Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

스위치의 포트 보안을 위한 IP Source Guard 이해

이더넷 LAN 스위치는 소스 IP 주소 또는 소스 MAC 주소의 스푸핑(위조)과 관련된 공격에 취약합니다. IP 소스 가드 액세스 포트 보안 기능을 사용하여 이러한 공격의 영향을 완화할 수 있습니다.

IP 주소 스푸핑

액세스 인터페이스의 호스트는 잘못된 주소가 포함된 패킷으로 스위치를 플러딩하여 소스 IP 주소 및 소스 MAC 주소를 스푸핑할 수 있습니다. 이러한 공격은 TCP SYN 플러드 공격과 같은 다른 기술과 결합되어 DoS(서비스 거부) 공격을 일으킬 수 있습니다. 소스 IP 주소 또는 소스 MAC 주소 스푸핑을 사용하면 시스템 관리자가 공격의 소스를 식별할 수 없습니다. 공격자는 동일한 서브넷 또는 다른 서브넷에서 주소를 스푸핑할 수 있습니다.

IP Source Guard 작동 방식

IP 소스 가드는 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송된 각 패킷을 검사합니다. 호스트와 관련된 IP 주소, MAC 주소, VLAN 및 인터페이스는 DHCP 스누핑 데이터베이스에 저장된 항목에 대해 확인됩니다. 패킷 헤더가 DHCP 스누핑 데이터베이스의 유효한 항목과 일치하지 않으면 스위치는 패킷을 전달하지 않습니다. 즉, 패킷이 삭제됩니다.

메모:

  • 스위치가 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈용 Junos OS를 사용하는 경우, VLAN에서 IP 소스 가드를 활성화하면 DHCP 스누핑이 자동으로 활성화됩니다. ELS(IP Source Guard) 구성을 참조하십시오.

  • 스위치가 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않고 EX 시리즈용 Junos OS를 사용하고 VLAN에서 IP 소스 가드를 활성화하는 경우, 해당 VLAN에서 DHCP 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCP 스누핑 없음의 기본값이 VLAN에 적용됩니다. IP Source Guard 구성(비 ELS)을 참조하십시오.

IP 소스 가드는 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스에서 보낸 패킷을 검사합니다. 기본적으로 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스는 신뢰할 수 있습니다. IP 소스 가드는 DHCP 서버가 해당 인터페이스에 연결되어 동적 IP 주소를 제공할 수 있도록 신뢰할 수 있는 인터페이스에 연결된 디바이스에서 스위치로 보낸 패킷을 검사하지 않습니다.

메모:

EX9200 스위치에서 IP 소스 가드를 지원하도록 트렁크 인터페이스를 로 untrusted 설정할 수 있습니다.

IPv6 소스 가드

IPv6 소스 가드는 DHCPv6 스누핑을 지원하는 스위치에서 사용할 수 있습니다. 스위치가 DHCPv6 스누핑을 지원하는지 확인하려면 기능 탐색기를 참조하십시오.

DHCP 스누핑 테이블

IP 소스 가드는 DHCP 바인딩 테이블이라고도 하는 DHCP 스누핑 테이블에서 MAC 주소 바인딩(IP-MAC 바인딩)에 대한 IP 주소에 대한 정보를 가져옵니다. DHCP 스누핑 테이블은 동적 DHCP 스누핑 또는 MAC 주소 바인딩에 대한 특정 정적 IP 주소의 구성을 통해 채워집니다. DHCP 스누핑 테이블에 대한 자세한 내용은 DHCP 스누핑 이해(ELS)를 참조하십시오.

DHCP 스누핑 테이블을 표시하려면 스위치 CLI에 나타나는 운영 모드 명령을 실행합니다.

DHCP 스누핑의 경우:

DHCPv6 스누핑의 경우:

IP Source Guard와 함께 기타 Junos OS 기능의 일반적인 사용

다음과 같은 다양한 기타 포트 보안 기능을 사용하여 IP 소스 가드를 구성할 수 있습니다.

  • VLAN 태깅(음성 VLAN에 사용)

  • GRES(Graceful Routing Engine Switchover)

  • Virtual Chassis 구성

  • 링크 어그리게이션 그룹(LAG)

  • 단일 요청자, 단일 보안 요청자 또는 다중 요청자 모드에서 802.1X 사용자 인증.

    메모:

    단일 보안 신청자 또는 다중 신청자 모드에서 801.X 사용자 인증을 구현하는 동안 다음 구성 지침을 사용하십시오.

    • 802.1X 인터페이스가 태그가 지정되지 않은 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그가 지정되지 않은 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다. 이는 IPv6 소스 가드 및 DHCPv6 스누핑에도 적용됩니다.

    • 802.1X 인터페이스가 태그가 지정된 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다. 이는 IPv6 소스 가드 및 DHCPv6 스누핑에도 적용됩니다.

관련 문서