Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: MAC 제한 구성

예: DHCP 기아 공격으로부터 보호

DHCP 기아 공격에서 공격자는 스푸핑(위조) MAC 주소의 DHCP 요청으로 이더넷 LAN을 플러딩하여 스위치의 오버워딩된 DHCP 서버가 스위치의 합법적인 DHCP 클라이언트에 IP 주소 및 임대 시간을 할당하지 못하게 합니다(따라서 이름 기아). 해당 클라이언트의 요청은 공격자에 의해 설정된 불량 DHCP 서버로 드롭되거나 연결됩니다.

이 예에서는 포트 보안 기능인 MAC 제한 기능을 구성하여 DHCP 기아 공격으로부터 스위치를 보호하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • EX 시리즈 또는 QFX3500 스위치 1개

  • EX 시리즈 스위치용 Junos OS 릴리스 9.0 이상 또는 QFX 시리즈 스위치용 Junos OS 릴리스 12.1 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

포트 보안 기능인 MAC 제한 기능을 구성하기 전에 DHCP의 고갈 공격을 완화하기 위해서는 다음 사항을 확인해야 합니다.

  • DHCP 서버를 스위치에 연결했습니다.

  • 스위치에서 VLAN 직원 vlan 을 구성했습니다.

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스의 스푸핑 및 DoS 공격을 해결하기에 취약합니다. 이 예에서는 일반적인 공격 유형인 DHCP 기아 공격으로부터 스위치를 보호하는 방법을 설명합니다.

이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여줍니다. 이 예제의 설정에는 스위치의 VLAN 직원 vlan 이 포함됩니다. EX 시리즈 스위치에서 VLAN을 생성하는 절차는 예 : EX 시리즈 스위치를 위한 여러 VLAN을 통한 브리징 설정(Setting Up Bridging)이라는 주제에 설명되어 있습니다. 절차는 여기에서 반복되지 않습니다.

그림 1 은 이 예제의 토폴로지를 보여주고 있습니다.

토폴로지

그림 1: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예제의 토폴로지 구성 요소는 표 1에 나와 있습니다.

표 1: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

QFX3500 스위치

VLAN 이름 및 ID

직원 vlan

직원 vlan 인터페이스

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예에서는 스위치가 이미 다음과 같이 구성되었습니다.

  • 스위치에서 안전한 포트 액세스가 활성화됩니다.

  • 어떤 인터페이스에도 MAC 제한이 설정되지 않습니다.

  • DHCP 스누핑은 VLAN 직원 vlan에서 비활성화됩니다.

  • 모든 액세스 인터페이스는 신뢰할 수 없는 것으로, 기본 설정입니다.

구성

DHCP의 고갈 공격으로부터 스위치를 보호하기 위해 MAC 제한 포트 보안 기능을 구성하려면 다음을 수행합니다.

절차

CLI 빠른 구성

MAC 제한을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.

단계별 절차

MAC 제한 구성:

  1. ge-0/0/1에서 MAC 제한을 3으로 구성하고 인터페이스에서 한도가 초과된 경우 새 주소가 있는 패킷이 드롭되도록 지정합니다.

  2. ge-0/0/2에서 MAC 제한을 3으로 구성하고 인터페이스에서 한도가 초과된 경우 새 주소가 있는 패킷이 드롭되도록 지정합니다.

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.

MAC Limiting이 스위치에서 올바르게 작동하는지 검증

목적

MAC 제한이 스위치에서 작동하는지 확인합니다.

작업

스위치에 연결된 네트워크 디바이스(여기에 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.

ge-0/0/1의 호스트와 ge-0/0/2의 호스트에서 DHCP 요청이 전송되는 경우, 두 인터페이스가 모두 MAC 한도인 3으로 설정되어 작업 드롭을 통해 MAC 주소를 표시합니다.

의미

샘플 출력은 각 인터페이스에 대한 MAC 한계 가 3 인 경우, ge-0/0/2 에서 네 번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과했기 때문에 삭제되었다는 것을 보여줍니다.

