예: ARP 스푸핑 공격으로부터 보호
ARP 스푸핑 공격에서 공격자는 자신의 MAC 주소를 스위치에 연결된 네트워크 디바이스의 IP 주소와 연결합니다. 해당 IP 주소를 위한 트래픽은 이제 의도한 대상으로 전송되지 않고 공격자에게 전송됩니다. 공격자는 LAN에서 가짜 또는 "스푸핑된" ARP 메시지를 보낼 수 있습니다.
동적 ARP 검사(DAI)가 활성화되면 스위치는 발신자의 IP 및 MAC 주소와 함께 각 인터페이스에서 수신하는 잘못된 ARP 패킷 수를 기록합니다. 이러한 로그 메시지를 사용하여 네트워크에서 ARP 스푸핑을 발견할 수 있습니다. ARP 프로브 패킷은 동적 ARP 검사를 거치지 않습니다. 스위치는 항상 이러한 패킷을 전달합니다.
이 예에서는 ARP 스푸핑 공격으로부터 스위치를 보호하기 위해 두 가지 포트 보안 기능인 DHCP 스누핑 및 동적 ARP 검사(DAI)를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 11.4 이상 또는 QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
ARP 스푸핑 공격을 완화하기 위해 DHCP 스누핑 및 DAI(2포트 보안 기능)를 구성하기 전에 다음을 준비해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
예: QFX 시리즈 스위치용 스위치의 다중 VLAN으로 브리징 설정
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 일반적인 공격 유형인 ARP 스푸핑 공격으로부터 스위치를 보호하는 방법을 설명합니다.
ARP 스푸핑 공격에서 공격자는 가짜 ARP 메시지를 보내 LAN에 다양한 유형의 문제를 야기합니다. 예를 들어 공격자가 메시지 가로채기(man-in-the-middle) 공격을 시작할 수 있습니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다. 이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 해당 VLAN을 생성하는 절차는 예: EX 시리즈 스위치에 대한 다중 VLAN을 통한 브리징 설정 및 예: QFX 시리즈용 스위치의 다중 VLAN을 통한 브리징 설정 주제에 설명되어 있습니다. 이 절차는 여기서 반복되지 않습니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.
위상수학
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
속성 | 설정 |
---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 - 192.0.2.30192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑은 VLAN employee-vlan에서 비활성화됩니다.
모든 액세스 포트는 신뢰할 수 없으며, 이것이 기본 설정입니다.
구성
ARP 공격으로부터 스위치를 보호하기 위해 DHCP 스누핑 및 동적 ARP 검사(DAI)를 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
DHCP 스누핑 및 동적 ARP 검사(DAI)를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
단계별 절차
VLAN에서 DHCP 스누핑 및 동적 ARP 검사(DAI)를 구성합니다.
ge-0/0/8 인터페이스를 신뢰할 수 있는 것으로 설정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
VLAN에서 DHCP 스누핑을 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
VLAN에서 DAI를 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/8.0 { dhcp-trusted; } vlan employee-vlan { arp-inspection; examine-dhcp; }
확인
구성이 올바르게 작동하고 있는지 확인합니다.
DHCP 스누핑이 스위치에서 올바르게 작동하는지 확인
목적
DHCP 스누핑이 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 스위치에 연결하는 포트를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
의미
DHCP 서버가 스위치에 연결하는 인터페이스가 trusted로 설정된 경우 출력(앞의 샘플 참조)은 각 MAC 주소에 대해 할당된 IP 주소와 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다.
DAI가 스위치에서 올바르게 작동하는지 확인
목적
DAI가 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.
DAI 정보를 표시합니다.
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
의미
샘플 출력은 인터페이스당 수신 및 검사된 ARP 패킷 수를 보여주며, 각 인터페이스에서 통과된 패킷 수와 검사에 실패한 패킷 수를 나열합니다. 스위치는 ARP 요청 및 응답을 DHCP 스누핑 데이터베이스의 항목과 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.