1. ARP Spoofing 예방 방법
 2. 네트워크 관리자의 대응법
 3. 향후 예방 조치



 1. ARP Spoofing
예방 방법

1) Static ARP Table으로 설정

ARP Table은 자동(Dynamic)과 수동(Static)으로 설정이 가능하다.

수동으로 설정 할 경우 ARP Cache 테이블의 정보를 변조하지 못한다. 다만 이중 게이트웨이가 네트워크에 존재할 시에는 사용 할 수 없다. 또한 네트워크 변경 시 수동으로 바꾸어야 하는 불편함이 있다(자동설정은 자동으로 Gateway Mac주소가 설정된다)

 

설정방법은 “Arp –s GateWayIP GateWayMAC”로 바꿀 수 있다.

 

2) 네트워크 장비에서 방어

Cisco장비의 Port Security 기능을 사용하여 각각의 포트에 물리적인 MAC 주소를 정적(static)으로 설정한다.

port security는 대부분의 스위치에서 제공하는 기능으로, 스위치의 각 포트별로 MAC 주소를 static하게 설정하여, 설정된 MAC 주소만 해당 포트를 통해 통신을 허용되도록 할 수 있다.

 이 기능을 이용할 경우 스위치 환경에서 arp를 위조하여 스니핑하거나 네트워크를 다운시키는 서비스 거부(DoS)와 같은 형태의 공격을 차단하는 데 효과적이다. port security를 이용하면 다음과 같은 기능을 구현할 수 있다.

 

1) 스위치의 각 포트별로 허용된 MAC 주소를 지정할 수 있다

2) 특정한 MAC 주소를 가진 트래픽을 스위치에서 차단할 수 있다

3) 각 포트별로 허용 가능한 MAC 수를 지정하여 이 수치를 초과할 경우 초과된 MAC 주소는 더 이상 통신이 되지 않도록 차단 설정하거나 해당 포트를 아예 일정 시간 동안 또는 영구적으로 shutdown하도록 설정할 수 있다.



 2. 네트워크 관리자의 대응법
1) 감염 대상 파악
가장 중요한 것이 주 감염원을 파악하는 것이다.
ARP 스푸핑이 처음 발견되면 빠른 시간 내에 MAC 주소를 모니터링 해서 주 감염원을 찾고 네트워크 라인을 네트워크에서 제거한다.
PC가 하나의 MAC 주소에 두개 이상의 IP를 가지고 있다면 해당 MAC 주소의 장비를 검사해야 한다.
**게이트웨이의 IP를 가지려는 MAC 주소의 장비를 필히 확인한다.**


2) 모든 하위 네트워크 상의 PC를 치료
모든 PC에 대해 최신 버전의 백신으로 치료를 수행하고 주 감염 PC는 자료를 백업한 후 O/S를 재설치하도록 권고한다.

3) 장비 재정비
네트워크 장비에서 ARP를 정리하기 위해 자동/수동으로 장비들을 리셋한다.



 3. 향후 예방 조치
게이트웨이 장비에 수동으로 ARP 테이블을 고정 할당하고 IP나 장비가 바뀔 때마다 직접 등록하여 변종 ARP Spoofing 발생에 대비하여 꾸준히 관리 하는 것도 좋은 방법이다.

-참고
KISA ARP Spoofing 사고보고서


 

 

Posted by secu153

댓글을 달아 주세요