it-swarm-korea.com

DHCP와 고정 IP 주소

보안 관점에서 DHCP와 고정 IP 주소는 어떻게 비교됩니까? 각각과 관련된 위험/이점은 무엇입니까?

둘 사이에 선호되는 솔루션은 네트워크 크기와 레이아웃에 따라 다르지만 어떻게 비교하는지에 대한 일반적인 설명을 찾고 있습니다.

시스템의 기밀성, 무결성 또는 가용성에 직접적이고 크게 영향을 미치지 않는 한 네트워크 오버 헤드 및 인프라 비용과 같은 주제를 무시하고 보안 관점에서만 대답하십시오.

20
Iszi

DHCP 오퍼는 네트워크에 대한 일부 정보를 유출시킵니다. 포함 된 옵션은 DHCP가 수행하도록 설계된 네트워크 레이아웃 및 인프라에 대한 특정 세부 정보를 나타냅니다. 정적 할당은이 세부 사항을 제공하지 않습니다.

여기서 위협은 네트워크에 대한 무단 연결입니다. 이는 라이브 네트워크 잭에 연결하는 장치이거나 WLAN에 액세스하는 무선 클라이언트 일 수 있습니다. 인증되지 않은 연결이 이루어지면 공격자가 연결 한 후 무엇이든 할 수있는 능력은 DHCP와 정적이 작용하는 것입니다.

MAC 등록을 사용하는 DHCP는 가장 강력한 DHCP 모델입니다. 그것은 알려지지 않은 MAC에 주소를 제공하지 않으므로 이론적으로 무단 장치에는 정보가 제공되지 않습니다. 정적 할당의 경우에도 마찬가지이며 주소 지정을 요청하는 서버가 없습니다.

MAC 등록이없는 DHCP를 사용하면 인증되지 않은 장치가 IP 주소를 사용할 수 있습니다.

MAC 등록은 모든 유형의 모든 새 장치를 DHCP 시스템에 등록해야하므로 새 장치가 작동하는 데 걸리는 시간이 크게 늘어날 수 있습니다. 모든 네트워크 장치에 쉽게 읽을 수있는 곳에 MAC이 게시되어있는 것은 아니므로 일부 Edge 장치는 사용중인 MAC을 파악하기 위해 벤치 테스트가 필요할 수 있습니다. 플러그 앤 고는 작동하지 않습니다 (설계 상!). 또한 기존 장치에 네트워크 카드가 교체 된 경우 기술자는 새 MAC을 다시 등록해야합니다. 이전 MAC 등록 취소이 프로세스의 중요한 단계이며 DHCP 범위가 채워질 때까지 종종 누락됩니다.

MAC 등록을 사용하여 DHCP를 덜 유용하게 만드는 몇 가지 공격이 있습니다. 공격자가 인증 된 장치와 해당 네트워크 포트 (예 : 두 개의 NIC가있는 랩톱) 사이에 브리지를 배치 할 수 있으면 해당 장치의 MAC 주소를 매우 간단하게 파악할 수 있습니다. 이러한 방식으로 모니터링되는 모든 트래픽은 인증 된 장치의 MAC 주소를 나타냅니다. 대부분의 네트워크 카드는 MAC 주소 변경을 허용하므로 공격자는 NIC 중 하나에서 MAC을 변경하고 인증 된 장치를 분리하고 번호를 다시 매긴 장치를 연결하고 등록 된 MAC에 액세스해야합니다.

무선에서 공격자가 전파를 모니터링 할 수있는 지점까지 WLAN에 성공적으로 침입 한 경우 MAC 정보를 얻는 것도 비슷합니다.

