[네트워크 장비 취약점 진단] Source 라우팅 차단

 

 

N-31 Source 라우팅 차단

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

source routing를 차단하는지 점검

 

■ 점검목적

 

인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함

 

■ 보안위협

 

공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있음

 

■ 참고

 

※ source routing: 송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정 할 수 있는 기능임

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

ip source route를 차단하는 경우

 

취약

ip source route를 차단하지 않는 경우

 

■ 조치방법

 

각 인터페이스에서 ip source route 차단 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

Router# show running-config
각 인터페이스에서 no ip source-route 설정을 확인

Juniper Junos
user@host# show route
ip source route 설정 확인

 

■ 장비별 조치방법 예시

 

Cisco IOS
Global Configuration 모드에서 no ip source-route 명령어를 실행하여 비활성화
Router# config terminal
Router(config)# no ip source-route

Juniper Junos
Junos 8.5 버전 이후부터 기본적으로 IPv4 소스 라우팅 비활성화 상태
[edit]
user@host# set chassis no-source-route

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음