CCNA2 정리

Accountion - 예를 들어 로깅 과금(돈)에 관련된 것

로그를 관리하는 것

RADIUS, TACACS = ISP에서 사용하는 전화 등에 의한 원격 접속에 대한 인증용 서버를 지칭

 

SSH = 로컬 방식

 

MAC Table Attacks = 해당되는 포트에 해커가 자신의 맥 주소를 변경해서 공격하는 것

스위치는 맥 주소를 가질 수 있는 용량이 한정적이다.

 

VLAN Attacks = 라우터를 사용하지 않고 다른 VLAN을 공격할 수 있는 것을 말함.

 

DHCP Attacks = Starvation 공격

• DHCP를 대상으로 하는 공격으로 IP주소를 고갈시켜 서비스를 불가능하게 만든다.

DHCP SPOOFING 공격 

• 가짜 서버가 다른 Default Gateway나 IP를 준 뒤 종단자 공격이 가능(피싱 사이트 공격도 가능하다)

ARP SPOOFING attacks : Default Gateway가 아닌데 맞는 것 처럼 행동해서 패킷을 훔쳐보는 것을 말함

 

ARP 포이즈닝 : 쉽게 말해 ARP의 테이블을 공격하는 것

 

IP 스푸핑 : IP 자체의 보안 취약성을 악용한 것으로 자신의 IP 주소를 속여 접속하는 공격을 말함

 

STP 공격 : 루트 브리지를 공격자의 피시로 가져와서 모든 패킷을 스니핑 할 수 있다.(즉 훔쳐볼 수 있다는 것)

모든 VLAN에 접속도 가능하다.

 

포트 보안 개요

특정 포트에 Port-Security 기능을 사용하여 포트에 학습할 수 있는 MAC 주소의 수를 제한하거나

포트에 MAC 주소를 설정하여 허가된 MAC 주소만 접속 가능하도록 설정하는 것

 

포트 보안의 조건 위배시 취하는 action 3가지

1. protect : 위반 장비만 차단하고, 허용된 MAC 주소 장비들은 계속해서 해당 포트를 사용이 가능하다.

2. Restrict : protect 옵션과 동일하지만 추가적으로 Log 메세지를 띄우면서 counter를 증가시킨다.

3. shutdown : 위반시 해당 포트를 비활성화 시킴

 

포트 보안의 Aging time 두가지

1. Absolute : 특정 포트 Port-Security에 등록된 MAC 주소가 설정한 aging time이 만료되어야 Port-Security에 등록된
MAC 주소가 삭제된다.

2. Inactivity : 특정 포트 Port-Security에 등록된 MAC 주소가 설정한 aging time동안 Data Traffic이

없는 경우 해당 Port-Security에 등록된 MAC주소가 삭제

 

DHCP Snooping : DHCP 패킷의 내용을 중간에 가로채서 훔쳐보거나 염탐하는 사용자가 있을 수 있으니
이것을 방지하기 위해 DHCP Snooping을 이용해 DHCP 응답을 차단시켜주는 기능

DHCP Snooping을 사용함으로써 Starvation 공격을 방지할 수 있으며, 초당 몇 개 이상 못가도록 하는 것을
말한다. 

 

DAI(Dynamic ARP Inspection)

DAI는 스위치 보안 기능으로 네트워크 내에 ARP 패킷의 정당성을 확인해 통신하게 해주는 설정

Untrust로 설정된 인터페이스에 통신되는 패킷을 가로채 확인하여 옳지 않은 MAC-IP 패킷을
로그로 남기고 버림. Trust된 인터페이스로 패킷이 들어오면 통과쉽게 말하면 진짜인지 판단하는 것이다.(Source와, Destination을 관리)trust : 감시에서 제외untrust : 감지Destination MAC - 이더넷 헤더의 Destination MAC 주소를 ARP body의 대상 MAC 주소와 비교Source MAC - 이더넷 헤더의 Source MAC 주소를 ARP body의 송신자 MAC 주소와 비교

 

IPSG (IP Source Guard)

DAI와 마찬가지로 인터페이스에 연결된 호스트에서 전송되는 각 패킷을 검사해 호스트와 연결된IP 주소, MAC 주소, VLAN 및 검사를 진행한다. 유효하지 않은 패킷이라면 폐기한다.

 

원데이 공격

최신 취약점에 대한 패치가 발표 되었지만, 검증 및 여러 기타 사유로 패치를 적용하지 않은 상태발표를 하더라도 바로 적용 불가능하기 때문에 팿치를 적용되지 않은 곳을 공격 감행

 

STP 공격에 대한 조치로 Port Fast, BPDU Guard가 있다.

Port Fast를 적용하면 Listening, Learning 상태를 거치지 않는다.즉 Blocking 상태에서 Forwarding 상태로 바로 변환된다는 뜻이다.

 

PortFast만 적용시킨다면 STP 알고리즘이 적용되지 않아 실수로 루핑이 발생할 수 있는 환경이생길 수 있다. 그래서 PortFast를 적용시켰다면 BPDU Guard도 같이 적용시키는 것이 좋다.

 

BPDU Guard : BPDU Guard를 걸어놓은 포트를 통해 BPDU를 수신했을 경우 해당 포트를 자동으로
셧다운 시키는 기능을 말한다. 하지만 셧다운 되었다면 관리자가 직접 no shutdown을 입력해야 살아난다.

 

CDP ( Cisco Discovery Protocol) 란

CDP는 네트워크에서 시스코사의 라우터 및 스위치에 직접 연결된 장비를 확인할 수 있도록 도와주는프로토콜로 직접 연결된 장비의 모델, 인터페이스 등의 정보를 확인할 수 있다.즉 정찰을 한다고 생각하면 편하다.

 

LLDP (Link Layer Discovery Protocol)

CDP와 유사한 기능을 가진 것이 LLDP이다. 링크 계층의 네트워크 상에 존재하는 서버, 스위치,기타 네트워킹 장치 간의 물리적 연결 및 기능 등에 대해 일일이 수동 추적할 필요 없이토폴로지 등에 대한 정보를 쉽게 얻을 수 있도록 제공해주는 프로토콜이다.즉 구조를 알 수 있다는 뜻이다.