태그 보관물: VLAN

[Switch] VLAN Hopping Attack

2021년 3월 19일 musketo 댓글 남기기

서로 다른 VLAN의 호스트들끼리 통신하려면, L3 장비를 거쳐서 통신해야한다. 그러나, 다른 VLAN에 속한 대상을 공격할 때, L3 장비를 거치지 않고 공격하는 것을 VLAN Hopping Attack이라고 한다.

아래 토폴로지를 보고 어떻게 Hopping Attack이 진행되는지 보자.

[현재 토폴로지 구성 상태]
(1) 현재 관리자가 PC와 연결된 SW2의 포트를 설정할 때,
‘switchport access vlan 20’만 설정한 상황.
(2) ‘switchport mode access’를 누락했고, native vlan 도 1인 상황이다.

이 상태라면 공격자는 DTP 프레임을 이용해 SW2-공격자 PC의 mode를 Trunk로 변경할 수 있게 된다.

SW2—–공격자의 Port mode가 Trunk로 변경되고,

공격자는 SW2로 패킷을 보낸다.
( Vlan 1 Tag | Vlan 10 Tag | 공격 Data )

SW2의 Native VLAN이 1 이므로
VLAN 1 TAG를 제거 후 SW1로 전달한다.

SW1은 패킷의 VLAN 10 TAG를 보고, VLAN 10에 속한 PC1에게 패킷을 전달한다.
이렇게 공격자의 패킷은 무탈히 PC1로 전송되었다.

그렇다면, 이런 공격을 막을 수 있는 방법은 무엇일까?
당연하게도 이미 방법은 나와있다.

①Trunking을 사용하지 않는 포트는 반드시 Access로 설정해주고,
②Native VLAN은 반드시 다른 번호로 변경하는 것이다.

Network

[Switch] 종단/지역 VLAN 네트워크

2021년 2월 10일 musketo 댓글 남기기

종단 VLAN (End-to-End)
사설 VLAN (Local)

1. 종단 VLAN

End-to-End VLAN

종단 VLAN이란, VLAN 하나가 전체 Switch에 걸쳐있는 VLAN이다. Switch 경로를 조정하기 까다롭다. 라우터나 L3 스위치와 같은 라우팅이 가능한 장비와 가까운 곳에 Root Switch를 지정하는 것이 경로 조정하기에 편하다.

위와 같은 네트워크가 있다고 생각해보자. Switch 네트워크를 보면 무엇이 떠오르는가? 그렇다. 이 Switch는 필연적으로 STP가 동작되어 Switch 포트들 중 하나는 Blocking 상태로 전환될 것이다. 이렇게 되면 사실상 네트워크를 제대로 사용한다고 보긴 어려울 것이다.

당연히 이 상황을 해결할 수 있다.
VLAN 10은 SW4 → SW3 → SW1로 이동하도록 할 것이고,
VLAN 20은 SW4 → SW2 → SW1로 이동하도록 할 것이다.
만일에 대비해 링크 하나가 Down되면, 한쪽으로 스위칭하도록 한다.

이렇게 구성하려면
SW1은 Root Switch,
SW2는 VLAN 20의 제 2 Root Switch,
SW3은 VLAN 10의 제 2 Root Switch로 설정하면 된다.

VLAN 10 입장에선 SW2-SW4 링크가 끊긴 것으로 간주하고,
VLAN 20 입장에선 SW3-SW4 링크가 끊긴 것으로 간주한다.

1-1) Root Switch 및 제 2 Root Switch 설정

[방법1: Spanning-tree vlan priority]

SW1(config)# spanning-tree vlan 10,20 priority 0
SW2(config)# spanning-tree vlan 20 priority 4096
SW3(config)# spanning-tree vlan 10 priority 4096

[방법2: Spanning-tree vlan root]

SW1(config)# spanning-tree vlan 10,20 root primary diameter 4
SW2(config)# spanning-tree vlan 20 root secondary
SW3(config)# spanning-tree vlan 10 root secondary

primary 옵션을 사용한 Switch는 자신의 우선순위를 다른 Switch들보다 낮춰 Root Switch가 된다.
Secondary 옵션은 Root Switch보다 우선순위를 높게, 다른 Switch보다는 낮게 설정한다.

