포트 보안 개요
포트 보안 기능
이더넷 LAN은 네트워크 디바이스의 주소 스푸핑(단조) 및 레이어 2 DoS(서비스 거부)와 같은 공격에 취약합니다. 포트 보안 기능은 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 디바이스의 액세스 포트를 보호하는 데 도움이 됩니다.
Junos OS는 컨트롤 포워딩 플레인과 서비스 플레인의 분리를 통해 강화되며, 각 기능은 보호된 메모리에서 실행됩니다. 컨트롤 플레인 CPU는 속도 제한, 라우팅 정책 및 방화벽 필터로 보호되어 심각한 공격 시에도 스위치 가동 시간을 보장합니다.
Junos OS는 디바이스의 포트를 보호하는 데 도움이 되는 기능을 제공합니다. 포트는 신뢰할 수 있거나 신뢰할 수 없는 것으로 분류할 수 있습니다. 다양한 유형의 공격으로부터 포트를 보호하기 위해 각 범주에 적절한 정책을 적용합니다.
동적 ARP(Address Resolution Protocol) 검사, DHCP 스누핑 및 MAC 제한과 같은 액세스 포트 보안 기능은 단일 Junos OS CLI 명령을 통해 제어됩니다. 기본 포트 보안 기능은 디바이스의 기본 구성에서 활성화됩니다. 최소한의 구성 단계로 추가 기능을 구성할 수 있습니다. 특정 기능에 따라 VLAN 또는 브리지 도메인 인터페이스에서 기능을 구성할 수 있습니다.
Junos OS 릴리스 18.4R1부터 DHCP 스누핑은 다음 주니퍼 시리즈 스위치인 EX2300, EX4600 및 QFX5K의 신뢰할 수 있는 포트에서 발생합니다. Junos OS 릴리스 18.4R1 이전에는 이러한 디바이스의 경우 DHCPv6 스누핑에만 해당되었습니다. 또한 DHCP 스누핑은 Junos OS 릴리스 19.1R1 이상을 실행하는 EX9200 시리즈 스위치 및 Fusion Enterprise의 신뢰할 수 있는 포트에서 발생합니다.
주니퍼 네트웍스 EX 시리즈 이더넷 스위치는 다음과 같은 하드웨어 및 소프트웨어 보안 기능을 제공합니다.
Console Port- 콘솔 포트를 사용하여 RJ-45 케이블을 통해 라우팅 엔진에 연결할 수 있습니다. 그런 다음 명령줄 인터페이스(CLI)를 사용하여 스위치를 구성합니다.
Out-of-Band Management—후면 패널의 전용 관리 이더넷 포트를 통해 대역 외 관리가 가능합니다.
Software Images—모든 Junos OS 이미지는 주니퍼 네트웍스 인증 기관(CA)이 PKI(Public Key Infrastructure)를 통해 서명합니다.
User Authentication, Authorization, and Accounting (AAA)—기능은 다음과 같습니다.
암호 암호화 및 인증을 사용하는 사용자 및 그룹 계정.
로그인 클래스 및 사용자 템플릿에 대해 구성할 수 있는 액세스 권한 수준입니다.
스위치에 액세스하려는 사용자를 인증하기 위한 RADIUS 인증, TACACS+ 인증 또는 둘 다.
시스템 로깅 또는 RADIUS/TACACS+를 통한 구성 변경 감사.
802.1X Authentication- 네트워크 액세스 제어를 제공합니다. 요청자(호스트)는 LAN에 처음 연결할 때 인증됩니다. DHCP 서버로부터 IP 주소를 받기 전에 신청자를 인증하면 권한이 없는 신청자가 LAN에 액세스하는 것을 방지할 수 있습니다. EX 시리즈 스위치는 EAP-MD5, EAP-TLS, EAP-TTLS 및 EAP-PEAP를 포함한 EAP(Extensible Authentication Protocol) 방법을 지원합니다.
Port Security—스위칭 디바이스에서 지원되는 액세스 포트 보안 기능은 다음과 같습니다.
DHCP 스누핑 - 신뢰할 수 없는 포트에서 수신 DHCP(Dynamic Host Configuration Protocol) 서버 메시지를 필터링 및 차단하고 DHCP 스누핑 데이터베이스라고 하는 DHCP 임대 정보 데이터베이스를 구축 및 유지 관리합니다.
메모:DHCP 스누핑은 스위칭 디바이스의 기본 구성에서 활성화되지 않습니다. DHCP 스누핑은 VLAN 또는 브리지 도메인에서 활성화됩니다. DHCP 스누핑 활성화에 대한 세부 정보는 특정 디바이스에 따라 다릅니다.
