예: MAC 제한 구성
예: DHCP 기아 공격으로부터 보호
DHCP 기아 공격에서 공격자는 스푸핑된(위조) MAC 주소의 DHCP 요청으로 이더넷 LAN을 플러딩하여 스위치의 과로한 DHCP 서버가 스위치의 합법적인 DHCP 클라이언트에 IP 주소 및 임대 시간 할당을 중단하게 합니다(따라서 이름이 고갈됨). 이러한 클라이언트의 요청은 삭제되거나 공격자가 설정한 불량 DHCP 서버로 전달됩니다.
이 예에서는 DHCP 기아 공격으로부터 스위치를 보호하기 위해 포트 보안 기능인 MAC 제한을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈 스위치의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
DHCP 기아 공격을 완화하기 위해 포트 보안 기능인 MAC 제한을 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에 VLAN employee-vlan 을 구성했습니다.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 일반적인 공격 유형인 DHCP 기아 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다. 이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. EX 시리즈 스위치에서 VLAN을 생성하는 절차는 예: EX 시리즈 스위치를 위한 여러 VLAN으로 브리징 설정 주제에 설명되어 있습니다. 절차는 여기서 반복되지 않습니다.
그림 1 은 이 예의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
QFX3500 스위치 |
VLAN 이름 및 ID |
직원 VLAN |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
어떤 인터페이스에도 MAC 제한이 설정되지 않습니다.
DHCP 스누핑은 VLAN employee-vlan에서 비활성화됩니다.
모든 액세스 인터페이스는 신뢰할 수 없으며, 이것이 기본 설정입니다.
구성
DHCP 기아 공격으로부터 스위치를 보호하기 위해 MAC 제한 포트 보안 기능을 구성하려면 다음과 같이 하십시오.
절차
CLI 빠른 구성
MAC 제한을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
단계별 절차
MAC 제한 구성:
ge-0/0/1에서 MAC 제한을 3으로 구성하고 인터페이스에서 제한을 초과할 경우 새 주소를 가진 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
ge-0/0/2에서 MAC 제한을 3으로 구성하고 인터페이스에서 제한을 초과한 경우 새 주소를 가진 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
확인
구성이 제대로 작동하는지 확인하려면:
MAC 제한이 스위치에서 올바르게 작동하는지 확인
목적
MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
ge-0/0/1의 호스트와 ge-0/0/2의 호스트에서 DHCP 요청이 전송될 때 학습한 MAC 주소를 표시하며, 두 인터페이스 모두 작업 드롭과 함께 MAC 제한 3으로 설정됩니다.
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
의미
샘플 출력은 각 인터페이스에 대해 MAC 제한이 3 인 경우 ge-0/0/2 의 네 번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과했기 때문에 삭제되었음을 보여줍니다.
두 인터페이스 각각에서 3개의 MAC 주소만 학습할 수 있기 때문에 시도된 DHCP 기아 공격은 실패합니다.
예: 불량 DHCP 서버 공격으로부터 보호
불량 DHCP 서버 공격에서 공격자는 불량 서버를 네트워크에 유입하여 네트워크의 DHCP 클라이언트에 IP 주소 임대를 제공하고 자신을 게이트웨이 디바이스로 할당할 수 있습니다.
이 예에서는 불량 DHCP 서버로부터 스위치를 보호하기 위해 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
불량 DHCP 서버 공격을 완화하기 위해 신뢰할 수 없는 DHCP 서버 인터페이스를 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
VLAN에서 DHCP 스누핑을 활성화했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 불량 DHCP 서버 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 EX3200-24P 스위치와 QFX3500 스위치에서 신뢰할 수 없는 인터페이스를 명시적으로 구성하는 방법을 보여 줍니다. 그림 2 는 이 예의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 2에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 - 192.0.2.30192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑은 VLAN employee-vlan에서 활성화됩니다.
불량 DHCP 서버가 스위치에 연결된 인터페이스(포트)는 현재 신뢰할 수 있습니다.
