[네트워크장비/기능관리] 스위치, 허브 보안 강화 (N-38)
- 취약점 점검/네트워크장비
- 2021. 10. 26.
스위치, 허브 보안 강화
취약점 개요
■ 위험도
- 하
■ 점검 목적
- 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함
■ 보안 위협
- 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우
- 취약 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우
■ 조치 방법
- 장비별 보안 위협에 관한 대책 설정 적용(포트 보안, SPAN 설정)
■ 장비별 점검 방법 예시
ㆍ스위치 / 허브
1. 포트 보안 설정 확인
Switch> enable
Switch# show port-security address 명령을 통해 확인
2. SPAN 설정 확인
Switch> enable
Switch# show monitor 명령을 통해 확인
※ 스위치를 이용한 종류별 공격 위협 및 대책
1. MAC 플루딩
- 이더넷 환경에서 스니퍼를 이용한 스니핑 공격을 하여 주요 정보 유출이 될 가능성이 높음
- MAC 플루딩 공격은 특정 호스트가 대량의 변조된 MAC 주소를 생성하기 때문에 이를 차단함
- 포트마다 MAC 주소를 스위치에 설정하거나 수용할 수 있는 최대 MAC 주소의 개수를 제한함
2. ARP 스푸핑
- 스위치 장비에 의한 직접적인 공격이 아니라 트래픽의 흐름을 변경하는 공격 유형
- 시스코의 경우 개인 가상 랜(VLAN) 기능을 이용하여 ARP 스푸핑에 대한 대책을 세울 수 있음
- 개인 가상 랜은 같은 가상랜 내에서 포트 단위로 분리할 수 있는 기능으로, promiscuous /
isolated/ community의 포트 속성을 정의하여 트래픽 이동에 대한 제한이 가능함
■ 장비별 조치 방법 예시
ㆍ스위치 / 허브 포트 보안 설정
1. 정적 포트 보안 설정
(port security는 access port , trunk port, tunnel port에만 구성 가능)
Switch> enable
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport mode access
Switch(config-line)# switchport port-security mac-add
0050.bf1c.82d3
Switch(config-line)# switchport port-security
2. Port Sticky 방식을 사용한 포트 보안 설정
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport port-security violation ?
(밑에 있는 명령어를 선택하여 설정)
3. MAC Access List 생성 및 적용
Switch# config terminal
Switch(config)# mac access-list extended mac-pc1-to-pc2
Switch(config)# deny host xxxx.xxxx.xxxx host ssss.ssss.ssss
(Mac 호스트 적용)
ㆍ스위치 / 허브 SPAN 보안 설정
(config)# monitor session 1 source interface Fastethernet 1/1
: 소스 포트를 지정, 소스포트 - 트래픽을 캡처하려고 하는 포트
(config)# monitor session 1 destination interface Fastethernet 1/10
: Fa1/1 포트를 통해 입/출력되는 모든 프레임이 Fa1/10 포트(목적지포트)로 복사
# show monitor 명령어로 설정 확인
# show interface |해당 포트|
: 상태가 모니터링(Monitoring)으로 표시됨
(config)# monitor session 1 source interface Fastethernet 1/2 both
(config)# monitor session 1 destination interface Fastethernet 1/1,
Fastethernet 1/5 - 7 rx
: 포트 1/2은 양방향 트래픽을 미러링, 나머지는 수신 트래픽만 미러링
■ 용어 정리/팁
※ SPAN: Switch Port Analyzer로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함