ARP 검사 설정
기본적으로 모든 ARP 패킷은 브리지 그룹 멤버 간에 허용됩니다. ARP 감시를 활성화하여 ARP 패킷의 흐름을 제어할 수 있습니다.
ARP 감시 기능은 악의적인 사용자가 다른 호스트 또는 라우터로 위장(ARP 스푸핑이라고도 함)하는 것을 방지합니다. ARP 스푸핑은 "끼어들기" 공격을 활성화할 수 있습니다. 예를 들어, 호스트에서 ARP 요청을 게이트웨이 라우터에 전송할 경우 해당 게이트웨이 라우터는 게이트웨이 라우터 MAC 주소에 응답합니다. 그러나 공격자는 라우터 MAC 주소가 아닌 공격자 MAC 주소가 포함된 다른 ARP 응답을 호스트에 전송합니다. 이제 공격자는 라우터에 트래픽이 전달되기 전에 모든 호스트 트래픽을 가로챌 수 있게 됩니다.
ARP 감시 기능은 고정 ARP 테이블에 올바른 MAC 주소와 관련 IP 주소를 입력하기만 하면 공격자가 공격자 MAC 주소가 포함된 ARP 응답을 보낼 수 없도록 합니다.
ARP 감시를 활성화할 경우 Firepower Threat Defense 디바이스에서는 MAC 주소, IP 주소, 모든 ARP 패킷의 소스 인터페이스를 ARP 테이블의 고정 항목과 비교하고 다음과 같은 조치를 취합니다.
-
IP 주소, MAC 주소, 소스 인터페이스가 ARP 항목과 일치하면 패킷이 통과됩니다.
-
MAC 주소와 IP 주소 또는 인터페이스 간에 불일치하는 항목이 있을 경우 Firepower Threat Defense 디바이스에서는 패킷을 누락시킵니다.
-
ARP 패킷이 고정 ARP 테이블의 어느 항목과도 일치하지 않으면 Firepower Threat Defense 디바이스를 설정하여 패킷을 모든 인터페이스로 전달(플러딩)하거나 패킷이 누락되도록 합니다.
참고
전용 진단 인터페이스는 이 파라미터가 플러딩을 실행하도록 설정된 경우에도 패킷을 플러딩하지 않습니다.
프로시저
단계 1 |
FTD 정책을 생성하거나 수정합니다. 를 선택하고 |
단계 2 |
ARP Inspection(ARP 검사)을 선택합니다. |
단계 3 |
ARP 검사 테이블에 항목을 추가합니다. |
단계 4 |
고정 ARP 항목 추가에 따라 고정 ARP 항목을 추가합니다. |
단계 5 |
Save(저장)를 클릭합니다. 이제 로 이동하여 할당된 디바이스에 정책을 구축할 수 있습니다. 변경사항은 구축할 때까지 활성화되지 않습니다. |