이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

안녕하세요. 이번에 팀블로그에 새로 합류한 박지성입니다. 간략하게 저를 소개하자면..한 회사의 영업부서에서 일을하고 있지만, 실제 업무는 대부분 기술지원입니다..사이트 담당자 분들이 저를 여전히 엔지니어로 보는것이 한편으로는부담스러우면서도, 한편으로는 아직은 내가 써먹을만 하구나! 하면서 열심히 살고 있습니다. ^^;;
자격증은 국내 자격증을 제외한 CISSP/CISA/ CIsco관련 자격증은 CCNP뿐이네요. Juniper관련 자격증은..없는것을 적는게 더 빠르겠네요..(한때 Juniper장비에 사랑을 느낀 나머지...쿨럭..;)결론은..국내 자격증이 없다는것이..조금
신경쓰이는 부분입니다. 그래서 요즘 SIS1급을 열심히 준비하고 있습니다. ^^;
자..제 소개는 여기까지 하고요..원래는 준비하고 있던 포스팅 자료가 있는데 조금 뒤로 미루었습니다.

사이트에서 걸려온 전화 한통화로..다른 제목으로 포스팅 합니다. ^^;;

어제 저녁무렵에 사이트에서 다음과 같은 전화가 한통왔습니다.
"인터넷이 너무 느려서 스위치config를 봣더니 쓸데없는 config가 너무 많아서 그런것 같습니다.다 빼주세요."
저는 전혀 이해가 되지 않았습니다. 쓸데없는 config라..L2스위치에..그래서 인터넷이 느리다..???

겸사겸사 머리도 식힐겸, 금일 오전에 방문해서 확인해준다고 하고 전화를 끊었습니다.
오전에 방문해서 인터넷이 느렸던 현상에 대해 설명해주고(담당자는 P2P를 사용중이었고..해당 사이트의 방화벽에는Session Limit설정이 되어 있습니다. 오전에 방문했을때까지 다운을 받고 있더군요..^^;;)담당자가 얘기한 쓸데없는
config를 확인하기 시작했습니다. 제눈에는 쓸데없는 config는 없고,전부 필요한 설정들이었습니다.
1. Port Security / 2. Dynamic ARP Inspection (DAI) / 3.DHCP Snooping / 4.BPDU Guard / 5.Storm Control
5가지 설정이 제눈에 들어오더군요, 누가 설정했는지 참 잘했다~ ^^; 라고 생각하면서 보고있는데,
담당자 께서 한마디 하시더군요..."스위치는 그냥 관리IP만 넣으면 되는거 아닌가요?" 두둥!!!!
그렇습니다..담당자는 P2P사용으로 인한 자신의 PC인터넷이 느려진다는것이 여전히 L2스위치때문이라고 생각하고 있었습니다...왜 느렸었는지 장황하게 설명햇던 저는.. 엔지니어로 빙의 되었던저는 그냥 영업사원으로 돌아가
담당자와 담배한대 같이 피고, 담당자 자리에 별도의 LAN선(담당자가 원하는 빠른인터넷!!!! 내부 손님 전용)하나 더 연결 해주고 사이트를 나왔습니다.....^^;;그래도 보안인으로써 해당 설정을 지우지 않았으므로..난 진게 아니다..라고
혼자 이러고 있습니다. ^^;; 자 그럼 위 설정에 대해서 하나씩 알아 보겠습니다. L2 스위치는 IP만 넣어도 됩니다.
하지만 위의 5가지만 설정해도 나름 든든합니다. 기본적인 것에 충실한것이 화려한 기술을 가진사람보다 낳다고
생각하는 1人입니다. ^^;;

