¶ó¿ìÅÍ ¹Ø´Ü¿¡ ½ºÀ§Ä¡±¸¼º ±ÝÁö¹æ¹ý

   Á¶È¸ 12565   Ãßõ 0    



미크로틱 RB2011이나 RB3011를 라우터로 사용하려고 합니다. 라우터 밑단에 스위치를 달고 그 밑에 장비를 구성하는 것을 막으려고 하는데요,

이유는 와이어샤크 등으로 장비와 서버간의 패킷 캡쳐하는 것을 막으려고 합니다.

 상황은 장비(클라이언트)와 장비와 통신할 제어서버가 있고, VPN서버가 있습니다. 장비와 제어서버는 각각 다른장소에 있으며 둘 다 각각 별도의

라우터 밑에 연결되어 있고, 장비와 서버는 기본 라우팅경로가 무조건 각자의 라우터에서 VPN을 타고 돌기 때문에 서로간에는 공공 인터넷망으로

통신 안합니다.


서버는 안전한 장소에 있지만, 장비와 라우터는, 불특정 다수가 함부로 다룰 수는 없지만 어쨌든 물리적으로 노출되어 있어서 마음만 먹으면

통신을 감청당하여 통신내용을 통해 원하지 않는 서버접근 가능성의 우려가 있습니다. VPN은 AES256을 사용하기에 감청해서 간단히 내용이

풀릴만한 수준은 아니라고 생각됩니다만, 종단 라우터의 설정으로 원천적으로 막고 싶습니다. 물리는 장비는 종단 라우터 밑에추후 추가될

가능성도 있지만 그렇게 많지는 않습니다.


1. 라우터에 구멍을 막아버리고 비활성화 시키고 필요할 때 활성화시키면 되지 않느냐?

--> 한번 깔아두면 관리할 사람이 없을 것 같아 여건상 처음에 잡아놔야 할 것 같습니다.


2. 라우터는 기본적으로 필요한 통신포트 이외에는 모든 인/아웃 통신을 막아놨습니다.

3. 패킷감청을 위해 허가되지 않은 PC 등을 종단 라우터 포트에 연결할 경우 DHCP가 안되도록 자동으로 차단 스크립트를 걸어놨습니다.

물론 static ip지정할 경우 ARP reply-only로 L2레벨부터 아예 통신 안되게 막았습니다.


이런 상황인데, 라우터는 미허가 PC가 접근하는 것을 차단했지만, 라우터 밑단에 스마트스위치나 더미허브를 달고 그 밑에 장비를 달아

PC를 연결하면, 결국 감청당합니다. 밑에 스위치를 연결 못하게 할 수 있나요? 스스로 찾아보려 했는데 영어로 무슨 키워드로 검색해야 할 지

감조차 안잡혀 질문 올렸습니다.. 아니 애초에 이런 게 이론적으로 가능한가요???

´Ù¶÷Áãv 2016-09
802.1x·Î ÀÎÁõµÈ ´Ü¸» ¿Ü¿¡´Â Æ÷Æ®¿¡ ¸ø ºÙ°Ô ÇϼžßÇÏ°í, ´Ù¸¥ Æ÷Æ®¿¡ ¿¬°áµÈ ´Ü¸»°úÀÇ Åë½ÅÀ» °¨Ã»ÇÏ´Â °ÍÀ» ¸·À¸·Á¸é pvlanÀ» ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù. »ç½Ç pvlan¸¸ ±¸¼ºÀÌ µÇ¸é °¨Ã»ÀÌ ºÒ°¡´ÉÇؼ­ 802.1x ±îÁø ¾È Çصµ ±¦ÂúÀ» °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.

±Ùµ¥ Á¦°¡ ¾Ë±â·Î´Â µÑ ´Ù mikrotik¿¡¼­ Áö¿ø ¾È ÇÏ´Â °É·Î ¾Æ´Âµ¥ ¸Å´ÏÁöµå l2°¡ Çϳª ÀÖ¾î¾ß ÇÒ °Í °°½À´Ï´Ù.
     
