[네트워크장비/기능 관리] Spoofing 방지 필터링 적용 (N-12)

Spoofing 방지 필터링 적용

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 일반적으로 사용될 필요가 없는 Source IP로 설정된 패킷에 대한 ACL을 적용시켜 패킷을 필터함으로써 사용되지 않는 주소로 속여 공격하는 변조된 불법 패킷을 차단하기 위함

■ 보안 위협
- 일반적으로 사용되지 않는 Source IP에 대한 ACL 적용을 하지 않은 경우, 공격자가 악의적인 목적으로 패킷을 조작하여 DoS 공격을 시도할 수 있음

 

점검 및 조치 방법

■ 판단 기준
- 양호 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용한 경우
- 취약 : 악의적인 공격에 대비하여 Source IP에 ACL을 적용하지 않은 경우

■ 조치 방법
ㆍCISCO
Router # show running
IP spoofing 방지 설정 확인

ㆍAlteon, Passport
/slb/filt에서 IP spoofing 방지를 위한 ACL 설정 확인

ㆍJuniper
Configure Firewall Filters와 Apply Firewall Filters 설정 확인

 

■ 장비별 조치 방법 예시
ㆍCISCO
Step 1) Global configuration mode 로 접속
Step 2) access-list number deny ip 127.0.0.1 0.255.255.255 any
Step 3) access-list number deny ip 224.0.0.1 31.255.255.255 any
Step 4) access-list number deny ip host 0.0.0.0 any
Step 5) access-list number permit ip any any

ㆍAlteon, Passport
Step 1) switch 로 접속함
Step 2) # cfg
Step 3) # /slb/filt <filter number>
Step 4) # sip 127.0.0.0

ㆍJuniper

 

■ 용어정리/팁
※ IP Spoofing은 IP를 속여 공격하는 기법으로 다음과 같은 TCP/IP 프로토콜의 약점을 이용한 공격이 알려져 있음
1. 순서 제어 번호 추측 (Sequence number guessing)
2. 반 접속 시도 공격 (Syn flooding)
3. 접속 가로채기 (connection hijacking)
4. RST 패킷을 이용한 접속 끊기
5. FIN 패킷을 이용한 접속 끊기
6. 네트워크 데몬 정지(killing the INETD)
7. TCP 윈도우 위장 (TCP Window Spoofing)
IP Spoofing 공격은 공격하고자 하는 시스템 서비스 포트나 그에 대한 취약점을 알아내는 것부터 시작되며, 툴 중에서 자신의 위치를 감추기 위해 Spoofed IP를 사용함