신뢰할 수 있는 DHCP 서버 - 신뢰할 수 있는 포트에 DHCP 서버를 구성하면 임대를 보내는 불량 DHCP 서버로부터 보호할 수 있습니다. 인터페이스(포트)에서 이 기능을 활성화합니다. 기본적으로 액세스 포트는 신뢰할 수 없으며 트렁크 포트는 신뢰할 수 있습니다. 액세스 포트는 사용자 PC 및 랩톱, 서버 및 프린터와 같은 이더넷 엔드포인트에 연결하는 스위치 포트입니다. 트렁크 포트는 이더넷 스위치를 다른 스위치나 라우터에 연결하는 스위치 포트입니다.)
DHCPv6 스누핑—IPv6에 대한 DHCP 스누핑.
DHCP 옵션 82 - DHCP 릴레이 에이전트 정보 옵션이라고도 합니다. 이 DHCPv4 기능은 IP 주소 및 MAC 주소의 스푸핑과 DHCP IP 주소 부족과 같은 공격으로부터 스위칭 디바이스를 보호하는 데 도움이 됩니다. 옵션 82는 DHCP 클라이언트의 네트워크 위치에 대한 정보를 제공하며, DHCP 서버는 이 정보를 사용하여 클라이언트에 대한 IP 주소 또는 기타 매개 변수를 구현합니다.
DHCPv6 옵션 37—옵션 37은 DHCPv6의 원격 ID 옵션이며 원격 호스트의 네트워크 위치에 대한 정보를 DHCPv6 패킷에 삽입하는 데 사용됩니다. VLAN에서 옵션 37을 활성화합니다.
메모:옵션 37을 사용한 DHCPv6 스누핑은 MX 시리즈에서 지원되지 않습니다.
DHCPv6 옵션 18—옵션 18은 DHCPv6의 서킷 ID 옵션이며 클라이언트 포트에 대한 정보를 DHCPv6 패킷에 삽입하는 데 사용됩니다. 이 옵션에는 접두사 및 인터페이스 설명과 같이 선택적으로 구성할 수 있는 기타 세부 정보가 포함됩니다.
DHCPv6 옵션 16—옵션 16은 DHCPv6의 공급업체 ID 옵션이며 클라이언트 하드웨어 공급업체에 대한 정보를 DHCPv6 패킷에 삽입하는 데 사용됩니다.
동적 ARP 검사(DAI) - ARP(Address Resolution Protocol) 스푸핑 공격을 방지합니다. ARP 요청 및 응답은 DHCP 스누핑 데이터베이스의 항목과 비교되며, 필터링 결정은 이러한 비교 결과에 기반하여 이루어집니다. VLAN에서 DAI를 활성화합니다.
IPv6 neighbor discovery inspection—IPv6 주소 스푸핑 공격을 방지합니다. 이웃 발견 요청 및 응답은 DHCPv6 스누핑 데이터베이스의 항목과 비교되며, 필터링 결정은 이러한 비교 결과를 기반으로 이루어집니다. VLAN에서 인접 검색 검사를 사용하도록 설정합니다.
IP 소스 가드 - 이더넷 LAN에 대한 IP 주소 스푸핑 공격의 영향을 완화합니다. IP 소스 가드가 활성화되면 신뢰할 수 없는 액세스 인터페이스에서 전송된 패킷의 소스 IP 주소가 DHCP 스누핑 데이터베이스에 대해 검증됩니다. 패킷의 유효성을 검사할 수 없는 경우 폐기됩니다. VLAN 또는 브리지 도메인에서 IP 소스 가드를 사용하도록 설정합니다.
IPv6 source guard—IPv6용 IP source guard.
MAC 제한 - 이더넷 스위칭 테이블(MAC 포워딩 테이블 또는 레이어 2 포워딩 테이블이라고도 함)의 플러딩으로부터 보호합니다. 인터페이스에서 MAC 제한을 활성화할 수 있습니다.
MAC 이동 제한 - MAC 이동을 추적하고 액세스 포트에서 MAC 스푸핑을 탐지합니다. VLAN 또는 브리지 도메인에서 이 기능을 활성화합니다.
영구 MAC 학습—스티키 MAC라고도 합니다. 지속적인 MAC 학습을 통해 인터페이스는 스위치 재부팅 시에도 동적으로 학습된 MAC 주소를 유지할 수 있습니다. 인터페이스에서 이 기능을 활성화합니다.
무제한 프록시 ARP - 스위치는 자체 MAC 주소를 사용하여 모든 ARP 메시지에 응답합니다. 스위치의 인터페이스에 연결된 호스트는 다른 호스트와 직접 통신할 수 없습니다. 대신 호스트 간의 모든 통신이 스위치를 통과합니다.