±èÀºÈ£ 2016-09
¾Æ. 802.1x°¡ ¾ðÁ¦ ¾²´Â°¡ Çߴµ¥ ÀÌ·² ¶§ ¾²´Â°¡º¸±º¿ä. ¶óµð¿ì½º¼­¹ö ¿¬µ¿ÇÏ´Â °Ô ÁÖ·ç·è °Ë»öµÇ´Âµ¥ À¯¼±À¸·Î µÇ´ÂÁö´Â ¸ð¸£°Ú½À´Ï´Ù.
pvlanÀº ¾ÈµÇ³ª º¸³×¿ä..
Fireyoon 2016-09
¹«½ÄÇÑ ¾ê±âÁö¸¸ mac ÀÎÁõÇعö¸®¸é ¶¯ ¾Æ´Ñ°¡¿ä?
¤Ð.¤Ð
     
±èÀºÈ£ 2016-09
¸Â´Â ¸»¾¸ÀÔ´Ï´Ù¸¸, Àåºñ°¡ °¡²û Á׾ ¸ÞÀκ¸µå ±³Ã¼ÇؾßÇÒ ¶§°¡ ÀÖ½À´Ï´Ù. Àåºñµµ °á±¹¿¡ PC¶ó¼­ ¸ÞÀκ¸µå ±³Ã¼ÇÏ¸é ¸ÆÀÌ º¯°æµÇ°í ±× ¸»Àº ¸ÆÀ» »õ·Î µî·ÏÇØ¾ß ÇÏ´Â »óȲÀÌ ³ª¿ÀÁÒ.. ¹®Á¦´Â À§¿¡ ÀûÀº´ë·Î ¶ó¿ìÅÍ °ü¸®°¡ óÀ½ ¼³Ä¡ ÈÄ¿¡´Â ºÒ°¡´É¿¡ °¡±î¿ï °ÍÀ̶ó ÆǴܵDZ⿡ ¼±¶æ ¾²±â°¡ Á» ±×·± »óȲÀÔ´Ï´Ù
     
Æä¼±»ý 2016-09
¹«½ÄÇÑ ¾ê±âÁö¸¸ ´õ¹Ì´Þ¸é ´ä¾ø°í ..MACÀº ¼ÓÀÌ°í µé¾î°¡¸é ¶¯ÀÔ´Ï´Ù. ¤»
¹°¸®ÀûÀ¸·Î 뚧´Â°Ç 닶¾ø½À´Ï´Ù. ¤»¤»
µ¹¹®ÆÒ 2016-09
½Ç·Ê°¡ µÇÁö ¾Ê´Â´Ù¸é 3¹ø ³»¿ëÀÇ dhcp °ü·Ã ½ºÅ©¸³Æ®¸¦ ÂÊÁö°°Àº°É·Î ¹ÞÀ» ¼ö ÀÖÀ»±î¿ä?
ÇÑ ¹ø »ç¿ëÇغ¸°í ½Í½À´Ï´Ù~
     
±èÀºÈ£ 2016-10
ÂÊÁö·Î ÀüÇÒ¸¸Å­ ´ë´ÜÇÑ °Íµµ ¾Æ´Ï°í¿ä, Á¦°¡ ¸¸µç °Ô ¾Æ´Ï°í ´©°¡ ¸¸µç °Å °®´Ù ¾´°Ì´Ï´Ù. ±×¸®°í ¿ÏÀüÇÑ Â÷´ÜÀÌ ¾Æ´Ï¶ó ¾àÁ¡Àº ÀÖ½À´Ï´Ù.
¾ÖÃÊ¿¡ ÀÌ ½ºÅ©¸³Æ®´Â È£½ºÆ®³×ÀÓÀ¸·Î ÆÇ´ÜÇϱ⠶§¹®¿¡ È£½ºÆ®³×ÀÓÀ» ¶È°°ÀÌ Çعö¸®¸é DHCP¸¦ ¹ÞÀ» ¼ö Àֱ⿡ ħÀÔÀڵ鿡°Ô ¾àÁ¡ÀÌ ¹ß°¢µÇÁö
¾Ê°Ô²û ÇÏ´Â ¼ö ¹Û¿¡ ¾ø½À´Ï´Ù. ±× ´ë½Å ÇÊ¿äÇÑ Æ÷Æ® ÀÌ¿Ü¿¡ ¾Æ¿ô¹Ù¿îµå±îÁö ´Ù ¸·¾Æ¹ö·Á¼­ ¾Æ¹«°Íµµ ÇÒ ¼ö ¾ø°Ô ¸¸µé¾ú½À´Ï´Ù.