구성
불량 DHCP 서버에서 DHCP 서버 인터페이스를 사용 중이므로 해당 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음과 같이 하십시오.
절차
CLI 빠른 구성
불량 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 신속하게 설정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
단계별 절차
DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 설정하려면 다음과 같이 하십시오.
DHCP 응답이 허용되지 않는 인터페이스(포트)를 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
예: 이더넷 스위칭 테이블 오버플로우 공격으로부터 보호
이더넷 스위칭 테이블 오버플로우 공격에서는 침입자가 새 MAC 주소에서 너무 많은 요청을 전송하여 이더넷 스위칭 테이블이 가득 찼다가 오버플로우되어 스위치가 모든 메시지를 브로드캐스트하도록 강요합니다.
이 예에서는 이더넷 스위칭 테이블 공격으로부터 스위치를 보호하기 위해 두 개의 포트 보안 기능인 MAC 제한 및 허용된 MAC 주소를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 12.1 이상.
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
일반적인 액세스 인터페이스 공격을 완화하기 위해 특정 포트 보안 기능을 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 이더넷 스위칭 테이블에 대한 공격으로부터 스위치를 보호하여 테이블 오버플로우를 유발하여 스위치가 모든 메시지를 브로드캐스트하도록 하는 방법을 설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다.
이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 해당 VLAN을 생성하는 절차는 예: EX 시리즈 스위치에 대한 여러 VLAN으로 브리징 설정 및 예: QFX 시리즈에 대한 여러 VLAN으로 브리징 설정 주제에 설명되어 있습니다. 이 절차는 여기서 반복되지 않습니다. 그림 3 은 이 예의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 3에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28192.0.2.17 - 192.0.2.30 192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서는 MAC 제한 기능을 사용하여 지정된 인터페이스에 대한 이더넷 스위칭 테이블에 추가할 수 있는 MAC 주소의 총 수를 제어합니다. 허용된 MAC 주소 기능을 사용하여 네트워크 액세스가 중요한 네트워크 디바이스의 주소가 이더넷 스위칭 테이블에 포함되도록 보장합니다.
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
어떤 인터페이스에도 MAC 제한이 설정되지 않습니다.
모든 액세스 인터페이스는 신뢰할 수 없으며, 이것이 기본 설정입니다.
구성
MAC 제한 및 일부 허용된 MAC 주소를 구성하여 이더넷 스위칭 테이블 오버플로우 공격으로부터 스위치를 보호하려면,
절차
CLI 빠른 구성
MAC 제한을 신속하게 구성하고, MAC 포워딩 테이블을 지우고, 허용된 일부 MAC 주소를 구성하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
단계별 절차
MAC 제한 및 일부 허용된 MAC 주소를 구성합니다.
ge-0/0/1에서 MAC 제한을 4로 구성하고 인터페이스에서 제한을 초과하면 다른 주소를 가진 수신 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
MAC 주소 포워딩 테이블에서 인터페이스 ge-0/0/1에 대한 현재 엔트리를 삭제합니다.
user@switch# clear ethernet-switching-table interface ge-0/0/1
ge-0/0/2에서 허용되는 MAC 주소를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
확인
구성이 제대로 작동하는지 확인하려면:
MAC 제한이 스위치에서 올바르게 작동하는지 확인
목적
MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
ge-0/0/1의 호스트에서 DHCP 요청을 전송하고, 액션 드롭으로 인터페이스를 MAC 제한 4로 설정하고, 인터페이스 ge/0/0/2에서 허용되는 MAC 주소 4개를 구성한 후 MAC 캐시 정보를 표시합니다.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
샘플 출력은 인터페이스에 대한 MAC 제한이 4 인 경우 ge-0/0/1 의 다섯 번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과하고 지정된 허용 MAC 주소만 ge-0/0/2 인터페이스에서 학습되었기 때문에 삭제되었음을 보여줍니다.