HV-23: 가상스위치 무차별(Promiscuous) 모드 정책 비활성화

분류: Virtualization

중요도: 상

개요

무차별(Promiscuous) 모드 비활성화 여부 점검

가상 스위치에 무차별(Promiscuous) 모드를 비활성화 해 해당 가상 스위치로 다른 스위치로 전달되는 네트워크 트래픽 모니터링을 방지하기 위함

가상 스위치에 무차별(Promiscuous) 모드가 활성화된 경우, 비인가자가 해당 가상 스위치를 통해 다른 스위치로 전달되는 네트워크 트래픽을 모니터링 및 내부 정보 유출 위험이 존재함

무차별(Promiscuous) 모드

자신에게 직접 전달되지 않은 모든 네트워크 트래픽 패킷을 수신하는 기능

VMware ESXi, XenServer

✅ 양호: 가상 스위치 무차별(Promiscuous) 모드 정책 설정이 거부로 설정된 경우

❌ 취약: 가상 스위치 무차별(Promiscuous) 모드 정책 설정이 허용으로 설정된 경우

가상 스위치 무차별(Promiscuous) 모드 정책 거부 설정

일반적 경우 영향 없음

Step 1) Web 콘솔 페이지 접속

https://<VMware ESXi IP>

Step 2) 네트워킹 > 가상 스위치 > [가상 스위치 선택] > 설정 편집 > 보안으로 이동

Step 3) 무차별 모드 정책 설정 확인

Step 4) 허용으로 설정되어 있을 경우, ‘거부’로 변경 후 해당 설정 저장

[ 무차별 모드 정책 설정 확인 ]

Step 1) 가상 스위치 Promiscuous 모드 조회

Step 2) XenServer CLI 접속 후, 다음 명령어 실행하여 uuid_of_pif/vif 확인

$ xe pif-list network-name-label=<네트워크 이름> 
$ xe vif-list vm-name-label=<VM 이름>

Step 3) 다음 명령어 실행하여 promiscuous 값 확인

$ xe pif-param-list uuid=<uuid_of_pif> 
$ xe vif-param-list uuid=<uuid_of_vif>

Step 4) 다음 명령어 실행하여 promiscuous 값 설정

$ xe pif-param-set uuid=<uuid_of_pif> other-config:promiscuous="false“ 
$ xe vif-param-set uuid=<uuid_of_vif> other-config:promiscuous="false“