탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
시스템 구성에서 가상화를 채택하는 경우가 많아지면서 호스트 관리자에 의해 게스트 VM(가상 컴퓨터)이 물리적 링크 또는 가상 링크에 배타적으로 액세스할 수 있게 되었습니다. 이렇게 구성하면 가상 환경의 네트워크 트래픽이 호스트 시스템에서 수신 또는 전송되는 더 넓은 트래픽에서 격리될 수 있으므로 네트워크 성능이 향상됩니다. 동시에 이 구성으로 인해 시스템과 전체 네트워크가 게스트 환경에서 생성될 수 있는 유해한 패킷의 위험에 노출될 수 있습니다.
링크 보호는 잠재적으로 악의적인 게스트 VM에서 네트워크에 초래할 수 있는 손상을 방지하기 위한 것입니다. 이 기능은 다음의 기본적인 위협으로부터의 보호를 제공합니다.
IP, DHCP 및 MAC 스푸핑
BPDU(Bridge Protocol Data Unit) 공격과 같은 L2 프레임 스푸핑
주 - 링크 보호는 특히 복잡한 필터링 요구 사항이 있는 구성에 있어 방화벽 배포를 대체하지 않습니다.
Oracle Solaris의 링크 보호 방식은 다음 보호 유형을 제공합니다.
시스템의 MAC 주소 스푸핑에 대한 보호를 제공할 수 있습니다. 링크가 특정 영역에 속해 있는 경우 mac-nospoof를 사용하면 영역의 소유자가 해당 링크의 MAC 주소를 수정할 수 없습니다.
IP 스푸핑에 대한 보호를 제공할 수 있습니다. 기본적으로 DHCP 주소 및 링크 로컬 IPv6 주소가 있는 아웃바운드 패킷이 허용됩니다.
allowed-ips 링크 등록 정보를 사용하여 주소를 추가할 수 있습니다. IP 주소의 경우 패킷의 소스 주소가 allowed-ips 목록의 주소와 일치해야 합니다. ARP 패킷의 경우 패킷의 발신자 프로토콜 주소가 allowed-ips 목록에 있어야 합니다.
DHCP 클라이언트 스푸핑에 대한 보호를 제공할 수 있습니다. 기본적으로 ID가 시스템의 MAC 주소와 일치하는 DHCP 패킷이 허용됩니다.
allowed-dhcp-cids 링크 등록 정보를 사용하여 허용되는 클라이언트를 추가할 수 있습니다. allowed-dhcp-cids 목록의 항목은 dhcpagent(1M) 매뉴얼 페이지에 지정된 대로 형식이 지정되어야 합니다.
IPv4, IPv6 및 ARP로 나가는 패킷을 제한합니다. 이 보호 유형은 링크에서 잠재적으로 유해한 L2 컨트롤 프레임이 생성되지 못하도록 방지하기 위해 설계되었습니다.
주 - 링크 보호로 인해 삭제되는 패킷은 mac_spoofed, dhcp_spoofed, ip_spoofed 및 restricted의 네 가지 보호 유형에 대한 커널 통계에서 추적됩니다. 이러한 링크별 통계를 검색하려면 링크 보호 구성 및 통계를 확인하는 방법을 참조하십시오.