보안스위치 필요성 및 L2 공격유형과 방어기술 정리

by

보안스위치는 MAC flooding, ARP 스푸핑, Scanning Tree Protocol 등의 L2 네트워크 계층의 공격탐지와 대응이 가능한 보안 솔루션입니다. 이 문서에서는 다양한 L2 공격유형과 이에 대한 방어기술 그리고 보안스위치의 필요성에 대해 자세히 정리해보겠습니다.

보안스위치

필요성

스위치는 아래 그림과 같이 내부의 호스트들이 네트워크에 접속하는 첫 번째 경로입니다. 즉 엔드포인트 단에서 네트워크로 들어오는 공격 위협을 사전에 탐지하고 차단할 수 있는 장치입니다.

보안스위치-구성도
보안스위치-구성도

L3~L7 계층의 위협을 탐지하는 방화벽 및 UTM 보안 솔루션도 있지만, 보안스위치는 L2 하위 레이어에서 사전에  보안 위협의 확산을 차단할 수 있기 때문입니다. 마치 화재가 번지기 전에 초기 진압을 통해 적은 비용으로 단시간에 진압이 가능한 것과 같은 이유입니다.

다양한 정보보안의 위협과 솔루션에 대해서 궁금하시면 이전의 글을 참고 바랍니다.

L2 공격유형

L2 계층에서 발생하는 공격유형과 이에 대한 방어기술에 대해서 자세히 알아보겠습니다.

1. ARP Spoofing (스푸핑) 공격

공격방법

스푸핑 공격은 데이터의 송신 측 정보를 변경하여 중간에서 패킷을 가로채는 유형의 공격입니다. ARP 스푸핑은 MAC 주소를 변조하여 데이터 흐름을 공격자로 유도하는 패턴입니다.

ARP-스푸핑-MAC주소변조-공격절차
ARP-스푸핑-MAC주소변조-공격절차

개념은 간단합니다. 위의 그림과 같이 A와 D가 서로 통신하는 상황을 가정합니다.

(1) ARP Request Broadcasting을 통해 호스트 상의 IP/MAC 테이블을 확인

(2) 각 호스트 들에게 위조한 MAC 주소를 전송하여 ARP Cache 정보를 갱신

(3) 스위치에 공격자의 MAC 주소와 포트 정보가 등록

위와 같은 설정을 마치면 A와 D는 서로 공격자인 C의 MAC 주소에 패킷을 흘려보내고, 공격자는 두 호스트 간의 패킷을 훔쳐볼 수 있게 됩니다.

방어기술

보안스위치에서는 사용자 PC과 가까운 네트워크의 위협을 방어하기 위한 솔루션으로 최근에는 스마트기기나 개인 노트북과 간은 유무선 네트워크를 통한 공격포인트가 늘어나 위협이 증가하는 추세입니다. 이런 내부 위협에 대한 인증과 관리를 한꺼번에 처리하는 보안스위치 솔루션에 대한 정보는 다음을 참고 바랍니다.

방어기술설명
ARP Table 관리시스템에서 IP/MAC 주소를 fix 하는 스크립트를 수행
중요 패킷 암호화SSL 등을 통해 상위 계층에서 패킷을 암호화하여 유출에 대비
VLAN 활용보안이 중요한 서버들을 격리시키고 지정된 호스트만 통신이 가능하도록 망을 분리하는 방법

2. MAC flooding 공격

공격방법

공격자에 의해 네트워크의 MAC Table을 가득 채워 모든 패킷이 플러딩 되도록 하여, 스위치를 허브의 단순 기능으로 동작하게 유도하여 중간의 패킷을 가로채는 공격기법입니다.

공격을 하는 방법은 macof와 같은 툴을 사용해서 MAC주소를 랜덤하게 생성하여 무제한으로 프레임을 네트워크상에 전송합니다. 이 때 스위치가 이를 MAC Table에 반영하고 모든 버퍼가 차면 flooding (넘쳐흐름)이 발생하게 됩니다.

(1) macof 공격

# macof -i eth0실행

macof-실행화면
macof-실행화면

(2) 실행결과

위와 같이 실행한 후 “show mac address-table” 명령어를 통해 확인하면 아래와 같이 수 많은 가짜 mac 주소들이 생성되어 있는 것을 확인할 수 있다.

macof-실행결과
macof-실행결과

방어기술

특정 포트에 학습할 수 있는 MAC의 개수의 제한 설정으로 보완할 수 있으며, 보안스위치와 같은 솔루션에서는 MAC Table 캐시를 독립적으로 구성하여 이를 대비할 수 있습니다.

3. STP (Spanning Tree Protocol) 취약점 공격

공격방법

호스트간에  최초 통신시 서로의 맥주소 확인을 위해 사용하는 ARP broadcasting 을 하게됩니다. 이런 특징을 이용해 공격자가 변조된 BPDU 메시지를 전송하여 스패닝 트리를 조작합니다.

STP프로토콜-수행절차
STP프로토콜-수행절차

즉, 네트워크 상의 트래픽을 자신에게 향하도록 하여 이를 스니핑 툴을 이용해 불법적으로 가로채 정보를 수집하는 공격을 말합니다.

방어기술

보안스위치 등에서는 이런 BPDU 가드 기능을 이용해 불필요한 스위치가 이를 수용할 수 없거나, 루트가드 기능을 이용해 불필요한 스위치가 루트가 되지 않도록 하는 기술로 방어가 가능합니다.

상용솔루션

이런 L2 계층의 공격에 방어하기 위한 효과적인 솔루션은 상용화된 제품을 활용해보는 것입니다. 국내에 출시된 다양한 보안스위치 솔루션에 대한 정보는 다음을 참고하시기 바랍니다.

1) 다산네트웍스 FireGUARD 솔루션: 보안스위치 관리, 관제

2) 유비쿼스 uSafe: DDoS 공격, Flooding, Scan 공격트래픽차단

3) 파이오링크 TiFRONT: 악성코드 분석, APT 공격차단

4) 펌킨 네트웍스LayerX Security Switch

5) 한드림넷 SG Security Solution

이상으로 보안스위치 필요성 및 L2 공격유형과 방어기술에 대해서 정리해보았습니다.

Leave a Comment