NDP 보안: IPv6 네트워크 공격으로부터 보호

NDP 보안이 중요한 이유#

이웃 탐색 프로토콜(NDP)은 IPv6에서 ARP를 대체하며 주소 해석, 라우터 탐색 및 네트워크 구성을 처리합니다. ARP의 단순한 요청-응답 모델과 달리 NDP는 접두사 발표, 중복 주소 감지 및 라우터 광고를 관리합니다. 이 모든 것은 중요한 네트워크 기능입니다.

문제는 NDP가 신뢰할 수 있는 로컬 네트워크를 위해 설계되었다는 것입니다. 인증이 없습니다. LAN의 모든 장치는 기본 게이트웨이라고 주장하는 라우터 광고를 보내거나 임의의 접두사를 발표하거나 이웃 캐시를 오염시킬 수 있습니다. 게스트 액세스, BYOD 정책 및 잠재적인 내부 위협이 있는 최신 네트워크에서 이 신뢰 모델은 무너집니다.

공격 영향은 서비스 거부(연결 중단)부터 중간자 공격(트래픽 가로채기)까지 다양합니다. IPv6 배포가 증가함에 따라 공격자는 네트워크 팀이 보호하지 않은 NDP 취약점을 점점 더 많이 표적으로 삼습니다.

NDP 공격 벡터#

위협을 이해하면 방어의 우선순위를 정하는 데 도움이 됩니다. 주요 공격 패턴은 다음과 같습니다:

불법 라우터 광고#

가장 일반적이고 위험한 공격입니다. 악의적인 장치는 다음과 같은 라우터 광고(RA)를 보냅니다:

• 다른 기본 게이트웨이(중간자)
• 더 짧은 라우터 수명(지속적인 재구성을 강제하여 DoS)
• 악의적인 DNS 서버
• 잘못된 접두사
• 네트워크를 플러딩하는 과도한 RA

영향: 클라이언트가 자동으로 재구성되어 공격자의 시스템을 통해 트래픽을 보내거나 완전히 연결을 잃습니다.

실제 시나리오: 직원이 가정용 라우터를 사무실에 가져와 연결합니다. 라우터는 기업 네트워크에서 RA를 보냅니다. 수백 개의 시스템이 재구성되어 인터넷 액세스를 잃거나 더 나쁘게는 관리되지 않는 장치를 통해 라우팅됩니다.

이웃 캐시 중독#

공격자는 다른 장치의 IPv6 주소 소유권을 주장하는 스푸핑된 이웃 광고를 보냅니다. 네트워크는 공격자의 MAC 주소로 이웃 캐시를 업데이트합니다.

정상: 2001:db8::100 → MAC aa:bb:cc:dd:ee:ff
공격: 2001:db8::100 → MAC 11:22:33:44:55:66 (공격자)

결과: 정상 호스트로 보내진 트래픽이 대신 공격자에게 갑니다.

이것은 IPv6 버전의 ARP 중독입니다. 동일한 공격 개념이지만 다른 프로토콜입니다.

중복 주소 감지(DAD) 공격#

노드가 SLAAC를 통해 IPv6 주소를 구성할 때 DAD를 수행합니다. 이웃 요청을 보내 다른 장치가 해당 주소를 사용하지 않는지 확인합니다. 해당 주소를 주장하는 이웃 광고를 받으면 노드는 구성을 거부합니다.

공격자는 모든 DAD 시도에 응답하여 정상 노드가 주소를 얻지 못하게 합니다. 네트워크는 "IPv6: DAD failed" 로그로 채워지고 장치는 주소를 얻을 수 없습니다.

리디렉션 메시지 공격#

라우터는 호스트에게 더 나은 다음 홉 옵션에 대해 알려주는 ICMPv6 리디렉션 메시지를 보냅니다. 인증이 없으면 공격자는 리디렉션을 위조하여 트래픽 흐름을 하이재킹할 수 있습니다.

