6장. 포트보안

포트보안

포트 보안(port security)은 스위치의 특정한 포트에 특정한 MAC 주소를 가진 장비만 접속할 수 있도록 하는 것이다.
포트 보안을 사용하면, 기본적으로 지정된 MAC 주소를 가진 PC만 접속할 수 있을 뿐만 아니라, 앞서 살펴보았던 MAC 플러딩 공격 등을 효과적으로 방어할 수 있다.

포트 보안 동작방식

스위치의 특정 포트에 포트 보안을 설정하면 해당 포트에는 지정된 MAC 주소를 가진 장비만 접속할 수 있다. 예를 들어, 다음 그림에서 SW1의 F0/1 포트에는 MAC 주소 0000.0000.0001인 장비만 접속할 수 있도록 설정해 보겠다.

Switch(config)#interface f0/1  //보안을 설정할 인터페이스 설정 모드
Switch(config-if)#switchport mode access  // 포트를 액세스 포트(access port) 또는 트렁크 포트(trunk port) 중 하나로 설정한다.
하나의 vlan에만 소속되는 포트를 액세스 포트, 여러 개의 valn에 소속되는 포트를 트렁크 포트라고 한다.
Switch(config-if)#switchport port-security mac-address 0000.0000.0001 //접속을 허용할 MAC 주소를 지정한다
Port-security not enabled on interface FastEthernet0/1.
Switch(config-if)#switchport port-security   // 포트 보안을 동작시킨다.

Switch#show port-security   //포트보안 동작 상태 확인
①Secure Port ② MaxSecureAddr ③CurrentAddr ④SecurityViolation ⑤ Security Action
                       (Count)               (Count)          (Count)
--------------------------------------------------------------------
        Fa0/1           1                      0                 0                             Shutdown
----------------------------------------------------------------------

① 포트 보안이 된 인터페이스를 표시한다.
② 인터페이스당 설정된 최대 포트 보안용 MAC 주소의 수를 표시한다. 기본적으로 하나씩만 설정한다.
③ 현재 설정된 보안용 MAC 주소의 수를 표시한다.
④ 포트 보안 침해가 일어난 횟수를 표시한다.
⑤ 포트 보안 침해가 일어났을 때의 동작을 표시한다. 기본적으로 셧다운이며 셧다운된 포트는 관리자가 해당 포트를 다시 한 번 셧다운시킨 후에 살려야 한다.

다음과 같이 show port-sercurity address 명령어를 사용하여 확인하면 설정된 MAC 주소 및 설정 방법, 포트 번호 등을 알 수 있다.

Switch#show port-security address
   Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan Mac Address     Type                       Ports  Remaining Age
        (mins)
---- -----------         ----                       -----  -------------
1      0000.0000.0001    secureConfigured   Fa0/1     -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

# 포트보안 옵션설정

Switch(config)#interface f0/1
Switch(config-if)#switchport mode access
① Switch(config-if)#switchport port-security maximum 20
② Switch(config-if)#switchport port-security violation restrict
③ Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security

① 포트 보안용 MAC 주소의 수량을 정한다. 포트별 지원 가능한 최대 포트 보안용 MAC 주소의 수는 장비 마다 다르다
② 포트 보안 침해가 일어났을 떄의 동작을 정의한다. 기본적으로 셧다운(shutdown) 시키고, protect 옵션을 사용하면 차단만하고, restrict 옵션을 사용하면 해당 MAC을 가진 프레임을 차단하면서 보안 침해가 일어났다는 로그를 출력한다.
③ 포트 보안용 MAC 주소를 지정하는 방법은 세 가지가 있다.
1) MAC 주소를 별도로 지정하지 않으면, 해당 포트에 접속하는 첫 번째 MAC 주소가 포트 보안용 MAC 주소로 동작한다. 이 방법을 사용하면 출발지 MAC 주소를 변경하면서 다수의 이더냇 프레임을 전송하는 MAC 플러딩 공격 등을 방어하기 편리하다.
2) switchport port-security mac-address 명령어 다음에 특정 MAC 주소를 지정하는 것이다.
3) 앞의 예처럼 sticky 옵션을 사용하는 것이다. 이 옵션을 사용하면 이후 접속하는 MAC 주소들이 자동으로 포트 보안용 MAC 주소로 동작한다. 또한 자동으로 설정 파일에 기록된다.

# 설정파일에 기록된 보안용 MAC
SW1# show running-config int f0/1