N-22: Spoofing 방지 필터링 적용

분류: Network Equipment

중요도: 상

---

개요

점검 내용

사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP주소를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검

점검 목적

네트워크 경계에서 소스 IP주소가 명백히 위조된 트래픽을 차단하여 IP 스푸핑 기반 DoS 공격으로부터 인프라를 보호함

보안 위협

IP 스푸핑 기반 DoS 공격 트래픽이 네트워크 장비의 한계용량을 초과하는 경우 정상적인 서비스 불가

참고

IP Spoofing

호스트의 원본 주소가 아닌 다른 소스 주소로 IP 데이터그램을 조작

점검 대상 및 판단 기준

대상

Cisco, Juniper 등

판단 기준

✅ 양호: 경계 라우터 또는 보안 장비에 스푸핑 방지 필터링을 적용한 경우

❌ 취약: 경계 라우터 또는 보안 장비에 스푸핑 방지 필터링을 적용하지 않은 경우

조치 방법

경계 라우터 또는 보안 장비에서 스푸핑 방지 필터링 적용

조치 시 영향

ACL 로그가 과도하게 발생할 경우, 네트워크 장비의 CPU 사용률 증가에 영향을 주므로 로그 설정을 비활성화

점검 및 조치 사례

Cisco IOS

1. IP spoofing 방지 설정 확인

   Router# show running
   

2. 스푸핑 방지 필터링 ACL 구성
   • access-list 번호는 100~199구간을 사용하여 Extended access-list를 사용

     router# configure terminal
     router(config)# access-list <ACL 번호> deny ip 0.0.0.0 0.255.255.255 any
     router(config)# access-list <ACL 번호> deny ip 10.0.0.0 0.255.255.255 any
     router(config)# access-list <ACL 번호> deny ip 127.0.0.0 0.255.255.255 any
     router(config)# access-list <ACL 번호> deny ip 169.254.0.0 0.0.255.255 any
     router(config)# access-list <ACL 번호> deny ip 172.16.0.0 0.15.255.255 any
     router(config)# access-list <ACL 번호> deny ip 192.0.2.0 0.0.0.255 any
     router(config)# access-list <ACL 번호> deny ip 192.168.0.0 0.0.255.255 any
     router(config)# access-list <ACL 번호> deny ip 224.0.0.0 15.255.255.255 any
     router(config)# access-list <ACL 번호> permit ip any any
     

3. 서비스제공업체(SP)와 연결된 인터페이스에 ACL 적용

   router(config)# interface serial <인터페이스>
   router(config-if)# ip access-group <ACL 번호> in
   

Juniper Junos

1. Configure Firewall Filters와 Apply Firewall Filters 설정 확인
2. 스푸핑 방지 필터링 Firewall Filters 구성
3. IP 대역 지정

   user@host> configure
   [edit]
   user@host# edit policy-options
   
   [edit policy-options]
   user@host# set prefix-list <prefix-name> 0.0.0.0/8
   user@host# set prefix-list <prefix-name> 10.0.0.0/8
   user@host# set prefix-list <prefix-name> 127.0.0.0/8
   user@host# set prefix-list <prefix-name> 169.254.0.0/16
   user@host# set prefix-list <prefix-name> 172.16.0.0/12
   user@host# set prefix-list <prefix-name> 192.0.2.0/24
   user@host# set prefix-list <prefix-name> 192.168.0.0/16
   user@host# set prefix-list <prefix-name> 224.0.0.0/4
   

4. 방화벽 필터 설정

   [edit]
   user@host# edit firewall family inet filter <filter-name>
   
   [edit firewall family inet filter <filter-name>]
   user@host# edit term <term-name-1>
   
   [edit firewall family inet filter <filter-name> term <term-name-1>]
   user@host# set from source-address <prefix-name>
   user@host# set then discard
   user@host# up
   
   [edit firewall family inet filter <filter-name>]
   user@host# set term <term-name-2> then accept
   

5. 서비스제공업체(SP)와 연결된 인터페이스에 방화벽 필터를 적용

   [edit]
   user@host# set interfaces <인터페이스> unit <유닛> family <패밀리> filter input <filter-name>
   

공통

1. 특수 용도 주소 차단(RFC 6890 참조)
   • 0.0.0.0/8: 자체 네트워크(This host on this network, RFC1122)
   • 10.0.0.0/8: 사설 네트워크(Private-Use, RFC1918)
   • 127.0.0.0/8: 루프백(Loopback, RFC1122)
   • 169.254.0.0/16: 링크 로컬(Link Local, RFC3927)
   • 172.16.0.0/12: 사설 네트워크(Private-Use, RFC1918)
   • 192.0.2.0/24: 예제 등 문서에서 사용(TEST-NET-1, RFC5737)
   • 192.168.0.0/16: 사설 네트워크(Private-Use, RFC1918)
   • 224.0.0.0/4: 멀티캐스트(Multicast, RFC5771)