맥 플러딩 공격으로부터 보호

일반적인 맥 플러딩 공격에서는 스위치에 각각 다른 소스 맥 주소가 포함된 패킷이 넘쳐납니다. 의도는 맥 주소-투-물리적 포트 변환 테이블을 저장하기 위해 스위치에 따로 제한된 메모리를 소비하는 것입니다.

이 공격의 결과로 스위치가 페일오픈 모드라는 상태로 전환됩니다. 그런 다음 악의적인 사용자는 무차별 모드로 실행되는 패킷 스니퍼를 사용하여 다른 컴퓨터의 중요한 데이터를 캡처할 수 있습니다.

시스코는 당신에게 제한 및/또는 전용 포트에 일부 맥 주소를 하드 와이어로이 공격에 대한 보호를 설정할 수있는 기회를 제공합니다.

맥 플러딩 공격 이해
3 개 스위치가 있다고 가정합니다.

학습

이 3 개는 허브가 아닌 스위치에 연결되어 있기 때문입니다.

맥 홍수 공격에서 스위치 동작은 다르다. 맥 플러딩 공격 중에 공격자는 각각 다른 소스 맥 주소를 가진 패킷으로 스위치를 플러딩합니다.

내용 주소 지정 가능 메모리(맥 주소가 저장된 메모리)가 가득 차면 스위치는 허브처럼 작동합니다.

맥 플러딩 공격 _2

맥 플러딩 공격으로부터 보호
시스코는 이러한 유형의 공격으로부터 보호하기 위해 스위치 포트 포트 보안이라는 기능을 구현했습니다. 당신은 제한 및 포트에 액세스 할 수 스테이션의 맥 주소를 식별하여 인터페이스에 입력을 제한하는 포트 보안 기능을 사용할 수 있습니다.

보안 맥 주소의 세 가지 유형이 있습니다:

  • 정적 보안 맥 주소: 이러한 수동으로 스위치 포트 포트 보안 맥 주소 맥 주소 인터페이스 구성 명령을 사용하여 구성,주소 테이블에 저장,스위치 실행 구성에 추가.
  • 동적 보안 맥 주소:이 동적으로 만 주소 테이블에 저장,학습 및 스위치를 다시 시작할 때 제거됩니다.
  • 고정 보안 맥 주소:이 동적으로 학습 또는 수동으로 구성 할 수 있습니다,주소 테이블에 저장하고,실행중인 구성에 추가. 이러한 주소가 구성 파일에 저장되면 스위치가 다시 시작될 때 인터페이스에서 동적으로 주소를 다시 배울 필요가 없습니다.

주의 사항:보안 포트는 1~132 개의 연결된 보안 주소를 가질 수 있습니다. 스위치에서 사용 가능한 보안 주소의 총 수는 1024 입니다.

보안 맥 주소의 최대 개수가 주소 테이블에 추가 된 및 주소 테이블에 맥 주소 없는 스테이션 인터페이스에 액세스 하려고 하면 보안 위반이 발생 합니다.

스위치는 세 가지 방법으로 보안 위반에 대응할 수 있습니다:

  • 보호:보안 맥 주소 수가 포트에서 허용되는 한도에 도달하면 충분한 수의 보안 맥 주소를 제거하거나 최대 허용 주소 수를 늘릴 때까지 알 수 없는 소스 주소가 있는 패킷이 삭제됩니다. 보안 위반이 발생했음을 알리지 않습니다.
  • 제한: 보안 맥 주소 수가 포트에서 허용되는 한도에 도달하면 충분한 수의 보안 맥 주소를 제거하거나 최대 허용 주소 수를 늘릴 때까지 알 수 없는 소스 주소가 있는 패킷이 삭제됩니다. 이 모드에서는 보안 위반이 발생했음을 알립니다. 위반 카운터가 증가합니다.
  • 종료:이 모드에서,포트 보안 위반 즉시 오류 비활성화 될 인터페이스의 원인,및 포트 주도 꺼집니다. 또한 트랩을 보내고,시스템 로그 메시지를 기록하고,위반 카운터를 증가시킵니다. 또는 종료 및 종료 없음 인터페이스 구성 명령을 입력하여 수동으로 다시 활성화할 수 있습니다. 이 모드가 기본 모드입니다.

