N-12 Spoofing 방지 필터링 적용 또는 보안장비 사용
■ 점검영역 : 기능관리
■ 항목 중요도 : 상
■ 점검내용
사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검
■ 점검목적
네트워크 경계에서 소스 IP 주소가 명백히 위조된 트래픽을 차단하여 IP 스푸핑 기반 DoS 공격으로부터 인프라를 보호
■ 보안위협
IP 스푸핑 기반 DoS 공격 트래픽이 네트워크 장비의 한계용량을 초과하는 경우 정상적인 서비스 불가
■ 참고
※ IP Spoofing: 호스트의 원본 주소가 아닌 다른 소스 주소로 IP 데이터그램을 조작
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
경계 라우터 또는 보안장비에 스푸핑 방지 필터링을 적용한 경우
취약
경계 라우터 또는 보안장비에 스푸핑 방지 필터링을 적용하지 않은 경우
■ 조치방법
경계 라우터 또는 보안장비에서 스푸핑 방지 필터링 적용
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running
IP spoofing 방지 설정 확인
Juniper Junos
Configure Firewall Filters와 Apply Firewall Filters 설정 확인
■ 장비별 조치방법 예시
공통
특수 용도 주소 차단(RFC 6890 참조)
0.0.0.0/8 자체 네트워크(This host on this network, RFC1122)
10.0.0.0/8 사설 네트워크(Private-Use, RFC1918)
127.0.0.0/8 루프백(Loopback, RFC1122)
169.254.0.0/16 링크 로컬(Link Local, RFC3927)
172.16.0.0/12 사설 네트워크(Private-Use, RFC1918)
192.0.2.0/24 예제 등 문서에서 사용(TEST-NET-1, RFC5737)
192.168.0.0/16 사설 네트워크(Private-Use, RFC1918)
224.0.0.0/4 멀티캐스트(Multicast, RFC5771)
Cisco IOS
Step 1) 스푸핑 방지 필터링 ACL 구성
access-list 번호는 100~199 구간을 사용하여 Extended access-list를 사용
router# configure terminal
router(config)# access-list <ACL 번호> deny ip 0.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 10.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 127.0.0.0 0.255.255.255 any
router(config)# access-list <ACL 번호> deny ip 169.254.0.0 0.0.255.255 any
router(config)# access-list <ACL 번호> deny ip 172.16.0.0 0.15.255.255 any
router(config)# access-list <ACL 번호> deny ip 192.0.2.0 0.0.0.255 any
router(config)# access-list <ACL 번호> deny ip 192.168.0.0 0.0.255.255 any
router(config)# access-list <ACL 번호> deny ip 224.0.0.0 15.255.255.255 any
router(config)# access-list <ACL 번호> permit ip any any
Step 2) 서비스제공업체(SP)와 연결된 인터페이스에 ACL 적용
router(config)# interface serial <인터페이스>
router(config-if)# ip access-group <ACL 번호> in
Juniper Junos
Step 1) 스푸핑 방지 필터링 Firewall Filters 구성
Step 2) IP 대역 지정
user@host> configure
[edit]
user@host# edit policy-options
[edit policy-options]
user@host# set prefix-list <prefix-name> 0.0.0.0/8
user@host# set prefix-list <prefix-name> 10.0.0.0/8
user@host# set prefix-list <prefix-name> 127.0.0.0/8
user@host# set prefix-list <prefix-name> 169.254.0.0/16
user@host# set prefix-list <prefix-name> 172.16.0.0/12
user@host# set prefix-list <prefix-name> 192.0.2.0/24
user@host# set prefix-list <prefix-name> 192.168.0.0/16
user@host# set prefix-list <prefix-name> 224.0.0.0/4
Step 3) 방화벽 필터 설정
[edit]
user@host# edit firewall family inet filter <filter-name>
[edit firewall family inet filter <filter-name>]
user@host# edit term <term-name-1>
[edit firewall family inet filter <filter-name> term <term-name-1>]
user@host# set from source-address <prefix-name>
user@host# set then discard
user@host# up
[edit firewall family inet filter <filter-name>]
user@host# set term <term-name-2> then accept
Step 4) 서비스제공업체(SP)와 연결된 인터페이스에 방화벽 필터를 적용
[edit]
user@host# set interfaces <인터페이스> unit <유닛> family <패밀리>
filter input <filter-name>
■ 조치 시 영향 : ACL 로그가 과도하게 발생할 경우 네트워크 장비의 CPU 사용률 증가에 영향을 주므로 로그 설정을 비활성화