1. Port Security / 2. Dynamic ARP Inspection (DAI) / 3.DHCP Snooping / 4.BPDU Guard / 5.Storm Control

Port Secury의 경우 MAC Flooding Attack 차단에 효과적입니다.  MAC Flooding Attack은 스위치에서 많이 발생됩니다.스위치의 경우 학습할수 있는 MAC의 갯수가 제한되어 있습니다.제가본 대부분의 스위치는 8K, 즉 8000개입니다.
하지만,단시간에 8000개의 MAC이 학습되어서 더이상 MAC을 학습할수 없게 됩니다.결국은 스위치가 허브로 동작하게되는 샘입니다.(*HUB : 단순 신호증폭/모든포트에 신호전달/Mac Table생성안됨 *Switch : Hub와 다르게 대역폭을 그대로 PC에 전달/MacTable생성/Collision domain을 나눌수 있음)
[그림1-1]에서 처럼 정상적인 상황에서는 스위치가 Mac Table을 계속 생성할수 있습니다.하지만 변조소스공격 후에는 [그림1-2]처럼 더이상 Mac을 학습할수가 없어서 허브처럼 동작되는 샘이 됩니다.
*대비 방법 Sample config
Switch(config)#int fa0/0
Switch(config-if)#switchport port-security maximum <1-132>  (제한 갯수)
Switch(config-if)#switchport port-security violation <protect,restrict,shutdown> (포트보안침해시의 동작)
protect옵션 : 보안침해시 해당 장비의 접속만 차단하고,접속이 허용된 장비들은(Mac)계속 포트를 사용할 수 있습니다
restrict옵션 : protect 옵션과 같으나 추가적으로 로킹메세지를 발생시키거나 보안침해 카운터를 증가시킵니다.(개인적으로 권장해 드립니다. ^^;)
shutdown옵션: 기본설정이며, 보안침해시 포트를 셧다운 시킨다.
생각 보다 간단하죠? 당연하죠~~ 기본이니까요~~ ^^

1. Port Security / 2. Dynamic ARP Inspection (DAI) / 3.DHCP Snooping / 4.BPDU Guard / 5.Storm Control
Dynamic ARP Inspection은 네트워크 내에서 ARP패킷의 정당성을 확인하는 설정입니다. 줄여서 DAI라고 하겠습니다.제안서 만들고 있는줄 알고 계시는 사장님이..눈치 가 보입니다. ^^ㅣㅣ DAI는 네트워크 관리자가 옳지 않은
Mac - IP 의 ARP 패킷을 가로채어 로그를 남기고 Discard(휴지통으로 버려~)합니다. 이 설정은 "Man-in-the-middle
즉, 네트워크 구성 중간단계 공격으로 부터 네트워크를 보호합니다.
[그림 2-1]에서 보는것과 같이 L2네트워크에 연결된 호스트,스위치,라우터를 ARP Cache에 poisoning(감염)하여 공격할수 있습니다. 즉, 공격대상의 IP를 자신의 MAC으로 인식시키는 겁니다.   
예를 들어 악의적 목적을 가진사람이 같은 서브넷 내의 다른 호스트 시스템의 ARP Cache를 감염시켜서 고의로
트래픽을 가로챌 수 있습니다. 제 개인적인 경험으로는 특정한 목적보단 단순히 장애만 유발하는경우가대부분 이었습니다.DAI설정은 DHCP Snooping 설정과 같의 쓰는것이 보편화 되있습니다.(DHCP database를 사용)

*대비 방법 Sample config
switch(config)# ip arp inspection vlan 1
switch(config)# int fa0/24
switch(config-if)# ip arp inspection trust
위에서 언급한것과 같이 보통은 DHCP Snooping설정과 함께 사용합니다. DHCP Snooping 까지 하려고 했으나,,,,,
사장님의 눈치 압박이 점점심해집니다..다음에는 여유를 가지고 집에서 포스팅 하도록 하겠습니다. ㅜㅜ
다음 포스팅할 내용은 DHCP환경에서의 DAI설정방법과 3.DHCP Snooping / 4.BPDU Guard / 5.Storm Control
남은 항목에 대해 작성해보겠습니다. 제가 좋아하는 말중에 하나가 "장비는 거짓말을 하지 않는다.사람이 할뿐이다."
입니다. 말그대로 장비는 엔지니어가 설정한데로 동작할뿐 인공지능으로 동작하지 않습니다.^^;; 보안의 시작은
기본적인것 부터 라고 생각합니다
. 본 블로그를 방문하시는 분들은 엔지니어 분들도 있으실거고, 감사성격의 컨설턴트분들도 있을거라 생각됩니다.저는 비록 영업사원일 뿐이지만,  엔지니어분들과 컨설턴트 분들에게 감히 부탁드리고
싶은것은..정형화된 메이저급 솔루션보다 아주 기본적인 작은 보안설정부터 체크리스트에 넣어주셧으면 합니다.^^
다음회에는 더 알찬 내용으로 찾아 뵙겠습니다. 긴(?)글 읽어주시느라 수고하셧습니다. ^^

참고 : Port security - http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/19ew/configuration/guide/port_sec.pdf
DAI - http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/dynarp.pdf
네이버카페 - 네트워크 전문가 따라잡기 기술세미나 자료
신고
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by Jason jisung.park

댓글을 달아 주세요

  1. Favicon of http://boanin.tistory.com BlogIcon 리츄 2011.08.12 19:11 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 포스팅 감사합니다 ^^ 많은 도움이 되었어요!



티스토리 툴바