제한된 프록시 ARP - ARP 요청의 소스 및 대상의 물리적 네트워크가 동일한 경우 스위치는 ARP 요청에 응답하지 않습니다. 대상 호스트가 수신 인터페이스와 동일한 IP 주소를 가지고 있는지 또는 다른(원격) IP 주소를 가지고 있는지는 중요하지 않습니다. 브로드캐스트 주소에 대한 ARP 요청은 응답을 이끌어내지 못합니다.
Device Security—스톰 컨트롤은 스위치가 알 수 없는 유니캐스트 및 브로드캐스트 트래픽을 모니터링하고 패킷을 삭제하거나, 지정된 트래픽 수준을 초과할 때 인터페이스를 종료하거나, 일시적으로 비활성화할 수 있도록 허용하여, 패킷이 LAN을 확산 및 저하시키는 것을 방지합니다. 액세스 인터페이스 또는 트렁크 인터페이스에서 스톰 제어를 활성화할 수 있습니다.
Encryption Standards—지원되는 표준은 다음과 같습니다.
128비트, 192비트 및 256비트 AES(Advanced Encryption Standard)
56비트 DES(Data Encryption Standard) 및 168비트 3DES
또한보십시오
일반적인 공격으로부터 액세스 포트를 보호하는 방법 이해
포트 보안 기능은 다양한 유형의 공격으로부터 주니퍼 네트웍스 EX 시리즈 및 QFX10000 이더넷 스위치를 보호할 수 있습니다. 몇 가지 일반적인 공격에 대한 보호 방법은 다음과 같습니다.
- 이더넷 스위칭 테이블 오버플로우 공격 완화
- 불량 DHCP 서버 공격 완화
- ARP 스푸핑 공격으로부터 보호(QFX10000 Series 스위치에는 적용되지 않음)
- DHCP 스누핑 데이터베이스 변경 공격으로부터 보호(QFX10000 시리즈 스위치에는 적용되지 않음)
- DHCP 기아 공격으로부터 보호
이더넷 스위칭 테이블 오버플로우 공격 완화
이더넷 스위칭 테이블에 대한 오버플로우 공격에서 침입자는 새로운 MAC 주소에서 너무 많은 요청을 전송하여 테이블이 모든 주소를 학습할 수 없습니다. 스위치가 더 이상 테이블의 정보를 사용하여 트래픽을 전달할 수 없는 경우 강제로 메시지를 브로드캐스트합니다. 스위치의 트래픽 흐름이 중단되고 패킷이 네트워크의 모든 호스트로 전송됩니다. 공격자는 트래픽으로 네트워크를 오버로드할 뿐만 아니라 해당 브로드캐스트 트래픽의 냄새를 맡을 수도 있습니다.
이러한 공격을 완화하려면 학습된 MAC 주소와 일부 특정 허용 MAC 주소에 대한 MAC 제한을 모두 구성합니다. MAC 제한 기능을 사용하여 지정된 인터페이스에 대한 이더넷 스위칭 테이블에 추가할 수 있는 MAC 주소의 총 수를 제어합니다. 명시적으로 허용되는 MAC 주소를 설정함으로써 네트워크 액세스가 중요한 네트워크 디바이스의 주소가 이더넷 스위칭 테이블에 포함되도록 보장할 수 있습니다. 예: 이더넷 스위칭 테이블 오버플로우 공격으로부터 보호를 참조하십시오.
학습된 MAC 주소를 각 인터페이스에서 유지하도록 구성할 수도 있습니다. 구성된 MAC 제한과 함께 사용되는 이 영구 MAC 학습은 재시작 또는 인터페이스 다운 이벤트 후 트래픽 손실을 방지하는 데 도움이 되며 인터페이스에서 허용되는 MAC 주소를 제한하여 포트 보안을 강화합니다.
불량 DHCP 서버 공격 완화
공격자가 LAN에서 합법적인 DHCP 서버를 가장하기 위해 불량 DHCP 서버를 설정하는 경우 불량 서버는 네트워크의 DHCP 클라이언트에 대한 임대 발급을 시작할 수 있습니다. 이 불량 서버가 클라이언트에 제공하는 정보는 네트워크 액세스를 방해하여 DoS를 유발할 수 있습니다. 불량 서버는 자신을 네트워크의 기본 게이트웨이 디바이스로 할당할 수도 있습니다. 그런 다음 공격자는 네트워크 트래픽을 스니핑하고 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다. 즉, 합법적인 네트워크 디바이스로 의도된 트래픽을 자신이 선택한 디바이스로 잘못 전달합니다.
