[네트워크 장비 취약점 진단] Spoofing 방지 필터링 적용 또는 보안장비 사용

 

 

N-12 Spoofing 방지 필터링 적용 또는 보안장비 사용

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 :

 

■ 점검내용

 

사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검

 

■ 점검목적

 

네트워크 경계에서 소스 IP 주소가 명백히 위조된 트래픽을 차단하여 IP 스푸핑 기반 DoS 공격으로부터 인프라를 보호

 

■ 보안위협

 

IP 스푸핑 기반 DoS 공격 트래픽이 네트워크 장비의 한계용량을 초과하는 경우 정상적인 서비스 불가

 

■ 참고

 

※ IP Spoofing: 호스트의 원본 주소가 아닌 다른 소스 주소로 IP 데이터그램을 조작

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

경계 라우터 또는 보안장비에 스푸핑 방지 필터링을 적용한 경우

 

취약

경계 라우터 또는 보안장비에 스푸핑 방지 필터링을 적용하지 않은 경우

 

■ 조치방법

 

경계 라우터 또는 보안장비에서 스푸핑 방지 필터링 적용

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

Router# show running
IP spoofing 방지 설정 확인


Juniper Junos
Configure Firewall Filters와 Apply Firewall Filters 설정 확인

 

■ 장비별 조치방법 예시

 

공통

 

특수 용도 주소 차단(RFC 6890 참조)
0.0.0.0/8 자체 네트워크(This host on this network, RFC1122)
10.0.0.0/8 사설 네트워크(Private-Use, RFC1918)
127.0.0.0/8 루프백(Loopback, RFC1122)
169.254.0.0/16 링크 로컬(Link Local, RFC3927)
172.16.0.0/12 사설 네트워크(Private-Use, RFC1918)
192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737)
192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)
224.0.0.0/4 멀티캐스트(Multicast, RFC5771)

 

Cisco IOS

 

Step 1) 스푸핑 방지 필터링 ACL 구성
access-list 번호는 100~199 구간을 사용하여 Extended access-list를 사용
router# configure terminal
router(config)# access-list <ACL 번호> deny ip 0.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 10.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 127.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 169.254.0.0 0.0.255.255 any
router(config)# access-list <ACL 번호> deny ip 172.16.0.0 0.15.255.255 any
router(config)# access-list <ACL 번호> deny ip 192.0.2.0 0.0.0.255 any
router(config)# access-list <ACL 번호> deny ip 192.168.0.0 0.0.255.255 any
router(config)# access-list <ACL 번호> deny ip 224.0.0.0 15.255.255.255 any
router(config)# access-list <ACL 번호> permit ip any any


Step 2) 서비스제공업체(SP)와 연결된 인터페이스에 ACL 적용
router(config)# interface serial <인터페이스>
router(config-if)# ip access-group <ACL 번호> in


Juniper Junos

 

Step 1) 스푸핑 방지 필터링 Firewall Filters 구성


Step 2) IP 대역 지정
user@host> configure
[edit]
user@host# edit policy-options
[edit policy-options]
user@host# set prefix-list <prefix-name> 0.0.0.0/8
user@host# set prefix-list <prefix-name> 10.0.0.0/8
user@host# set prefix-list <prefix-name> 127.0.0.0/8
user@host# set prefix-list <prefix-name> 169.254.0.0/16
user@host# set prefix-list <prefix-name> 172.16.0.0/12
user@host# set prefix-list <prefix-name> 192.0.2.0/24
user@host# set prefix-list <prefix-name> 192.168.0.0/16
user@host# set prefix-list <prefix-name> 224.0.0.0/4

 

Step 3) 방화벽 필터 설정
[edit]
user@host# edit firewall family inet filter <filter-name>
[edit firewall family inet filter <filter-name>]
user@host# edit term <term-name-1>
[edit firewall family inet filter <filter-name> term <term-name-1>]
user@host# set from source-address <prefix-name>
user@host# set then discard
user@host# up
[edit firewall family inet filter <filter-name>]
user@host# set term <term-name-2> then accept


Step 4) 서비스제공업체(SP)와 연결된 인터페이스에 방화벽 필터를 적용
[edit]
user@host# set interfaces <인터페이스> unit <유닛> family <패밀리>
filter input <filter-name>

 

조치 시 영향 : ACL 로그가 과도하게 발생할 경우 네트워크 장비의 CPU 사용률 증가에 영향을 주므로 로그 설정을 비활성화

 

 

반응형

댓글(0)

Designed by JB FACTORY