개인 네트워크 vs 공용 네트워크 프로필

개인 네트워크 및 공용 네트워크 프로필

 

개인 네트워크 vs 공용 네트워크 프로필

 

윈도 10 - [설정] - [네트워크 및 인터넷] - [상태] - [속성] - [네트워크 프로필]에 들어가면, "공용" 또는 "개인 네트워크 프로필"을 선택할 수 있습니다. 그 차이점과 어떤 경우에 해당 프로필을 사용하는지 알아본 사용자도 있겠지만 대부분 사용자가 둘 중 하나를 그냥 선택해서 사용하곤 합니다. 나에게 뭐가 더 적절할까?

그럼 자세히 알아보겠습니다. 고고씽~

 

네트워크 프로필 선택

 

개인 및 공용 네트워크 프로필

 

가정이나 회사에서 네트워크를 사용하는 경우, 대부분 "개인 네트워크" 프로필을 사용하는데요, 가정과 회사의 특성상 해당 장소에서 무선공유기 또는 네트워크에 접속할 수 있는 사람이 한정되어 있으며 그 대상이 비교적 분명합니다.
또한 회사에서는 협업을 위해 "공유 폴더"에 어떤 자료를 공유하기도 하는데, "개인 네트워크 프로필"은 다른 컴퓨터에서 해당 컴퓨터를 검색할 수 있고 공유된 폴더에 접속할 수 있도록 방화벽을 자동 구성합니다. 

"공용 네트워크 프로필"은 주로 신뢰할 수 없는 네트워크 환경에서 컴퓨터를 사용할 때 추천하는 프로필로, "카페', "공항"과 같은 장소에서 public wifi에 접속한 사용자를 위한 프로필입니다.
public wifi 특성상 접속하는 대상이 불특정 다수이며 악의적인 목적의 사용자가 같은 네트워크에 있을 수 있기 때문에 "공용 네트워크" 프로필을 선택하면, [네트워크]에서 컴퓨터 검색 시 해당 컴퓨터가 네트워크에 노출되지 않도록 방화벽 규칙이 더 엄격하게 조정됩니다.

간혹, 회사 네트워크에서 "공유 폴더"를 제대로 설정했는데도 불구하고 다른 컴퓨터에서 해당 컴퓨터가 검색이 안되는 경우, "공용 네트워크"프로필을 선택했기 때문에 검색이 안되는 것입니다. 

 

네트워크 검색

 

회사에서 업무용으로 사용하는 컴퓨터(개인 네트워크 프로필)의 "공유 폴더"에 업무 자료를 넣어놓고, 암호 설정되지 않은 상태에서 "카페"나 "공항"과 같은 public wifi에 접속했다면 어떤 상황이 발생할까요?

업무용 노트북을 "카페", "공항" 등 신뢰할 수 없는 네트워크에서 사용하게 되는 경우, 프로필을 "공용" 네트워크 프로필로 바꿔주셔야 업무 자료 및 개인 정보 노출(컴퓨터 설정에 이름을 사용한 경우, 이름 노출됨)을 피할 수 있습니다.

 

네트워크 검색

 

저는 항상 "네트워크 검색 끄기", "파일 및 프린터 공유 끄기" 상태로 사용하지만, 만약 저게 "켜기" 상태인 사용자는 같은 무선공유기에 접속한 다른 사용자 컴퓨터에서 자신의 컴퓨터 이름 및 공유된 폴더가 노출될 수 있습니다.

 

공용 폴더 공유

 

윈도의 SMB를 이용한 "공유 폴더" 기능은 워너크라이와 같은 랜섬웨어의 주요 타겟이 되기 때문에, 개인적으로 업무용 컴퓨터라면 공유 폴더 기능 대신 윈도 자체의 FTP SERVER를 구축해서 사용하는 것을 추천합니다. 

FTP SERVER 구축에 대해서 궁금하시면 아래쪽에 "더보기" 버튼을 눌러서 확인 가능합니다.

저는 [검색] - [windows 기능 켜기/끄기]에서 SMB에 해당하는 모든 기능을 "비활성"화 시킨 상태로 사용합니다.

 

2020.11.24 - [Computer] - FTP 서버 구축 및 SK브로드밴드 포트 포워딩(PORT FORWARDING)

 

SMB - WINDOWS 기능 켜기/끄기

 

로컬 보안 정책 설정(보완 방법)

 

계정 잠금 임계값 설정

 

기본적으로 "공유 폴더"는 비밀번호를 설정하여 아무나 접근할 수 없도록 해야 합니다.(간혹 회사 네트워크에 비번 없는 공유 폴더 사용자가 확인됨)

SMB, 공유 폴더 기능을 사용해야 하는 경우 [검색] - [로컬 보안 정책] - [계정 정책] - [계정 잠금 임계값] 을 "기본값 0"에서 3번의 잘못된 로그온 시 차단으로 바꿔주세요.

Brute Force(무차별 대입) 공격을 시도하는 경우, 즉 3회 로그인 시도에서 틀린 경우 차단할 수 있게 됩니다.

 

 

공유 폴더관련 SMB 취약점

 

SMB 취약점 검색

 

윈도의 SMB 관련하여 알려진 취약점이 상당히 많습니다. 또한 nmap과 같은 network mapper의 nse script에는 이미 그 취약점을 검색 & 공략할 수 있는 scripts가 많기 때문에 보안 측면에서 비교적 위험하며, 특히 id/password가 단순한 경우 무차별대입 공격을 하게 되면 해당 폴더에 접근할 수 있습니다.

 

nmap script(smb 관련)

윈도 네트워크 프로필 선택에 따라 "방화벽"설정이 바뀌기 때문에, 신뢰할 수 없는 네트워크에서 인터넷을 사용하는 경우 네트워크 프로필을 확인하시고 "공용 네트워크" 프로필로 사용하세요. 또한 가능하면 "폴더 공유"는 비활성화하시고 업무용으로는 FTP SERVER 기능을 사용하는 것이 좋을 것 같습니다. 보안 취약점뿐만 아니라 랜섬웨어 감염시 "공유 폴더"를 통해 다른 컴퓨터 역시 감염시키는 경우가 많기 때문입니다.