라우터 포렌식 기초와 잡생각... 소식백배

얼마전 SansForensic 블로그에 올라온 Cisco Router Forensics 란 포스트는 매우 흥미롭다.
사실 라우터 포렌식은 그다지 할일이 많지 않다. 라우팅 정보는 분명하게도 너무나 귀중한
정보이긴 하나, 실무적으로 할 틈을 주지 않고 있다.

우리나라는 지금 (개인적인 생각으론)쓰잘데기 없는 사이버 모욕죄 따위를 만들것이
아니라 누군가의 말처럼 IP든 이메일이든 추적해야 할때 정확히 빠르게 추적할 수 있는
공공 인프라를 정비 하는 것만으로도 많은 사이버 범죄에 대한 대응을 할 수가 있다.

해당 글중 소개되는 것들은
show audit, show access-lists, show users, show routing table, show arp
라우터 휘발성 정보 수집을 위한 명령어들과 show tcp 같은 통계용 명령어 혹은 전체
라우터 메모리를 dump 뜨는 write core까지... 다양하고 유용한 증거를 추출 할수 있는
기초적인 명령어들이다.
이런건 (제대로된) 라우터 관리자 (혹은 네트워크 담당자)들 대부분이 이미 알고 있는 내용들이다.
하지만 사고는 단일 넷퉉안에서만 발생하는게 드물며 그에 따른 다른 기관이나 단체와 협조는
필수적일 수 밖에 없다. 위에서 언급한 정보들은 말 그대로 Realtime Data들이며 다시 말해 그
의미 시점을 넘겨버리면 이미 무가치한 정보들이 된다. 다이아몬드가 돌덩이가 되어 버리는 것과
비슷하다고 보면 된다. 이걸 놓친다면 사고를 일으킨 장본인까지의 연결 고리가 중간에서 끊기는
것과 같다. 실무자 입장에서 울화통 터지는 일이다. 그까짓 IP 사용자 조회 하는데 빨라야 2,3일
길면 한달 거기다가 조회할 IP가 많아지면 시간은 점점 늘어나며, 분명 전산화되어 있다고 확신!하는
해당자료는 사람에 의해 비전산화된 자료로 둔갑하여 제공된다.그렇다면 라우팅 정보는 얼마나 갈까?
모델에 따라 다르겠지만,확실한건 그 IP가 연결되어 있는 상태가 아니면 이미 추정자료로 바뀌게 된다.
거기서 그 추정자료에 대한 보관까지도 보통 2,3일, 일주일전 자료를 보고자 하면 이미 그사람의 운을
시험하는 꼴이 된다.더해서 한달이전의 자료를 보고자 한다면 비웃음을 사기 딱 좋은 입장이 된다.

최근 성행하는 DDOS를 비롯한 전자동 공격들은 말그대로 관련 IP들이 실시간 조회 되어도 종단을
색출해 내는게 그리 쉬운 일은 아니다. 그런데도 불구하고 개인정보보호를 핑계로 이런 말도 안되는
꽉막힌 업무 처리 관행은 정말 보호 받아야 할 사람들과 정보를 보호 하지 못하고 있다.
말그대로 제도 자체가 형편없다고 밖에 볼수가 없다. 공격자들의 정보를 보호하며 고객들의 개인정보를
사고 팔고, 혹은 회사 경영상의 핑계로 여기저기 복사 하는 행위는 정말 아이러니한 행태다.
게다가 두가지 다 겪고 있는 일부의 사람들에겐 심한 분노를 느끼게 한다.

글이 왜 이런식으로 흘러갔는진 모르지만, 일단 아무리 그래도 포렌식을 위한 라우터 기본 명령 정도는
알아두는게 좋기에 올려본다-_-(마무리가 이상한데?!ㅋ) 아무튼 라우터 자체가 침해를 당했을때의
문제도 심각하기에 그때를 대비해서라도 알아야할 기초 명령어 정리가 잘되어 있는 문서다.



간단 메모














구글리더공유

내 전자서재


encykei[at]gmail[dot]com