불량 DHCP 서버 공격을 완화하려면 해당 불량 서버가 연결된 인터페이스를 신뢰할 수 없는 것으로 설정합니다. 이 작업은 해당 인터페이스의 모든 수신 DHCP 서버 메시지를 차단합니다. 예: 불량 DHCP 서버 공격으로부터 보호를 참조하십시오.
스위치는 신뢰할 수 없는 포트에서 수신된 모든 DHCP 서버 패킷을 기록합니다. 예를 들면 다음과 같습니다.
5 신뢰할 수 없는 DHCPOFFER 수신, 인터페이스 ge-0/0/0.0[65], vlan v1[10] 서버 IP/MAC 12.12.12.1/00:00:00:00:01:12 제안 IP/클라이언트 MAC 12.12.12.253/00:AA:BB:CC:DD:01
이러한 메시지를 사용하여 네트워크에서 악의적인 DHCP 서버를 검색할 수 있습니다.
QFX10000를 포함한 QFX 시리즈 스위치의 경우 DHCP 서버를 액세스 포트에 연결하는 경우 포트를 신뢰할 수 있는 포트로 구성해야 합니다.
ARP 스푸핑 공격으로부터 보호(QFX10000 Series 스위치에는 적용되지 않음)
ARP 스푸핑에서 공격자는 네트워크에서 가짜 ARP 메시지를 보냅니다. 공격자는 자신의 MAC 주소를 스위치에 연결된 네트워크 디바이스의 IP 주소와 연결합니다. 해당 IP 주소로 전송된 모든 트래픽은 대신 공격자에게 전송됩니다. 이제 공격자는 다른 호스트를 위한 패킷을 스니핑하고 메시지 가로채기(man-in-the-middle) 공격을 저지르는 등 다양한 유형의 장난을 만들 수 있습니다. 메시지 가로채기(man-in-the-middle) 공격에서 공격자는 두 호스트 간의 메시지를 가로채고, 읽고, 변경할 수 있습니다. 이 모든 작업은 원래 호스트가 통신이 손상되었다는 사실을 알지 못하게 합니다. )
스위치에서 ARP 스푸핑을 방지하려면 DHCP 스누핑과 동적 ARP 검사(DAI)를 모두 활성화하십시오. DHCP 스누핑은 DHCP 스누핑 테이블을 구축하고 유지합니다. 이 테이블에는 MAC 주소, IP 주소, 리스 시간, 바인딩 유형, VLAN 정보 및 스위치의 신뢰할 수 없는 인터페이스에 대한 인터페이스 정보가 포함되어 있습니다. DAI는 DHCP 스누핑 테이블의 정보를 사용하여 ARP 패킷을 검증합니다. 유효하지 않은 ARP 패킷은 차단되며, 차단되면 ARP 패킷 유형과 발신자의 IP 주소 및 MAC 주소를 포함하는 시스템 로그 메시지가 기록됩니다.
예: ARP 스푸핑 공격으로부터 보호를 참조하십시오.
DHCP 스누핑 데이터베이스 변경 공격으로부터 보호(QFX10000 시리즈 스위치에는 적용되지 않음)
DHCP 스누핑 데이터베이스를 변경하도록 설계된 공격에서 침입자는 다른 신뢰할 수 없는 포트에 있는 클라이언트의 MAC 주소와 동일한 MAC 주소를 가진 스위치의 신뢰할 수 없는 액세스 인터페이스 중 하나에 DHCP 클라이언트를 도입합니다. 침입자가 DHCP 임대를 획득하면 DHCP 스누핑 테이블의 항목이 변경됩니다. 그 후, 합법적인 클라이언트의 유효한 ARP 요청이 차단됩니다.
DHCP 스누핑 데이터베이스의 이러한 유형의 변경을 방지하려면 인터페이스에서 명시적으로 허용되는 MAC 주소를 구성해야 합니다. 예: DHCP 스누핑 데이터베이스 공격으로부터 보호를 참조하십시오.
DHCP 기아 공격으로부터 보호
DHCP 기아 공격에서 공격자는 스푸핑된(위조) MAC 주소의 DHCP 요청으로 이더넷 LAN을 플러딩하여 스위치의 신뢰할 수 있는 DHCP 서버가 스위치에 있는 합법적인 DHCP 클라이언트의 요청을 따라갈 수 없도록 합니다. 이러한 서버의 주소 공간이 완전히 사용되므로 더 이상 클라이언트에 IP 주소 및 임대 시간을 할당할 수 없습니다. 이러한 클라이언트의 DHCP 요청은 삭제되거나 그 결과로 서비스 거부(DoS)가 발생하거나 공격자가 LAN에서 합법적인 DHCP 서버를 가장하도록 설정한 불량 DHCP 서버로 전달됩니다.
