Skip to Content
05. SecurityManagement Plane Protection (MPP)

Management Plane Protection (MPP)

학습 목차

  1. 구성 1.1. MPP 없이 1.2. MPP 사용
  2. 결론

Management Plane Protection (MPP) 는 Cisco IOS 라우터의 보안 기능으로, 두 가지를 달성합니다.

  • 라우터가 네트워크 관리 프로토콜의 패킷을 허용하는 인터페이스를 제한합니다.
  • 라우터가 허용하는 네트워크 관리 프로토콜을 제한합니다.

관리 플레인(management plane) 은 라우터 관리와 관련된 모든 트래픽의 논리적 경로입니다. 예를 들어:

  • Telnet
  • SSH
  • SNMP
  • HTTP
  • HTTPS

MPP는 관리 트래픽을 보호하기 더 쉽게 만듭니다. MPP로 대부분의 네트워크 관리 트래픽을 제한할 수 있어 더 적은 access-list가 필요합니다. 또한 거부된 패킷을 드롭하고 CPU로 전달하지 않으므로 네트워크 관리 패킷 플러드 공격을 방지합니다. 대부분의 네트워크 관리 트래픽을 허용/거부하는 좋은 도구입니다. 특정 서브넷 및/또는 IP 주소를 허용/거부해야 하는 경우 여전히 access-list를 사용할 수 있습니다.

1. 구성

MPP를 구성하는 방법을 보여드리겠습니다. 다음은 우리가 사용할 토폴로지입니다.

토폴로지

H1은 R1을 관리하는 데 사용하는 신뢰할 수 있는 네트워크에 있습니다. H2는 어떤 네트워크 관리 프로토콜로도 R1을 관리할 수 없어야 하는 원격 네트워크에 있습니다.

시작 구성

각 장치의 시작 구성은 다음과 같습니다.

H1

hostname H1
!
interface GigabitEthernet2
 ip address 192.168.1.1 255.255.255.0
!
end

H2

hostname H2
!
interface GigabitEthernet2
 ip address 192.168.2.2 255.255.255.0
!
end

R1

hostname R1
!
interface GigabitEthernet2
 ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet3
 ip address 192.168.2.254 255.255.255.0
!
end

MPP를 사용할 때와 사용하지 않을 때의 차이를 볼 수 있는 “이전”과 “이후” 시나리오를 보여드리겠습니다.

1.1. MPP 없이

MPP가 비활성화되었을 때 백그라운드에서 무슨 일이 일어나는지 보여드리겠습니다. R1을 VTY 라인에서 SSH 트래픽만 받도록 구성하겠습니다.

R1(config)# line vty 0 4
R1(config-line)# transport input ssh

무슨 일이 일어나는지 확인하기 위해 디버그를 활성화합니다.

R1# debug ip packet
IP packet debugging is on

H2에서 R1으로 telnet을 시도해 봅시다.

H2# telnet 192.168.2.254
Trying 192.168.2.254 ...
% Connection refused by remote host

연결이 거부된 것을 볼 수 있습니다. 이는 R1의 VTY 라인에서 telnet을 받지 않기 때문에 예상됩니다. R1을 보면 H2에 두 개의 패킷을 보낸 것을 볼 수 있습니다.

R1#
IP: tableid=0, s=192.168.2.254 (local), d=192.168.2.2 (GigabitEthernet3), routed via FIB
IP: s=192.168.2.254 (local), d=192.168.2.2 (GigabitEthernet3), len 40, sending

R1은 H2에 응답해 연결을 거부합니다. H2에서 충분한 telnet 패킷을 전송하면 R1에 서비스 거부 공격을 수행할 수 있습니다.

1.2. MPP 사용

이 상황을 개선할 수 있는지 봅시다. 먼저, R1의 VTY 라인에서 telnet을 활성화합시다.

MPP 활성화

본 강의는 NetworkLessons.com의 미리보기 버전입니다. 전체 내용은 멤버십 가입 후 확인 가능합니다.

멤버십 안내

포럼 답글

braveheart814

control-plane 명령이 다음에서 인식되지 않습니다:

  • 3560CX iOS 버전 15.2
  • 3850 IOS-XE 버전 16.6.6

대안이 있나요?

포럼 답글

lagapidis

안녕 Bradley,

이 Cisco 문서에 따르면, Cisco IOS Release 15M&T가 이러한 기능을 지원합니다.

특정 IOS 버전의 경우 Cisco의 Feature Navigator를 살펴보면 어떤 버전이 어떤 기능을 지원하는지 확인할 수 있습니다.

도움이 되었길 바랍니다!

Laz

lagapidis

안녕 Christopher,

Management Plane Protection(MPP)는 Control Plane Policing(CoPP)의 하위 집합이라는 점을 기억하세요. CoPP는 IOS와 NX-OS 장치를 포함한 모든 Cisco 장치에서 사용 가능합니다.

NX-OS 장치의 CoPP에 대한 정보는 Cisco 문서에서 찾을 수 있습니다. 문서의 “management plane” 섹션을 참고하세요.

… 포럼에서 계속 읽기

포럼 답글

marlonfontenele

멋지지만, MPP를 사용하더라도 IP(Line VTY)로 차단하려면 여전히 ACL이 필요합니다.

lagapidis

안녕 Marlon,

이 특정 예제는 선택한 인터페이스를 통해서만 장치에 대한 관리 연결을 제한하는 방법을 보여줍니다. 특정 IP 주소를 가진 특정 호스트로 연결을 더 제한하려면, 그 주소를 지정하는 access list를 추가해야 합니다. line vty 구성 모드에서 access-class 명령을 사용해 access list를 참조해 이를 수행할 수 있습니다.

도움이 되었길 바랍니다!

Laz

12개의 추가 답글이 있습니다. 커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - Management Plane Protection (MPP)

태그: Security

CoPP (Control Plane Policing)Router Security Policy