Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

스위치의 포트 보안을 위한 IP Source Guard 이해

이더넷 LAN 스위치는 소스 IP 주소 또는 소스 MAC 주소의 스푸핑(forging)과 관련된 공격에 취약합니다. IP Source Guard 액세스 포트 보안 기능을 사용하여 이러한 공격의 영향을 완화할 수 있습니다.

IP 주소 스푸핑

액세스 인터페이스의 호스트는 잘못된 주소가 포함된 패킷으로 스위치를 플러딩하여 소스 IP 주소와 소스 MAC 주소를 스푸핑할 수 있습니다. 이러한 공격은 TCP SYN 플러드 공격과 같은 다른 기법과 결합되어 DoS(Denial-of-Service) 공격을 야기할 수 있습니다. 소스 IP 주소 또는 소스 MAC 주소 스푸핑을 사용하면 시스템 관리자는 공격의 원인을 식별할 수 없습니다. 공격자는 동일한 서브넷 또는 다른 서브넷에서 주소를 스푸핑할 수 있습니다.

IP Source Guard의 작동 방식

IP 소스 가드는 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송되는 각 패킷을 검사합니다. 호스트와 연결된 IP 주소, MAC 주소, VLAN 및 인터페이스가 DHCP 스누핑 데이터베이스에 저장된 엔트리에 대해 검사됩니다. 패킷 헤더가 DHCP 스누핑 데이터베이스의 유효한 엔트리와 일치하지 않으면 스위치는 패킷을 전달하지 않습니다. 즉, 패킷은 폐기됩니다.

참고:
  • 스위치가 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈에 Junos OS를 사용하는 경우, VLAN에서 IP 소스 가드를 활성화하면 DHCP 스누핑이 자동으로 활성화됩니다. ELS(Configuring IP Source Guard)를 참조하십시오.

  • 스위치가 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않고 EX 시리즈에 Junos OS를 사용하고 VLAN에서 IP 소스 가드를 활성화하는 경우 해당 VLAN에서 DHCP 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCP 스누핑이 없는 기본값이 VLAN에 적용됩니다. ELS가 아닌 IP 소스 가드 구성을 참조하십시오.

IP 소스 가드가 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스에서 전송된 패킷을 검사합니다. 기본적으로 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스를 신뢰할 수 있습니다. IP 소스 가드는 신뢰할 수 있는 인터페이스에 연결된 장치에 의해 스위치로 전송된 패킷을 검사하지 않으므로 DHCP 서버를 해당 인터페이스에 연결하여 동적 IP 주소를 제공할 수 있습니다.

참고:

EX9200 스위치에서는 트렁크 인터페이스 untrusted 를 설정하여 IP 소스 가드를 지원할 수 있습니다.

IPv6 소스 가드

IPv6 소스 가드는 DHCPv6 스누핑을 지원하는 스위치에서 사용할 수 있습니다. 스위치가 DHCPv6 스누핑을 지원하는지 확인하려면 Feature Explorer를 참조하십시오.

DHCP 스누핑 테이블

IP 소스 가드는 DHCP 스누핑 테이블(DHCP 바인딩 테이블이라고도 함)에서 IP 주소 바인딩(IP-MAC 바인딩)에 대한 정보를 입수합니다. DHCP 스누핑 테이블은 동적 DHCP 스누핑을 통해 또는 특정 정적 IP 주소와 MAC 주소 바인딩의 구성을 통해 채워집니다. DHCP 스누핑 테이블에 대한 자세한 내용은 DHCP 스누핑 이해(ELS)를 참조하십시오.

DHCP 스누핑 테이블을 표시하려면 스위치 CLI에 표시되는 운영 모드 명령을 실행합니다.

DHCP 스누핑의 경우:

DHCPv6 스누핑의 경우:

IP Source Guard를 사용하는 다른 Junos OS 기능의 일반적인 사용

다음과 같은 다양한 다른 포트 보안 기능을 통해 IP 소스 가드를 구성할 수 있습니다.

  • VLAN 태깅(음성 VLAN에 사용)

  • GRES(Graceful Routing Engine Switchover)

  • Virtual Chassis 구성

  • 링크 어그리게이션 그룹(LAG)

  • 단일 서플리컨트, 단일 보안 서플리컨트 또는 다중 서플리컨트 모드에서 802.1X 사용자 인증.

    참고:

    단일 보안 서플리컨트 또는 다중 서플리컨트 모드에서 801.X 사용자 인증을 구현하는 동안 다음 구성 지침을 사용하십시오.

    • 802.1X 인터페이스가 태그가 지정되지 않은 MAC 기반 VLAN의 일부이며 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스가 태그되지 않은 멤버쉽이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다. 또한 IPv6 소스 가드 및 DHCPv6 스누핑에도 적용됩니다.

    • 802.1X 인터페이스가 태그된 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스가 멤버쉽을 태그한 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다. 또한 IPv6 소스 가드 및 DHCPv6 스누핑에도 적용됩니다.