[Certification]/[CCNA] Cisco Certified Network Associate

[CCNA] 스위치 보안 - DHCP Snooping, DAI, 802.1x, 스위츠포트 보안, MAC주소 기반

starterr 2024. 9. 20. 17:30

A. Access Layer 보안기술

1. DHCP Snooping

DHCP 트래픽을 특정 신뢰하는 포트(인터페이스)를 통해서만 주고받는 기술로써 신뢰받는 포트를 통해 들어오는 DHCP 트래픽이 아닌경우 해당 트래픽을 폐기한다. 신뢰하는 포트의 개념은 DHCP 서버에서 직접적으로 연결된 포트를 뜻하며 PC까지 이어지는 스위치 간 링크를 뜻하기도 한다.

 

구성방법으로는 스위치에서

  1. ip dhcp snooping
  2. ip dhcomp snooping vlan ? -> vlan level에서도 활성화
  3. int "interface name" -> dhcp 트래픽이 들어올 인터페이스
  4. ip dhcp snooping trust

 

반응형

2. DAI

Dynamic ARP Inspection의 줄임말로 Middle ARP spoofing 방지기술이다. 이 기술을 활성화 하기위해서는 DHCP Snooping이 선행되어 활성화 되어야한다.

 

Middle ARP spoofing 공격이 간단히 말하자면 같은 서브넷에 있는 공격자가 서브넷에 거짓된 IP와 MAC 주소를 뿌려 호스트들을 오염시키고 모든 트래픽들이 공격자의 PC를 통해서 흘러 모든 통신내용을 확인할 수 있는 공격방법이다.

 

DAI는 어느 IP주소가 어떤 MAC주소와 매핑되는지 확인하고 그 정보를 가지고 있다가 가지고 있는 정보와 일치하지 않는 트래픽은 폐기하는 방식이다. DHCP로 IP를 할당받지 않으면 당연히 스위치가 IP, MAC 주소 정보를 가지고 있지 않기에 별도로 스위치가 이들을 신뢰하도록 구성해야 한다.

 

구성방법은 DHCP 스누핑이 활성화되었단 전재하에

  1. ip arp inspection trust
  2. ip arp inspection vlan ?

 

반응형

3. 802.1x 신원기반 네트워킹

해당 기능이 활성화되면 호스트와 유저가 인증되기 전까지는 오직 인증 트래픽만 스위치 포트를 통과하도록 허용된다.

 

802.1x 신원기반 네트워킹
802.1x 신원기반 네트워킹

 

 

  • Supplicant(요청자)가 엑세스 스위치(Authenticator)로 연결이 된 경우 아직 인증이 되지 않은 상태이기에 인증서버와 연결만 존재한다.
  • ID와 PW을 입력하게 되면 인증 스위치 -> 인증 서버로 해당 정보가 넘어가 서버는 ID와 PW를 유효한 정보인지 확인한다. (인증서버는 보통 유저 DB가 있는 AD 도메인 컨트롤러와 통합되어 있다.)
  • 인증되면 VLAN에 매핑될 수 있으며 인증서버는 이 정보를 스위치에 전달하여 클라이언트가 연결된 올바른 VLAN 포트를 업데이트할 수 있게 한다. 이 시점부터 올바른 VLAN에 있는 일반적인 스위치 포트로써 동작하며 유저는 네트워크 접근이 가능해진다.

 

 

B. 스위치 포트 보안

1. 개요

기본적으로 포트보안에 앞서 안 쓰는 포트는 꺼두는 게 좋다. 각 포트에 트래픽을 보낼 수 있는 MAC 주소(들)를 설정한다. 이를 통해 허용되지 않는 MAC 주소(들) 특정포트에 트래픽을 보내는 것이 불가능하다. 그러나, 공격자가 MAC 주소를 바꾸는 것은 쉬운 일이다. 따라 하여서 포트를 사용하도록 제한하는 것은 실무 네트워크에서 포트보안이 사용되는 이유가 아니다.

 

포트보안 사용 시 오직 정해진 수만큼의 출발지 MAC 주소가 포트로 트래픽을 보내는 것을 허용하도록 개별 스위치 포트 구성이 가능하며 들오는 MAC 주소 정보를 습득한다.

