[네트워크 장비 취약점 진단] 스위치, 허브 보안 강화

 

 

N-38 스위치, 허브 보안 강화

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 하

 

■ 점검내용

 

스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검

 

■ 점검목적

 

보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함

 

■ 보안위협

 

포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음

 

■ 참고

 

※ SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우

 

취약

스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우

 

■ 조치방법

 

장비별 보안 위협에 관한 대책 설정 적용(포트 보안, SPAN 설정)

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

 

스위치 / 허브

 

1. 포트 보안 설정 확인
Switch> enable
Switch# show port-security address 명령을 통해 확인
2. SPAN 설정 확인
Switch> enable
Switch# show monitor 명령을 통해 확인

 

※ 스위치를 이용한 종류별 공격 위협 및 대책

 

1. MAC 플루딩
- 이더넷 환경에서 스니퍼를 이용한 스니핑 공격을 하여 주요 정보 유출이 될 가능성이 높음
- MAC 플루딩 공격은 특정 호스트가 대량의 변조된 MAC 주소를 생성하기 때문에 이를 차단함
- 포트마다 MAC 주소를 스위치에 설정하거나 수용할 수 있는 최대 MAC 주소의 개수를 제한함

2. ARP 스푸핑
- 스위치 장비에 의한 직접적인 공격이 아니라 트래픽의 흐름을 변경하는 공격 유형
- 시스코의 경우 개인 가상랜(VLAN) 기능을 이용하여 ARP 스푸핑에 대한 대책을 세울 수 있음
- 개인 가상랜은 같은 가상랜 내에서 포트 단위로 분리할 수 있는 기능으로, promiscuous / isolated/ community의 포트 속성을 정의하여 트래픽 이동에 대한 제한이 가능함

 

 

■ 장비별 조치방법 예시

 

 

스위치 / 허브 포트 보안 설정

 

1. 정적 포트 보안 설정
(port security는 access port , trunk port, tunnel port에만 구성 가능)
Switch> enable
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport mode access
Switch(config-line)# switchport port-security mac-add
0050.bf1c.82d3
Switch(config-line)# switchport port-security

2. Port Sticky 방식을 사용한 포트 보안 설정
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport port-security violation ?
(밑에 있는 명령어를 선택하여 설정)

Protect Security violation protect mode	보안 침해 발생 시 해당 장비에 접속을 차단. 허용된(보안용 맥주소로 등록된) 호스트는 허용
restrict Security violation restrict mode	protect mode 기능과 더불어 보안 침해 호스트에 대한 로깅 메시지 발생, 보안 침해 카운터 증가
shutdown Security violation shutdown mode	보안 침해 발생 시 해당 포트 shutdown

3. MAC Access List 생성 및 적용
Switch# config terminal
Switch(config)# mac access-list extended mac-pc1-to-pc2
Switch(config)# deny host xxxx.xxxx.xxxx host ssss.ssss.ssss
(Mac 호스트 적용)

 

스위치 / 허브 SPAN 보안 설정

 

(config)# monitor session 1 source interface Fastethernet 1/1
: 소스포트를 지정, 소스포트 - 트래픽을 캡쳐하려고 하는 포트

(config)# monitor session 1 destination interface Fastethernet 1/10
: Fa1/1 포트를 통해 입/출력되는 모든 프레임이 Fa1/10 포트(목적지포트)로 복사

# show monitor 명령어로 설정 확인
# show interface |해당포트|

: 상태가 모니터링(Monitoring)으로 표시됨

(config)# monitor session 1 source interface Fastethernet 1/2 both
(config)# monitor session 1 destination interface Fastethernet 1/1,
Fastethernet 1/5 - 7 rx
: 포트 1/2은 양방향 트래픽을 미러링, 나머지는 수신 트래픽만 미러링

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음