DHCP Archives - Musket-o

DHCP와 관련된 보안에 대해서 알아보도록 하자.

1. DHCP Snooping
2. IP Source Guard
3. Dynamic ARP Inspection

1. DHCP Snooping

일반적으로 DHCP와 관련된 공격으로
① 공격자가 DHCP 서버 행세 및 클라이언트들이 공격자와 통신하는 것 ② 공격자가 할당할 수 있는 IP를 모두 받아가서 다른 클라이언트들이 IP할당을 받지 못하게 하는 것
이 두 가지가 있다.

이런 유형의 공격을 방지하는 기술이 DHCP Snooping이다.

1-1. DHCP Snooping 동작 방식

DHCP 서버 혹은 DHCP 릴레이 서버가 연결된 포트를 ‘Trusted’로 지정하고, 클라이언트가 연결된 포트를 ‘Untrusted’로 지정한다.

Trusted 포트에서 수신한 DHCP 메세지는 별도로 확인을 하지 않고,
Untrusted 포트에서 수신한 DHCP 서버의 메세지, DHCP 릴레이 서버의 메세지는 차단한다.
또한, Ethernet 프레임의 MAC 주소와 DHCP 메세지의 Client Hardware 주소가 다르면 차단한다.

1-2. DHCP Snooping 동작 과정

– DHCP 서버와 연결된 F0/3 : Trusted Port
– 이외 나머지 인터페이스 : Untrusted Port

1-3. DHCP Snooping 설정

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping <INTERFACE>
Switch(config)# 
Switch(config)# int <interface>
Switch(config-if)# ip dhcp snooping trust

# DHCP Snooping Binding Table 확인
Switch# show ip dhcp snooping binding

2. IP Source Guard

공격자가 Source IP를 속여 통신하는 것을 차단한다. L2 장비에서 사용한다. DHCP Snooping과 동시에 사용한다.

* IP Spoofing = 남의 IP를 자신의 것처럼 속이는 행위.

2-1. IP Source Guard 동작 방식

① 공격자가 PING 패킷을 스위치로 전송한다.

② 패킷을 받은 PC는 목표 대상으로 응답한다.

하지만 IP Source Guard를 사용하면, ① 이후 스위치가 DHCP Binding Table와 비교한다.(IP Source Binding으로 비교할 수도 있다.)
비교 후 수신한 프레임의 출발지 IP가 다르다면, 해당 패킷을 차단한다.

2-2. IP Source Guard 설정

[설정]
기본으로 DHCP Snooping 설정이 되어 있어야 한다.

Switch(config)# int <interface>
Switch(config-if)# ip verify source

#IP Source Binding Table
Switch# show ip verify source

[IP Source Binding 설정]

Switch(config)# ip source binding <MAC> <VLAN> <IP> <INTERFACE>

3. Dynamic ARP Inspection ; DAI

ARP Spoofing을 차단하기 위해 DAI를 사용한다.

3-1. ARP Spoofing이란?

공격자가 ARP 패킷을 보낼 때, 자신의 MAC 주소를 GW나 Server 등의 MAC 주소로 속여서 보낸다. 그리고 GW로는 자신이 Host, Server라고 광고한다. 이렇게 되면 결국 모든 데이터는 공격자를 거치게 될 것이다.

특히나, ARP는 가장 마지막에 들어온 정보를 사용하기 때문에 주기적으로 이런 식으로 ARP 광고를 한다면 내부 호스트들은 공격자의 MAC주소가 GW나 서버의 MAC 주소인 줄 알게 되므로 위험하다.

이런 패킷을 차단하기 위해 DAI를 사용한다.

3-2. Dynamic ARP Inspection 동작 방식

DAI가 동작하면 모든 ARP 요청/응답 패킷을 검사하게 된다.
스위치가 수신한 ARP 프레임과 DHCP Binding Table 또는 ARP ACL이 일치해야 프레임을 전송한다.

3-3. Dynamic ARP Inspection 설정

[설정]
DAI가 동작하기 위해선 DHCP Snooping이 동작해야 한다.

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping <VLAN>
Switch(config)# ip arp inspection <VLAN>
Switch(config)# 
Switch(config)# int <INTERFACE>
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip arp inspection trust

[ARP ACL 설정]

Switch(config)# arp access-list <NAME>
Switch(config-arp-nacl)# permit ip <SOURCE> mac <DESTINATION>
Switch(config-arp-nacl)# exit
Switch(config)# 
Switch(config)# ip arp inspection filter <NAME> <VLAN>

Dynamic Host Configuration Protocol

동적 호스트 설정 프로토콜.
말 그대로 동적으로 호스트 IP를 부여하고 관리하는 프로토콜.

1. DHCP 동작과정
2. DHCP Relay Agent

1. DHCP 동작과정

① PC는 DHCP 서버를 찾기 위해 DHCP DISCOVER 메세지를 Broadcast한다.
– 출발지: 0.0.0.0
– 목적지: 255.255.255.255 / udp 67
– 본인의 MAC주소를 포함하여 보낸다.

② DHCP 서버는 IP를 제안하기 위해 DHCP OFFER 메세지를 Broadcast한다.
– 출발지: DHCP 서버의 IP
– 목적지: 255.255.255.255
– 클라이언트에서 사용할 IP, Subnet, GW, DNS, IP 임대 시간, 그리고 클라이언트의 MAC을 포함하여 보낸다.

③ PC는 OFFER 메세지로 받은 정보를 사용하기 위해 DHCP REQUEST 메세지를 Broadcast한다.
– 출발지: 0.0.0.0
– 목적지: 255.255.255.255
– 서버 IP를 알아도 Broadcast로 보내는 이유는 다른 DHCP서버에게 알리기 위함이다.

④ 서버가 클라이언트의 요청을 수락하기 위해 DHCP ACK를 Broadcast한다.
– 출발지: DHCP 서버의 IP
– 목적지: 255.255.255.255

2. DHCP Relay Agent

DHCP 서버가 항상 같은 망에 속해있으리란 보장은 없다.
서로 다른 망이라면 L3장비에서 Relay Agent를 설정해야한다.

[ DHCP 서버가 1대인 경우]

Router(config)# service dhcp
Router(config)# int <INTERFACE_CONNECTD_BY_CLIENT>
Router(config-if)# ip helper-address <DHCP_SERVER_IP>

[ DHCP 서버가 여러대인 경우 ]

#수동으로 서버 지정
Router(config)# int <INTERFACE_CONNECTD_BY_CLIENT>
Router(config-if)# ip helper-address <DHCP_SERVER_IP_1>
Router(config-if)# ip helper-address <DHCP_SERVER_IP_2>

#자동으로 서버 지정
Router(config)# ip helper-address <DHCP_BROADCAST_IP>
Router(config)# int <INTERFACE_CONNECTD_BY_CLIENT>
Router(config-if)# ip directed-broadcast

Musket-o

태그 보관물: DHCP

DHCP 2: 보안