KISA 한국인터넷진흥원 21-03-31 기준
KISA 한국인터넷진흥원
www.kisa.or.kr
1) Proxy ARP Disabling Configuration
no ip proxy-arp
[구성도]
- 구성 상태
첫 번째 Router[172.16.0.254/12]
- no ip routing
두 번째 Router[172.16.1.254/12 & 192.168.111.3/24]
- Interface range Ethernet 0/0-1
= ip proxy-arp
= Proxy ARP 중간 매개체
세 번째 Router[192.168.111.150/24]
- no ip routing
- 첫 번째 Router에서 세 번째 Router로 Ping
출발지 IP : 172.16.0.254
목적지 IP : 192.168.111.150
- 두 번째 Router에서 ip proxy-arp 기능이 켜져 있어서 Proxy Server처럼 동작하여, ARP 패킷을 전송했다.
- 세 번째 Router에서 debug 기능을 켜서 확인
- Proxy-arp 기능을 끄고 다시 Ping Test 시작
- 첫 번째 Router와 세 번째 Router 에서 ARP Cache clear
- 첫 번째 Router에서 세 번째 Router로의 Ping Test 시도 결과, 전송되지 않음
= 이처럼, Proxy ARP는 중간 매개체가 되어, 출발지에서 Routing이나 Default Gateway가 없이도 원격지에 있는 서브넷에 있는 장비에게 도달할 수 있도록한다. 하지만 다양한 보안 문제, 자원 고갈 및 중간자 공격과 같은 위험이 있다. 공격자가 엄청나게 많은 ARP request 요청을 보내어 가용 메모리를 고갈 시킬 수 있다.
따라서, Proxy ARP 기능을 끄는 것이 네트워크 내 보안을 강화하는데 도움이 된다.
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc78
Cisco Guide to Harden Cisco IOS Devices
This document describes the information to help you secure your Cisco IOS® system devices, which increases the overall security of your network.
www.cisco.com
'IT > ㄴ Cisco Switch Vulnerabilities' 카테고리의 다른 글
| [Cisco] 네트워크 장비 취약점 점검 N-34 [5.19 identd 서비스 차단] (0) | 2023.08.06 |
|---|---|
| [Cisco] 네트워크 장비 취약점 점검 N-33 [5.18 ICMP unreachable, Redirect 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-31 [5.16 Source 라우팅 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-30 [5.15 Directed-broadcast 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-29 [5.14 CDP 서비스 차단] (0) | 2023.08.05 |