© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
Catalyst Switch 기반의
ARP Spoofing 대책과 방어 방법
2008.07.24
Solution S.E Team
최최 우우 형형 ([email protected])
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
ARP 공격동향과Real Case Study
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
최근 ARP Spoofing 이슈동향분석
안철수 연구소 상반기 7대 보안 이슈– 웹 통한 악성코드 설치 유도하는 ARP Spoofing 기승– 특정 어플리케이션 취약점을 악용하는 악성코드 급증– 검색 엔진을 이용한 자동화된 SQL 인젝션 급증– 스파이웨어의 악성화– 전통적인 악성코드 감염 기법 증가– 스피어 피싱 급증– 스플로그의 등장과 블로그를 이용한 스팸의 악성화
KISA ARP Poisioning 이슈 보고서-7월 ARP Spoofing 공격 분석 보고서에서 ARP 공격 위협에 대한 보고-http://www.krcert.or.kr/unimDocsDownload.do?fileName1=ARP%20Poisoning.pdf&docNo=TR2008005&docKind=2
전자신문 – 2008.07.08 -SQL Injection 취약점 이용한 바이러스 피해 ‘주의보’
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
ARP Spoofing 사고분석
Host A
IP 192.168.1.2
Mac 001D.7282.C501
Host B
IP 192.168.1.5
Mac 0011.2517.6171
G.W
IP 192.168.1.1
Mac 0013.6060.00c5
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
ARP Spoofing 사고분석1. ARP Broadcast
B
B
1. ARP Broadcast
ARP Broadcast 기반의 Scanning을 통한 동일서브넷 내부의 정보 수집.
공격툴에서의공격툴에서의 ScanningScanning
패킷패킷 캡쳐캡쳐 화면화면
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
ARP Spoofing 사고분석2. ARP Cache Poisoning
R
R
1. ARP Cache Poisoning
ARP Reply를 통해 도.감청하려는 목적지 MAC 변경
공격툴에서의공격툴에서의 ARP Reply ARP Reply 대기대기 상태상태
공격툴에서공격툴에서 ARP Reply ARP Reply 실행실행 상태상태–– poisoning poisoning 으로으로 변경변경
ARP Reply ARP Reply 대량대량 발송발송 –– 3030초초 간격간격 업데이트업데이트
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
ARP Spoofing 사고분석3. ARP Cache poisoning 후 ARP Table 변경
공격공격 전전 Switch Switch 에서에서 ARP TableARP Table 공격공격 후후 Switch Switch 에서에서 ARP TableARP Table
Host BHost B의의 ARP TableARP Table이이 모두모두 변경됨변경됨
L2 SwitchL2 Switch에서의에서의 G.W MACG.W MAC도도 변경됨변경됨
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
ARP Spoofing 사고분석4. ARP Spoofing 사고후피해증상
피해피해 시스템에서시스템에서 외부로외부로 Telnet Telnet 잡속잡속
공격공격 툴에서툴에서 각각 어플리케이션어플리케이션 별로별로 모두모두 레코딩레코딩
공격공격 시스템에서시스템에서 피해시스템피해시스템 자동자동 해독해독
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
Catalyst Switch에서방어기법
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
Catalyst Switch 기반의방어기법
DHCP 환경 Static IP 환경
구축 전디자인 방법론
기 구성된방어기법
구성 후 효과
적용 가능 장비
PVLAN 구성을 통한 보호
DAI 기반의 MITM 방지
PVLAN 구성을 통한 보호
Port Security 구성
DAI 기반의 MITM 방지DAI 기반의 MITM 방지
ARP Rate Limit 기능 이용
기업 사용자 보호 기업 사용자 보호 및데이터 센터 가입자 보호
Catalyst 6500,4500,3750,3560,3550
Catalyst 6500,4500,3750,3560,3550
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
DHCP 환경에서의방어기법- 기업,공공기관 -
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
DAI & DHCP Snooping 기능을통한방어
Host A
IP 192.168.1.2
Mac 001D.7282.C501
Host B
IP 192.168.1.5
Mac 0011.2517.6171
G.W
IP 192.168.1.1
Mac 0013.6060.00c5
DHCP snooping enable
ARP Inspection enable
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
DAI & DHCP Snooping 기능을통한방어
1. DHCP snooping enable
## IP DHCP snooping 활성화 ##
Ip dhcp snooping
Ip dhcp snooping vlan 100
## DHCP 가 연결되어 있는 Uplink 포트 구성 ##
Interface fastethernet 0/1
ip dhcp snooping trust
2. Dynamic ARP Inspection enable
## DAI 기능 활성화 ##
Ip arp inspection vlan 100
## ARP Inspection Trust 포트만 활성화 ##
## ARP Inspection Trust 포트는 장비 연결 구간만사용 ##
Interface fastethernet 0/1
ip arp inspection trust
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
DAI & DHCP Snooping 기능을통한방어
DHCP Snooping & ARP Inspection 적용 후 Log
58msec 내에 16개의 ARP Packet이 초과 유입되어 자동으로 err-disable 방어
30초 후 다시 해당 포트 recover
##30초 후 복구를 위한 Configuration
errdisable recovery cause arp-inspection
errdisable recovery interval 30
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
Static IP 환경에서의방어기법- 기업, 공공, IDC -
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
DAI & ARP rate-limit 기능을통한방어
Host A
IP 192.168.1.2
Mac 001D.7282.C501
Host B
IP 192.168.1.5
Mac 0011.2517.6171
G.W
IP 192.168.1.1
Mac 0013.6060.00c5
ARP Inspection enable
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
DAI & ARP rate-limit 기능을통한방어
1. Dynamic ARP Inspection enable
## DAI 기능 활성화 ##
Ip arp inspection vlan 100
## ARP Inspection Trust 포트 활성화 ##
## DHCP를 사용하지 않으므로 모든 포트에 대해 ARP Inspection Trust 구성 ##
Interface range fastethernet 0/1 -24
ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
## 1초 이내에 15개 이상의 ARP Packet을 전송하면err-disable 상태로…##
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
DAI & ARP rate-limit 기능을통한방어
##30초 후 복구를 위한 Configuration
errdisable recovery cause arp-inspection
errdisable recovery interval 30
ARP rate limit에 대한 이해
초당 15개 이상의 ARP Packet을 뿌릴 경우 err-disable을 적용하는 방식을 취한다.
Static IP 환경일 경우 반드시 모든 포트는 trust 환경이어야 한다.
또한 매우 적은 PC가 연결되어 있는 경우 초당 15개의 ARP reply packet을 30초당 전송하므로,
방어가 불가능 할 수도 있다.
그러나 이러한 경우는 매우 드문 경우로, Default로 1초당 15개 ARP Packet 전송시 방어로 설정하는 것이 좋다.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
Why Cisco Catalyst Switch1. 투자 보호
• Catalyst Switch 를 통해 기업 내부 사용자 및 데이터센터 가입자네트워크의 기밀성 제공
2. 강력한 보안 기능 제공• DAI, DHCP Snooping, Port Security, Storm Control 등 강력한
보안 기능 제공
3. 유연한 구성 제공• DHCP 환경, Static IP 환경 등 다양한 기반에서 보안 기술 적용 가능
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
참고자료
Test 환경
Catalyst 3560 SwitchIOS Version 12.2(44)SE2 (문서의 모든 기능은 12.2(25)SEB 이상에서 모두 지원)Tool – CAIN & Ettercap Win Binary, Wincap, Wire Shark, Smartbit 600
추가 참조 자료
http://wwwin-people.cisco.com/whchoi/seminar/Switch_Security_V2.zip
http://www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/scg.html
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21