NEFUS_Network(3)_20230830

Port Security(포트보안) 이란?

 스위치는 주변 컴퓨터로부터 데이터를 받았을 경우, 그 컴퓨터의 MAC 주소를 MAC 테이블에 저장해 둡니다. 그리고 나중에 그 컴퓨터로 향하는 데이터를 받았을 때 그 컴퓨터에게로만 보내어 필요없는 데이터 전송을 피합니다.

 하지만 스위치에 너무 많은 컴퓨터가 연결되어 MAC 테이블에 MAC 주소를 저장할 수 없을만큼 용량이 가득 찬다면, 더 이상 학습하지 않고, 일반 허브와 똑같이 동작하기에, 스위치로 수신되는 모든 데이터는 플러딩됩니다. 여기서 플러딩은 연결된 모든 포트로 데이터를 보내는 것을 말합니다.

 그리고 이러한 특징을 이용해 의도적으로 MAC 테이블을 포화시키는 공격을 switch jamming공격, 또는 Mac Flooding Attack이라고 부릅니다. 공격자는 MAC 테이블을 포화시켜서 스위치가 모든 포트로 데이터를 플러딩하도록 하여 스위치에 도착하는 모든 데이터를 받을 수 있게 합니다. 

 

 switch jamming을 방어하기 위해서 하나의 포트에 학습할 MAC 주소의 수를 제한하는 방법을 쓸 수 있습니다. 또는 인증되지 않은 장치가 연결된 경우, 어떤 조치를 취할 것인지도 정할 수 있습니다. port security 설정을 하기 위해선 세가지 단계가 필요합니다.

1. 스위치포트 모드 엑세스 인터페이스 명령을 사용하여, 인터페이스를 엑세스 인터페이스로 정의합니다.

2. 스위치포트 포트보안 인터페이스 명령을 사용하여 포트 보안을 활성화합니다.

3. 스위치포트 포트를 사용하여 이 인터페이스를 통해 프레임을 보낼 수 있는 MAC 주소를 정의합니다.

 

먼저, 포트 보안을 활성화하고 프레임 전송이 허용되는 MAC 주소를 정의해야 합니다.

switch(config)# interface fastEthernet0/1

switch(config-if)# switchport mode access

switch(config-if)# switchport port-security

switch(config-if)# switchport port-security mac-address sticky

 

다음으로, show port-security interface fa0/1을 사용하여 스위치가 host A의 MAC주소를 학습했음을 확인할 수 있습니다.

switch# show port-security interface fastEthernet0/1

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 1

Last Source Address:Vlan : 000A.4188.D0C3:1

Security Violation Count : 0

 

기본적으로 허용되는 최대 MAC 주소 수는 1개이므로, 다른 호스트를 동일한 포트에 연결하면 보안 위반이 발생합니다.

switch# show interfaces fastEthernet0/1

FastEthernet0/1 is down, line protocol is down (err-disabled)

Hardware is Lance, address is 0001.c79a.4501 (bia 0001.c79a.4501)

BW 100000 Kbit, DLY 1000 usec,

reliability 255/255, txload 1/255, rxload 1/255

 

err-disabled 상태 코드는 포트에서 보안 위반이 발생했음을 의미합니다.