우선순위를 조정해도 Bridge ID가 낮은 Switch가 존재할 가능성이 있다. 우선순위를 0으로 고정시키는게 더 확실하지만, 우선순위가 0이면서도 MAC주소가 낮아 결국 Bridge ID가 더 낮은 Switch가 존재할 수 있기 때문에 100% 보장하진 않는다.

diameter 옵션은 Root Switch를 포함해 가장 멀리 떨어진 Switch 수량을 의미한다. SW1-SW3 링크가 끊겼을 때, SW1부터 SW3까지 총 4개의 Switch를 거치기 때문에 4를 입력했다. 참고로 이 diameter를 통해 컨버전스 시간을 단축시킬 수 있다.

2. 지역 VLAN

Local VLAN

지역 VLAN이란, 하나의 VLAN이 일부 네트워크에만 존재하는 것을 말한다. 종단 VLAN에 비해 설정이 편리하고, 유지보수나 장애처리도 간단하다고 한다.

위 토폴로지를 보자. PC1과 PC2는 R1까지 가지 않아도 SW2나 SW3에서 라우팅되어 통신할 수있다. 그렇게 되면 VLAN 10과 VLAN 20은 일부 네트워크에만 걸쳐있다고 볼 수있다. VLAN 30도 마찬가지다.

지역 VLAN에서는 Root Switch를 조정할 필요가 없다. 어차피 동일한 VLAN에 의해 구성되는 Loop가 없기 때문에 STP에 의해 차단된 포트가 없으니 말이다.

지역 VLAN 사용 중 장애가 발생하면, 라우팅 프로토콜에 의해 컨버전스가 일어남으로 장애복구가 빠르다. 부하분산(Load Balancing)도 라우팅 테이블에 의해 발생되므로 정교하다. 네트워크 토폴로지도 직관적이라서 유지보수에도 편리하다.

2-1) 지역 VLAN 설정

각 Switch에서 L3 인터페이스와 SVI를 만든 후 IP를 할당한다.
그리고 라우팅 설정만 하면 끝.

Network

[Switch] 사설 VLAN

2021년 2월 10일 musketo 댓글 남기기

Switch에 많은 고객들이 연결되었다고 가정해보자. 각 포트 당 VLAN을 할당 하거나 모든 고객에게 동일한 VLAN을 할당해야될 것이다.

하지만 두 가지 모두 문제가 발생한다.
각 포트당 VLAN을 부여하면, VLAN 부족 현상이 발생할 수 있으며, 각 VLAN마다 별도의 IP를 할당해야되기 때문에 IP 낭비가 심각해질 수 있다.
그렇다고 모든 고객에게 동일한 VLAN을 부여해도 트래픽 차단을 할 수 없어 대역폭이 낭비될 수 있고, 보안에도 취약해진다.

이런 문제를 해결해주는 것이 사설 VLAN이다.

사설 VLAN 포트의 종류

Promiscuous Port (프로미스큐어스 포트)
Isolated Port 와 Community Port에 접속된 장비들과 외부의 연결을 위한 포트이다. 여기에 할당되는 VLAN이 Primary VLAN이 된다.
Isolated Port (독립 포트)
동일한 VLAN에 소속되지만 독립 포트끼리 서로 통신할 수 없다.
동일한 GW, 동일한 Subnet을 사용한다. 외부와 통신할 수 있다.
사설 VLAN 하나에 무조건 하나의 Isolated VLAN만 가질 수 있으며, 하나의 Isolated VLAN에는 여러 물리 포트를 할당할 수 있다.
Community Port (커뮤니티 포트)
동일 VLAN에 소속된 커뮤니티 포트 간 통신할 수 있다.
독립 포트와 달리 사설 VLAN 하나에 여러 Community VLAN을 가질 수 있다. 다른 VLAN의 Communtiy VLAN과 통신할 수 없다.