각 인터페이스에서 3개의 MAC 주소만 학습할 수 있기 때문에 DHCP 기아 공격을 시도하면 실패합니다.

예: 불량 DHCP 서버 공격으로부터 보호

불량 DHCP 서버 공격에서 공격자는 네트워크에 불량 서버를 도입하여 네트워크의 DHCP 클라이언트에 IP 주소 임대를 제공하고 게이트웨이 장치로 자신을 할당할 수 있습니다.

이 예에서는 불량 DHCP 서버로부터 스위치를 보호하기 위해 신뢰할 수 없는 DHCP 서버 인터페이스를 구성하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개

  • EX 시리즈 스위치 또는 QFX 시리즈의 Junos OS 릴리스 12.1 이상용 Junos OS 릴리스 9.0 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

신뢰할 수 없는 DHCP 서버 인터페이스를 구성하여 불량 DHCP 서버 공격을 완화하기 전에 다음 사항을 확인해야 합니다.

  • DHCP 서버를 스위치에 연결했습니다.

  • VLAN에서 DHCP 스누핑을 활성화했습니다.

  • 스위치에서 VLAN을 구성했습니다. 플랫폼의 작업 보기:

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스의 스푸핑 및 DoS 공격을 해결하기에 취약합니다. 이 예에서는 불량 DHCP 서버 공격으로부터 스위치를 보호하는 방법을 설명합니다.

이 예에서는 EX3200-24P 스위치와 QFX3500 스위치에서 신뢰할 수 없는 인터페이스를 명시적으로 구성하는 방법을 보여줍니다. 그림 2 는 이 예의 토폴로지를 보여주고 있습니다.

토폴로지

그림 2: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예제의 토폴로지 구성 요소는 표 2에 나와 있습니다.

표 2: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개

VLAN 이름 및 ID

직원 vlan, 태그 20

VLAN 서브넷

192.0.2.16/28 192.0.2.17 ~ 192.0.2.30192.0.2.31 은 서브넷의 브로드캐스트 주소입니다.

직원 vlan 인터페이스

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예에서는 스위치가 이미 다음과 같이 구성되었습니다.

  • 스위치에서 안전한 포트 액세스가 활성화됩니다.

  • VLAN 직원 vlan에서 DHCP 스누핑이 활성화됩니다.

  • 불량 DHCP 서버가 스위치에 연결된 인터페이스(포트)는 현재 신뢰할 수 있습니다.

구성

인터페이스가 불량 DHCP 서버에 의해 사용되기 때문에 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 구성하려면 다음을 수행합니다.

절차

CLI 빠른 구성

불량 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 신속하게 설정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 설정하려면 다음을 수행합니다.

  • DHCP 응답이 허용되지 않는 인터페이스(포트)를 지정합니다.

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

DHCP 서버 인터페이스가 신뢰할 수 없는지 검증

목적

DHCP 서버가 신뢰할 수 없는지 확인합니다.

작업
  1. 스위치에 연결된 네트워크 디바이스(여기에 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.

  2. DHCP 서버가 스위치에 연결하는 포트를 신뢰할 수 없는 경우 DHCP 스누핑 정보를 표시합니다.

의미

DHCP 스누핑 데이터베이스에 엔트리가 추가되지 않기 때문에 명령의 출력은 없습니다.

예: 이더넷 스위칭 테이블 오버플로우 공격으로부터 보호

이더넷 스위칭 테이블 오버플로우 공격에서 침입자는 새로운 MAC 주소로부터 너무 많은 요청을 전송하여 이더넷 스위칭 테이블이 채워진 다음 오버플로우되어 스위치가 모든 메시지를 브로드캐스트하도록 강요합니다.

이 예에서는 이더넷 스위칭 테이블 공격으로부터 스위치를 보호하기 위해 MAC 제한 및 허용 MAC 주소( 2개의 포트 보안 기능)를 구성하는 방법에 대해 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • EX 시리즈 스위치 또는 QFX3500 스위치 1개

  • EX 시리즈 스위치 또는 QFX 시리즈의 Junos OS 12.1 이상에 대한 Junos OS 릴리스 9.0 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

일반적인 액세스 인터페이스 공격을 완화하기 위해 특정 포트 보안 기능을 구성하기 전에 다음 사항을 확인해야 합니다.

