집에서 컴퓨터나 스마트폰을 사용할 때, 별도의 IP 설정 없이도 인터넷이 되는 것을 경험해보셨을 것입니다. 이것이 가능한 이유는 바로 DHCP(Dynamic Host Configuration Protocol) 때문입니다. DHCP의 동작 원리와 보안 관련 이슈에 대해 알아보겠습니다.
DHCP의 기본 동작 원리
DHCP 작동 과정 (DORA 프로세스)
- Discovery (발견)
- 클라이언트는 최초 미지정 주소(0.0.0.0 255.255.255.255)로 시작
- DHCP 서버를 찾기 위해 디스커버리 신호를 브로드캐스트로 전송
- Offer (제안)
- DHCP 서버는 자신의 IP 풀에서 사용 가능한 IP를 제안
- 예: IP 대역 192.168.1.51~200, 서브넷 마스크, 기본 게이트웨이 등 포함
- 클라이언트의 위치를 모르므로 브로드캐스트로 전송
- DHCP 서버는 자신의 IP 풀에서 사용 가능한 IP를 제안
- Request (요청)
- 클라이언트가 제안받은 IP 사용 여부를 서버에 확인 요청
- 여전히 브로드캐스트로 전송
- Acknowledgment (승인)
- 서버가 최종 승인 신호를 보냄
- IP가 아직 확정되지 않았으므로 브로드캐스트로 전송
- 이 단계 이후에 클라이언트의 IP가 최종 확정
DHCP와 보안 이슈
DoS 공격 취약점
- DHCP Starvation 공격 방식 (좀 더 구체적인 명칭 추가)
- 공격자가 지속적으로 가짜 DHCP 디스커버리 요청을 발생
- 하나의 디스커버리당 4번의 브로드캐스트 트래픽 발생(DORA 프로세스에 의해)
- 공격자는 랜덤한 MAC 주소를 사용하여 다수의 요청을 생성
- DHCP 서버의 IP 풀을 고갈시켜 정상적인 사용자가 IP를 할당받지 못하게 됨
- 네트워크 자원을 고갈시키는 DoS(Denial of Service) 공격으로 이어짐
- 브로드캐스트 트래픽 증가로 전체 네트워크 성능 저하 발생
- 공격자가 지속적으로 가짜 DHCP 디스커버리 요청을 발생
- 보안 개선 방안
- TCP/IP 구조의 특징
- TCP/IP는 1, 2계층 정의가 없음
- 이를 활용한 개선 가능
- 각 계층별 독립적인 보안 조치 구현 가능
- 유니캐스트 전환
- 최초 디스커버리 단계는 브로드캐스트 필수
- 이후 단계에서는 클라이언트의 MAC 주소를 알 수 있음
- 서버 응답을 유니캐스트로 전환 가능
- 패킷 레벨에서는 여전히 브로드캐스트지만, 프레임 레벨에서 유니캐스트 가능
- 추가적인 보안 대책 (새로 추가)
- DHCP Snooping 구현
- 신뢰할 수 있는 DHCP 서버 포트 지정
- 비신뢰 포트에서의 DHCP 서버 메시지 차단
- MAC 주소 필터링
- 허가된 MAC 주소만 DHCP 요청 가능하도록 설정
- 포트 보안(Port Security) 구현
- 스위치 포트당 허용되는 MAC 주소 수 제한
- 비정상적인 다량의 MAC 주소 변경 감지 및 차단
- DHCP Snooping 구현
- TCP/IP 구조의 특징
*생성형 AI 활용한 클라우드&보안 전문가 양성캠프 과정의 교육내용 정리 자료입니다.
'IT 관련 > 네트워크' 카테고리의 다른 글
| [새싹 성동 2기] 패킷트레이서를 활용한 DHCP 설정부터 터널링까지 네트워크 구성 실습 (0) | 2024.10.29 |
|---|---|
| [새싹 성동 2기] 패킷트레이서를 활용한 DHCP 서버구성 및 DNS 실습 (0) | 2024.10.29 |
| [새싹 성동 2기] 패킷 트레이서를 활용한 라우터 연결 실습 (0) | 2024.10.29 |
| [새싹 성동 2기] 라우팅 기술 이해하기 (4) | 2024.10.27 |
| [새싹 성동 2기] 패킷 트레이서를 활용한 이더채널 실습: Layer 2 EtherChannel 구성 (0) | 2024.10.27 |