네트워크 장비 진단 - DHCP Snooping 미설정
진단 시나리오
DHCP Snooping 미설정으로 Rogue DHCP Server 공격 가능성 진단
점검 결과
| 기능 | 상태 | 권장값 | 평가 |
|---|
| DHCP Snooping | 비활성화 | 활성화 | 위험! |
| Trusted Ports | 미설정 | DHCP 서버만 | 위험! |
| DAI (Dynamic ARP Inspection) | 비활성화 | 활성화 | 위험! |
| DHCP Option 82 | 비활성화 | 활성화 | 부적절 |
Rogue DHCP 공격 시뮬레이션
[공격자 관점]
$ dnsmasq -i eth0 --dhcp-range=192.168.1.2,192.168.1.254
$ isc-dhcp-server &
[네트워크 분석]
Wireshark 캡처: DHCP Discover
- 두 개의 DHCP Server가 응답
- 공격자의 서버 응답이 먼저 도착
- 클라이언트가 공격자의 IP 주소 할당받음
[공격 결과]
클라이언트 IP: 192.168.1.100 (공격자 DHCP 서버에서)
Gateway: 192.168.1.1 (실제 게이트웨이)
DNS: 192.168.1.99 (공격자의 DNS 서버)
-> DNS Poisoning, MITM 공격 가능
조치 가이드
- DHCP Snooping 활성화: Rogue 서버 차단
- Trusted Ports 설정: 정상 DHCP 서버만 허용
- DAI(Dynamic ARP Inspection): ARP 스푸핑 방어
- Option 82 활성화: DHCP 요청 검증