  • DHCP 서버를 스위치에 연결했습니다.

  • 스위치에서 VLAN을 구성했습니다. 플랫폼의 작업 보기:

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스의 스푸핑 및 DoS 공격을 해결하기에 취약합니다. 이 예에서는 테이블을 오버플로우하고 스위치가 모든 메시지를 브로드캐스트하도록 강제하는 이더넷 스위칭 테이블의 공격으로부터 스위치를 보호하는 방법을 설명합니다.

이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여줍니다.

이 예제의 설정에는 스위치의 VLAN 직원 vlan 이 포함됩니다. VLAN을 만드는 절차는 예: EX 시리즈 스위치를 위한 여러 VLAN을 통한 브리징 설정 , 예: QFX 시리즈를 위한 여러 VLAN을 통한 브리징 설정 이라는 주제에 설명되어 있습니다. 이 절차는 여기에서 반복되지 않습니다. 그림 3 은 이 예의 토폴로지를 보여주고 있습니다.

토폴로지

그림 3: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예의 토폴로지 구성 요소는 표 3에 나와 있습니다.

표 3: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개

VLAN 이름 및 ID

직원 vlan, 태그 20

VLAN 서브넷

192.0.2.16/28 192.0.2.17 ~ 192.0.2.30 192.0.2.31은 서브넷의 브로드캐스트 주소입니다.

직원 vlan 인터페이스

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예에서는 MAC 제한 기능을 사용하여 지정된 인터페이스에 대해 이더넷 스위칭 테이블에 추가할 수 있는 MAC 주소의 총 수를 제어합니다. 허용 MAC 주소 기능을 사용하여 네트워크 액세스가 중요한 네트워크 장치의 주소가 이더넷 스위칭 테이블에 포함되도록 보장합니다.

이 예에서는 스위치가 이미 다음과 같이 구성되었습니다.

  • 스위치에서 안전한 포트 액세스가 활성화됩니다.

  • 어떤 인터페이스에도 MAC 제한이 설정되지 않습니다.

  • 모든 액세스 인터페이스는 신뢰할 수 없는 것으로, 기본 설정입니다.

구성

MAC 제한 및 일부 허용 MAC 주소를 구성하여 이더넷 스위칭 테이블 오버플로우 공격으로부터 스위치를 보호하려면 다음을 수행합니다.

절차

CLI 빠른 구성

MAC 제한을 신속하게 구성하고 MAC 포워딩 테이블을 비우고 허용된 일부 MAC 주소를 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.

단계별 절차

MAC 제한 및 허용 MAC 주소를 구성합니다.

  1. ge-0/0/1에서 MAC 제한을 4로 구성하고 인터페이스에서 한도가 초과되면 서로 다른 주소를 가진 수신 패킷이 드롭되도록 지정합니다.

  2. MAC 주소 포워딩 테이블에서 인터페이스 ge-0/0/1의 현재 엔트리 지우기:

  3. ge-0/0/2에서 허용된 MAC 주소를 구성합니다.

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.

MAC Limiting이 스위치에서 올바르게 작동하는지 검증

목적

MAC 제한이 스위치에서 작동하는지 확인합니다.

작업

ge-0/0/1의 호스트에서 DHCP 요청이 전송된 후, 인터페이스가 작업 드롭(action drop)으로 MAC 한도(4)로 설정되고, 인터페이스 ge/0/0/0/2에서 4개의 허용 MAC 주소가 구성된 후 MAC 캐시 정보를 표시합니다.

의미

샘플 출력은 인터페이스에 대한 MAC 한계 가 4 인 경우, ge-0/0/1 에서 5번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과했으며 지정된 허용 MAC 주소만 ge-0/0/2 인터페이스에서 학습되었음을 보여줍니다.