이 장에서는 SonicWALL SonicOS에서 MAC-IP 안티스푸핑 보호를 계획, 디자인하고 구현하는 방법을 설명합니다. 이 장에 포함된 섹션은 다음과 같습니다.
오늘날의 네트워크 보안 환경에서는 MAC 및 IP 주소 기반 공격이 증가하고 있습니다. 이러한 유형의 공격은 LAN(Local Area Network)을 대상으로 하는 경우가 많고 네트워크 내외부에서 시작될 수 있습니다. 실제로 사무실 내의 회의실, 학교, 도서관 등 어떤 장소에서든 내부 LAN이 다소 노출되어 있어 이러한 유형의 공격을 받을 수 있습니다. 이와 같은 공격을 가로채기(man-in-the-middle) 공격, ARP 포이즈닝, SPITS라고도 합니다. 관리자는 MAC-IP 안티스푸핑 기능을 통해 다양한 방식으로 네트워크 액세스를 제어하고 OSI 레이어 2/3에서 스푸핑 공격을 방지함으로써 이러한 공격의 발생 위험을 줄일 수 있습니다.
MAC-IP 안티스푸핑 기능의 효율성은 두 가지 영역에서 중점적으로 나타납니다. 그중 하나는 관리자가 네트워크에 액세스할 수 있는 장치를 선택하는 기능을 제공하는 허용 제어입니다. 다른 하나는 레이어 2에서 서비스 거부 공격 등의 스푸핑 공격을 방지하는 것입니다. 이러한 목표를 달성하려면 두 가지 정보 캐시, 즉 MAC-IP 안티스푸핑 캐시와 ARP 캐시를 작성해야 합니다.
MAC-IP 안티스푸핑 캐시는 수신 패킷의 유효성을 검사하여 네트워크 내부에서 해당 패킷을 허용할지를 결정합니다. 수신 패킷의 원본 MAC/IP 주소를 이 캐시에서 조회합니다. 해당 주소가 발견되면 패킷 통과가 허용됩니다. MAC-IP 안티스푸핑 캐시는 다음 하위 시스템 중 하나 이상을 통해 작성됩니다.
• DHCP 서버 기반 임대(SonicWALL의 DHCP 서버)
• DHCP 릴레이 기반 임대(SonicWALL의 IP 도우미)
• 정적 ARP 항목
• 사용자가 만든 정적 항목
ARP 캐시는 다음 하위 시스템을 통해 작성됩니다.
• ARP 패킷(ARP 요청 및 응답 모두)
• 사용자가 만든 항목의 정적 ARP 항목
• MAC-IP 안티스푸핑 캐시
MAC-IP 안티스푸핑 하위 시스템은 ARP 캐시를 잠가서 발신을 제어하므로 발신 패킷, 즉 네트워크에서 나가는 패킷이 악의적인 장치 또는 원치 않는 ARP 패킷에 의해 스푸핑되지 않습니다. 따라서 방화벽이 매핑에 따라 의도하지 않은 장치로 패킷을 라우팅하는 현상을 방지할 수 있습니다. 또한 ARP 캐시 내에서 클라이언트의 고유 MAC 주소를 새로 고침으로써 가로채기(man-in-the-middle) 공격을 방지할 수 있습니다.
이 섹션에 포함된 하위 섹션은 다음과 같습니다.
• 인터페이스 설정
• 안티스푸핑 캐시