그럼, Isolated 포트와 Community 포트는 서로 통신 할 수 있을까?
L3 라우팅을 하면 통신할 수 있다고 한다.
(참고: Juniper – Private VLANs)

VLAN 10은 Primary VLAN이 되고, VLAN200-202는 Secondary VLAN이 된다.

사설 VLAN의 특징

사설 VLAN Port들은 Access Port 이다.
Trunk Port는 일반/사설 VLAN 트래픽 모두 전송한다.
사설 VLAN의 Primary VLAN(Promiscuous VLAN)은 오직 하나이다. 물론, 포트는 여러개 할당할 수 있고, 사설 VLAN 내 모든 포트는 Primary VLAN의 멤버이다.
L3 게이트웨이는 Promiscuous Port를 통해 연결한다.
Primary VLAN SVI에 IP를 부여하면, 전체 사설 VLAN의 Subnet이 된다.

사설 VLAN 설정 시 주의사항

사설 VLAN은 VTP Transparent Mode에서만 가능하다. 사설 VLAN을 설정한 후에는 VTP Mode를 변경할 수 없다.
사설 VLAN에 대한 정보는 vlan.dat가 아닌 running-config에 저장된다.
전체 사설 VLAN에서 하나의 STP만 동작한다.
Ether-channel Port를 사설 VLAN Port로 설정하면 Ether-channel이 비활성화된다.

Network

[Switch] Virtual LAN

2021년 2월 10일 musketo 댓글 남기기

Virtual LAN
Trunking
VTP
Switch Port 타입

1. Virtual LAN

논리적으로 분할된 Switch Network이다. VLAN이 다르면 서로 통신할 수 없다.

VLAN의 역할

(1) Broadcast Domain 분할
Broadcast를 수신하면 장비들은 본인의 것인지 확인하고 처리해야 하기 때문에 많은 Broadcast 패킷은 장비 성능에 변화를 주고, 네트워크 대역폭도 차지하기 때문에 좋지 않다. VLAN은 적절하게 구역을 나눔으로써 이러한 Broadcast 패킷을 줄여준다.

(2) 보안성 강화
서로 다른 VLAN은 L3 장비를 통해서만 통신할 수 있다.

(3) 부하 분산
Switch가 STP를 구성하면 링크 한 쪽이 꺼지면서 특정 링크로만 트래픽을 집중시키게 된다. 하지만 각 Switch에서 VLAN을 다르게 설정하면, VLAN마다 트래픽 경로가 달라지므로 L2 Load Balancing을 기대할 수 있다.

VLAN의 특징

사용가능한 VLAN 개수는 Switch 모델마다 다르다.

VLAN 하나 당 STP가 지원되는 Switch 수는 128개이다. 물론, 수량이 많아져도 MSTP나 루프 없는 네트워크를 구성하여 큰 제약이 되진 않는다.

2. Trunking

Trunk란, 여러 개의 VLAN 프레임을 전송할 수 있는 링크를 의미한다. 즉, Trunk 포트로 동작시키는 것을 Trunking이라고 한다. Tagged 포트라고 하기도 한다.

Trunking Protocol

Trunk 포트를 통해 프레임을 전송한다면, 반드시 VLAN 번호를 표시해야한다. 그래야 해당 VLAN에 속한 포트로 Flooding을 할 수 있기 때문이다. ‘Trunk Encapsulation’이라고도 한다. Cisco 기준으로 ISL과 802.1Q가 있다.

2-1) 802.1Q Trunking

IEEE 802.1Q에서 정의된 표준 프로토콜이다. Ethernet 프레임에서 Source MAC 뒤에 4 Byte의 ‘802.1Q Field’를 추가한다.

[Field 설명]
Ethertype | 값: 0x8100
– 이 프레임이 802.1Q라는 것을 표시한다. TPID(Tag Protocol Identifier)라고도 한다.