/system scheduler
add disabled=yes interval=1m name=block_invalidhost on-event=\
    block_invalidhost policy=read,write,test start-time=startup
/system script
add name=block_invalidhost owner=admin policy=read,write,test source=":local D\
    HCPSERVER \"server1\";\r\
    \n:local BRIDGEFILTER \"bridge1\";\r\
    \n\r\
    \n:foreach i in=[/ip dhcp-server lease find dynamic=yes active-server=\$DH\
    CPSERVER]  do={\r\
    \n  :local DhcpDynIP [/ip dhcp-server lease get \$i address];\r\
    \n  :local DhcpDynMAC [/ip dhcp-server lease get \$i mac-address];\r\
    \n  :local DhcpDynHOST [/ip dhcp-server lease get \$i host-name];\r\
    \n  :local IfMacExist [/interface bridge filter find src-mac-address=\"\$\
    DhcpDynMAC/FF:FF:FF:FF:FF:FF\"];\r\
    \n  :local invalidHOST [:pick \$DhcpDynHOST 0 4];\r\
    \n \r\
    \n:if ( (\$invalidHOST !=\"ƯÁ¤È£½ºÆ®\") || ([:len \$DhcpDynHOST]=0) ) do={\r\
    \n          :if (\$IfMacExist != \"\") do={\r\
    \n#              :log error (\"filtering invalid host\".\$DhcpDynMAC. \"a\
    lready exists\")\r\
    \n          } else= {\r\
    \n              /interface bridge filter add action=drop chain=input in-b\
    ridge=\$BRIDGEFILTER src-mac-address=\"\$DhcpDynMAC/FF:FF:FF:FF:FF:FF\" co\
    mment=\"invalid host \$DhcpDynHOST\";\r\
    \n                :log warning (\"a new invalid host filter\" . \"\$DhcpD\
    ynHOST\" . \"MAC:\" . \$DhcpDynMAC);\r\
    \n          }\r\
    \n    }\r\
    \n}\r\
    \n/ip dhcp-server lease remove [find host-name !=\"ƯÁ¤È£½ºÆ®\"]"
          
µ¹¹®ÆÒ 2016-10
Âü°íÇغ¸°Ú½À´Ï´Ù
°¨»çÇÕ´Ï´Ù!
ÁÁÀº ÀÚ·áÀÔ´Ï´Ù °¨»çÇÕ´Ï´Ù


Á¦¸ñPage 85/105
2016-09   26687   ³ª³ëÅ¥ºê
2016-09   12566   ±èÀºÈ£
2016-09   7613   ±èÀºÈ£
2016-09   6784   chroma
2016-09   9494   ¹Ú°Ç
2016-09   9945   º¢²É³­
2016-09   7796   °ø¹é±â
2016-09   8182   Àü¼³¼ÓÀǹ̡¦
2016-09   8769   ±ú¿ìÄ£¼Ò
2016-09   7396   ¾öû³­x
2016-09   8202   ½Ã°ñû³â
2016-09   12171   »õÃÑ
2016-09   13367   ±èÀºÈ£
2016-09   7078   ½Ã°ñû³â
2016-09   6671   ½Ã°ñû³â
2016-09   11705   ¸®¾óÄíÆÛ
2016-09   10648   Ȧ¸¯0o0
2016-09   6877   ÂÐÂÐÂÐ
2016-09   10823   »ì¹Ù
2016-08   8117   ³ª³ëÅ¥ºê