Switch Sniffing

Sniffing 공격이란 ?

통신망에 돌아다니는 데이터를 몰래 도청하는 행위이며, 정보자산의 기밀성을 저해하는 공격 기법

스위치는 무슨장비?

: Fail Open 정책을 따르는 장비

→ 경로결정이 되지 못한 모든 Frame 은 허브처럼 Follding 한다

경로 결정을 하지못하는 경우

: Broadcast

: Multicast

'위 두개는 특정 트래픽'

: Unknown Unicast

공격자는 학습이 안되게 막는다

임의의 수로 조작된 Frame 을 지속적으로 전달하여 스위치의 MAC table의 버퍼를 Overflow 시킨다.

Switch jamming Attack 실습

: macof 를 사용하여 공격한다.

칼리 Terminal 에서 macof 를 사용하면 많은 아이피와 비정상적인 mac 으로 주소를 보낸다.

: 위같이 ip 와 mac 을 계속하여 변경하여 비정상적인 MAC-address 를 스위치에 테이블에 가득채우는 게 보이며,

  와이어샤크로 패킷을 확인해도 확인이 가능하다.

그리고 스위치 Mac-address Table 을 확인하면 비정상적인 mac 에 올라가있는걸 확인할수 있다.

Switch jamming Attack 방어

Port Security

: 포트에 학습할 수 있는 Mac 주소의 수를 제한하는 기능

(포트 시큐리티 기능 활성화)

: interface fa0/0

  switchport port-security 

Port Security 전제조건

: Dynamic Port 설정 불가 (Trunk, Access 포트만 설정 가능)

: Span 의 목적지 포트에는 적용 불가

: Ether Channel 에 설정불가

: 트렁크포트에 Prectect 를 활성화 하는것은 비추천

: 가능한 액세스 설정을 권장

Port Security - 설정 1

(학습 가능한 최대 MAC주소의 개수 지정하기)

interface fa0/0

switchport port-security maximum 2 

(MAC 주소 학습방식을 static/sticky 설정)

interface fa0/0

switchport port-security mac-address xxxx.xxxx.xxxx

switchport port-security mac-address sticky

Port Security - 설정 2

(정책 위반 시 대응 방법 설정)

 

interface fa0/0

switchport port-security violation { shutdown | protect | restrict }

Shutdown : 예를들어, 위와같이 2개이상을 넘어가면 shutdown 같은경우 서버를 꺼버린다.

protect : 위반된 트래픽을 drop 시킨다.

restrict : 위반되었다라는 log 를 발생시켜 관리자가 확인할 수 있도록 한다.

Switch jamming Attack 방어 실습

: 위와같이 설정 후 실습을 진행

① router0 - 1 을 router 2로 ping 을 사용한다

② Switch1 에서 mac-address table 을 확인하면 총 3개가 확인된다.

③ Switch1 에 포트로 들어오는 maximum mac address 를 3개로 한정시키고 0000.0000.0001 을 수동적으로 입력시켜준다.

그럼 아래와 같이 설정이 된다.

: MaxSecureaddress = 최대 저장 가능한 개수

: Currentaddress = 현재 학습된 개수

: SecurityViolation = 문제된 횟수

: Security Action = Violation 의 상태

④ 만약 router1 에서 mac 이 변경된다면 ?

: 위와같이 맨위에 down / down 과 함께 (disabled) 가 된다.

: 스위치에서 다른 mac 이 입력되면서 스위치가 Shutdown 을 한다.

: 복구를 하기위해서 다시 router1 에서 mac 을 정상적으로 0002 로 수정을해도 스위치는 계속 꺼져있고

  no shutdown 을 해도 켜지지않는다. 이부분은 강제적 shutdown 후에 no shutdown 을 해줘야 켜진다.

⑤ violation 옵션을 사용을 한다면.. ?

: 다 복구후, router0 - 1 에서 2 로 ping 을 보내서 스위치에 mac-table 에 넣는다.

  그후 1번에서 mac 을 변경해본다.

  그래도 스위치는 꺼지지 않는다.

  하지만 통신은 되지않는다.

  근데 router 0 은 통신이 가능하다.

즉, restrict 로그를 발생한다.

이를 확인하려면 로그 설정을 따로한다면 로그도 확인이 가능하다.