RA 공격보다 덜 일반적이지만 특정 통신을 표적으로 삼을 때 똑같이 위험합니다.

라우터 요청 플러딩#

영향은 적지만 공격자는 라우터 요청으로 네트워크를 플러딩하여 정상 라우터가 응답을 생성하느라 리소스를 낭비하게 만들 수 있습니다. 다른 공격과 결합하면 중단을 증폭시킵니다.

방어 메커니즘#

간단한 스위치 기능부터 암호화 인증까지 여러 보안 기술이 존재합니다. 포괄적인 보호를 위해 이러한 방어를 계층화하세요.

RA Guard: 첫 번째 방어선#

RA Guard(RFC 6105)는 라우터 광고 메시지를 필터링하는 스위치 기능입니다. RA에 대한 포트 보안으로 생각하세요. 인증된 포트만 보낼 수 있습니다.

RA Guard 작동 방식#

스위치는 라우터 광고에 대한 ICMPv6 패킷을 검사하고 정책을 적용합니다:

┌─────────────────────────────────────────┐
│          스위치 포트 유형               │
├─────────────────────────────────────────┤
│ 호스트 포트: 모든 RA 차단               │
│ 라우터 포트: 신뢰할 수 있는 IP의 RA 허용│
└─────────────────────────────────────────┘

구성 정의:

• 호스트 대면 포트: RA를 완전히 차단(최종 사용자 연결)
• 라우터 대면 포트: RA 허용(정상 라우터로의 업링크)
• 장치 역할 확인: 소스 주소를 인증된 라우터와 일치

Cisco RA Guard 구성#

! 신뢰할 수 있는 라우터에 대한 IPv6 액세스 목록 정의
ipv6 access-list TRUSTED-ROUTERS
 permit ipv6 host 2001:db8::1 any
 permit ipv6 host 2001:db8::2 any
 
! RA Guard 정책 생성
ipv6 nd raguard policy HOST-POLICY
 device-role host
 
ipv6 nd raguard policy ROUTER-POLICY
 device-role router
 match ipv6 access-list TRUSTED-ROUTERS
 
! VLAN에 적용
interface range GigabitEthernet1/0/1-48
 description Access ports
 ipv6 nd raguard attach-policy HOST-POLICY
 
interface GigabitEthernet1/0/49
 description Uplink to router
 ipv6 nd raguard attach-policy ROUTER-POLICY

Juniper RA Guard 구성#

# 액세스 포트에서 RA Guard 정의
set protocols router-advertisement interface ge-0/0/0.0 no-advertise
 
# 업링크에서 RA 허용
set protocols router-advertisement interface ge-0/0/23.0

Linux 브리지 RA Guard#

Linux 기반 스위치 또는 KVM 가상화용:

# 브리지 포트에서 RA Guard 활성화
echo 1 > /sys/class/net/vnet0/brport/protect_ra
 
# 또는 ebtables 사용
ebtables -A FORWARD -p IPv6 --ip6-proto ipv6-icmp \
  --ip6-icmp-type router-advertisement -i vnet0 -j DROP

RA Guard 제한 사항#

RA Guard는 계층 2에서 패킷을 검사합니다. 공격자는 다음을 통해 우회할 수 있습니다:

• 단편화: IPv6 단편에 걸쳐 RA 분할(첫 번째 단편은 ICMPv6 유형을 표시하지 않음)
• 터널링: 다른 프로토콜에 RA 캡슐화
• 확장 헤더: 홉별 또는 대상 옵션 헤더 추가

최신 스위치에는 단편을 재조립하고 확장 헤더를 구문 분석하는 "심층 검사" 모드가 포함되어 있습니다. 하드웨어가 이를 지원하는지 확인하거나 잔여 위험을 받아들이세요.

DHCPv6 Guard#

RA Guard와 유사하게 DHCPv6 Guard는 인증되지 않은 포트에서 DHCPv6 서버 메시지를 차단합니다. 이것은 불법 DHCPv6 서버가 주소 또는 DNS 구성을 발행하는 것을 방지합니다.