DHCP 기아 공격으로부터 스위치를 보호하려면 MAC 제한 기능을 사용합니다. 해당 클라이언트가 연결되는 액세스 인터페이스에서 스위치가 학습할 수 있는 최대 MAC 주소 수를 지정합니다. 그러면 스위치의 DHCP 서버가 지정된 수의 IP 주소 및 임대를 해당 클라이언트에 제공할 수 있으며 그 이상은 제공할 수 없습니다. 최대 IP 주소 수가 할당된 후 DHCP 기아 공격이 발생하면 공격이 실패합니다. 예: DHCP 기아 공격으로부터 보호를 참조하십시오.
EX 시리즈 스위치에 대한 추가적인 보호를 위해 영구 MAC 학습을 활성화하여 각 인터페이스에서 학습된 MAC 주소를 구성하여 스위치를 다시 시작해도 지속되도록 할 수 있습니다. 이러한 지속적 MAC 학습은 재시작 후 트래픽 손실을 방지하는 데 도움이 되며, 재시작 또는 인터페이스 비활성화 이벤트 이후에도 스위치가 새로운 MAC 주소를 학습하는 대신 지속적 MAC 주소가 포워딩 데이터베이스에 재입력되도록 합니다.
또한보십시오
포트 보안(ELS) 구성
설명된 기능은 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치에서 지원됩니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 포트 보안 구성(비 ELS)을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
이더넷 LAN은 네트워크 디바이스의 주소 스푸핑 및 레이어 2 서비스 거부(DoS)와 같은 공격에 취약합니다. DHCP 포트 보안 기능은 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 스위치의 액세스 포트를 보호하는 데 도움이 됩니다.
DHCPv4에 대해 지원되는 포트 보안 기능은 다음과 같습니다.
DHCP 스누핑
동적 ARP 검사(DAI)
IP 소스 가드
DHCP 옵션 82
DHCPv6에 대해 지원되는 포트 보안 기능은 다음과 같습니다.
DHCPv6 스누핑
IPv6 인접 검색 검사
IPv6 소스 가드
DHCPv6 옵션 37, 옵션 18 및 옵션 16
DHCP 스누핑 및 DHCPv6 스누핑은 모든 VLAN에서 기본적으로 비활성화되어 있습니다. DHCP 스누핑 또는 DHCPv6 스누핑을 활성화하기 위해 명시적인 CLI 구성은 사용되지 않습니다. 계층 수준에서 VLAN [edit vlans vlan-name forwarding-options dhcp-security] 에 대한 포트 보안 기능을 구성하면 해당 VLAN에서 DHCP 스누핑 및 DHCPv6 스누핑이 자동으로 활성화됩니다.
Junos OS 릴리스 14.1X53-D47 및 15.1R6부터는 [edit vlans vlan-name forwarding-options] 계층 수준에서 CLI 문을 구성하여 다른 포트 보안 기능을 구성하지 않고도 VLAN에서 DHCP 스누핑 또는 DHCPv6 스누핑을 dhcp-security 활성화할 수 있습니다.
DAI, IPv6 neighbor discovery 검사, IP 소스 가드, IPv6 소스 가드, DHCP 옵션 82 및 DHCPv6 옵션은 VLAN별로 구성됩니다. 이러한 DHCP 포트 보안 기능을 구성하기 전에 VLAN을 구성해야 합니다. ELS를 지원하는 EX 시리즈 스위치용 VLAN 구성(CLI 절차)을 참조하십시오.
VLAN에 대해 지정하는 DHCP 포트 보안 기능은 해당 VLAN에 포함된 모든 인터페이스에 적용됩니다. 그러나 VLAN 내의 액세스 인터페이스 또는 액세스 인터페이스 그룹에 다른 속성을 할당할 수 있습니다. 액세스 인터페이스 또는 인터페이스는 먼저 계층 수준에서 문을 [edit vlans vlan-name forwarding-options dhcp-security] 사용하여 group 그룹으로 구성되어야 합니다. 그룹에는 하나 이상의 인터페이스가 있어야 합니다.
계층 수준에서 VLAN [edit vlans vlan-name forwarding-options dhcp-security] 에 액세스 인터페이스 그룹을 구성하면 VLAN의 모든 인터페이스에 대해 DHCP 스누핑이 자동으로 활성화됩니다.
문을 사용하여 액세스 인터페이스에 지정할 수 있는 group 속성은 다음과 같습니다.
