Port-Security란?
: 특정 포트에 학습할 수 있는 MAC주소의 수를 제한하여 허가된 Mac만 접속 가능하도록 설정하는 것.
원래 스위치는 하나의 포트에서 여러 Mac주소를 학습할 수 있도록 되어있고 그 수가 제한적이지 않다.
이러한 특성을 이용하여 랜덤하게 생성된 Mac주소를 출발지로 하여 수 많은 Frame을 스위치로 전달하게되면, 스위치는 모든 주소를 학습하여 결국엔 Mac-address-table이 가득차게 된다. 더 이상 Mac주소를 학습할 수 없게 된 스위치는 그 뒤에 들어오는 모든 Frame을 Flooding 시켜서 마치 허브처럼 동작될 수 있다.
위와 같이 공격하는 기법을 Mac Flooding Attack 이라고 한다.
Port security를 설정하면 하나의 포트에 학습할 Mac주소의 수를 제한할 수 있기 때문에 이런 공격을 방어할 수 있다.
또한, 내부 네트워크까지 침입한 공격자는 Sniffing 환경을 구성하기 위해 위 방법 외에 중간자공격(Man in The Middle)을 실행할 수도 있다. 이런 공격으로 대표적인 것은 Mac주소를 변경하여 다른 디바이스 통신 사이에 끼어드는 ARP Spoofing이 있는데 이는 가장 기본적인 공격이며 눈치채기도 어렵다.
Port security 설정은 관리자가 통신을 허용할 장비의 Mac주소를 수동으로 지정할 수도 있기 때문에 이러한 공격이 무용지물이 될 수 있다.
Port-Security 설정
설정 조건
- Dynamic Port 설정 불가(Trunk, Access 포트만 설정 가능)
- Span의 목적지 포트에는 적용 불가
- etherchannel에 설정 불가
- 가능한 엑세스에 설정을 권장함
학습가능한 최대 Mac주소 개수 설정과 Port-security 활성화
ASW2(config-if)# switchport port-security maximum 3 ASW2(config-if)# switchport port-security |
Mac-address 학습 방식지정 3가지
Static : 수동으로 학습을 원하는 Mac-address를 지정해준다. NVram에 저장할 수 있다.
ASW2(config-if)# switchport port-security mac-address HHHH.HHHH.HHHH |
Dynamic : 따로 명령어를 사용하지 않고 스위치가 Mac-address를 동적으로 학습되도록 놔둔다.
스위치에 의해 자동으로 학습된 주소는 NVram에 저장할 수 없다.
Sticky : 스위치가 Mac-address를 동적으로 학습되도록하며, 저장된 주소를 저장할 수 있다.
ASW2(config-if)# switchport port-security mac-address sticky |
Violation Mode 3가지
: 설정조건을 위반하는 경우에 어떻게 대응할 것인지 지정
ASW2(config-if)# switchport port-security violation [protect | restrict | shutdown] |
protect : 위반한 장비 통신 차단, 허용된 호스트는 통신가능
restrict : protect + log발생
shutdown : 위반시 포트 자체를 닫아버림. 가장 강경대응방법이다.
Port security 정책 위반에 의해서 차단이 일어난 경우, 인터페이스 설정을 확인해보면 'err-disabled' 로 표시된다.
이렇게 인터페이스의 에러가 생긴 경우에는 원인을 확인하고 다시 복구시켜주어야 한다.
'Nerwork_Security' 카테고리의 다른 글
| Spoofing Attack (ARP,ICMP,IP 스푸핑 공격) (0) | 2015.07.22 |
|---|---|
| DAI (Dynamic ARP Inspection) (0) | 2015.07.21 |
| 구글 해킹 (Google Dork) (0) | 2015.07.17 |
| 와이어샤크(Wireshark) 사용하기 (1) | 2015.07.16 |
| Kali Linux 환경설정 (1) | 2015.07.16 |
