신뢰할 수 있는 DHCP 서버 이해 및 사용
신뢰할 수 있는 포트와 신뢰할 수 없는 포트 및 DHCP 서버 이해
DHCP 서버는 네트워크의 DHCP 클라이언트에 IP 주소 및 기타 구성 정보를 제공합니다. DHCP 서버에 대해 신뢰할 수 있는 포트를 사용하면 임대를 보내는 불량 DHCP 서버로부터 보호할 수 있습니다.
신뢰할 수 없는 포트는 DHCP 서버에서 트래픽을 삭제하여 권한이 없는 서버가 클라이언트에 구성 정보를 제공하지 못하도록 합니다.
기본적으로 모든 트렁크 포트는 DHCP에 대해 신뢰되며 모든 액세스 포트는 신뢰할 수 없습니다.
트렁크 포트를 신뢰할 수 없는 것으로 설정하도록 기본 동작의 재정의를 구성하여 해당 인터페이스의 모든 수신 DHCP 서버 메시지를 차단할 수 있습니다. 이는 공격자가 인증되지 않은 서버를 네트워크에 침입하는 불량 DHCP 서버 공격을 방지하는 데 유용합니다. 이 서버가 DHCP 클라이언트에 제공하는 정보는 네트워크 액세스를 방해할 수 있습니다. 인증되지 않은 서버는 자신을 네트워크의 기본 게이트웨이 디바이스로 할당할 수도 있습니다. 그런 다음 공격자는 네트워크 트래픽을 스니핑하여 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다. 즉, 합법적인 네트워크 디바이스로 의도된 트래픽을 자신이 선택한 디바이스로 잘못 전달합니다.
액세스 포트를 신뢰할 수 있는 포트로 구성할 수도 있습니다. DHCP 서버를 액세스 포트에 연결하는 경우 포트를 신뢰할 수 있는 포트로 구성해야 합니다. 이렇게 하기 전에 서버가 물리적으로 안전한지, 즉 서버에 대한 액세스가 모니터링되고 제어되는지 확인하십시오.
신뢰할 수 있는 DHCP 서버(ELS) 활성화
이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다.
DHCP 서버에 연결된 스위치의 모든 인터페이스를 신뢰할 수 있는 인터페이스(포트)로 구성할 수 있습니다. 신뢰할 수 있는 인터페이스에서 DHCP 서버를 구성하면 임대를 전송하는 불량 DHCP 서버로부터 보호할 수 있습니다.
기본적으로 모든 액세스 인터페이스는 신뢰할 수 없으며 모든 트렁크 인터페이스는 신뢰할 수 있습니다. 그러나 VLAN 내에 액세스 인터페이스 그룹을 구성하고, 해당 그룹에 속할 인터페이스를 지정한 다음, 그룹을 신뢰할 수 있는 것으로 구성하여 액세스 인터페이스에 대한 기본 설정을 재정의할 수 있습니다.
신뢰할 수 있는 DHCP 서버를 구성하려면 먼저 VLAN을 구성해야 합니다. ELS를 지원하는 EX 시리즈 스위치용 VLAN 구성(CLI 절차)을 참조하십시오.
CLI를 사용하여 신뢰할 수 없는 액세스 인터페이스를 DHCP 서버에 대한 신뢰할 수 있는 인터페이스로 구성하려면 다음을 수행합니다.
신뢰할 수 있는 DHCP 서버 활성화(비 ELS)
신뢰할 수 있는 DHCP 서버 및 포트를 사용하여 네트워크에서 불량 임대를 보내는 불량 DHCP 서버로부터 보호할 수 있습니다. 기본적으로 DHCP의 경우 모든 트렁크 포트는 신뢰할 수 있으며 모든 액세스 포트는 신뢰할 수 없습니다. 또한 인터페이스에서만 DHCP 서버를 설정할 수 있습니다. 즉, VLAN 사용은 지원되지 않습니다.
신뢰할 수 있는 포트를 통해 DHCP 서버는 요청 디바이스에 IP 주소 및 기타 정보를 제공할 수 있습니다. 신뢰할 수 없는 포트는 DHCP 서버에서 트래픽을 삭제하여 권한이 없는 서버가 클라이언트에 구성 정보를 제공하지 못하도록 합니다.
DHCP 서버를 호스팅할 포트를 구성하려면 Junos CLI에서 다음 명령을 입력합니다.
[edit ethernet-switching-options secure-access port] user@switch# set interface ge-0/0/8 dhcp-trusted
여기서 인터페이스 ge-0/0/8 은 네트워크에 유효한 신뢰할 수 있고 물리적으로 안전한 인터페이스입니다.
또한보십시오
신뢰할 수 있는 DHCP 서버 활성화(MX 시리즈 라우터)
DHCP 서버에 연결되는 스위칭 디바이스의 모든 인터페이스를 신뢰할 수 있는 인터페이스(포트)로 구성할 수 있습니다. 신뢰할 수 있는 인터페이스에서 DHCP 서버를 구성하면 임대를 전송하는 불량 DHCP 서버로부터 보호할 수 있습니다.
기본적으로 모든 액세스 인터페이스는 신뢰할 수 없으며 모든 트렁크 인터페이스는 신뢰할 수 있습니다. 그러나 브리지 도메인 내에서 액세스 인터페이스 그룹을 구성하고, 해당 그룹에 속할 인터페이스를 지정한 다음, 그룹을 신뢰할 수 있는 것으로 구성하여 액세스 인터페이스에 대한 기본 설정을 재정의할 수 있습니다.
신뢰할 수 있는 DHCP 서버를 구성하려면 먼저 브리지 도메인을 구성해야 합니다.
CLI를 사용하여 신뢰할 수 없는 액세스 인터페이스를 DHCP 서버에 대한 신뢰할 수 있는 인터페이스로 구성하려면 다음을 수행합니다.
신뢰할 수 있는 DHCP 서버가 올바르게 작동하는지 확인
목적
DHCP 신뢰 서버가 스위치에서 작동 중인지 확인합니다. DHCP 서버를 신뢰한 다음 신뢰할 수 없는 경우 어떤 일이 발생하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 스위치에 연결하는 인터페이스를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
의미
DHCP 서버가 스위치에 연결하는 인터페이스가 trusted로 설정된 경우 출력(앞의 샘플 참조)은 각 MAC 주소에 대해 할당된 IP 주소와 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다.
DHCP 서버가 신뢰할 수 없는 것으로 구성된 경우 DHCP 스누핑 데이터베이스에 항목이 추가되지 않으며 명령 출력 show dhcp snooping binding
에 아무 것도 표시되지 않습니다.
또한보십시오
DHCP 보안에 대해 트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성(CLI 절차)
인터페이스 그룹을 구성하기 전에 VLAN을 구성해야 합니다. ELS를 지원하는 EX 시리즈 스위치용 VLAN 구성(CLI 절차)을 참조하십시오.
신뢰할 수 없는 트렁크 인터페이스는 VLAN에서 활성화된 경우 다음과 같은 DHCP 보안 기능을 지원합니다.
DHCP 및 DHCPv6 스누핑
동적 ARP 검사
IPv6 인접 검색 검사
트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 VLAN 내에서 인터페이스 그룹을 구성하고 트렁크 인터페이스를 그룹에 추가한 다음 그룹을 신뢰할 수 없는 것으로 구성해야 합니다. 그룹에는 하나 이상의 인터페이스가 있어야 합니다.
DHCP 보안에 대해 트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음을 수행합니다.