취약점 진단 가이드/네트워크 진단 가이드

N-38(하) 스위치, 허브 보안 강화

H.J.World 2021. 6. 28. 17:50
728x90
반응형

※ 해당 가이드는 2017년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.


주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검

○ 점검목적 : 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 하기 위한 목적

○ 보안위협 : 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음

○ 점검대상 : 스위치, 허브 등

○ 판단기준

- 양호 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있는 경우

- 취약 : 스위치나 허브에 포트 보안, SPAN 설정이 적용되어 있지 않는 경우

 

■ 점검방법

 장비별 점검방법 예시

스위치/
허브
포트 보안 설정 확인
 
Switch> enable
Switch# show port-security address 명령을 통해 확인
 
SPAN 설정 확인
 
Switch> enable
Switch# show monitor 명령을 통해 확인

 

스위치/허브 포트 보안 설정

정적 포트 보안 설정(port securityaccess port, trunk port, tunnel port에만 구성 가능)

Step 1 Switch> enable
Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport mode access
Switch(config-line)# switchport port-security mac-add 0050.bflc.82d3
Switch(config-line)# switchport port-security

 

Port Sticky 방식을 사용한 포트 보안 설정

Step 1 Switch# config terminal
Switch(config)# interface fastethernet 0/1
Switch(config-line)# switchport port-security violation ?
(밑에 있는 명령어를 선택하여 설정)
 
Protect Security violation protect mode
보안 침해 발생 시 해당 장비에 접속을 차단하며 허용된(보안용 맥주소로 등록된) 호스트는 허용
 
restrict Security violation restrict mode
protect mode 기능과 더불어 보안 침해 호스트에 대한 로깅 메시지 발생, 보안 침해 카운터 증가
 
shutdown Security violation shutdown mode
보안 침해 발생 시 해당 포트 shutdown

MAC Access List 생성 및 적용

Step 1 Switch# config terminal
Switch(config)# mac access-list extended mac-pcl-to-pc2
Switch(config)# deny host xxxx.xxxx.xxxx host ssss.ssss.ssss
(Mac 호스트 적용)

 

스위치/허브 SPAN 보안 설정

Step 1 (config)# monitor session 1 source interface Fastethernet 1/1
: 소스포트를 지정, 소스포트 - 트래픽을 캡쳐하려고 하는 포트
 
(config)# monitor session 1 destination interface Fastethernet 1/10
: Fa1/1 포트를 통해 입/출력되는 모든 프레임이 Fa1/10 포트(목적지포트)로 복사
 
# show monitor 명령어로 설정 확인
# show interface |해당포트|
: 상태가 모니터링(Monitoring)으로 표시됨
 
(config)# monitor session 1 source interface Fastethernet 1/2 both
(config)# monitor session 1 destination interface Fastethernet 1/1, Fastethernet 1/5 - 7 rx
: 포트 1/2은 양방향 트래픽을 미러링, 나머지는 수신 트래픽만 미러링

 

스위치를 이용한 종류별 공격 위협 및 대책

MAC 플루딩

- 이더넷 환경에서 스니퍼를 이용한 스니핑 공격을 하여 주요 정보 유출이 될 가능성이 존재

- MAC 플루딩 공격은 특정 호스트가 대량의 변조된 MAC 주소를 생성하기 때문에 이를 차단

- 포트마다 MAC 주소를 스위치에 설정하거나 수용할 수 있는 최대 MAC 주소의 개수를 제한

 

ARP 스푸핑

- 스위치 장비에 의한 직접적인 공격이 아니라 트래픽의 흐름을 변경하는 공격 유형

- 시스코의 경우 개인 가상랜(VLAN) 기능을 이용하여 ARP 스푸핑에 대한 대책 마련 가능

- 개인 가상랜은 같은 가상랜 내에서 포트 단위로 분리할 수 있는 기능으로, promiscuous/isolated/community의 포트 속성을 정의하여 트래픽 이동에 대한 제한이 가능

 

■ 조치 시 영향

일반적인 경우 무관

 

SPAN

Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술

 

728x90
반응형