네트워크의 위험요소중 30%가 내부의 직원을 뽑는다. 그정도로 내부에서 직원들의 네트워크에 대한 공격이 많다는 뜻으로 내부 네트워크에 대한 보안도 생각안할 수가 없다. 기본적인 공격중 하나가 DHCP서버를 설정해놓고 다른 클라이언트들의 DHCP request에 대해 응답해 주는 것이다.
이럼으로 해서 해당 클라이언트의 패킷을 모두 습득할수가 있게되고 이것은 장기간동안 이루어져도 알아내기가 힘들다. 이것을 DHCP Spoofing라고 하고 이것은 DHCP snooping으로 예방이 가능하다.
간단히
Cat3550(config)# ip dhcp snooping
로 설정해도 되고
Cat3550(config)# ip dhcp snooping vlan 1,100,200-210
으로 vlan에 설정도 가능하다.
다음의 유의할 사항이 있다.
Cat 3550(config)# interface gigabitethernet 0/4
Cat 3550(config-if)# ip dhcp snooping trust
위의 명령어는 DHCP의 요청을 모두 믿을만하다고 정해놓는 것이다. 이럼으로 해서 DHCP서버는 Spoofing공격으로 넉다운될수가 있다. 그러므로 snooping설정후에 믿을만한 포트에 trust설정을 해주는 것이 좋다.
또한 다음과 같이 DHCP request를 제한함으로 해서 DoS공격을 예방할 수 있다.
Cat 3550(config)# interface gigabitethernet 0/5
Cat 3550(config-if)# ip dhcp snooping limit rate 3
1초에 3번이상의 DHCP request를 제한하는 설정으로 무차별 공격에서 자유로울 수 있다.
이럼으로 해서 해당 클라이언트의 패킷을 모두 습득할수가 있게되고 이것은 장기간동안 이루어져도 알아내기가 힘들다. 이것을 DHCP Spoofing라고 하고 이것은 DHCP snooping으로 예방이 가능하다.
간단히
Cat3550(config)# ip dhcp snooping
로 설정해도 되고
Cat3550(config)# ip dhcp snooping vlan 1,100,200-210
으로 vlan에 설정도 가능하다.
다음의 유의할 사항이 있다.
Cat 3550(config)# interface gigabitethernet 0/4
Cat 3550(config-if)# ip dhcp snooping trust
위의 명령어는 DHCP의 요청을 모두 믿을만하다고 정해놓는 것이다. 이럼으로 해서 DHCP서버는 Spoofing공격으로 넉다운될수가 있다. 그러므로 snooping설정후에 믿을만한 포트에 trust설정을 해주는 것이 좋다.
또한 다음과 같이 DHCP request를 제한함으로 해서 DoS공격을 예방할 수 있다.
Cat 3550(config)# interface gigabitethernet 0/5
Cat 3550(config-if)# ip dhcp snooping limit rate 3
1초에 3번이상의 DHCP request를 제한하는 설정으로 무차별 공격에서 자유로울 수 있다.
'IT 이야기' 카테고리의 다른 글
| IEEE 802.1x로 네트워크의 스위치보안 (0) | 2010.07.01 |
|---|---|
| Switched Packet Analyzer! (0) | 2010.06.30 |
| Switch 기본 보안 설정 Root Guard & BPDU Guard (0) | 2010.06.30 |
| IPSec과 isakmp설정하기 (1) | 2010.06.17 |
| ESMTP에 대하여 (0) | 2010.06.17 |
