17.3.24 29일차 (스위치 보안 기능 1)

@스위치 단점

 - 변조 공격 취약

          ETH| IP| XXX

          ETH| ARP

           ---> 이부분만 본다

 - 플로딩 공격 취약

          브로드케스트 프레임

          Unknown 유니케스트 프레임

          Unknown 멀티케스트 프레임

- 인가 받지 않은 외부 시스템 /장비 연결이 손쉽다.

----> Access분배 계층(PC)에서 보안 계층에서 공격이 했을때 보안 기능이 몇가지가 있다.

SW3 담당

공격자에 의해서 전송된 프레임에 의해서 MAC 주소 테이블에 허용된 개수의 MAC 주소가 다차면, 나머지

MAC 주소에 대해서는 등록이 불가능하다. 

show mac-address table count

스위치에서 학습가능한 table은 5077개를 학습할 수 있음을 알수있다.

포트 보안

SW3(config)#int fa0/1

SW3(config-if)#shutdown

SW3(config-if)#switchport mode access  -> 액세스

SW3(config-if)#switchport port-security

SW3(config-if)#switchport port-security maximum 1 -> 예약할 맥어드레스 1개

SW3(config-if)#switchport port-security mac-address 000C.24FE.8F0B(sw3번맥어드레스 / 0001.1111.1111(공격자ip)

---> 이맥어드레스 이외에는 차단

SW3(config-if)#switchport port-security violation shutdown

SW3(config-if)#no shutdown

show int fa0/1 status err-disabled

show port-security address

err-disable된 이유는  000C.24FE.8F0B이외의 아이피가 들어왔기 때문에 차단

---

SWx(config)#int fa0/1

SWx(config-if)#shutdown

SWx(config-if)#switchport mode access  -> 액세스

SWx(config-if)#switchport port-security

SWx(config-if)#switchport port-security maximum 10 -> 예약할 맥어드레스 10개

SWx(config-if)#switchport port-security mac-address sticky ---> 현재 mac address table에 있는mac을 할당

SWx(config-if)#switchport port-security violation shutdown

SWx(config-if)#no shutdown

storm-control’ 기능을 이용한 트래픽양 제어

스위치 포트로 트래픽이 과다하게 수신될 경우, ‘storm-control’ 기능을 이용하여 수신하는 트래픽 처리양을

제어할 수 있다. ‘storm-control’ 기능은 스위치 포트로 유니케스트, 브로드케스트, 멀티케스트 트래픽들이 1

초 동안 일정 수준 이상으로 수신되면, 해당 트래픽을 일시적으로 차단한다

SWx[f0/1] ----------------------------------- PC 

int fa0/1

 storm-control unicast level 0.05 F0/1 포트에서 브로드케스트 프레임 처리양이 0.05%가 되면, 브로드케스트 프레임을 일시적으로 차단한다

PC> ping 192.168.100.254 -l 8000 -t pc에서 192.168.100.254 사이즈를 8000byte로 계속 ping테스트

SWx#show storm-control unicast SW3에서 확인한 storm-control 정보 확인

SWx storm-control unicast level 0.05 0.05%를 초과하면 일시적으로 차단한다. 

SWx storm-control action shutdown shutdown시킨다.

Forwarding->blocking이 됨을 알 수 있다. 

protected port’를 이용한 트래픽 교환 제어

Protected port란 스위치 포트에 연결된 PC, 또는 어플리케이션 서버들이 트래픽을 교환하기를 원치 않을

때, 아니면 서로가 생성하는 트래픽이 서로에게 간섭을 주지 말아야할 때, 스위치 포트 간에 트래픽 교환을

제한하는 기능을 수행한다. 

SW1번은 protected 할필요가 없음

SW2(config)#int range fa0/23 - 24

SW2(config-if-range)#switchport protected

SW3(config)#int range fa0/23 - 24

SW3(config-if-range)#switchport protected

SW2,SW3끼리는 ping이 안되고 sw1번끼리는 된다.

---

Port Blocking’을 이용한 Unknown 프레임 플러딩 방지

스위치는  목적지 정보가 자신의 MAC-Addres-Table에 등록되지 않는 Unknown 

유니케스트 프레임과 Unknown 멀티케스트 프레임을 플러딩한다.

 unknown 유니케스트 프레임, unknown 멀티케스트 프레임을 수신하여 , 해당포트로 플러딩 부하를 방지를 할 수 있다.