예:10 개의 맥 주소로 제한,그 중 두 개는 정적(.아아아아,비비비비bbbb),에 FastEthernet0/1 포트입니다. 필요한 위반은”제한”입니다.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

스위치 포트 모드 액세스:포트 보안은 액세스 포트에서만 작동하므로 정의하십시오.
스위치 포트 포트-보안:인터페이스에서 포트 보안을 활성화합니다.
스위치 포트 포트-보안 최대 10:인터페이스에 대한 보안 맥 주소의 최대 수를 10 으로 설정합니다.
스위치 포트 포트-보안 위반 제한:위반 모드를”제한”하도록 정의합니다.
스위치 포트 포트 보안 맥 주소.아아아최대값보다 적은 수의 보안 맥 주소를 구성하면 나머지 맥 주소가 동적으로 학습됩니다.

트래픽 제어 상태 및 구성을 표시하는 데 유용한 명령은 다음과 같습니다:

  • 인터페이스 표시 스위치 포트:포트 차단 및 포트 보호 설정을 포함하여 모든 스위칭(라우팅되지 않는)포트 또는 지정된 포트의 관리 및 작동 상태를 표시합니다.
  • 포트 보안 표시 : 각 인터페이스에 대해 허용되는 최대 보안 맥 주소 수,인터페이스의 보안 맥 주소 수,발생한 보안 위반 수 및 위반 모드를 포함하여 스위치 또는 지정된 인터페이스에 대한 포트 보안 설정을 표시합니다.
  • 포트 보안 주소 표시:모든 스위치 인터페이스 또는 각 주소에 대한 노화 정보와 지정된 인터페이스에 구성된 모든 보안 맥 주소를 표시합니다.

기억: 포트가 다음 중 하나로 구성되지 않은 경우에만 인터페이스에서 포트 보안을 사용하도록 설정할 수 있습니다:

  • 트렁크 포트:트렁크 포트에서 포트 보안을 활성화하려고 하면 오류 메시지가 나타나고 포트 보안이 활성화되지 않습니다. 보안 포트의 모드를 트렁크로 변경하려고 하면 포트 모드가 변경되지 않습니다.
  • 동적 포트:동적 모드의 포트는 이웃과 협상하여 트렁크 포트가 될 수 있습니다. 동적 포트에서 포트 보안을 사용하려고 하면 오류 메시지가 나타나고 포트 보안을 사용할 수 없습니다. 보안 포트의 모드를 동적으로 변경하려고 하면 포트 모드가 변경되지 않습니다.
  • 동적 액세스 포트:동적 액세스 포트에서 포트 보안을 사용하도록 설정하려고 하면 오류 메시지가 나타나고 포트 보안을 사용할 수 없습니다. 보안 포트를 동적 가상 컴퓨터 할당으로 변경하려고 하면 오류 메시지가 나타나고 가상 컴퓨터 구성이 변경되지 않습니다.
  • 이더채널 포트:포트에서 포트 보안을 활성화하기 전에 먼저 이더채널에서 해당 포트를 제거해야 합니다. 에테르채널 또는 에테르채널의 활성 포트에서 포트 보안을 활성화하려고 하면 오류 메시지가 나타나고 포트 보안이 활성화되지 않습니다. 에테르채널의 아직 활성 상태가 아닌 포트에서 포트 보안을 활성화하면 포트가 에테르채널에 가입하지 않습니다.
  • 802.1 포트:802.1 포트를 보안 포트로 구성할 수 없습니다. 802.1 배 포트에서 포트 보안을 사용하도록 설정하려고 하면 오류 메시지가 나타나고 포트 보안을 사용할 수 없습니다. 보안 포트를 802.1 배 포트로 변경하려고 하면 오류 메시지가 나타나고 802.1 배 설정은 변경되지 않습니다.
  • 스위치 포트 분석기(스팬)대상 포트:스팬 대상 포트인 포트에서 포트 보안을 사용할 수 있지만 포트가 스팬 대상으로 제거될 때까지 포트 보안을 사용할 수 없습니다. 스팬 소스 포트에서 포트 보안을 활성화할 수 있습니다.

Write a Comment

이메일 주소는 공개되지 않습니다.