예: IP 스푸핑 및 ARP 스푸핑으로부터 스위치를 보호하기 위한 IP Source Guard 및 동적 ARP 검사 구성
이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 Junos OS를 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 예: ARP 스푸핑 공격으로부터 보호를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
EX9200 스위치에서 DHCP 스누핑, DAI 및 IP 소스 가드는 MC-LAG 시나리오에서 지원되지 않습니다.
이 예에서는 스푸핑된 IP/MAC 주소 및 ARP 스푸핑 공격으로부터 스위치를 보호하기 위해 지정된 VLAN에서 IP 소스 가드 및 DAI(Dynamic ARP Inspection)를 활성화하는 방법을 설명합니다. IP 소스 가드 또는 DAI를 활성화하면 동일한 VLAN에 대해 DHCP 스누핑이 자동으로 활성화됩니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
이 예는 QFX5100, QFX5110 및 QFX5200 스위치에도 적용됩니다.
EX4300 스위치 또는 EX9200 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리스 13.2X50-D10 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
IP/MAC 스푸핑 또는 DAI를 방지하여 ARP 스푸핑 공격을 완화하도록 IP 소스 가드를 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
DHCP 보안 기능을 추가할 VLAN을 구성했습니다.
개요 및 토폴로지
이더넷 LAN 스위치는 소스 MAC 주소 또는 소스 IP 주소의 스푸핑(위조)과 관련된 보안 공격에 취약합니다. 이러한 스푸핑된 패킷은 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. 이러한 스푸핑된 패킷은 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. IP 소스 가드는 DHCP 스누핑 데이터베이스에 저장된 항목과 비교하여 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 보낸 패킷의 IP 소스 주소 및 MAC 소스 주소를 확인합니다. IP 소스 가드가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 포함되어 있다고 판단하면 스위치가 패킷을 전달하지 않도록 하여 패킷이 삭제되도록 합니다.
또 다른 유형의 보안 공격은 ARP 스푸핑(ARP 포이즈닝 또는 ARP 캐시 포이즈닝이라고도 함)입니다. ARP 스푸핑은 메시지 가로채기(man-in-the-middle) 공격을 시작하는 방법입니다. 공격자는 LAN에 있는 다른 디바이스의 MAC 주소를 스푸핑하는 ARP 패킷을 보냅니다. 스위치는 적절한 네트워크 디바이스로 트래픽을 전송하는 대신 적절한 디바이스를 가장하는 스푸핑된 주소를 사용하여 디바이스로 트래픽을 전송합니다. 가장 디바이스가 공격자의 컴퓨터인 경우 공격자는 다른 디바이스로 이동했어야 하는 스위치에서 모든 트래픽을 수신합니다. 그 결과 스위치의 트래픽이 잘못 전달되어 적절한 대상에 도달할 수 없습니다.
동적 ARP 검사(DAI)가 활성화되면 스위치는 발신자의 IP 및 MAC 주소와 함께 각 인터페이스에서 수신하는 잘못된 ARP 패킷 수를 기록합니다. 이러한 로그 메시지를 사용하여 네트워크에서 ARP 스푸핑을 발견할 수 있습니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 이러한 중요한 포트 보안 기능을 구성하는 방법을 보여 줍니다. 이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.
DHCP 서버 인터페이스에 연결하는 트렁크 인터페이스는 기본적으로 신뢰할 수 있는 포트입니다. DHCP 서버를 액세스 포트에 연결하는 경우 포트를 신뢰할 수 있는 포트로 구성해야 합니다. 이렇게 하기 전에 서버가 물리적으로 안전한지, 즉 서버에 대한 액세스가 모니터링되고 제어되는지 확인하십시오. DHCP의 신뢰할 수 있는 포트와 신뢰할 수 없는 포트에 대한 자세한 내용은 신뢰할 수 있는 DHCP 서버 이해 및 사용을 참조하십시오.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX4300 또는 EX9200 스위치 1개 |
VLAN 이름 및 ID |
|
|
|
VLAN 서브넷 |
|
의 인터페이스 |
|
DHCP 서버에 연결하는 인터페이스 |
|
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
모든 액세스 포트는 신뢰할 수 없으며, 이것이 기본 설정입니다.
트렁크 포트(
ge-0/0/8)는 신뢰할 수 있으며 기본 설정입니다.VLAN(
employee-vlan)이 지정된 인터페이스를 포함하도록 구성되었습니다.
구성
IP 스푸핑 및 ARP 공격으로부터 스위치를 보호하기 위해 IP 소스 가드 및 DAI를 구성하려면(이에 따라 DHCP 스누핑도 자동으로 구성) 다음을 수행합니다.
절차
CLI 빠른 구성
IP 소스 가드 및 DAI를 신속하게 구성하려면(이에 따라 DHCP 스누핑도 자동으로 구성) 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
단계별 절차
VLAN에서 IP 소스 가드 및 DAI를 구성합니다(이에 따라 DHCP 스누핑도 자동으로 구성).
VLAN에서 IP 소스 가드를 구성합니다.
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
VLAN에서 DAI를 활성화합니다.
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
결과
구성 결과를 확인합니다.
user@switch> show vlans employee-vlan forwarding-options
employee-vlan {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
DHCP 스누핑이 스위치에서 올바르게 작동하는지 확인
목적
DHCP 스누핑이 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 스위치에 연결하는 포트를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
의미
DHCP 서버가 스위치에 연결하는 인터페이스가 trusted로 설정된 경우, 출력(이전 샘플 참조)은 할당된 IP 주소에 대해 디바이스의 MAC 주소, VLAN 이름 및 리스가 만료되기까지 남은 시간(초 단위)을 표시합니다.
IP Source Guard가 VLAN에서 작동하는지 확인
목적
IP 소스 가드가 사용하도록 설정되어 있고 VLAN에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다. 데이터 VLAN에 대한 IP 소스 가드 정보를 봅니다.
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
의미
IP 소스 가드 데이터베이스 테이블에는 IP 소스 가드에 사용하도록 설정된 VLAN이 포함되어 있습니다.
DAI가 스위치에서 올바르게 작동하는지 확인
목적
DAI가 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.
DAI 정보를 표시합니다.
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
의미
샘플 출력은 인터페이스당 수신 및 검사된 ARP 패킷 수를 보여주며, 각 인터페이스에서 통과된 패킷 수와 검사에 실패한 패킷 수를 나열합니다. 스위치는 ARP 요청 및 응답을 DHCP 스누핑 데이터베이스의 항목과 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.