이에 대한 방어는 네트워크 액세스 제어입니다. 네트워크와 통신하려면 연결된 장치가 컴퓨터 수준에서 인증 될 수 있어야합니다. 이는 중요한 네트워크 대화가 발생하지 않도록 네트워크에 연결된 무단 장치로부터 보호합니다. 위 시나리오에서 공격자의 장치는 액세스가 거부됩니다. 모든 장치가 NAC, 특히 네트워크 연결 프린터를 사용할 수있는 것은 아니므로 공격자가 해당 장치에 집중할 수 있으므로 해당 포트에서 네트워크 연결 끊김 이벤트를 모니터링해야합니다.

21
sysadmin1138

일반적으로 올바르게 구성된 환경에서이 선택은 실제로 보안에 큰 영향을 미치지 않습니다. 그것은 DHCP가 고려해야 할 몇 가지 구멍이있을 수 있습니다.

DHCP를 사용하면 (알려진 클라이언트에게만 주소를 전달한다고 가정) 네트워크에서 점프하는 알 수없는 컴퓨터에는 주소가 부여되지 않습니다. 이제 플러그를 꽂는 컴퓨터에리스를 전달하는 경우 보안 문제가 발생하지만 그 대답은 "하지 마십시오!"입니다.
이론적으로 누군가 네트워크에 연결하여 브로드 캐스트 메시지를 검색하여 네트워크 모양을 파악할 수 있습니다 (DNS 서버, 라우터, DHCP 클라이언트 ID 및 IP 범위에 따라 유출 된 정보) 사람들이 당신의 (이론적으로 안전한) 네트워크에 연결하면 더 큰 생선을 볶을 수 있습니다.

고정 주소와 DHCP 서버가 없으면 자연스러운 정보 유출이 줄어 듭니다 (라우터 및 DNS 정보가 전달되지 않으며 정보 유출을위한 DHCP 클라이언트 ID도 없음). 이 경우에도 공격자가 네트워크에 접속하면 DHCP 브로드 캐스트에서 얻은 것과 동일한 정보가 유출 될 때까지 조용히 스니핑을 할 수 있습니다. 여전히 가능합니다.


이상적으로는 사용하지 않는 네트워크 포트를 비활성화하고 양질의 WPA로 무선을 보호하고 액세스 스위치 및 무선 액세스 포인트에서 MAC 주소 필터링을 수행해야합니다. 모든 것을 수행하는 경우 누군가에게 실질적인 장벽을 제공합니다 네트워크에 연결하고, 네트워크와 네트워크의 부드러운 밑바닥 사이에 또 ​​다른 장애물을 두어 DHCP에서 발생할 수있는 정보 유출을 방지 할 수 있습니다.

10
voretaq7

동적으로 할당 된 IP 주소의 한 가지 과제는 방화벽 규칙을 작성하기가 다소 어려워 질 수 있다는 것입니다. 종종 방화벽 규칙은 통신하려는 호스트에 대해 하드 코딩 된 IP 주소를 사용하여 구축됩니다. 해당 호스트에 동적 IP가 있으면 보안 방화벽 정책을 코딩하기가 더 어렵습니다.

(DNS 호스트 이름과 달리 방화벽 정책에서 하드 코딩 된 IP 주소를 사용하는 것이 일반적으로 가장 안전한 이유는 방화벽의 보안이 DNS 스푸핑, DNS 하이재킹 또는 기타 DNS 공격에 취약하지 않기 때문입니다.)

5
D.W.

여기에 언급되지 않은 또 다른 보안 문제는 MITM (Man-in-the-Middle) 공격의 가능성입니다.

공격자가 악의적 인 DHCP 서버를 배포하는 경우 본질적으로 인트라넷 및 인터넷 통신을위한 게이트웨이가 될 수 있습니다.

이 유형의 공격에 대한 완화는 인프라에 사용 된 하드웨어에 따라 다릅니다. 하드웨어가 차단 규칙을 지원하는 경우 pr. 소스 포트 67의 패킷을 허용하지 않습니다.

그렇지 않은 경우 네트워크에서 루즈 한 DHCP 서버를 수동으로 수신하는 것도 옵션입니다.

4
Dog eat cat world