인터페이스에 정적 IP-MAC 주소가 있음을 지정(
static-ip or static-ipv6)DHCP 서버에 대한 신뢰할 수 있는 인터페이스로 작동할 액세스 인터페이스 지정(
trusted)DHCP 옵션 82() 또는 DHCPv6 옵션(
no-option82no-option37)을 전송하지 않는 인터페이스 지정
트렁크 인터페이스는 기본적으로 신뢰됩니다. 그러나 이 기본 동작을 무시하고 트렁크 인터페이스를 로 설정할 수 있습니다 untrusted.
자세한 내용은 다음을 참조하십시오.
해당 VLAN 내에 액세스 인터페이스 그룹을 구성하여 VLAN에 대한 일반 포트 보안 설정을 재정의할 수 있습니다. 자세한 내용은 다음을 참조하십시오.
또한보십시오
포트 보안 구성(비 ELS)
이더넷 LAN은 네트워크 디바이스의 주소 스푸핑 및 레이어 2 서비스 거부(DoS)와 같은 공격에 취약합니다. DHCP 스누핑, DAI(동적 ARP 검사), MAC 제한, MAC 이동 제한 및 영구 MAC 학습과 같은 포트 보안 기능과 신뢰할 수 있는 DHCP 서버는 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성 손실로부터 스위치의 액세스 포트를 보호하는 데 도움이 됩니다.
특정 기능에 따라 다음 중 하나에서 포트 보안 기능을 구성할 수 있습니다.
VLAN - 특정 VLAN 또는 모든 VLAN
인터페이스 - 특정 인터페이스 또는 모든 인터페이스
모든 VLAN 또는 모든 인터페이스에서 포트 보안 기능 중 하나를 구성하는 경우, 스위치 소프트웨어는 다른 포트 보안 기능으로 명시적으로 구성되지 않은 모든 VLAN 및 모든 인터페이스에서 해당 포트 보안 기능을 활성화합니다.
그러나 특정 VLAN 또는 특정 인터페이스에서 포트 보안 기능 중 하나를 명시적으로 구성하는 경우 해당 VLAN 또는 인터페이스에 적용할 추가 포트 보안 기능을 명시적으로 구성해야 합니다. 그렇지 않으면 스위치 소프트웨어가 기능의 기본값을 자동으로 적용합니다.
예를 들어 모든 VLAN에서 DHCP 스누핑을 비활성화하고 특정 VLAN에서만 IP 소스 가드를 명시적으로 활성화하기로 결정한 경우 해당 특정 VLAN에서도 DHCP 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCP 스누핑 없음의 기본값이 해당 VLAN에 적용됩니다.
CLI를 사용하여 포트 보안 기능을 구성하려면 다음을 수행합니다.
- DHCP 스누핑 활성화
- 동적 ARP 검사(DAI) 활성화
- IPv6 Neighbor Discovery 검사 활성화
- 인터페이스에서 동적 MAC 주소 제한
- 인터페이스에서 영구 MAC 학습 활성화
- MAC 주소 이동 제한
- VoIP VLAN에서 VoIP 클라이언트 MAC 주소 제한
- 인터페이스에서 신뢰할 수 있는 DHCP 서버 구성
DHCP 스누핑 활성화
디바이스가 수신된 DHCP 메시지를 모니터링하고, 호스트가 할당된 IP 주소만 사용하도록 하며, 인증된 DHCP 서버에만 액세스를 허용하도록 DHCP 스누핑을 구성할 수 있습니다.
DHCP 스누핑 활성화하기:
특정 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
DHCPv6 스누핑 활성화:
특정 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
동적 ARP 검사(DAI) 활성화
DAI를 활성화하여 ARP 스누핑으로부터 보호할 수 있습니다. DAI를 활성화하려면,
단일 VLAN의 경우:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
IPv6 Neighbor Discovery 검사 활성화
IPv6 주소 스푸핑으로부터 보호하기 위해 이웃 검색 검사를 활성화할 수 있습니다.
단일 VLAN에서 인접 항목 검색을 활성화하려면:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
모든 VLAN에서 neighbor discovery를 활성화하려면:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
인터페이스에서 동적 MAC 주소 제한
인터페이스에 허용되는 동적 MAC 주소 수를 제한하고 제한을 초과할 경우 취할 조치를 지정합니다.
단일 인터페이스에서:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
모든 인터페이스에서:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
인터페이스에서 영구 MAC 학습 활성화
학습된 MAC 주소를 구성하여 스위치를 다시 시작해도 인터페이스에서 지속되도록 할 수 있습니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
MAC 주소 이동 제한
MAC 주소가 원래 인터페이스에서 1초로 이동할 수 있는 횟수를 제한할 수 있습니다.
