예: MAC 제한 구성
예: DHCP 기아 공격으로부터 보호
DHCP 기아 공격에서 공격자는 스푸핑된(모조) MAC 주소의 DHCP 요청으로 이더넷 LAN을 플러딩하여 스위치의 과부하된 DHCP 서버가 스위치의 합법적인 DHCP 클라이언트에 IP 주소 및 리스 시간을 할당하지 못하게 합니다(따라서 기아라는 이름). 이러한 클라이언트의 요청은 삭제되거나 공격자가 설정한 불량 DHCP 서버로 전달됩니다.
이 예에서는 DHCP 기아 공격으로부터 스위치를 보호하기 위해 포트 보안 기능인 MAC 제한을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 또는 QFX3500 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상, QFX 시리즈 스위치용 Junos OS 릴리즈 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
DHCP 기아 공격을 완화하기 위한 포트 보안 기능인 MAC 제한을 구성하기 전에 다음을 확인하십시오.
DHCP 서버를 스위치에 연결했습니다.
스위치에서 VLAN employee-vlan 을 구성했습니다.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 일반적인 공격 유형 중 하나인 DHCP 기아 공격으로부터 스위치를 보호하는 방법에 대해 설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다. 이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. EX 시리즈 스위치에서 VLAN을 생성하는 절차는 예: EX 시리즈 스위치를 위한 여러 VLAN으로 브리징 설정 주제에 설명되어 있습니다. 이 절차는 여기서 반복되지 않습니다.
그림 1 은 이 예제의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예를 위한 토폴로지의 구성 요소는 표 1에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
QFX3500 스위치 |
VLAN 이름 및 ID |
직원-VLAN |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
어떤 인터페이스에도 MAC 제한이 설정되지 않았습니다.
DHCP 스누핑은 VLAN employee-vlan에서 비활성화됩니다.
모든 액세스 인터페이스는 신뢰할 수 없으며 이것이 기본 설정입니다.
구성
DHCP 기아 공격으로부터 스위치를 보호하기 위해 MAC 제한 포트 보안 기능을 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
MAC 제한을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣으십시오.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
단계별 절차
MAC 제한 구성:
ge-0/0/1에서 MAC 제한을 3으로 구성하고 인터페이스에서 제한이 초과된 경우 새 주소가 있는 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
ge-0/0/2에서 MAC 제한을 3으로 구성하고 인터페이스에서 제한이 초과된 경우 새 주소를 가진 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
결과
구성 결과를 확인합니다:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
확인
구성이 올바르게 작동하는지 확인하려면,
MAC 제한이 스위치에서 올바르게 작동하는지 확인
목적
MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
ge-0/0/1의 호스트와 ge-0/0/2의 호스트에서 DHCP 요청을 전송할 때 학습한 MAC 주소를 표시하며, 두 인터페이스 모두 작업 삭제와 함께 MAC 제한 3으로 설정됩니다.
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
의미
샘플 출력은 각 인터페이스에 대해 MAC 제한이 3 인 경우 ge-0/0/2 의 네 번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과하여 삭제되었음을 보여줍니다.
두 인터페이스 각각에서 3개의 MAC 주소만 학습할 수 있으므로 DHCP 기아 공격 시도는 실패합니다.
예: 불량 DHCP 서버 공격으로부터 보호
불량 DHCP 서버 공격에서 공격자는 불량 서버를 네트워크에 도입하여 네트워크의 DHCP 클라이언트에 IP 주소 임대를 제공하고 자신을 게이트웨이 디바이스로 할당할 수 있습니다.
이 예에서는 불량 DHCP 서버로부터 스위치를 보호하기 위해 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리즈 9.0 이상 또는 QFX 시리즈용 Junos OS 릴리즈 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
불량 DHCP 서버 공격을 완화하기 위해 신뢰할 수 없는 DHCP 서버 인터페이스를 구성하기 전에 다음을 확인하십시오.
DHCP 서버를 스위치에 연결했습니다.
VLAN에서 DHCP 스누핑을 활성화했습니다.
스위치에서 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 불량 DHCP 서버 공격으로부터 스위치를 보호하는 방법을 설명합니다.
이 예에서는 EX3200-24P 스위치 및 QFX3500 스위치에서 신뢰할 수 없는 인터페이스를 명시적으로 구성하는 방법을 보여 줍니다. 그림 2 는 이 예제의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예를 위한 토폴로지의 구성 요소는 표 2에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX3200-24P 1개, 포트 24개(PoE 포트 8개) 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17부터 192.0.2.30까지192.0.2.31은 서브넷의 브로드캐스트 주소입니다 |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑은 VLAN employee-vlan에서 활성화됩니다.
