Port security를 이용하는 방법
만약 스위치에서 Port security 기능을 지원할 경우 MAC Flood나 MAC 스푸핑을 예방하거나 피해를 최소화할 수 있는 방법으로, 각각의 포트에 물리적인 MAC 주소를 정적(static)으로 설정하는 것이다. port security는 대부분의 스위치에서 제공하는 기능으로, 스위치의 각 포트별로 MAC 주소를 static하게 설정하여, 설정된 MAC 주소만 해당 포트를 통해 통신을 허용하거나 반대로 필터링하고자 할 때 사용할 수 있다.
이 기능을 이용할 경우 스위치 환경에서 arp를 위조하여 스니핑하거나 네트워크를 다운시키는 서비스 거부(DoS)와 같은 형태의 공격을 차단하는 데 효과적이다. port security를 이용하면 다음과 같은 기능을 구현할 수 있다.
▲ 스위치의 각 포트별로 허용된 MAC 주소를 지정할 수 있다.
▲ 특정한 MAC 주소를 가진 트래픽을 스위치에서 차단할 수 있다.
▲ 각 포트별로 허용 가능한 MAC 수를 지정하여 이 수치를 초과할 경우 초과된 MAC 주소는 더 이상 통신이 되지 않도록 차단 설정하거나 해당 포트를 아예 일정 시간 동안 또는 영원히 shutdown하도록 설정할 수 있다.
시스코 계열의 CatOS 스위치에서의 설정 방법에 대해 간단히 알아보자.
[1] CatOS> (enable) set port security 3/1 enable
기본적으로 port security 기능은 disable되어 있는데, 이 명령어는 3/1 포트에 port security 설정을 enable하는 것을 보여준다.
[2] CatOS> (enable) set port security 3/1 enable 01-02-03-04-05-06
이는 3/1 포트에 특정 MAC을 수작업으로 지정해 주는 명령어이다. 이와 같이 설정하면 3/1 포트에는 앞의 MAC 외에 다른 MAC 주소는 통신할 수 없게 된다. 이때 여기에서 지정한 MAC 주소를 secure mac 주소라 한다.
[3] CatOS> (enable) set port security 3/2 enable maximum 5 violation shutdown 60
이는 3/2 포트에 대해 최대 5개까지의 MAC 주소만이 사용될 수 있도록 하고, 만약 보안 설정을 위배(violation)하여 MAC 주소가 초과되는 경우 해당 포트 전체는 60분 동안 다운(shutdown)되도록 한다. 만약 포트에 연결되어 있는 하위 스위치에 최대 5대의 서버만 설치된다면 최대 5개의 MAC만 인식하면 될 것이다. 그리고 별도로 시간을 지정하지 않을 경우에는 port security를 해제하기 전까지 영원히 다운되도록 하는 것이며, port security 정책을 위배하면 다음과 같은 로그가 발생한다.
2004 May 03 15:40:32 %SECURITY-1-PORTSHUTDOWN:
Port 3/2 shutdown due to no space
또한 포트 내 모든 통신이 다운되는 shutdown 대신 다음과 같이 restrictive를 설정하였을 경우에는 스위치의 해당 포트에서 인식된 5개까지의 MAC은 secure mac으로 통신이 가능하지만 5개를 초과한 이후의 MAC은 통신이 되지 않게 된다
CatOS> (enable)set port security 3/2 enable maximum 5 violation restrict
Port security violation on port 3/2 will cause insecure packets to be dropped.
CatOS> (enable)
지금까지 살펴본 port security에 대한 더 자세한 내용은
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_4/config/sec_port.htm 에서 찾아보기 바란다.
출처는 zdnet이라고 합니다.
이놈의 port security 때문에 ;;
만약 스위치에서 Port security 기능을 지원할 경우 MAC Flood나 MAC 스푸핑을 예방하거나 피해를 최소화할 수 있는 방법으로, 각각의 포트에 물리적인 MAC 주소를 정적(static)으로 설정하는 것이다. port security는 대부분의 스위치에서 제공하는 기능으로, 스위치의 각 포트별로 MAC 주소를 static하게 설정하여, 설정된 MAC 주소만 해당 포트를 통해 통신을 허용하거나 반대로 필터링하고자 할 때 사용할 수 있다.
이 기능을 이용할 경우 스위치 환경에서 arp를 위조하여 스니핑하거나 네트워크를 다운시키는 서비스 거부(DoS)와 같은 형태의 공격을 차단하는 데 효과적이다. port security를 이용하면 다음과 같은 기능을 구현할 수 있다.
▲ 스위치의 각 포트별로 허용된 MAC 주소를 지정할 수 있다.
▲ 특정한 MAC 주소를 가진 트래픽을 스위치에서 차단할 수 있다.
▲ 각 포트별로 허용 가능한 MAC 수를 지정하여 이 수치를 초과할 경우 초과된 MAC 주소는 더 이상 통신이 되지 않도록 차단 설정하거나 해당 포트를 아예 일정 시간 동안 또는 영원히 shutdown하도록 설정할 수 있다.
시스코 계열의 CatOS 스위치에서의 설정 방법에 대해 간단히 알아보자.
[1] CatOS> (enable) set port security 3/1 enable
기본적으로 port security 기능은 disable되어 있는데, 이 명령어는 3/1 포트에 port security 설정을 enable하는 것을 보여준다.
[2] CatOS> (enable) set port security 3/1 enable 01-02-03-04-05-06
이는 3/1 포트에 특정 MAC을 수작업으로 지정해 주는 명령어이다. 이와 같이 설정하면 3/1 포트에는 앞의 MAC 외에 다른 MAC 주소는 통신할 수 없게 된다. 이때 여기에서 지정한 MAC 주소를 secure mac 주소라 한다.
[3] CatOS> (enable) set port security 3/2 enable maximum 5 violation shutdown 60
이는 3/2 포트에 대해 최대 5개까지의 MAC 주소만이 사용될 수 있도록 하고, 만약 보안 설정을 위배(violation)하여 MAC 주소가 초과되는 경우 해당 포트 전체는 60분 동안 다운(shutdown)되도록 한다. 만약 포트에 연결되어 있는 하위 스위치에 최대 5대의 서버만 설치된다면 최대 5개의 MAC만 인식하면 될 것이다. 그리고 별도로 시간을 지정하지 않을 경우에는 port security를 해제하기 전까지 영원히 다운되도록 하는 것이며, port security 정책을 위배하면 다음과 같은 로그가 발생한다.
2004 May 03 15:40:32 %SECURITY-1-PORTSHUTDOWN:
Port 3/2 shutdown due to no space
또한 포트 내 모든 통신이 다운되는 shutdown 대신 다음과 같이 restrictive를 설정하였을 경우에는 스위치의 해당 포트에서 인식된 5개까지의 MAC은 secure mac으로 통신이 가능하지만 5개를 초과한 이후의 MAC은 통신이 되지 않게 된다
CatOS> (enable)set port security 3/2 enable maximum 5 violation restrict
Port security violation on port 3/2 will cause insecure packets to be dropped.
CatOS> (enable)
지금까지 살펴본 port security에 대한 더 자세한 내용은
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_4/config/sec_port.htm 에서 찾아보기 바란다.
출처는 zdnet이라고 합니다.
이놈의 port security 때문에 ;;
반응형