 

구성 방법은 매우 간단하다. 먼저, 스위치를 액세스 포트로 만들고 나서 해당 인터페이스 모드로 들어가 switchport port-security라고 입력하면 된다. 단, 이 방법은 기본적인 방법이며 어떤 MAC 주소이건 하나만 트래픽이 흐르면 통신이 된다.

 

검증방법은 show port-security interface "?"

 

반응형

2. 보안 위반 옵션

3개의 옵션이 있다. 3개의 옵션 중 하나의 옵션만 선택하면 된다.

 

2-1. Shutdown(default)

위반 발생 시 포트를 error-disable 상태로 바꾸고 모든 트래픽을 차단한다.

 

포트가 다운되면 문제가 되는 MAC 주소 물리적 제거 후 -> interface 접속 -> shutdown -> no shutdown 순으로 조치를 하면 다운된 포트가 다시 정상으로 돌아온다.

 

또는 자동으로 되돌리는 방법이 있는데 아래의 명령어를 입력하면 설정한 초만큼 지난 뒤 다시 정상상태로 돌린다. 다만, 문제가 되는 MAC주소가 그대로 있으면 다시 다운되기에 일반적으로 선호되지는 않는 방법이다.

 

errdisable recovery cause psecure-violation

errdisable recovery interval 초

 

2-2. Protect

인증되지 않는 주소로부터의 트래픽을 폐기한다. 허용된 주소로부터의 트래픽만 전송한다. 따라서, 인터페이스가 계속 살아있는 상태이며 올바른 호스트들은 여전히 전송이 된다.

 

2-3. Restrict

Protect와 유사하게 인증되지 않는 주소로부터 트래픽을 폐기한다. 그러나 restrict에서는 로그를 기록하며 위반 카운터를 증가시킨다.

 

위반 발생 시 대응방법을 기본인 shutdown에서 다른 옵션으로 바꾸고 싶으면 아래의 명령어를 입력하면 된다.

 

interface ?

switchport port-security

violation protect or restrict

 

3. 특정호스트 MAC주소 기반으로 포트 고정하기

3-1. 포트보안 설정 시 MAC 주소 늘리기

interface ?

switchport port-security maximum "x"

 

검증명령어는 기본과 같다.

 

3-2. 특정 호스트 MAC주소 기반으로 포트 고정하기

interface ?

switchport port-security

switchport port-security mac-address ?

switchport port-security maximum "1"

 

3-3. 특정 호스트 MAC주소 스위치에 영구 저장

이를 통해 설정을 바꾸기 전까지 호스트는 특정 포트로만 인터넷, 네트워크 이용이 가능하다.

 

interface ?

switchport port-security

switchport port-security mac-address sticky

 

show port-security

show port-security address

 


 

[CCNA] Etherchannel(이더채널) - 개념, 구성, LACP, PAgP, Static Etherchannel, vPC, VSS

 

[CCNA] Etherchannel(이더채널) - 개념, 구성, LACP, PAgP, Static Etherchannel, vPC, VSS

A. Etherchannel 개념1. 들어가기 앞서... 종단 호스트는 항상 네트워크 트래픽을 보내지 않는다.이는 하위층에서 상위층의 업링크가 호스트 수만큼 필요하지 않다는 의미이다. 실제로 엑세스 계

infoofit.tistory.com

 

[용어/개념] Network - ARP Protocol

 

[용어/개념] Network - ARP Protocol

A. ARP 개요1. ARP란? 같은 네트워크 대역에서 통신을 하기 위해 필요한 MAC주소를 IP주소를 이용해 알아오는 프로토콜입니다.2. ARP Protocol 구성ARP 프로토콜은 총 28 byte입니다.Hardware Type = 0x 00012 계층

infoofit.tistory.com

 

[Fortinet] FortiAnalyer Log 분석 - Firewall Action

 

[Fortinet] FortiAnalyer Log 분석 - Firewall Action

FortiAnalyer Firewall Action Log 분석 The status of the session It will generate a single log for a session. Always from the initiator to the responder (source is always the one that made the request - ie client), destination is always the responder (ie

infoofit.tistory.com

 

반응형