불량 DHCP 서버가 스위치에 연결된 인터페이스(포트)를 현재 신뢰할 수 있습니다.
구성
불량 DHCP 서버에서 인터페이스를 사용하고 있으므로 DHCP 서버 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
불량 DHCP 서버 인터페이스를 신뢰할 수 없는 것으로 빠르게 설정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
단계별 절차
DHCP 서버 인터페이스를 신뢰할 수 없는 인터페이스로 설정하려면 다음을 수행합니다.
DHCP 응답이 허용되지 않는 인터페이스(포트)를 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
결과
구성 결과를 확인합니다:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
예: 이더넷 스위칭 테이블 오버플로우 공격으로부터 보호
이더넷 스위칭 테이블 오버플로우 공격에서 침입자는 새로운 MAC 주소에서 너무 많은 요청을 전송하여 이더넷 스위칭 테이블이 꽉 찬 다음 오버플로가 발생하여 스위치가 모든 메시지를 브로드캐스트하도록 합니다.
다음 예에서는 이더넷 스위칭 테이블 공격으로부터 스위치를 보호하기 위해 MAC 제한 및 허용된 MAC 주소, 두 가지 포트 보안 기능을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 또는 QFX3500 스위치 1개
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 12.1 이상입니다.
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
일반적인 액세스 인터페이스 공격을 완화하기 위해 특정 포트 보안 기능을 구성하기 전에 다음을 확인하십시오.
DHCP 서버를 스위치에 연결했습니다.
스위치에서 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이 예에서는 이더넷 스위칭 테이블에 대한 공격으로 인해 테이블이 오버플로되어 스위치가 모든 메시지를 브로드캐스트하도록 하는 방법을설명합니다.
이 예에서는 DHCP 서버에 연결된 스위치에서 포트 보안 기능을 구성하는 방법을 보여 줍니다.
이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 해당 VLAN을 생성하는 절차는 예: EX 시리즈 스위치의 여러 VLAN으로 브리징 설정 및 예: QFX 시리즈의 여러 VLAN으로 브리징 설정 주제에 설명되어 있습니다. 이 절차는 여기에서 반복되지 않습니다. 그림 3 은 이 예제의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예에 대한 토폴로지의 구성 요소는 표 3에 나와 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28192.0.2.17 - 192.0.2.30 192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 MAC 제한 기능을 사용하여 지정된 인터페이스의 이더넷 스위칭 테이블에 추가할 수 있는 MAC 주소의 총 수를 제어합니다. 허용된 MAC 주소 기능을 사용하여 네트워크 액세스가 중요한 네트워크 디바이스의 주소가 이더넷 스위칭 테이블에 포함되도록 보장합니다.
이 예에서 스위치는 이미 다음과 같이 구성되었습니다.
스위치에서 보안 포트 액세스가 활성화됩니다.
어떤 인터페이스에도 MAC 제한이 설정되지 않았습니다.
모든 액세스 인터페이스는 신뢰할 수 없으며 이것이 기본 설정입니다.
구성
이더넷 스위칭 테이블 오버플로우 공격으로부터 스위치를 보호하기 위해 MAC 제한 및 일부 허용된 MAC 주소를 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
MAC 제한을 신속하게 구성하고, MAC 포워딩 테이블을 지우고, 일부 허용된 MAC 주소를 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
단계별 절차
MAC 제한 및 일부 허용된 MAC 주소를 구성합니다.
ge-0/0/1에서 MAC 제한을 4로 구성하고 인터페이스에서 제한이 초과되면 다른 주소를 가진 수신 패킷이 삭제되도록 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
MAC 주소 포워딩 테이블에서 인터페이스 ge-0/0/1의 현재 항목을 지웁니다.
user@switch# clear ethernet-switching-table interface ge-0/0/1
ge-0/0/2에서 허용되는 MAC 주소를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
결과
구성 결과를 확인합니다:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
확인
구성이 올바르게 작동하는지 확인하려면,
MAC 제한이 스위치에서 올바르게 작동하는지 확인
목적
MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
ge-0/0/1의 호스트에서 DHCP 요청이 전송된 후, 작업 삭제와 함께 MAC 제한 4로 설정된 인터페이스, 인터페이스 ge/0/0/2에서 허용되는 MAC 주소 4개를 구성한 후 MAC 캐시 정보를 표시합니다.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
샘플 출력은 인터페이스에 대한 MAC 제한이 4 인 경우 ge-0/0/1 의 다섯 번째 MAC 주소에 대한 DHCP 요청이 MAC 제한을 초과하여 삭제되었으며 지정된 허용 MAC 주소만 ge-0/0/2 인터페이스에서 학습되었음을 보여줍니다.