단일 VLAN의 경우:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
VoIP VLAN에서 VoIP 클라이언트 MAC 주소 제한
구성된 VoIP VLAN에서 VoIP 클라이언트 MAC 주소가 학습되지 않도록 제한하려면:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
VoIP VLAN을 위해 해당 인터페이스에서 학습된 MAC 주소는 동일한 인터페이스를 가진 데이터 VLAN에서 학습되지 않습니다. MAC 주소가 데이터 VLAN 인터페이스에서 학습된 다음 동일한 인터페이스를 가진 VoIP VLAN에서 MAC 주소가 학습된 경우 MAC 주소는 데이터 VLAN 인터페이스에서 제거됩니다.
인터페이스에서 신뢰할 수 있는 DHCP 서버 구성
인터페이스에서 신뢰할 수 있는 DHCP 서버를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
예: 포트 보안 구성(비 ELS)
신뢰할 수 없는 스위치 포트에서 DHCP 스누핑, 동적 ARP 검사(DAI), MAC 제한, 영구 MAC 학습 및 MAC 이동 제한을 구성하여 주소 스푸핑 및 레이어 2 서비스 거부(DoS) 공격으로부터 스위치와 이더넷 LAN을 보호할 수 있습니다. 스위치 인터페이스에 대해 신뢰할 수 있는 DHCP 서버 및 특정(허용된) MAC 주소를 구성할 수도 있습니다.
이 예에서 사용된 스위치는 ELS 구성 스타일을 지원하지 않습니다. ELS 스위치에서 포트 보안을 구성하는 방법에 대한 자세한 내용은 포트 보안(ELS) 구성을 참조하십시오.
이 예에서는 스위치에서 기본 포트 보안 기능을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 또는 QFX 시리즈 1개.
EX 시리즈 스위치의 경우 Junos OS 릴리스 11.4 이상 또는 QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
기본 포트 보안 기능을 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
스위치에 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
이 예에서 DHCP 서버와 해당 클라이언트는 모두 스위치에 있는 단일 VLAN의 멤버입니다.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이러한 공격으로부터 디바이스를 보호하기 위해 다음을 구성할 수 있습니다.
DHCP 서버 메시지 유효성을 검사하기 위한 DHCP 스누핑
MAC 스푸핑으로부터 보호하기 위한 DAI
스위치가 MAC 주소 캐시에 추가하는 MAC 주소 수를 제한하기 위한 MAC 제한
MAC 스푸핑 방지를 위한 MAC 이동 제한
스위치 재부팅 후에도 인터페이스에서 학습할 수 있는 MAC 주소를 학습된 첫 번째 MAC 주소로 제한하는 영구 MAC 학습(스티키 MAC)
임대를 보내는 불량 DHCP 서버로부터 보호하기 위해 신뢰할 수 있는 포트에 구성된 신뢰할 수 있는 DHCP 서버
이 예에서는 DHCP 서버에 연결된 스위치에서 이러한 보안 기능을 구성하는 방법을 보여 줍니다.
이 예의 설정에는 스위치의 VLAN employee-vlan 이 포함됩니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.
위상수학
위한 네트워크 토폴로지
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX 시리즈 또는 QFX 시리즈 스위치 1개 |
VLAN 이름 및 ID |
employee-vlan, 태그 20 |
VLAN 서브넷 |
192.0.2.16/28 192.0.2.17 - 192.0.2.30 192.0.2.31은 서브넷의 브로드캐스트 주소입니다. |
employee-vlan의 인터페이스 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 서버용 인터페이스 |
ge-0/0/8 |
이 예에서 스위치는 처음에 기본 포트 보안 설정으로 구성됩니다. 기본 스위치 구성에서:
스위치에서 보안 포트 액세스가 활성화됩니다.
DHCP 스누핑 및 DAI는 모든 VLAN에서 비활성화됩니다.
모든 액세스 포트는 신뢰할 수 없으며 모든 트렁크 포트는 DHCP 스누핑에 대해 신뢰할 수 있습니다.
이 예의 구성 작업에서는 DHCP 서버를 신뢰할 수 있는 것으로 설정합니다. VLAN에서 DHCP 스누핑, DAI 및 MAC 이동 제한을 활성화합니다. 일부 인터페이스에서 MAC 제한 값을 설정합니다. 인터페이스에서 일부 특정(허용된) MAC 주소를 구성합니다. 인터페이스에서 영구 MAC 학습을 구성합니다.
구성
DHCP 서버 및 클라이언트 포트가 단일 VLAN에 있는 스위치에서 기본 포트 보안을 구성하는 방법:
절차
CLI 빠른 구성
스위치에서 기본 포트 보안을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여 넣습니다.
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
단계별 절차
스위치에서 기본 포트 보안을 구성합니다.
