네트워크 보안의 종류
=> 스위치 보안(포트보안,STP보안)
=> 라우터 보안(PPP인증, 라우팅 메시지 인증, passive-interface)
=> DHCP보안 - DHCP Snooping
=> DAI (Dynamic Arp Inspection)
=> 암호화통신 (Site-to-Site IPSec, GRE IPSec, Remote VPN (IPSec, SSL))
=> 장비보안 설정 (라우터, 스위치 접근 보안) : AAA 인증 (Radius, TACACS+)
정보보안의 3대 요소
비밀성 - 허가 또는 인증 받은 사용자만 사용 가능해야 함 (암호화)
무결성 - 원본 데이터와 받은 데이터가 일치해야 함 (Hash [MD5,SHA])
가용성 - 허가받은 사용자라면 언제라도 사용이 용이해야 함
이중화(이더채널, VLAN별 STP, 라우팅, FHRP, L4/L7 로드밸런싱), High Availibility
스위치 포트 보안
스위치 포트 보안
Access 계층 스위치의 단말이 연결되는 포트에 설정하는 보안입니다.
(가장 기본적인 Endpoint 보안)
MAC주소를 이용하여 허가된 단말만 포트를 사용할 수 있도록 설정하거나
혹은 포트를 사용할 수 있는 MAC주소 개수를 설정합니다.
설정을 위반할 시 가능한 동작으로는 shutdown(기본), protect, restrict가 있습니다.
(restrict == protect와 마찬가지로 프레임을 차단하고 로그를 작성)
# 포트 보안 상태 확인
sh port-security 인터페이스
포트 보안이 꺼진 상태
# 포트보안 활성화
conf t
int f0/1
switchport mode access
# 스위치 포트를 액세스모드로 설정
switchport port-security
# 해당 포트에 포트보안기능 활성화
포트 보안을 활성화한 상태
1. MAC 주소를 이용한 포트보안
swithcport port-security mac-address [H.H.H ]
# 수신을 허용할 MAC주소 설정
switchport port-security maximum 1
switchport port-security violation [shutdown|protect|restrict]
# 보안정책 위반시 액션
# shutdown : 비활성화(err-disabled), 활성화하려면 shutdown , no shutdown을 차례로 입력
# protect : 위반 프레임을 차단만 함.
# restrict : 위반 프레임을 count하고 로그를 발생시킴.
PC0의 MAC주소를 f0/1포트가 허용할 MAC주소로 주었습니다.
게이트웨이(라우터) 까지 통신이 잘 됨을 확인할 수 있습니다.
MAC주소가 일치하지 않을 경우
f0/1에 입력된 MAC주소를 바꾸지 않고 연결된 PC를 바꾸면
통신을 시도하면 스위치에서 차단하며 연결이 끊기는 것을 확인할 수 있습니다.
이렇게 차단되어서 shutdown된 포트는 err-disabled 상태가 됩니다.
이 때 바로 no shutdown으로 활성화는 불가능하고,
위반사항을 제거 후 shutdown -> no shutdown으로 활성화 해야 합니다.
보안정책 위반시 액션을 restrict로 바꾸기
switchport port-security violation restrict
위반시 실행할 액션을 restrict로 바꾸어 주었습니다.
여전히 MAC주소는 일치하지 않으므로 통신이 되지 않지만,
통신이 실패해도 포트는 차단이 되지 않고
위반 횟수 로그만 증가하는 것을 확인할 수 있습니다.
2. MAC 주소 개수를 이용한 포트보안
=> MAC 주소의 개수를 기반으로 동작하도록 설정합니다(기본값은 Maximum 1)
n개의 설정으로 사용하면 n개의 단말에서만 해당 포트를 이용하여 통신이 가능합니다.
이 동작은 허브를 장착해도 마찬가지이므로 허브장치의 사용을 차단할 수 있습니다.
int f0/1
switchport mode access
switchport port-security
swithcport port-security mac-address sticky
# MAC주소를 자동으로 학습하고 저장합니다.
switchport port-security maximum 1
switchport port-security violation [shutdown|protect|restrict]
네트워크 구성은 다음과 같고,
sticky 설정을 하고 위반시 액션을 restrict로 준 상황입니다.
PC0과 PC1에서 차례로 라우터와 통신을 시도했으나
PC0만 가능한 것을 확인할 수 있습니다.
다시 설정값을 확인하면 PC0의 MAC주소만 자동으로 추가된 것을 확인할 수 있습니다.
switchport port-security maximum 2
PC1도 통신을 허용하고 싶으면
포트에 저장할수 있는 MAC값을 늘려주면 됩니다.
이제 PC1에서도 통신이 잘 되고 설정에 MAC주소도 추가되었음을 확인할 수 있습니다.
3. 802.1X 인증 - RADIUS서버(AAA서버)를 이용해 인증
STP 보안
현재 STP 설정에서 Switch0이 root이고 Switch1이 Secondary 인 상황입니다.
이렇게 STP 설정에 의해 네트워크 구성이 바뀌는것을막는것이 STP보안입니다.
1. BPDU Guard
access한 포트에 BPDU가 수신되면 포트를 차단하는 기능
Switch2)
conf t
int f0/3
switchport mode access
spanning-tree bpduguard enable
BPDU Guard를 설정한 후 새 스위치를 연결하려 하자
연결이 차단되어 shutdown 상태가 되는것을 확인할 수 있습니다.
2. Root Guard
Root Bridge가 변경되는 것을 방지하는 기능
Switch2)
conf t
int f0/3
switchport mode access
spanning-tree guard root
Switch2에 BPDU Filter를 설정하고 새 스위치를 연결하자
연결은 되어있으나 root-inconsistent 상태가 되며
통신은 차단됨을 확인할 수 있습니다.
3. BPDU Filter
BPDU Guard가 수신되는 BPDU를 막는 기능이라면
BPDU Filter는 송신되는 BPDU를 막는 기능입니다.
4. Loop Guard
BLK 상태인 포트가 FWD로 변경되어
루프가 발생하는 것을 방지하는 기능
5. UDLD
광케이블의 물리적인 손상을 체크하여
루프가 발생하지 않게 하는 기능
