DAI(Dynamic ARP Inspection) 이해 및 사용
DAI(Dynamic ARP Inspection)는 ARP(Address Resolution Protocol) 패킷 스푸핑(ARP poisoning 또는 ARP 캐시 포이즈닝)으로부터 스위칭 장비를 보호합니다.
DAI는 LAN에서 ARP를 검사하고 스위치의 DHCP 스누핑 데이터베이스의 정보를 사용하여 ARP 패킷을 검증하고 ARP 스푸핑으로부터 보호합니다. ARP 요청 및 회신은 DHCP 스누핑 데이터베이스의 엔트리와 비교되며, 이러한 비교 결과에 따라 필터링 결정이 내려집니다. 공격자가 위조된 ARP 패킷을 사용하여 주소를 스푸핑하려고 하면 스위치가 주소를 데이터베이스의 엔트리와 비교합니다. ARP 패킷의 미디어 액세스 제어(MAC) 주소 또는 IP 주소가 DHCP 스누핑 데이터베이스의 유효한 엔트리와 일치하지 않으면 패킷이 드롭됩니다.
ARP 스푸핑 및 검사 이해
ARP 패킷은 라우팅 엔진으로 전송되며 CPU 오버로드로부터 스위칭 디바이스를 보호하기 위해 속도가 제한됩니다.
주소 해결 프로토콜
멀티 액세스 네트워크에서 IP 패킷을 전송하려면 IP 주소를 이더넷 MAC 주소에 매핑해야 합니다.
이더넷 LAN은 ARP를 사용하여 MAC 주소를 IP 주소에 매핑합니다.
스위칭 장비는 네트워크 디바이스에 패킷을 포워딩할 때 참조하는 캐시에서 이러한 매핑을 유지합니다. ARP 캐시에 대상 장비에 대한 엔트리가 포함되어 있지 않으면 호스트(DHCP 클라이언트)가 해당 장비의 주소에 대한 ARP 요청을 브로드캐스트하고 해당 응답을 캐시에 저장합니다.
ARP 스푸핑
ARP 스푸핑은 중간자(man-in-the-middle) 공격을 시작하는 한 가지 방법입니다. 공격자는 LAN에서 다른 장비의 MAC 주소를 스푸핑하는 ARP 패킷을 보냅니다. 적절한 네트워크 디바이스로 트래픽을 전송하는 스위칭 디바이스 대신 적절한 디바이스를 가장하는 스푸핑된 주소로 트래픽을 장비로 보냅니다. 가장하는 장치가 공격자의 시스템인 경우, 공격자는 스위치에서 다른 장비로 이동해야 하는 모든 트래픽을 수신합니다. 결과적으로 스위칭 디바이스의 트래픽이 잘못 이동되어 적절한 목적지에 도달할 수 없습니다.
ARP 스푸핑의 한 가지 유형은 무상 ARP입니다. 이는 네트워크 디바이스가 자체 IP 주소를 해결하기 위해 ARP 요청을 보낼 때입니다. 정상적인 LAN 운영에서 무상 ARP 메시지는 두 장치가 동일한 MAC 주소를 가지고 있음을 나타냅니다. 또한 장비의 네트워크 인터페이스 카드(NIC)가 변경되고 장치가 재부팅되면 브로드캐스트되기 때문에 LAN상의 다른 장치가 ARP 캐시를 업데이트할 수 있습니다. 악의적인 상황에서 공격자는 특정 IP 주소로 향하는 모든 패킷을 다른 MAC 주소로 이동하도록 지시하는 장비에 ARP 응답을 전송함으로써 네트워크 장치의 ARP 캐시를 독살할 수 있습니다.
무상 ARP를 통해 그리고 다른 유형의 스푸핑을 통해 MAC 스푸핑을 방지하기 위해 스위치는 DAI를 통해 ARP 응답을 검사합니다.
동적 ARP 검사
DAI는 LAN에서 ARP 요청 및 응답을 검사하고 ARP 패킷을 검증합니다. 이 스위치는 액세스 포트에서 ARP 패킷을 가로채 DHCP 스누핑 데이터베이스에 대해 검증합니다. 데이터베이스에 IP-MAC 항목이 ARP 패킷의 정보에 해당하지 않는 경우 DAI는 ARP 패킷을 드롭하고 로컬 ARP 캐시는 해당 패킷의 정보를 업데이트하지 않습니다. 또한 DAI는 패킷의 IP 주소가 잘못되면 ARP 패킷을 드롭합니다. ARP 프로브 패킷은 동적 ARP 검사를 받지 않습니다. 스위치는 항상 이러한 패킷을 포워딩합니다.
EX 시리즈 스위치 및 QFX 시리즈를 위한 Junos OS는 기본적으로 신뢰할 수 없기 때문에 액세스 포트에서 수신되는 ARP 패킷에 DAI를 사용합니다. 트렁크 포트는 기본적으로 신뢰할 수 있으므로 ARP 패킷은 DAI를 우회합니다.
각 인터페이스(포트)가 아닌 각 VLAN에 DAI를 구성합니다. 기본적으로 DAI는 모든 VLAN에 대해 비활성화됩니다.