Priority | 값: 0~7
– 프레임의 우선순위를 표시한다. 높을수록 빨리 전송된다. CoS(Class of Service)라도고 한다.

CFI; Canonical Format Identifier | 값: 0 or 1
– 값이 1일 때, 토큰링 프레임이 Encapsulation된 것으로 간주한다.

VLAN Number | 값: 1~4094
– 프레임의 VLAN을 표시한다.

[Native VLAN]
VLAN 번호를 표시하는 VLAN이다.
802.1Q Trunking에서만 사용되며, 양쪽 Switch에서 설정된 Native VLAN이 동일해야 한다.
예를 들어, Native VLAN이 2일 때, VLAN 2에 속한 프레임은 별도의 Encapsulation 없이 Trunk로 전송한다. 상대측에서도 Encapsulation 되지 않은 프레임을 받는다면, 당연히 Native VLAN이라 간주한다.

2-2) ISL

Cisco에서 개발한 Trunking Encapsulation이다. 확장 VLAN을 지원하지 않아 점차 사용하지 않는다고 한다. Ethernet 프레임 앞에 ‘ISL Header(26 Bytes)’와 뒤에 ‘ISL FCS(4 Bytes)’를 추가한다.

2-3) Switch 포트의 DTP Mode

[Dynamic Trunking Protocol]
DTP란, Cisco Switch에서 상호 Switch간 Trunk 관련 사항을 협상할 때 사용하는 프로토콜이다. 협상 내용은 ⒧Encapsulation 방식, ⑵Trunk 포트로 전환여부이다.

⑴ Encapsulation 방식
Switch 모델마다 조금씩 다르나 보통 dot1q / ISL / Negotiate 이다.

⑵ Trunk 포트 전환 여부 = 포트Mode 설정
– Access Mode
상대와 상관없이 항상 Access port로 동작한다.
– Trunk Mode
상대와 상관없이 항상 Trunk port로 동작한다. Trunk port로 설정 전 Encapsulation 방식을 지정해야 한다.
– Dynamic Desirable Mode
상대가 Trunk / Desirable / Auto → Trunk로 동작
상대가 Access → Access로 동작
– Dynamic Auto Mode
상대가 Trunk / Desirable → Trunk로 동작
상대가 Access / Auto → Access로 동작
– Nonegotiate Mode
본인이 Trunk로 동작할 때, 상대에게 DTP 패킷을 전송하지 않는 옵션(Mode 아님). Dynamic Mode에선 사용할수 없다. 상대가 Dynamic Desirable 상태에서 Nonegotiate로 설정하면, 상대의 DTP를 무시하므로 본인은 Trunk, 상대는 Access가 되는 상황이 벌어진다. 보통 서로 Trunk일 때, 트래픽 감소용으로 사용한다.

3. VTP

[VLAN Trunking Protocol]
여러 Switch들이 VLAN 설정 정보를 교환할 때 사용한다.
동일 VLAN끼리 통신할 때, 중간 스위치에 해당하는 VLAN이 없으면 해당 VLAN은 통신할 수 없다. 이러한 상황을 방지하고자 Switch 하나에서 VLAN 정보가 변경되었을 때 나머지 Switch들도 변경된 정보를 자동으로 전달해주는 것이다.

3-1) VTP 동작 과정

– 새로운 Switch를 연결할 때에는 VTP 번호를 확인하기 어렵기 때문에 반드시 VTP 설정번호를 초기화하고 연결해야 한다.

3-2) VTP Domain

Switch 간 VTP Domain 이름이 동일해야만 VTP 정보를 주고 받는다.
VTP 동작을 위한 최소 조건은 ⑴VTP Domain 이름 동일, ⑵Trunk 포트로 연결이다.

단, Trunk로 연결되어도 VTP 이름을 설정하지 않았다면 VTP가 동작하지 않는다. VTP Domain 이름이 다르다면 서로의 VTP 정보를 무시한다.
하나의 Switch에서 VTP Domain 이름을 지정하면 Trunk로 연결된 Switch의 VTP Domain 이름도 같이 바뀐다.

