Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: 불량 DHCP 서버 공격으로부터 보호

불량 DHCP 서버 공격에서 공격자는 불량 서버를 네트워크에 유입하여 네트워크의 DHCP 클라이언트에 IP 주소 임대를 제공하고 자신을 게이트웨이 디바이스로 할당할 수 있습니다.

이 예에서는 불량 DHCP 서버로부터 스위치를 보호하기 위해 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 구성하는 방법을 설명합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개

  • EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

불량 DHCP 서버 공격을 완화하기 위해 신뢰할 수 없는 DHCP 서버 인터페이스를 구성하기 전에 다음을 수행해야 합니다.

  • DHCP 서버를 스위치에 연결했습니다.

  • VLAN에서 DHCP 스누핑을 활성화했습니다.

  • 스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 불량 DHCP 서버 공격으로부터 스위치를 보호하는 방법을 설명합니다.

이 예에서는 EX3200-24P 스위치와 QFX3500 스위치에서 신뢰할 수 없는 인터페이스를 명시적으로 구성하는 방법을 보여 줍니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.

위상수학

그림 1: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.

표 1: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개

VLAN 이름 및 ID

employee-vlan, 태그 20

VLAN 서브넷

192.0.2.16/28 192.0.2.17 - 192.0.2.30192.0.2.31은 서브넷의 브로드캐스트 주소입니다.

employee-vlan의 인터페이스

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예에서 스위치는 이미 다음과 같이 구성되었습니다.

  • 스위치에서 보안 포트 액세스가 활성화됩니다.

  • DHCP 스누핑은 VLAN employee-vlan에서 활성화됩니다.

  • 불량 DHCP 서버가 스위치에 연결된 인터페이스(포트)는 현재 신뢰할 수 있습니다.

구성

불량 DHCP 서버에서 DHCP 서버 인터페이스를 사용 중이므로 해당 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음과 같이 하십시오.

절차

CLI 빠른 구성

불량 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 신속하게 설정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 설정하려면 다음과 같이 하십시오.

  • DHCP 응답이 허용되지 않는 인터페이스(포트)를 지정합니다.

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

DHCP 서버 인터페이스를 신뢰할 수 없는지 확인

목적

DHCP 서버를 신뢰할 수 없는지 확인합니다.

행동

  1. 스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.

  2. DHCP 서버가 스위치에 연결하는 포트를 신뢰할 수 없는 경우 DHCP 스누핑 정보를 표시합니다.

의미

DHCP 스누핑 데이터베이스에 항목이 추가되지 않으므로 명령의 출력이 없습니다.