[Kali Linux] IP Spoofing 공격과 방어(2/2)

 

 

-   이번 포스팅에서는내부 Network에서 IP Spooing 공격 및 방어에 대해 작성하였다.

로컬 네트워크(Local Network) 안에서 신뢰 관계(Trust Relationship) 우회

-   서버와 클라이언트가 계정정보(UserName / Password)가 아닌 IP 주소를 기반으로 신뢰관계를 형성하는 것을 Trust Relationship이라고 한다.

-   Attacker PC에서 자신의 IP 주소를 서버와 신뢰하고 있는 Client의 IP 주소로 변경한 후 서버에 접속할 수 있다.

 

 

-   ARP SPoofing 공격을 통해서 10.1.10.200 의 MAC 주소를 자신으로 바꾼 후 Server의 응답 메시지를 받을 수 있도록 설정한다.

-   IP가 다르므로 TCP Protocol Suit는 2계층에서 3 계층으로패킷을 올려 보내지 않는다. 그러므로 Attacker가 자신의 IP주소가 아닌 응답 트래픽을 처리하기 위해서 특수한 Application 제작이 가능해야 한다.

 

 

MAC 주소를 바꾼 후 Telnet 접속을 하기 위한 Application 다운로드

 

-   해당 포스트에서는 sterm17을 이용하였다. (Win XP에서 설치)

 

sterm17.zip

0.87MB

 

DSW(Switch) 설정

 

-   Telnet 연결할 때 10.1.10.200을 신뢰 관계로 지정한다.

 

access-list 50 permit host 10.1.10.200 lin vty 0 4 no login access-class 50 in

 

Attacker PC에서 cmd창으로 telnet 접속할 경우

 

-   Attacker PC의 IP는 10.1.10.9이고 DSW2(10.1.10.253)에 접속할 경우 신뢰 관계가 성립되지 않아서 접속되지 않는다.

 

 

Attacker PC에서 sterm17을 사용하여 접속할 경우

 

1. Configure 메뉴를 클릭한 후 IP Spooing 주소를 Client IP 주소로 설정한다.

 

 

2.  접속버튼을 클릭한 후 DSW2(Switch)에 Telnet 포트번호로 접속한다.

 

 

3. 정상적으로 접근되는 것을 확인할 수 있다.

 

Wireshack로 패킷 확인

 

-  ARP 패킷을 확인해 보면 출발지 IP 주소를 Client IP 주소로 설정하고 MAC 주소를 임의로 바꾼 것을 확인할 수 있다.

 

 

DSW2(Switch)에서 확인

 

1. show mac address-table 명령어 사용

 

-   Attacker PC에 연결된 포트(Po2) 번의 MAC 주소가 바뀐 것을 확인할 수 있다.

 

 

2. show ip arp명령어 사용

 

-   Client의 IP 주소(10.1.10.200)의 MAC 주소가 Attacker가 설정한 MAC 주소로 바뀐것을 확인할 수 있다.

 

 

신뢰 관계(Trust Relationship) 우회 방어 방법 (IP Source Guard) 

 

-   내부에서 IP Spoofing 공격을 방어하기 위해서는 내부 스위치에 IP Source Guard를 구성하는 것이 가능하다.

-   DAI(Dynamic ARP Inspection)와 동일하게 DHCP Snooping이 구성된 경우 사용이 가능하다. (DHCP Snooping binding Table 내용을 기반으로 공격을 차단한다.)

 

ASW1(Switch)에 DHCP Snooping 구성

 

conf t ip dhcp snooping  ip dhcp snooping vlan 10,20 no ip dhcp snooping information option int range port-channel 1 - 2 ip dhcp snooping trust !

 

DHCP Snooping 적용 확인

 

1. Attacker PC IP 재할당

 

-   Table에 정상적으로 등록되는지 확인하기 위해서 IP를 재할당 받는다.

 

 

2.  show ip dhcp snooping binding 명령어 사용

 

-   IP가 자동할당될 때 해당 IP 주소, MAC 주소, 연결된 포트번호를 확인할 수 있다.

 

 

ASW1(Switch)에 IP Source Guard 구성

 

-   IP 주소를 자동할당이 아닌 수동으로 입력한 Gateway 혹은 서버들이 연결된 포트에는 해당 명령어를 사용하면 안 된다. 

-   DHCP Snooping Binding 정보를 기반으로 통신을 허용하기 때문에 수동으로 할당된 장비들은 출발지 주소 검사를 수행해서는 안된다. (Client에서 사용한다.)

 

conf t int range e 0/0 - 3, e 1/0 - 3 desc##End_User_PC## ip verify source !

 

show ip verfy source 명령어를 사용하여 확인

 

-    snooping binding table에 등록된 정보만 허용하는 것을 확인할 수 있다.

-   IOU에서는 명령어는 입력 및 확인은 가능하지만 정상적으로 동작을 수행하지 않는다. (IP Source Guard 명령어가 입력된 모든 포트의 통신을 차단한다. / 실 장비에서는 정상적으로 동작한다.)