130 likes | 388 Views
Minimizing Service Loss and Data Theft in a Switched. BCMSN Module 8 – Sec 2. Understanding Switch Security Issues Protecting against Attacks Protecting against Spoof Attacks Describing STP Security Mechanism Preventing STP Forwarding Loops Securing Network Switches.
E N D
Minimizing Service Loss and Data Theft in a Switched BCMSN Module 8 – Sec 2
Understanding Switch Security IssuesProtecting against AttacksProtecting against Spoof AttacksDescribing STP Security MechanismPreventing STP Forwarding LoopsSecuring Network Switches
Describing a DHCP Spoof Attack • DHCP spoofing 장치는 client의 DHCP requests에 응답. • 합법적인 서버가 응답할 것이지만, 만약 spoofing 장치가 클라이언트와 같은 세그먼트에 있으면, 이 공격자의 응답이 먼저 클라이언트에 도착할 것이다. • 침입자의 DHCP 응답은 칩입자를 디폴트 게이트웨이 혹은 DNS 서버로 나타내는 IP 주소와 지원정보를 제공한다. • 만약 칩입자가 게이트웨이로 위장할 경우, 클라이언트의 정보는 공격장치에게로 전송되어 바라는 목적지로 보내어 질것이다.
DHCP Spoof Attacks “Here you go, I might be first!” (Rouge) “I need an IP address/mask, default gateway, and DNS server.” “I can now forward these on to my leader.” (Rouge) “Got it, thanks!” “Already got the info.” “Here you go.” (Legitimate) All default gateway frames and DNS requests sent to Rogue.
Describing DHCP Snooping • 시스코 Catalyst 스위치는 어느 스위치 포트가 DHCP 요구에 응답할 수 있는지를 결정하는 기능을 제공한다. • Trusted 포트는 모는 DHCP 메시지를 보낼 수 있다. • Untrusted 포트는 요구 메시지 만 보낼 수 있다. 그리고 DHCPOFFER, DHCPACK, 혹은 DHCPNAK 같은 DHCP 서버 응답 메시지를 보내서는 안된다. • 만약 untrusted 포트에 있는 악의적인 장치가 DHCP 응답 패킷을 보내면, 그 포트는 닫힌다(shut down).
DHCP Option 82 • 클라이언트 포트가 DPCH 서버와 동일한 단일 VLAN 안에 있을 때 Port-to-port DHCP 브로드 케스트 격리가 이루어 진다. • 클라이언트 서버 환경에서 • Client – Agent (port #) DHCP Server (port #) • 중계 대리자(relay agent)는 어느 포트가 요구하는 클라이언트에 연결되어 있는 지를 식별하기 위하 이 정보(포트번호)를 사용한다. 그래서 VLAN 전체로 응답을 보내는 것을 피할 수 있다.
DHCP Snooping Switch(config)# ip dhcp snooping • Enables DHCP snooping globally Switch(config)# ip dhcp snooping information option • Enables DHCP Option 82 data insertion Switch(config-if)# ip dhcp snooping trust • Configures a trusted interface Switch(config)# ip dhcp snooping limit rate [rate] • Number of packets per second accepted on a port Switch(config)# ip dhcp snooping vlan number [number] • Enables DHCP snooping on your VLANs
IP Source Guard • 엑세스 포트와 트렁크 포트를 포함하여, 계층 2 포트 만 지원한다. • 각 untrusted 계층 2 포트의 경우, IP 트래픽 보안필 터링 실행. • Source IP address filter : 오직 IP 발신지 결합(IP source binding) 항목과 일치하는 발신지 IP 주소를 가진 IP 트래픽 만 허용한다. Switch(config)#ip source binding ip-addr ip vlan number interface interface • Source IP and MAC address filter: 오직 IP 발신지 결합(IP source binding) 항목과 일치하는 발신지 IP 주소와 MAC 주소를 가진 IP 트래픽 만 허용한다.
ARP Spoofing • 공격자로 부터의 ARP 패킷은 공격 시스템의 MAC 주소를 송신자(ARP 요구 메시지 송신자)가 자신의 ARP 캐쉬에 저장하도록 한다. • 이들 주소(ARP 요구된 IP 주소)로 향하는 모든 패킷은 공격 시스템을 통하여 전달될 것이다.
Dynamic ARP Inspection (DAI) • ARP spoofing 공격을 방어하기 위하여 • DAI는 모든 ARP 요구 및 응답 패킷을 포착하여 검증함으로써 이들 공격을 막을 수 있다. • 각 포착된 ARP 응답은 APR 캐쉬를 갱신하도록 PC에 보내 지기 전에 유효 MAC 주소-IP 주소 결합을 검증한다. • 유효하지 않는 장치로부터 오는 APR 응답은 기각된다. • DAI는 DHCP snooping에 의하여 구축된 유효한 MAC 주소-IP 주소 결합 데이터 베이스에 기초하여 ARP 패킷의 유효성을 결정한다.
Dynamic ARP Inspection Switch(config)#ip arp inspection vlan vlan_id[,vlan_id] • Enables DAI on a VLAN or range of VLANs Switch(config-if)#ip arp inspection trust • Enables DAI on an interface and sets the interface as a trusted interface Switch(config-if)#ip arp inspection validate {[src-mac][dst-mac] [ip]} • Configures DAI to drop ARP packets when the IP addresses are invalid
Protecting Against ARP Spoofing Attacks • ARP spoofing의 기회를 완화하기 위하여 • STEP 1 : DHCP Spoofing에 대하여 방어를 구현한다. • STEP 2 : Dynamic ARP Inspection을 가동시킨다.