[네트워크 장비 취약점 진단] 스위치, 허브 보안 강화
- 정보보안/네트워크
- 2022. 8. 30.
N-38 스위치, 허브 보안 강화
■ 점검영역 : 기능관리
■ 항목 중요도 : 하
■ 점검내용
스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검
■ 점검목적
보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함
■ 보안위협
포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음
■ 참고
※ SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우
취약
스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우
■ 조치방법
장비별 보안 위협에 관한 대책 설정 적용(포트 보안, SPAN 설정)
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
스위치 / 허브
1. 포트 보안 설정 확인
Switch> enable
Switch# show port-security address 명령을 통해 확인
2. SPAN 설정 확인
Switch> enable
Switch# show monitor 명령을 통해 확인
※ 스위치를 이용한 종류별 공격 위협 및 대책
1. MAC 플루딩
- 이더넷 환경에서 스니퍼를 이용한 스니핑 공격을 하여 주요 정보 유출이 될 가능성이 높음
- MAC 플루딩 공격은 특정 호스트가 대량의 변조된 MAC 주소를 생성하기 때문에 이를 차단함
- 포트마다 MAC 주소를 스위치에 설정하거나 수용할 수 있는 최대 MAC 주소의 개수를 제한함
2. ARP 스푸핑
- 스위치 장비에 의한 직접적인 공격이 아니라 트래픽의 흐름을 변경하는 공격 유형
- 시스코의 경우 개인 가상랜(VLAN) 기능을 이용하여 ARP 스푸핑에 대한 대책을 세울 수 있음
- 개인 가상랜은 같은 가상랜 내에서 포트 단위로 분리할 수 있는 기능으로, promiscuous / isolated/ community의 포트 속성을 정의하여 트래픽 이동에 대한 제한이 가능함
■ 장비별 조치방법 예시
스위치 / 허브 포트 보안 설정
1. 정적 포트 보안 설정
(port security는 access port , trunk port, tunnel port에만 구성 가능)
Switch> enable
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport mode access
Switch(config-line)# switchport port-security mac-add
0050.bf1c.82d3
Switch(config-line)# switchport port-security
2. Port Sticky 방식을 사용한 포트 보안 설정
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport port-security violation ?
(밑에 있는 명령어를 선택하여 설정)
Protect Security violation protect mode |
보안 침해 발생 시 해당 장비에 접속을 차단. 허용된(보안용 맥주소로 등록된) 호스트는 허용 |
restrict Security violation restrict mode |
protect mode 기능과 더불어 보안 침해 호스트에 대한 로깅 메시지 발생, 보안 침해 카운터 증가 |
shutdown Security violation shutdown mode |
보안 침해 발생 시 해당 포트 shutdown |
3. MAC Access List 생성 및 적용
Switch# config terminal
Switch(config)# mac access-list extended mac-pc1-to-pc2
Switch(config)# deny host xxxx.xxxx.xxxx host ssss.ssss.ssss
(Mac 호스트 적용)
스위치 / 허브 SPAN 보안 설정
(config)# monitor session 1 source interface Fastethernet 1/1
: 소스포트를 지정, 소스포트 - 트래픽을 캡쳐하려고 하는 포트
(config)# monitor session 1 destination interface Fastethernet 1/10
: Fa1/1 포트를 통해 입/출력되는 모든 프레임이 Fa1/10 포트(목적지포트)로 복사
# show monitor 명령어로 설정 확인
# show interface |해당포트|
: 상태가 모니터링(Monitoring)으로 표시됨
(config)# monitor session 1 source interface Fastethernet 1/2 both
(config)# monitor session 1 destination interface Fastethernet 1/1,
Fastethernet 1/5 - 7 rx
: 포트 1/2은 양방향 트래픽을 미러링, 나머지는 수신 트래픽만 미러링
■ 조치 시 영향 : 일반적인 경우 영향 없음