Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IP 패킷 보호

일부 공격자는 IP 옵션 필드를 악용할 수 있으며, 원래 의도는 특수 라우팅 제어, 진단 도구 및 보안을 제공하는 것이었습니다. 이러한 옵션을 잘못 구성함으로써 공격자는 패킷 내에 불완전하거나 잘못된 형식의 필드를 생성합니다. 공격자는 이러한 잘못된 형식의 패킷을 사용하여 네트워크의 호스트를 손상시킬 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

IP 패킷 조각 보호 이해

패킷이 서로 다른 네트워크를 통과할 때 각 네트워크의 최대 전송 단위(MTU)에 따라 패킷을 더 작은 조각(조각)으로 분할해야 하는 경우가 있습니다. IP 조각에는 특정 IP 스택 구현의 패킷 리어셈블리 코드에 있는 취약점을 악용하려는 공격자의 시도가 포함될 수 있습니다. 피해자가 이러한 패킷을 수신하면 패킷이 잘못 처리되는 것부터 전체 시스템이 충돌하는 것까지 다양한 결과가 나타날 수 있습니다. 그림 1을 참조하십시오.

그림 1: IP 패킷 조각 IP Packet Fragments

Junos OS가 보안 영역에서 IP 조각을 거부하도록 활성화하면 해당 영역에 바인딩된 인터페이스에서 수신하는 모든 IP 패킷 조각이 차단됩니다.

참고:

Junos OS는 IPv4 및 IPv6 패킷 모두에 대해 IP 단편화 보호를 지원합니다.

IPv6 패킷에서 단편 정보는 IPv6 헤더에 존재하지 않습니다. 프래그먼트 정보는 IPv6 프래그먼트화 및 리어셈블리를 담당하는 프래그먼트 확장 헤더에 있습니다. 단편화가 필요한 경우 소스 노드는 IPv6 헤더와 페이로드 헤더 사이에 단편화 확장 헤더를 삽입합니다. 그림 2를 참조하십시오.

그림 2: IPv6 패킷 IPv6 Packet

부분 확장 헤더의 일반적인 형식은 그림 3에 나와 있습니다.

그림 3: 부분 확장 헤더 Fragment Extension Header

예: 단편화된 IP 패킷 삭제

이 예는 단편화된 IP 패킷을 삭제하는 방법을 보여줍니다.

요구 사항

시작하기 전에 IP 패킷 조각 보호를 이해합니다. 의심스러운 패킷 속성 개요를 참조하십시오.

개요

이 기능이 활성화되면 Junos OS는 보안 영역에서 IP 조각을 거부하고 해당 영역에 바인딩된 인터페이스에서 수신되는 모든 IP 패킷 조각을 차단합니다.

이 예에서는 zone1 보안 영역에서 시작되는 단편화된 IP 패킷을 삭제하도록 블록 조각 화면을 구성합니다.

토폴로지

구성

절차

단계별 절차

단편화된 IP 패킷 삭제:

  1. 화면을 구성합니다.

  2. 보안 영역을 구성합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .

잘못된 IP 옵션 보호 이해

IP 표준 RFC 791, 인터넷 프로토콜은 특수 라우팅 제어, 진단 도구 및 보안을 제공하는 8가지 옵션 집합을 지정합니다. 이러한 옵션에 대한 원래의 의도된 용도는 가치 있는 목적을 달성했지만 사람들은 덜 칭찬할 만한 목표를 달성하기 위해 이러한 옵션을 왜곡하는 방법을 알아냈습니다.

의도적이든 우발적이든 공격자는 IP 옵션을 잘못 구성하여 불완전하거나 잘못된 형식의 필드를 생성하는 경우가 있습니다. 패킷을 만든 사람의 의도와 관계없이 잘못된 서식은 변칙적이며 의도한 받는 사람에게 잠재적으로 해로울 수 있습니다. 그림 4를 참조하십시오.

그림 4: 잘못 포맷된 IP 옵션 Incorrectly Formatted IP Options

잘못된 IP 옵션 보호 화면 옵션을 활성화하면 Junos OS는 IP 패킷 헤더의 IP 옵션이 잘못 포맷된 경우 패킷을 차단합니다. 또한 Junos OS는 이벤트 로그에 이벤트를 기록합니다.

참고:

Junos OS는 IPv4 및 IPv6 패킷 모두에 대해 잘못된 IP 옵션 보호를 지원합니다.

예: 잘못된 형식의 옵션으로 IP 패킷 차단

이 예는 잘못된 형식의 옵션을 가진 대형 ICMP 패킷을 차단하는 방법을 보여줍니다.

