반응형
Port-security란?
특정 포트에 학습할 수 있는 MAC 주소의 수를 제한하거나 허가된 MAC 주소만 접속 가능하도록 설정하는 것
사용목적
원래 스위치는 포트별로 학습할 수 있는 MAC 주소의 제한이 없습니다. 따라서 이러한 특성을 이용한 MAC FLOODING ATTACK 이라는 것이 있는데 랜덤으로 생성한 MAC 주소를 출발지로 하여 수 많은 FRAME 을 스위치로 전달하면 스위치의 MAC 테이블은 가득차게 되고 정상적인 PC의 통신이 FLOODING 되버리는 공격 기법이 사용될 수 있습니다. 이를 막기 위해 Port-security 를 이용하는 것입니다.
설정방법
int [포트번호]
switchport mode access
switchport port-security
switchport port-security maximum [N]
switchport port-security violation shutdown두가지 방법이 존재하는데 주소 수의 제한을 두고 막기 위해서는 위의 명령어를 이용하시면 됩니다.
맥시멈 값은 스위치가 몇개의 mac 주소를 가질지 정해주는 것입니다. 만약에 위에서 maximum 값을 3으로 줬다면 mac 주소가 4개 이상 넘어가는 순간부터 포트가 차단됩니다.
영상에 잘 보일진 모르겠는데 3개 이상 핑이 가면서 포트가 차단되는게 보이실 겁니다.
shutdown
no shutdown차단된 포트를 다시 풀어주는 방법입니다.
이번엔 특정 포트만 허용해주도록 해보겠습니다. PC 6-1 의 포트만 통신되게 해보도록 하겠습니다.
이게 잘 안되네용 ㅎㅎㅎ 그냥 맥시멈 값 3개로 설정해주고 mac 으로 하는거 확인해봤습니다
잘가다가 맥시멈 값 넘어가니까 차단 되는거 보이시죠? 맥 어드레스로 허용해준건 몇번이고 잘 통신 됐습니다.
switchport mode access
switchport port-security
switchport port security maximum [N]
switchport port-security mac-address [주소]
switchport port-security violation shutdown여기까지가 가장 기본적인 port-security 설정 방법입니다.
Port-security 종류
- Static : MAC 주소를 직접 입력하여 설정하고 NVRAM에 저장할 수 있습니다.
- Dynamic : MAC 주소를 동적으로 학습하지만 NVRAM에 저장할 수는 없다네요. 따라서 재부팅하면 학습된 주소가 모두 사라집니다
- Sticky : 주소를 동적으로 학습하지만 Dynamic 과 다르게 NVRAM에 저장할 수 있고 따라서 재부팅해도 학습된 주소가 날아가지 않습니다.
Violation 종류
- shutdown: 포트 규칙을 위반했을 경우 포트를 shutdown 시킵니다.
- restrict : 위반한 mac 주소를 가진 장비의 모든 frame 을 drop 시킨다. drop 된 frame의 MAC 주소에 대한 로그를 남깁니다.
- protect : restrict와 동일하게 동작하나 LOG를 남기지 않습니다.
반응형
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| 모의 사내망 구축 및 보안 설정 프로젝트(프로젝트 기록) (0) | 2022.07.15 |
|---|---|
| ACL(접근 제어 목록) (0) | 2022.02.17 |
| VLAN (0) | 2022.02.03 |
| DDoS, 공격 유형과 대응방안 (0) | 2022.01.27 |
| 라우팅 재분배 (0) | 2022.01.27 |
