[W-24] NetBIOS 바인딩 서비스 구동 점검
볼때마다 까먹어..
점검 내용
NetBIOS 바인딩 서비스를 구동하고 있는지 확인하는 항목.
NebBIOS가 뭔데
같은 네트워크 안에서 컴퓨터 이름으로 서로 찾고 통신하게 해주는 오래된 통신 방식
✅ 주요 기능 3가지
이름 서비스 (Name Service)
→ 컴퓨터 이름을 IP 주소로 바꾸는 기능 (DNS처럼)
세션 서비스 (Session Service)
→ 두 컴퓨터 간 연결 세션을 만들어서 안정적으로 데이터를 주고받는 기능
데이터그램 서비스 (Datagram Service)
→ 연결 없이 빠르게 데이터를 보내는 기능 (UDP처럼)
🛠 예시
\\COMPUTER123\공유폴더 처럼 이름으로 공유 폴더에 접근할 수 있는 이유가 NetBIOS 덕분.
Windows 네트워크에서 호스트 이름으로 서로 찾는 기능도 NetBIOS가 도와준다
⚠️ 보안 관련
NetBIOS는 보안에 취약하고, 인터넷 환경에 맞지 않아 요즘은 사용을 줄이거나 차단하는 게 일반적이다.
137, 138, 139 포트가 열려 있으면 NetBIOS 관련 서비스가 켜져 있다는 뜻이고, 종종 정보 유출 위험으로 점검 대상이 됨
NetBIOS 는 네트워크 인터페이스 별로 설정할 수 있음.
네트워크 인터페이스가 뭔데?
컴퓨터가 **인터넷이나 다른 컴퓨터랑 연결될 때 사용하는 “통신 통로”
✨ 컴퓨터 = 사람
✨ 네트워크 인터페이스 = 귀나 입, 전화기
내가 누군가와 얘기하려면 입으로 말하고 귀로 들어야 하지?
컴퓨터도 다른 컴퓨터랑 소통하려면 네트워크 인터페이스라는 "입/귀"가 필요하다!
💻 내 컴퓨터 인터페이스
- 이더넷 : 유선 / 인터넷 선 꽂는 부분 (랜선)
- Wi-Fi :무선 / 인터넷 연결 (와이파이)
- Bluetooth : PAN / 블루투스로 다른 기기와 연결
- Loopback : 자기 자신이랑 통신 (127.0.0.1)
- 가상 어댑터 : 가상 머신이나 VPN 쓸 때 만들어짐
컴퓨터에는 여러 개의 **인터넷 통로(인터페이스)**가 있을 수 있고, 각각의 통로는 자기만의 IP주소, 설정, 방화벽, NetBIOS 같은 설정을 따로 가짐 그래서 NetBIOS 같은 건 “인터페이스마다 따로 켜고 끌 수 있음”!
점검 방법
WMIC NICConfig 를 입력하면 현재 네트워크 인터페이스 목록을 볼 수 있다.컴퓨터에 설치된 **모든 네트워크 인터페이스(NIC)**에 대한 구성 정보를 출력해줌 (IP 연결 여부, DHCP 상태, 게이트웨이, NetBIOS 등 포함)
출력 예시는 아래와 같다.
Caption : [00000001] vmxnet3 이더넷 어댑터 # NIC이름
DHCPEnabled : TRUE # DHCP사용여부(IP를 자동으로 받는 중인지)
IPAddress : {"172.16.152.4", "fe80::5054:ff:fe12:3456"} # IP주소
DefaultIPGateway : {"172.16.152.1"} # 기본 게이트웨이
IPSubnet : {"255.255.255.0"} # 서브넷 마스크
MACAddress : 00:0C:29:12:34:56 # MAC
IPEnabled : TRUE # *** IP 활성화 여부 **** 실제 인터넷에 연결되어있는지 확인.
TcpipNetbiosOptions : 0 # NetBIOS 설정. 0기본값(DHCP 설정에 따라 자동으로 활성화 가능) 1활성화 2비활성화
여기서 우리가 봐야할 건 IPEnabled가 TRUE 되어있는 애들 중에 TcpipNetbiosOptions 가 2가 안되어있는 것들.
실제로 IPEnabled 가 되어있는 NIC의 경우, 그 네트워크에 속해있다고 보면 된다. 그 네트워크에 속해있는데 NetBios 설정이 안꺼진 거면 네트워크 내에서 검색이 가능해지고, 공격의 대상이 될 수 있음.
AD 서버를 사용할 경우 꺼도 된다고 하지만, 일부 서비스에서는 문제가 될 수 있기때문에 담당자 확인 후 끄는게 좋다!