'VLAN hopping'

VLAN Hopping 정의

VLAN hopping은 가상 로컬 영역 네트워크(VLAN)의 의도된 제한을 무시할 수 있게 해주는 컴퓨터 네트워킹의 보안 익스플로잇입니다. 해커가 VLAN 구성을 조작하고 스위치의 취약점을 악용하여 네트워크 리소스에 무단으로 접근할 수 있게 하는 기법입니다.

VLAN hopping 공격은 네트워크 스위치와 VLAN이 구성된 방식을 악용합니다. VLAN hopping에 사용되는 일반적인 방법은 다음과 같습니다:

더블 태깅: 이 기법에서는 공격자가 두 개의 802.1Q 태그를 가진 프레임을 전송합니다. 첫 번째 태그는 공격자의 VLAN 태그이고, 두 번째 태그는 대상 VLAN의 태그입니다. 이렇게 함으로써 공격자는 스위치를 속여 프레임을 의도하지 않은 VLAN으로 전달하게 만듭니다.
스위치 스푸핑: 스위치 스푸핑은 VLAN hopping 공격에 사용되는 또 다른 방법입니다. 공격자는 스위치 광고를 스푸핑하여 관리 VLAN에 접근합니다. 이를 통해 네트워크 트래픽을 가로채고 수정하여 민감한 정보에 무단으로 접근할 수 있게 됩니다.
Dynamic Trunking Protocol (DTP) 악용: DTP는 스위치 간 트렁크 링크를 협상하는 데 사용되는 Cisco의 독점 프로토콜입니다. DTP를 악용하여 공격자는 스위치를 트렁크 모드로 변경하도록 설득할 수 있습니다. 이는 의도된 VLAN 제한을 우회하여 여러 VLAN에 접근할 수 있게 해줍니다.

VLAN hopping 공격을 방지하고 네트워크의 보안을 강화하려면 다음의 조치를 고려하십시오:

미사용 포트 비활성화: 네트워크에 대한 물리적 접근을 방지하기 위해 미사용 스위치 포트를 비활성화하십시오. 사용하지 않는 포트를 비활성화하면 공격 표면을 줄이고 잠재적 진입 지점을 제한할 수 있습니다.
Dynamic Trunking Protocol (DTP) 비활성화: 스위치 포트를 수동으로 액세스 포트로 설정하고 DTP를 비활성화하십시오. 이렇게 하면 VLAN hopping 공격에서 흔히 사용되는 DTP 악용 위험을 없앨 수 있습니다.
VLAN 액세스 제어 목록(VACL) 구현: VACL은 VLAN 간의 트래픽 흐름을 제어할 수 있도록 추가 보안 계층을 제공합니다. 엄격한 접근 제어 규칙을 시행함으로써 VLAN 간의 무단 통신을 방지하고 VLAN hopping의 위험을 줄일 수 있습니다.
포트 보안 활성화: 포트 보안은 특정 스위치 포트에서 허용되는 MAC 주소의 수를 제한할 수 있습니다. 포트 보안을 구성하면 무단 장치가 네트워크에 연결되는 것을 방지하고 VLAN hopping 공격의 잠재적 영향을 제한할 수 있습니다.
정기적인 스위치 펌웨어 업데이트: 네트워크 스위치를 최신 펌웨어와 보안 패치로 업데이트하십시오. 이는 VLAN hopping에 악용될 수 있는 알려진 취약점이 패치되고 완화되도록 보장합니다.

예방 기술은 특정 네트워크 인프라와 스위치 공급업체에 따라 달라질 수 있음을 유의하십시오.

관련 용어

네트워크 세그먼테이션: 네트워크 세그먼테이션은 보안 목적으로 컴퓨터 네트워크를 보다 작은 독립 네트워크로 나누는 관행입니다. 이는 공격 표면을 줄이고 보안 침해의 영향을 제한하는 데 도움이 됩니다.
802.1Q 태그: 802.1Q 태그는 이더넷 네트워크에서 VLAN 태그를 지정하는 IEEE 표준입니다. 네트워크 관리자는 이더넷 프레임에 VLAN을 할당하여 단일 물리 네트워크 내에서 격리된 VLAN을 생성할 수 있습니다.