SW3(config)#int fa0/1

SW3(config-if)#switchport block unicast

SW3(config-if)#switchport block multicast

SW3#show interfaces fa0/1 switchport

---

mac access-lists’를 이용한 프레임 필터링

EX)

SWx

mac access-list extend In-Filter

deny host D0-50-99-AD-51-69(자기 ip 맥어드레스) any

permit any any

int f0/1

mac access-group In-Filter in

PC

arp -d

ping 192.168.100.254 or 인터넷 x

---

‘VLAN Map’을 이용한 프레임 필터링

① VLAN Map에서 사용할 ACL 항목을 생성한다. 

② ‘vlan aces-map’ 명령어를 이용하여 VLAN MAP을 설정한다. 

③ ‘vlan filter [VLAN map name] vlan-list [VLAN-ID]’ 명령어를 이용하여 VLAN 맵을 VLAN에 적용한다.

telnet 192.168.100.x ----> x

ping 192.168.100.x

ping 192.168.100.10x

access-list 110 permit tcp any(공격자를 모르므로) host 192.168.100.103 eq 23

vlan access-map VMAP 10

match ip address 110  이 아이피로 access list 110과  VMAP을 연결하겠다

Action drop   -VMAP 10번의 action은 drop하겠다.

vlan access-map VMAP 20

action forward

exit 

vlan filter VMAP vlan-list 1 (vlan id)

-SW3은 출발지 IP 192.168.100.254 SW3 관리자  ip 주소로 텔넷 접속하는 것을 차단하여라

access-list 110 deny icmp 192.168.100.254 host 192.168.100.103 echo

access-list 110 deny icmp 192.168.100.254 host 192.168.100.103 echo-reply----> 기존에 먼저 설정해두고 한줄 추가 하면 된다.

라우터가 공격자라면 192.168.100.103주소로 텔넷이 안되는것을 확인할 수 있다.

---

SPAN(Switched Port Analyzer)

SPAN 기능을

활용하면 패켓 분석기가 연결된 스위치 포트도 스위치 특정 포트, 또는 VLAN에서 전송되는 트래픽들을 수

집 및 분석할 수 있다.

@SW2

monitor session 1 source interface fa0/22 both ----> 라우터의 패킷을 rx, tx모두 SW3 fa0/22번 통로로 복제

monitor session 1 destination interface fa0/1

@SW3

monitor session 1 source interface fa0/10 both ----> 라우터의 패킷을 rx, tx모두 SW3 fa0/10번 통로로 복제

monitor session 1 destination interface fa0/1

@SW2,SW3

show monitor session 1------->모니터할 세션1를 보겠다는 것

show int fa0/1 <------------------------down(monitoring)

2] VLAN 도메인에 대한 리모트 SPAN 예제

@라우터,SW1,SW2,SW3 show vlan brief

vlan 999

 remote-vlan

 end

!

@sw3

monitor session 1 source interface fa0/10 both--->라우터의 패킷을 rx, tx모두 SW3 fa0/10번 통로로 복제

monitor session 1 destination remote vlan 999 reflector-port fa0/7(사용하지 않는 포트)  --> 라우터의 vlan 999을 복제하여 스위치의f0/7번포트를 통해 받겠다.

@SW1

monitor session 1 source remote vlan 999  라우터 vlan 999번을 모니터할 세션 1번을 보겠다는 것...

monitor session 1 destination interface fa0/1  <--- show int fa0/1 (실제사용할 포트)

DHCP 스푸핑 공격 방지

@R1

ip dhcp excluded-address 192.168.100.1 192.168.100.3

ip dhcp excluded-address 192.168.100.254

!

ip dhcp pool 1

 network 192.168.100.0 255.255.255.0

 default-router 192.168.100.254

 dns-server 168.126.63.1

A,B,C-> 자동할당--> 먼저 자동할당한다음에 snooping 명령어를 입력한다.

ip dhcp snooping

ip dhcp snooping vlan 1

no ip dhcp snooping information option 

int range fa0/1 ----> untrust  : 신뢰하지 않은 f0/1포트를 염탐하겠다는 것,  나머지는 신뢰하는 포트로

ip dhcp snooping limit rate 10

int range fa0/22, fa0/10  ---> trust: SW1 fa0/24, SW2 fa0/22,fa0/24, 

ip dhcp snooping trust

show ip dhcp snooping binding

PC > ipconfig /release

PC> ipconfig /renew

---

다C 주소에 대해서