요구 사항

시작하기 전에 잘못된 IP 옵션 보호 이해. 의심스러운 패킷 속성 개요를 참조하십시오.

개요

잘못된 IP 옵션 보호 화면 옵션을 활성화하면 Junos OS는 IP 패킷 헤더의 IP 옵션이 잘못 포맷된 경우 패킷을 차단합니다. 또한 Junos OS는 이벤트 로그에 이벤트를 기록합니다.

이 예에서는 zone1 보안 영역에서 시작되는 대규모 ICMP 패킷을 차단하기 위해 IP bad 옵션 화면을 구성합니다.

토폴로지

구성

절차

단계별 절차

잘못된 형식의 IP 옵션을 가진 IP 패킷을 탐지하고 차단하려면,

  1. 화면을 구성합니다.

    참고:

    현재 이 화면 옵션은 IPv4에만 적용할 수 있습니다.

  2. 보안 영역을 구성합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .

알 수 없는 프로토콜 보호 이해

최신 IANA 프로토콜 번호 문서에 따르면 ID 번호가 143 이상인 프로토콜 유형은 현재 예약되어 정의되지 않습니다. 이러한 프로토콜이 정의되지 않았기 때문에 알려지지 않은 특정 프로토콜이 무해한지 악성인지 미리 알 수 있는 방법이 없습니다.

네트워크에서 ID 번호가 143 이상인 비표준 프로토콜을 사용하지 않는 한 이러한 알 수 없는 요소가 보호된 네트워크에 들어오지 못하도록 차단하는 것이 신중해야 합니다. 그림 5를 참조하십시오.

그림 5: 알 수 없는 프로토콜 Unknown Protocols

알 수 없는 프로토콜 보호 화면 옵션을 활성화하면 Junos OS는 프로토콜 필드에 기본적으로 143 이상의 프로토콜 ID 번호가 포함되어 있을 때 패킷을 삭제합니다.

참고:

IPv6 프로토콜에 대해 알 수 없는 프로토콜 보호 화면 옵션을 활성화하면 Junos OS는 프로토콜 필드에 기본적으로 143 이상의 프로토콜 ID 번호가 포함되어 있을 때 패킷을 삭제합니다.

예: 알 수 없는 프로토콜을 사용한 패킷 삭제

이 예는 알 수 없는 프로토콜을 사용하여 패킷을 삭제하는 방법을 보여줍니다.

요구 사항

시작하기 전에 알 수 없는 프로토콜 보호를 이해합니다. 의심스러운 패킷 속성 개요를 참조하십시오.

개요

알 수 없는 프로토콜 보호 화면 옵션을 활성화하면 Junos OS는 프로토콜 필드에 기본적으로 137 이상의 프로토콜 ID 번호가 포함되어 있을 때 패킷을 삭제합니다.

이 예에서는 알 수 없는 프로토콜 화면을 구성하여 zone1 보안 영역에서 알 수 없는 프로토콜로 패킷을 차단합니다.

토폴로지

구성

절차

단계별 절차

알 수 없는 프로토콜을 사용하는 패킷 삭제하기:

  1. 알 수 없는 프로토콜 구성 화면입니다.

  2. 보안 영역을 구성합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security screen statistics zone zone-name .

IP 차단 조각 화면에 대한 허용 목록 이해

Junos OS는 IP 블록 조각 화면에서 신뢰할 수 있는 IP 주소의 허용 목록을 구성할 수 있는 관리 옵션을 제공합니다. 영역에서 IP 블록 단편화를 활성화하면 Junos OS는 IP 조각을 거부하고 모든 IP 패킷 조각을 차단합니다. 조각화된 모든 IP 패킷이 삭제됩니다. 이러한 패킷이 삭제되는 것을 방지하고 대신 이러한 패킷이 IP 블록 단편화 검사를 우회하도록 허용하려면 IP 차단 단편화 허용 목록을 구성해야 합니다.

IP 블록 단편화 화면에서 허용 목록을 구성하면 허용 목록 그룹의 소스 주소에서 오는 트래픽이 IP 차단 단편화 검사를 우회합니다. IP 블록 조각 허용 목록은 IPv4 및 IPv6 주소를 모두 지원하며 각 허용 목록에는 최대 32개의 IP 주소 접두사가 있을 수 있습니다. 단일 주소 또는 서브넷 주소를 구성할 수 있습니다.

IP 차단 단편 허용 목록의 이점

  • IP 블록 단편화 허용 목록은 IP 차단 단편화 검사를 우회하여 특정 소스에서 단편화된 IP 패킷을 허용합니다.