Cisco DHCPv6 Guard#

ipv6 dhcp guard policy CLIENT-POLICY
 device-role client
 
ipv6 dhcp guard policy SERVER-POLICY
 device-role server
 
interface range GigabitEthernet1/0/1-48
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 
interface GigabitEthernet1/0/49
 ipv6 dhcp guard attach-policy SERVER-POLICY

DHCPv6 Guard는 다음 메시지 유형에서 작동합니다:

• ADVERTISE (서버 → 클라이언트)
• REPLY (서버 → 클라이언트)
• RECONFIGURE (서버 → 클라이언트)

호스트 포트에서 이를 차단하면 정상 클라이언트 요청을 허용하면서 불법 DHCPv6 서버를 방지합니다.

SEND: 암호화 인증#

SEND(Secure Neighbor Discovery, RFC 3971)는 NDP 메시지에 암호화 서명을 추가합니다. 강력한 인증을 제공하지만 PKI 인프라가 필요하며 널리 배포되지 않았습니다.

SEND 작동 방식#

SEND는 IPv6 주소가 공개 키에 암호화적으로 바인딩되는 CGA(암호화적으로 생성된 주소)를 사용합니다:

1. 노드가 공개/개인 키 쌍 생성
2. 인터페이스 ID에 공개 키의 해시가 있는 IPv6 주소 생성
3. 개인 키로 NDP 메시지 서명
4. 수신자가 서명이 주소와 일치하는지 확인

┌─────────────────────────────────────────────────┐
│ 라우터 광고 (SEND 사용)                         │
├─────────────────────────────────────────────────┤
│ 표준 RA 필드                                    │
│ + CGA 매개변수 (공개 키, 수정자)                │
│ + RSA 서명                                      │
│ + 타임스탬프                                    │
│ + Nonce (재생 보호용)                           │
└─────────────────────────────────────────────────┘

SEND가 널리 퍼지지 않은 이유#

2005년부터 표준화되었지만 SEND 채택은 여전히 최소화되어 있습니다:

장점:

• 암호화적으로 안전(개인 키 없이 스푸핑할 수 없음)
• 스위치 지원 불필요(엔드 투 엔드 보안)
• 모든 NDP 메시지 유형 보호

단점:

• 복잡한 PKI 인프라 요구 사항
• 제한된 OS 지원(일부 구현이 존재하지만 기본적으로 활성화되는 경우는 드뭄)
• 서명 확인의 성능 오버헤드
• 역호환성 문제(SEND 및 비 SEND 노드가 잘 상호 운용되지 않음)
• 주소 관리 복잡성(CGA 주소는 사람 친화적이지 않음)

대부분의 조직은 RA Guard 및 DHCPv6 Guard가 더 나은 비용 대비 효과 비율로 충분하다고 판단합니다.

SEND를 고려해야 할 때#

다음과 같은 매우 안전한 환경:

• 모든 엔드포인트를 제어(모든 곳에서 SEND를 강제할 수 있음)
• PKI 인프라가 이미 존재
• 성능 영향을 수용 가능
• 규정 준수에 암호화 NDP 보호가 필요

IPv6 First-Hop Security Suite#

최신 스위치는 NDP 보안 기능을 포괄적인 first-hop 보안으로 번들합니다:

IPv6 Source Guard#

소스 IPv6 주소와 MAC 주소가 다음을 통해 학습된 바인딩과 일치하는지 확인합니다:

• NDP 스누핑(정상 이웃 광고 추적)
• DHCPv6 스누핑(주소 할당 추적)
• 수동 바인딩

스푸핑된 소스 주소가 있는 패킷을 차단합니다.

IPv6 Prefix Guard#

구성된 접두사 정책에 대해 라우터 광고 및 DHCPv6 접두사 위임 메시지를 확인합니다. 공격자가 인증되지 않은 접두사를 발표하는 것을 방지합니다.

