[NW-21] (상) Spoofing 방지 필터링 적용

개요

Source IP 주소가 broadcast, multicast, loopback인 것은 전혀 사용될 필요가 없으나, 종종 악의적인 목적(DoS 공격 시)으로 사용될 수도 있으므로,

ACL를 설정하여 변조된 불법 패킷을 차단하도록 설정해야 한다

 

위험도 : 상

 

판단기준

• 양호 : 악의적인 공격에 대비하여 Source IP에 ACL이 적용되어 있음
• 취약 : 악의적인 공격에 대비하여 Source IP에 ACL이 적용되어 있지 않음

 

점검 방법

	점검 방법	예시
cisco	Router# show running-config · ACL 확인	Router# show running-config ... interface vlan1 ip access-group 100 in   access-list 100 deny 127.0.0.0 0.255.255.255 access-list 100 deny 224.0.0.0 31.255.255.255 access-list 100 deny host 0.0.0.0 access-list 100 permit any any ...
alteon	ADC# /cfg/dump · Filter 확인	ADC# /cfg/dump ... /c/slb/filt 100 sip 127.0.0.0 smask 255.0.0.0 action deny /c/slb/filt 101 sip 224.0.0.0 smask 224.0.0.0 action deny /c/slb/filt 102 sip 255.255.255.255 smask 255.255.255.255 action deny /c/slb/filt 200 sip any dip any action permit ... /c/slb/port 1 filt ena add 100-102 add 200

 

조치 방법

	조치 config 예시	비고
cisco	Router# config terminal Router(config)# access-list 100 deny 127.0.0.0 0.255.255.255 Router(config)# access-list 100 deny 224.0.0.0 31.255.255.255 Router(config)# access-list 100 deny host 0.0.0.0 Router(config)# access-list 100 permit any any Router(config)# interface vlan1 Router(config-if)# ip access-group 100 in
alteon	ADC# /c/slb/filt 100/sip 127.0.0.0/smask 255.0.0.0/action deny ADC# /c/slb/filt 101/sip 224.0.0.0/smask 224.0.0.0/ action deny ADC# /c/slb/filt 102/sip 255.255.255.255/smask 255.255.255.255/action deny ADC# /c/slb/filt 200/sip any/dip any/action permit   ADC# /c/slb/port 1/filt ena/add 100/add 101/add 102/add 200   ADC# apply ADC# save

 

조치 시 영향

ACL Filter 적용 시 기기의 성능에 영향을 줄 수 있다.

ACL Filter 적용 시, 일부 서비스에 영향이 갈 수 있으므로 충분한 사전 검토가 필요하며, 이상 발생 시 원복할 수 있는 준비가 되어 있는 상태에서 적용해야 한다