VTP 정보는 Router를 넘길 수 없다.

3-3) VTP Mode

Server, Client, Transparent 3가지로 나뉜다.

VTP Server Mode
기본 VTP 모드.
VLAN 정보를 생성/삭제/변경할 수 있다.
타 Switch로 자신의 VTP 정보를 전송한다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화한다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

VTP Client Mode
VLAN 정보를 생성/삭제/변경할 수 없다.
타 Switch로 자신의 VTP 정보를 전송한다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화한다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

VTP Transparent Mode
VTP 설정번호는 0으로 고정된다.,
자신만의 VLAN 정보를 생성/삭제/변경할 수 있다.
타 Switch로 자신의 VTP 정보를 전송하지 않는다.
타 Switch로부터 받은 정보와 자신의 정보를 동기화하지 않는다.
타 Switch로부터 받은 정보를 타 Switch에게 중계한다.

3-4) VTP Version

VTPv2는 v1과 달리 Transparent Mode에서 VTP Domain 이름과 버전을 확인하지 않는다. VTPv2는 토큰링 VLAN을 지원한다.

VTPv3는 확장 VLAN 정보, 사설 VLAN 정보, MST 정보를 전송한다. VLAN 정보를 받아들일 인접 장비 지정에 대한 제어 기능이 향상되면서 잘못된 VLAN 정보를 받아들임으로 인해 발생하는 네트워크 장애 가능성을 줄였다.

3-5) VTP Pruning

자신의 VLAN이 인접한 Switch에서 필요없는 VLAN일 경우 해당 VLAN 트래픽을 전송하지 않는 기능이다. 다시 말해, 필요없는 VLAN의 Broadcast 트래픽을 Trunk 포트를 통해 전송하지 않는 것이다.

4. Switch Port 타입

[Tunnel Port]

주로 네트워크 사업자 측에서 제한된 VLAN 번호를 이용해 많은 고객을 수용하기 위해 사용한다. 아래 그림을 보자.

고객A 와 B는 같은 VLAN 번호를 사용하지만, 서로 다른 망이어야 한다.
이럴 때, IEEE 802.1Q 터널링을 통해 고객을 구별할 수 있다. 각 고객마다 VLAN tag를 부착해 전송하는 것이다. 이것을 Metro tag라고도 한다.

고객 A의 SW11에서 SW12로 통신을 해야한다고 가정해보자.

① SW11 →SW1 → SW2
SW1에서 데이터를 받는다. 이 때, Metro tag 10 부착하여 SW2로 보낸다.
② SW2 → SW12
SW2는 Metro tag 10을 보고, 해당 tag에 소속된 SW12로 전송한다. 이 때, Metro tag는 제거하고 전송한다.

즉, 사업자 내부망에서 고객 별로 하나의 VLAN만 부여하고, 내부망에서만 참조하는 것이다.

Musket-o

태그 보관물: VLAN

[Switch] VLAN Hopping Attack

[Switch] 종단/지역 VLAN 네트워크

1. 종단 VLAN

1-1) Root Switch 및 제 2 Root Switch 설정

2. 지역 VLAN

2-1) 지역 VLAN 설정

[Switch] 사설 VLAN

사설 VLAN 포트의 종류

사설 VLAN의 특징

사설 VLAN 설정 시 주의사항

[Switch] Virtual LAN

1. Virtual LAN

VLAN의 역할

VLAN의 특징

2. Trunking

Trunking Protocol

2-1) 802.1Q Trunking

2-2) ISL

2-3) Switch 포트의 DTP Mode

3. VTP

3-1) VTP 동작 과정

3-2) VTP Domain

3-3) VTP Mode

3-4) VTP Version

3-5) VTP Pruning

4. Switch Port 타입

[Tunnel Port]

🚀 To Infinity and Beyond 🚀