VLAN에서 DHCP 스누핑을 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
DHCP 응답이 허용되는 인터페이스(포트)를 지정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
VLAN에서 동적 ARP 검사(DAI)를 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
MAC 제한을 4 로 구성하고 기본 작업인 drop을 사용합니다. (인터페이스에서 MAC 제한이 초과되면 패킷이 드롭되고 MAC 주소가 이더넷 스위칭 테이블에 추가되지 않습니다.)
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
지속적인 MAC 학습을 활성화하여 특정 인터페이스에 대해 학습한 MAC 주소가 스위치 재시작 및 인터페이스 다운 이벤트 후에도 지속되도록 허용합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
MAC 이동 제한을 5 로 구성하고 기본 작업인 drop을 사용합니다. (MAC 주소가 MAC 이동 제한을 초과한 경우 패킷이 드롭되고 MAC 주소가 이더넷 스위칭 테이블에 추가되지 않음):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
허용되는 MAC 주소를 구성합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
확인
구성이 제대로 작동하는지 확인하려면:
- DHCP 스누핑이 스위치에서 올바르게 작동하는지 확인
- DAI가 스위치에서 올바르게 작동하는지 확인
- MAC 제한, MAC 이동 제한 및 영구 MAC 학습이 스위치에서 올바르게 작동하는지 확인
- 허용된 MAC 주소가 스위치에서 올바르게 작동하는지 확인
DHCP 스누핑이 스위치에서 올바르게 작동하는지 확인
목적
DHCP 스누핑이 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 스위치에 연결하는 인터페이스를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
의미
DHCP 서버가 스위치에 연결하는 인터페이스가 trusted로 설정된 경우 출력(앞의 샘플 참조)은 각 MAC 주소에 대해 할당된 IP 주소와 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다.
DHCP 서버가 신뢰할 수 없는 것으로 구성된 경우 DHCP 스누핑 데이터베이스에 항목이 추가되지 않으며 명령의 show dhcp snooping binding 출력에 아무 것도 표시되지 않습니다.
DAI가 스위치에서 올바르게 작동하는지 확인
목적
DAI가 스위치에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.
DAI 정보를 표시합니다.
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
의미
샘플 출력은 인터페이스당 수신 및 검사된 ARP 패킷 수를 보여주며, 각 인터페이스에서 통과된 패킷 수와 검사에 실패한 패킷 수를 나열합니다. 스위치는 ARP 요청 및 응답을 DHCP 스누핑 데이터베이스의 항목과 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.
MAC 제한, MAC 이동 제한 및 영구 MAC 학습이 스위치에서 올바르게 작동하는지 확인
목적
MAC 제한, MAC 이동 제한 및 영구 MAC 학습이 스위치에서 작동하는지 확인합니다.
행동
ge-0/0/1의 호스트에서 2개의 패킷과 ge-0/0/2의 호스트에서 5개의 패킷이 전송되었으며, 두 인터페이스 모두 기본 작업 드롭으로 MAC 제한 4로 설정되고 지속적인 MAC 학습을 위해 ge-0/0/1이 활성화되었다고 가정해 보겠습니다.
학습한 MAC 주소를 표시합니다.
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
이제 패킷이 1초에 5번 이상 다른 인터페이스로 이동한 후 ge-0/0/2의 호스트 중 2개에서 패킷이 전송되었으며, employee-vlan이 기본 작업 삭제와 함께 MAC 이동 제한 5로 설정되었다고 가정해 보겠습니다.
테이블에 MAC 주소를 표시합니다.
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
첫 번째 샘플 출력은 각 인터페이스에 대해 MAC 제한이 4 인 경우 ge-0/0/2 의 다섯 번째 MAC 주소가 MAC 제한을 초과했기 때문에 학습되지 않았음을 보여줍니다. 두 번째 샘플 출력은 ge-/0/0/2 의 호스트 중 3개에 대한 MAC 주소가 학습되지 않았음을 보여줍니다. 이는 호스트가 1초에 5번 이상 뒤로 이동했기 때문입니다.
인터페이스 ge-0/0/1.0은 영구 MAC 학습을 위해 활성화되었으므로 이 인터페이스와 관련된 MAC 주소는 영구 유형입니다.
허용된 MAC 주소가 스위치에서 올바르게 작동하는지 확인
목적
허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.
행동
인터페이스 ge-0/0/2에서 5개의 허용된 MAC 주소를 구성한 후 MAC 캐시 정보를 표시합니다.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
이 인터페이스에 대한 MAC 제한 값이 4로 설정되었기 때문에 구성된 허용 주소 5개 중 4개만 학습됩니다.