예: 공격으로부터 장비를 보호하기 위해 지정된 브리지 도메인에서 IP 소스 가드 구성 및 동적 ARP 검사
이 예에서는 지정된 브리지 도메인에서 IP 소스 가드 및 DAI(Dynamic ARP Inspection)를 활성화하여 스푸핑된 IP/MAC 주소 및 ARP 스푸핑 공격으로부터 장치를 보호하는 방법을 설명합니다. IP Source Guard 또는 DAI를 활성화하면 컨피규레이션을 통해 동일한 브리지 도메인에 대한 DHCP 스누핑을 자동으로 수행할 수 있습니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
1개의 MX 시리즈 라우터
Junos OS 릴리스 14.1
디바이스의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
ARP 스푸핑 공격을 완화하기 위해 IP/MAC 스푸핑 또는 DAI를 방지하기 위해 IP 소스 가드를 구성하기 전에 다음 사항을 확인해야 합니다.
DHCP 서버를 디바이스에 연결했습니다.
DHCP 보안 기능을 추가하는 브리지 도메인을 구성했습니다. MX 시리즈 라우터 클라우드 CPE 서비스를 위한 브리지 도메인 구성을 참조하십시오.
개요 및 토폴로지
이더넷 LAN 장치는 소스 MAC 주소 또는 소스 IP 주소의 스푸핑(forging)과 관련된 보안 공격에 취약합니다. 이러한 스푸핑된 패킷은 디바이스의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. IP Source Guard는 장치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송된 패킷에서 IP 소스 주소와 MAC 소스 주소를 DHCP 스누핑 데이터베이스에 저장된 엔트리에 대해 검사합니다. IP Source Guard가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 포함되어 있는지 확인하면 디바이스가 패킷을 전달하지 않도록 합니다. 즉, 패킷은 폐기됩니다.
또 다른 유형의 보안 공격은 ARP 스푸핑(ARP 포이징 또는 ARP 캐시 포이징이라고도 함)입니다. ARP 스푸핑은 중간자(man-in-the-middle) 공격을 시작하는 방법입니다. 공격자는 브리지 도메인에 있는 다른 장비의 MAC 주소를 스푸핑하는 ARP 패킷을 보냅니다. 적절한 네트워크 디바이스로 트래픽을 전송하는 대신, 해당 디바이스를 가장하는 스푸핑된 주소를 가진 장비로 트래픽을 보냅니다. 가장하는 디바이스가 공격자의 시스템인 경우 공격자는 장비에서 다른 장비로 이동해야 하는 모든 트래픽을 수신합니다. 결과적으로 디바이스의 트래픽이 잘못 연결되고 적절한 대상에 도달할 수 없습니다.
DAI가 활성화되면 디바이스는 발신자의 IP 및 MAC 주소와 함께 각 인터페이스에서 수신하는 잘못된 ARP 패킷의 수를 기록합니다. 이러한 로그 메시지를 사용하여 네트워크에서 ARP 스푸핑을 검색할 수 있습니다.
이 예에서는 DHCP 서버에 연결된 디바이스에서 이러한 중요한 포트 보안 기능을 구성하는 방법을 보여줍니다. 이 예제의 설정에는 스위칭 디바이스의 브리지 도메인 employee-bdomain 이 포함됩니다. 그림 1 은 이 예제의 토폴로지를 보여주고 있습니다.
DHCP 서버 인터페이스에 연결하는 트렁크 인터페이스는 기본적으로 신뢰할 수 있는 포트입니다.
토폴로지
이 예제의 토폴로지 구성 요소는 표 1에 나와 있습니다.
| 속성 | 설정 |
|---|---|
디바이스 하드웨어 |
1개의 MX 시리즈 라우터 |
브리지 도메인 이름 및 ID |
|
브리지 도메인 서브넷 |
|
인터페이스 |
|
DHCP 서버에 연결되는 인터페이스 |
|
이 예에서는 디바이스가 이미 다음과 같이 구성되었습니다.
모든 액세스 포트는 신뢰할 수 없는 것으로, 기본 설정입니다.
트렁크 포트(ge-0/0/8)는 기본 설정인 트렁크 포트를 신뢰할 수 있습니다.
브리지 도메인(
employee-bdomain)은 지정된 인터페이스를 포함하도록 구성되었습니다.
구성
절차
CLI 빠른 구성
IP 소스 가드 및 DAI를 신속하게 구성하려면(그리고 이에 따라 IP 스푸핑 및 ARP 공격으로부터 장치를 보호하기 위해 DHCP 스누핑을 자동으로 구성), 다음 명령을 복사하여 디바이스 터미널 창에 붙여넣습니다.
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
단계별 절차
브리지 도메인에서 IP 소스 가드 및 DAI(그리고 이에 따라 DHCP 스누핑을 자동으로 구성)를 구성하려면 다음을 수행합니다.
브리지 도메인에서 IP 소스 가드를 구성합니다.
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
브리지 도메인에서 DAI 사용:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
결과
구성 결과를 확인합니다.
user@device> show bridge-domains employee-bdomain forwarding-options
employee-bdomain {
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
}
}
}
확인
구성이 올바르게 작동하는지 확인합니다.
디바이스에서 DHCP 스누핑이 올바르게 작동하는지 검증
목적
DHCP 스누핑이 디바이스에서 작동하는지 확인합니다.
작업
디바이스에 연결된 네트워크 디바이스(여기에 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 장비에 연결하는 포트를 신뢰할 수 있을 때 DHCP 스누핑 정보를 표시합니다. 요청이 MAC 주소에서 전송되고 서버가 IP 주소와 임대를 제공한 경우 다음 출력 결과:
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
의미
DHCP 서버가 장비에 연결하는 인터페이스를 신뢰할 수 있도록 설정하면 할당된 IP 주소, 디바이스의 MAC 주소, VLAN 이름 및 시간이 임대가 만료되기 전에 몇 초만에 출력(앞 샘플 참조)이 표시됩니다.
브리지 도메인에서 IP Source Guard가 작동하는지 검증
목적
IP 소스 가드가 브리지 도메인에서 활성화되고 작동하는지 확인합니다.
작업
디바이스에 연결된 네트워크 디바이스(여기에 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다. 데이터 브리지 도메인에 대한 IP 소스 보호 정보를 봅니다.
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
의미
IP 소스 가드 데이터베이스 테이블에는 IP 소스 가드를 위해 활성화된 VLANS 및 브리지 도메인이 포함되어 있습니다.
DAI가 디바이스에서 올바르게 작동하는지 검증
목적
DAI가 디바이스에서 작동하는지 확인합니다.
작업
디바이스에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.
DAI 정보 표시:
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
의미
샘플 출력은 각 인터페이스별로 수신 및 검사되는 ARP 패킷의 수와 통과한 패킷 수, 각 인터페이스에서 검사에 실패한 패킷 수의 목록을 보여줍니다. 이 장치는 ARP 요청과 DHCP 스누핑 데이터베이스의 엔트리와 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 엔트리와 일치하지 않으면 패킷이 삭제됩니다.