- IP Spoofing Attack 방어
- IP Spoofing 공격을 출발지 IP 주소를 변조하여 공격을 수행한다.
IP Spoofing 공격의 목적은 Local Network 안에서 IP 주소로 맺어진
Trust Relationship을 우회하기 위한 것일 수도 있고 혹은 다른 공격 진행 시
역추적을 피하기 위한 목적일 수도 있다.
- IP 주소를 변조시 실제 공인 IP 주소를 사용하는 것보다 도달성이 없는
사설 IP, Class E 대역 등을 사용하는 것이 더 효과적인 공격이다.
- IP Spoofing 공격을 방허할 수 있는 방법은 다음과 같다.
- Bogon-list를 사용한 Filtering 정책
-> 고객 측의 Firewall과 같은 경계 장비에 적용되는 정책
-> 실제 INTERNET 라우팅 테이블에서 존재할 수 없는 즉
사용되지 않는 IP 대역들(ex. 사설 IP, 예약 주소)과
End User에게 아직 할당되지 않은 공인 IP 주소를 list로
'http://www.team-cymru.org/bogon-reference.html'
사이트에 업데이트 된다.
=> 해당 대역의 경우 필터링 정책을 통해 외부에서 내부로
접근이 불가능하도록 설정하는 것이 보안상 안전하다
- uRPF(unicast Reverse Path Forwarding)
-> ISP와 같은 Service Provider 장비에 주로 적용되는
IP Spoofing 방어법이다.
unicast routing을 하면 destination ip만 본다.(rip,ospf)
CEF(cisco expreesing forwarding)
multicast routing - uRPF을 하는 것
(pim,mospf)
-> Cisco Device에서 지원되는 기능이고 해당 Device에
CEF(Cisco Express Forwarding)이 활성화되어 있어야 한다.
(오늘날 장비는 모두 활성화되어 있다)
-> 일반적으로 L3 Device가 unicast Routing을 수행하는 경우
Packet의 Destination 주소만 확인하고 Source 주소는 확인하지 않는다.
(그렇기 때문에 IP Spoofing 공격이 가능하다.)
이 경우 Service Provider 장비에 uRPF을 설정하게 되면
고객 측에서 전송하는 Packet의 Source 주소와 자신의 CEF Table을 확인하여
Packet을 수신한 Interface에 Source 주소 정보가 존재하는 확인하고 정보가 일치하지
않는 경우에는 해당 Packet을 폐기하게 된다.
(출발지 주소를 보고 맞으면 쓰고 일치하지 않으면 폐기)
- IP Source Guard
-> GNS3 이더 스위치 모듈에서는 명령어가 지원되지 않고
IOU의 경우는 명령어는 지원이 되지만 동작을 하지 않는다.
때문에 실장비에서만 Test가 가능하다.
-> Switch에서 IP Spoofing 공격을 방어하는 기법이다.
DHCP Snooping 기능과 함께 사용이 가능하다.
(Snooping : 관리적인 목적으로 트래픽을 분석, Spoofing : 변조, Sniffing : 엿보다)
Eth | IP | UDP | DHCP | FCS
L2 ---> D / O / R / A
(보안 스위치)
DHCP Snooping Binding Table + DAI + IP Source Guard -> ip 변조 공격 등 다양하게 방지할 수 있다.
fa 1/0 0001.0001.0001 <--> 10.10.10.1
-> Switch가 특정 트래픽을 수신했을 경우 해당 Packet의
출발지 IP 주소와 자신의 DHCP Snooping Binding 테이블에
기록된 포트의 IP를 비교하여 서로 일치되는 경우에만
허용된다.
만약 일치되지 않는 IP 주소를 수신하게 되면
해당 포트를 shutdown 시킨다.
-bogon-list 필터링
<CE>
deny <자신의 내부 공인 IP 대역>
permit any
ip access-list standard OUT_Filter
deny <내부에서 사용되는 IP 대역>
deny any log-input
int fa 1/0
ip access-group BOGON_LIST_FILTER in
ip access-group OUT_Filter out
ip access-list standard OUT_Filter
permit < 내부에서 사용되는 IP 대역>
deny any log-input
int fa 1/0
ip access-group BOGON_LIST_FILTER in
ip access-group
IANA(대륙별로 관리)
- Router의 Switching 방식
- Process Switching (per packet) - 조각마다 보는 것
- fast switching
-> Destination 별로 부하분산(load balancing)
- CEF(Cisco Exprees Forwarding)
(출발지 ip, 목적지 ip를 연산하여
- uRPF Configuration
<ISP>
conf t
int fa 0/1
ip verify unicast reverse-path
유니캐스트 방법으로 reverse-path를 검증하도록 하는 것입니다.
- verify
- 공격 진행 후 다음과 같은 명령어로 확인 가능
show ip int fa 0/1
show ip traffic
주의점
- 만약 uRPF 설정된 interface에 default route가 존재하는 경우
방어 효과가 없다.
-> 이유는 특정 interface로 0.0.0.0 / 0 경로가
존재한다는 것은 해당 interface로 수신하는
packet의 출발지가 무엇이든 허용이 된다는
의미를 갖게 된다.
- 이더스위치 모듈의 경우 DHCP Snooping과 Port-Security를
지원하지 않는다.
때문에 Test를 하기 위해서는 IOU나 실장비를 사용해야 한다.
'network 보안' 카테고리의 다른 글
CoPP (Control Plane Policing) (0) | 2016.09.03 |
---|---|
TCP Intercept (0) | 2016.09.03 |
IPSec VPN (1) | 2016.09.01 |
IEEE 802.1X 인증(= dot1x 인증) (0) | 2016.09.01 |
AAA 인증 (0) | 2016.09.01 |