Network

DHCP 2: 보안

댓글 남기기

DHCP와 관련된 보안에 대해서 알아보도록 하자.

1. DHCP Snooping
2. IP Source Guard
3. Dynamic ARP Inspection

1. DHCP Snooping

일반적으로 DHCP와 관련된 공격으로
① 공격자가 DHCP 서버 행세 및 클라이언트들이 공격자와 통신하는 것 ② 공격자가 할당할 수 있는 IP를 모두 받아가서 다른 클라이언트들이 IP할당을 받지 못하게 하는 것
이 두 가지가 있다. 

이런 유형의 공격을 방지하는 기술이 DHCP Snooping이다.

1-1. DHCP Snooping 동작 방식

DHCP 서버 혹은 DHCP 릴레이 서버가 연결된 포트를 ‘Trusted’로 지정하고, 클라이언트가 연결된 포트를 ‘Untrusted’로 지정한다.

Trusted 포트에서 수신한 DHCP 메세지는 별도로 확인을 하지 않고,
Untrusted 포트에서 수신한 DHCP 서버의 메세지, DHCP 릴레이 서버의 메세지는 차단한다.
또한, Ethernet 프레임의 MAC 주소와 DHCP 메세지의 Client Hardware 주소가 다르면 차단한다.

1-2. DHCP Snooping 동작 과정

토폴로지1. DHCP Snooping

– DHCP 서버와 연결된 F0/3 : Trusted Port
– 이외 나머지 인터페이스 : Untrusted Port

1-3. DHCP Snooping 설정

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping <INTERFACE>
Switch(config)# 
Switch(config)# int <interface>
Switch(config-if)# ip dhcp snooping trust

# DHCP Snooping Binding Table 확인
Switch# show ip dhcp snooping binding

2. IP Source Guard

공격자가 Source IP를 속여 통신하는 것을 차단한다. L2 장비에서 사용한다. DHCP Snooping과 동시에 사용한다.

* IP Spoofing = 남의 IP를 자신의 것처럼 속이는 행위.

토폴로지2. IP Spoofing 동작 방식

2-1. IP Source Guard 동작 방식

① 공격자가 PING 패킷을 스위치로 전송한다.

② 패킷을 받은 PC는 목표 대상으로 응답한다.

하지만 IP Source Guard를 사용하면,  ① 이후 스위치가 DHCP Binding Table와 비교한다.(IP Source Binding으로 비교할 수도 있다.) 
비교 후 수신한 프레임의 출발지 IP가 다르다면, 해당 패킷을 차단한다.

2-2. IP Source Guard 설정

[설정]
기본으로 DHCP Snooping 설정이 되어 있어야 한다.

Switch(config)# int <interface>
Switch(config-if)# ip verify source

#IP Source Binding Table
Switch# show ip verify source

[IP Source Binding 설정]

Switch(config)# ip source binding <MAC> <VLAN> <IP> <INTERFACE>

3. Dynamic ARP Inspection ; DAI

ARP Spoofing을 차단하기 위해 DAI를 사용한다.

3-1.  ARP Spoofing이란?

공격자가 ARP 패킷을 보낼 때, 자신의 MAC 주소를 GW나 Server 등의 MAC 주소로 속여서 보낸다. 그리고 GW로는 자신이 Host, Server라고 광고한다.  이렇게 되면 결국 모든 데이터는 공격자를 거치게 될 것이다.

특히나, ARP는 가장 마지막에 들어온 정보를 사용하기 때문에 주기적으로 이런 식으로 ARP 광고를 한다면 내부 호스트들은 공격자의 MAC주소가 GW나 서버의 MAC 주소인 줄 알게 되므로 위험하다.

이런 패킷을 차단하기 위해 DAI를 사용한다.

3-2. Dynamic ARP Inspection 동작 방식

DAI가 동작하면 모든 ARP 요청/응답 패킷을 검사하게 된다.
스위치가 수신한 ARP 프레임DHCP Binding Table 또는 ARP ACL이 일치해야 프레임을 전송한다.

3-3. Dynamic ARP Inspection 설정

[설정]
DAI가 동작하기 위해선 DHCP Snooping이 동작해야 한다.

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping <VLAN>
Switch(config)# ip arp inspection <VLAN>
Switch(config)# 
Switch(config)# int <INTERFACE>
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust

[ARP ACL 설정]

Switch(config)# arp access-list <NAME>
Switch(config-arp-nacl)# permit ip <SOURCE> mac <DESTINATION>
Switch(config-arp-nacl)# exit
Switch(config)# 
Switch(config)# ip arp inspection filter <NAME> <VLAN>

답글 남기기

이메일 주소는 공개되지 않습니다.