이야기가 나왔습니다

가장 좋은 방법은 NAC을 사는거지만
어짜피 윗선에 솔루션 사달라고 징징 거려도 먹힐리는 없고...

결국은 윈도OS 자체 기능만으로 PC 사용자가 IP를 맘대로 못바꾸게 하는 방식으로 하려고 합니다
(방화벽에서 IP랑 MAC을 매핑시키면 되지 않을까? 라는 생각도 해봤지만, 방화벽에 그런 기능은 없네요..)

AD서버에서 그룹 정책으로 IP 변경 금지 정책을 때리고 싶어도, 금지하는 정책을 찾을 수 없습니다 ;;

로컬 정책 -> 사용자 구성 -> 관리 템플릿 -> 네트워크 -> 네트워크 연결 -> LAN에 대한 각종 금지 정책을 먹여도 쉽게 IP가 바뀌네요...

제어판 실행 금지 정책을 넣어도, CMD에서는 IP 변경이 가능 하구요...

고정IP를 못바꾸게 하는 OS에 기능이 있는지 질문 드립니다

6개의 답변이 있습니다.

양성환
  0 추천 | 약 3년 전

AD 서버에서 제어판을 못들어가게 하면 되요~

코레이즈
  0 추천 | 약 3년 전 | 코레이즈 | 02-1833-5805

안녕하세요 코레이즈입니다.

스위치에서 IP MAC/Binding 이 지원되시면, Mac Binding으로 손쉽게 처리 되실 것 같습니다.
감사합니다.

코레이즈 드림

Genghis Khan
  0 추천 | 약 3년 전

어떤 방화벽을 사용하는지 알수 있을까요?

Fortigate는 ip와 mac으로 가능하고 junifer도 직접 연결하면 가능하고 

방화벽과 nac가 아니면 솔루션 밖에 없는데

ISMS 감사는 취약한 부분이 있으니 개선하라는거고

그에따른 보안적 솔루션을 이용하라는 겁니다

만약 보안적조치에 따른 다른 방법으로 했다면 

그것또한 문제를 재기를 할것 같네요

Genghis Khan | 약 3년 전

ISMS인증을 받으시려면  통신 및 정책에 대해 

잘 구현하고 계획을 세워나가느냐입니다

올해 인증을 무조건 받으실려면 관련 항목

수행하시고 안되면 내년 예산을 받아 준비하시게 어떨까요?

lliiilillili
  0 추천 | 약 3년 전

가징심플한건 랜선못뽑게 잠궈버리는거같네요

네이버쇼핑에 utl lock 검색하면 나와요


wansoo
  0 추천 | 약 3년 전

NAC을 도입하는게 가장 좋은 방법이긴한데... 그게 안된다면...

방화벽에서 허용해둔 IP만 인터넷이 가능하도록 설정해 두는 방법도 있을 것 같습니다.

제한된 계정으로 시스템 구성 변경 및 프로그램 추가 설치까지 모두 막는 방법도 있겠지만...

개발자 PC라면 제한된 계정에서 작동되지 못하는 소프트웨어가 있을 수도 있을것 같고요.

제한된 계정으로 해서 사용하는 업무용 소프트웨어들이 문제 없이 잘 작동하는지 Test해 보고 문제 없다면 제한된 계정을 할당해서 사용해 도 될 것 같고요.

제한된 계정에서 작동이 되지 않는 소프트웨어도 레지스트리에서 접근하는 키들을 찾아서 접근 권한을 설정해 주고 설정을 잘 해 주면 문제없는 경우도 있기 때문에 시간을 가지고 다양하게 Test해 볼 필요가 있기도 하고요.

NAC 없이 허용되지 않은 IP를 사용하지 못하게 하는 방법으로 허가되지 않은 IP를 입력해서 사용하려할때 IP 충돌이 일어 나게 해 두는 것도 방법이 될 수 있을 것 같고요.


MMC ( Microsoft Management Console )에서 그룹 정책 편집을 해서 제어판을 사용하지 못하게 차단하는 것도 방법일 수 있을 것 같지만... 개발자들에게 효과가 없을 수도 있을 것 같기도 하고...

빨간신발
  0 추천 | 약 3년 전

administrator 계정을 전산실에서 관리하시고..

일반 사용자는 관리자 계정이 아닌 ip 변경 권한이 없는 계정을 주시면 됩니다.

redhairadol | 약 3년 전

로컬이 아닌 도메인 계정을 조인해서 배포하구 있지만,

이래나 저래나 윈도OS에 IP변경 권한을 없애는 기능이 있는지가 궁금합니다 ㅠㅠ