[네트워크 장비 취약점 진단] Directed-broadcast 차단

 

 

N-30 Directed-broadcast 차단

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

Directed-broadcast를 차단하는지 점검

 

■ 점검목적

 

Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함

 

■ 보안위협

 

IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨

 

■ 참고

 

※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

Directed Broadcasts를 차단하는 경우

 

취약

Directed Broadcasts를 차단하지 않는 경우

 

■ 조치방법

 

각 장치별로 Directed Broadcasts 제한 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show running-config
Directed-Broadcast 설정 확인

Radware Alteon

 

dirbr에서 disable 설정 확인

Passport

 

config에서 ip directed-broadcast 설정 확인

 

■ 장비별 조치방법 예시

 

Cisco
Interface Configuration 모드에서 no ip directed-broadcast 명령을 실행하여 비활성화
Router# config terminal
Router(config)# interface <인터페이스>
Router(config-if)# no ip directed-broadcast

 

Radware Alteon
# cfg/l3/frwd
# dirbr disable
# apply
# save

Passport
# config vlan <vid> ip directed-broadcast
# disable

 

■ 조치 시 영향 : 일반적인 경우 영향 없음