인터페이스를 DHCP 트러스트 포트로 설정하면 ARP 패킷에 대해서도 신뢰할 수 있습니다.
스위칭 디바이스가 EX 시리즈 스위치이고 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 Junos OS를 사용하는 경우 액세스 인터페이스를 DHCP 트러스트 포트로 구성하는 방법에 대한 자세한 내용은 ELS(Trusted DHCP Server) 활성화를 참조하십시오.
네트워크 디바이스가 연결된 스위칭 디바이스로 연결되는 패킷의 경우, ARP 쿼리는 VLAN에서 브로드캐스트됩니다. 이러한 쿼리에 대한 ARP 응답은 DAI 검사를 받게 됩니다.
DAI의 경우 모든 ARP 패킷이 패킷 전달 엔진에 갇혀 있습니다. CPU 오버로드를 방지하기 위해 라우팅 엔진으로 향하는 ARP 패킷의 속도는 제한적입니다.
DHCP 서버가 다운되고 이전에 유효한 ARP 패킷에 대한 IP-MAC 입력에 대한 임대 시간이 다 떨어지면 해당 패킷이 차단됩니다.
검사된 패킷의 우선 순위 지정
검사된 패킷의 우선 순위 지정은 QFX 시리즈 및 EX4600 스위치에서 지원되지 않습니다.
CoS(Class-of-Service) 포워딩 클래스 및 큐를 사용하여 지정된 VLAN에 대한 DAI 패킷의 우선 순위를 지정할 수 있습니다. 이 컨피규레이션 유형은 사용자가 지정한 송신 대기열에 있는 해당 VLAN에 대한 검사된 패킷을 배치하여 보안 절차가 높은 우선 순위의 트래픽 전송을 방해하지 않도록 합니다.
ELS(Dynamic ARP Inspection) 지원
이 작업은 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치에 Junos OS를 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우, Enabling Dynamic ARP Inspection(비 ELS)을 참조하십시오.
DAI(Dynamic ARP Inspection)는 ARP 스푸핑으로부터 스위치를 보호합니다. DAI는 LAN에서 ARP 패킷을 검사하고 스위치의 DHCP 스누핑 데이터베이스의 정보를 사용하여 ARP 패킷을 검증하고 ARP 캐시 포이즈닝으로부터 보호합니다.
VLAN에서 DAI를 활성화하려면 VLAN을 구성해야 합니다. ELS 지원(CLI Procedure)을 사용하는 EX 시리즈 스위치용 VLAN 구성을 참조하십시오.
CLI를 사용하여 VLAN에서 DAI를 사용하려면 다음을 수행합니다.
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
자세한 내용은
ELS가 아닌 동적 ARP 검사 실행
이 작업은 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않는 EX 시리즈 스위치에 Junos OS를 사용합니다. 스위치에서 ELS를 지원하는 소프트웨어를 실행하는 경우 ELS(Enabling Dynamic ARP Inspection)를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI를 사용하는 것을 참조하십시오.
DAI(Dynamic ARP Inspection)는 ARP 스푸핑으로부터 스위치를 보호합니다. DAI는 LAN에서 ARP 패킷을 검사하고 스위치의 DHCP 스누핑 데이터베이스의 정보를 사용하여 ARP 패킷을 검증하고 ARP 캐시 포이즈닝으로부터 보호합니다.
VLAN에서 DAI 지원
각 인터페이스(포트)가 아닌 각 VLAN에 DAI를 구성합니다. 기본적으로 DAI는 모든 VLAN에 대해 비활성화됩니다.
VLAN 또는 모든 VLAN에서 DAI를 사용하려면 다음을 수행합니다.
단일 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
모든 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
브리지 도메인에서 DAI 지원
필요한 경우 브리지 도메인 설정을 위해 브리지 도메인 구성 을 참조하십시오.
브리지 도메인에서 DAI를 사용하려면 다음을 수행합니다.
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
검사된 패킷의 우선 순위를 지정하기 위해 CoS 포워딩 클래스 적용
CoS(Class of Service)를 사용하여 네트워크 혼잡 및 지연 기간 동안 중요한 애플리케이션의 드롭(dropp)으로부터 패킷을 보호해야 할 수 있으며, 중요한 패킷이 들어오고 나가는 동일한 포트에서 DHCP 스누핑의 포트 보안 기능이 필요할 수도 있습니다.
DAI 패킷에 CoS 포워딩 클래스 및 큐를 적용하려면 다음을 수행합니다.
DAI가 올바르게 작동하는지 검증
목적
DAI(Dynamic ARP Inspection)가 스위치에서 작동하는지 확인합니다.
작업
스위치에 연결된 네트워크 디바이스에서 ARP 요청을 보냅니다.
DAI 정보 표시:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
의미
샘플 출력은 각 인터페이스별로 수신 및 검사되는 ARP 패킷의 수와 통과한 패킷 수, 각 인터페이스에서 검사에 실패한 패킷 수의 목록을 보여줍니다. 이 스위치는 ARP 요청 및 회신을 DHCP 스누핑 데이터베이스의 엔트리와 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 엔트리와 일치하지 않으면 패킷이 삭제됩니다.