IPv6 Destination Guard#

패킷의 대상 주소가 이웃 탐색 바인딩 테이블과 일치하는지 강제합니다. 존재하지 않는 주소로의 트래픽을 방지합니다(일부 DoS 공격에 사용됨).

ND 검사#

모든 NDP 메시지를 스누핑하고 IPv6 주소 → MAC 주소 → 포트를 매핑하는 바인딩 테이블을 구축합니다. 다른 보안 기능은 검증을 위해 이러한 바인딩을 참조합니다.

Cisco 완전한 FHS 구성#

! 스위치에서 IPv6 활성화
ipv6 unicast-routing
 
! FHS 정책 생성
ipv6 access-list ipv6-acl-fhs
 permit ipv6 any any
 
ipv6 nd inspection policy FHS-POLICY
 device-role switch
 drop-unsecure
 limit address-count 1000
 tracking enable
 
ipv6 snooping policy FHS-SNOOPING
 device-role switch
 
! VLAN에 적용
vlan configuration 10
 ipv6 nd inspection attach-policy FHS-POLICY
 ipv6 snooping attach-policy FHS-SNOOPING
 
! 신뢰할 수 있는 포트 구성
interface GigabitEthernet1/0/49
 ipv6 nd inspection trust
 ipv6 snooping trust

모니터링 및 탐지#

예방만으로는 충분하지 않습니다. 공격 시도 및 이상을 모니터링하세요.

추적할 주요 메트릭#

라우터 광고 활동:

# RA 빈도 모니터링
rdisc6 eth0
 
# 예상: 알려진 라우터로부터 200-600초마다 RA
# 경고: 초당 여러 RA, 알 수 없는 소스의 RA

이웃 탐색 메시지 비율:

# Linux 패킷 카운팅
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "RA: "
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j LOG --log-prefix "NA: "
 
# 로그 보기
journalctl -f | grep -E "RA:|NA:"

이웃 캐시 변동:

# 이웃 테이블 변경 모니터링
watch -n 1 "ip -6 neigh show | wc -l"
 
# 높은 변동은 가능한 중독을 나타냄

스위치 보안 위반#

RA Guard 및 DHCPv6 Guard 위반 모니터링:

# Cisco
show ipv6 nd raguard policy
show ipv6 dhcp guard policy
 
# 증가하는 드롭 카운터 찾기
show platform hardware fed switch active qos queue stats internal cpu policer

SIEM 통합#

보안 이벤트를 SIEM에 전달하세요:

탐지 규칙:

• 짧은 시간 내에 다른 소스로부터의 여러 라우터 광고
• 비정상적인 수명을 가진 RA(매우 짧거나 매우 긺)
• 높은 비율의 이웃 요청(잠재적인 DAD 공격)
• 예상치 못한 소스 주소의 RA
• 호스트 포트의 DHCPv6 서버 메시지

Splunk 쿼리 예:

index=network sourcetype=cisco:ios ipv6 "RA Guard" action=dropped
| stats count by src_ip, interface
| where count > 10

전용 보안 도구#

ndpmon: 오픈 소스 NDP 모니터링 데몬

# 설치
apt-get install ndpmon
 
# /etc/ndpmon/config_ndpmon.xml에서 허용된 라우터 구성
<router>
  <mac>aa:bb:cc:dd:ee:ff</mac>
  <lla>fe80::1</lla>
</router>
 
# 모니터링 시작
ndpmon -c /etc/ndpmon/config_ndpmon.xml

다음에 대한 경고:

• 불법 RA
• 예상치 못한 접두사 변경
• MAC/IPv6 바인딩 변경
• DAD 공격

실용적인 배포 가이드#

정상 트래픽을 중단하지 않도록 NDP 보안을 체계적으로 구현하세요.

1단계: 가시성 (1주)#

목표: 현재 NDP 동작 이해

1. 스위치에서 NDP 로깅 활성화
2. 각 VLAN에 ndpmon 또는 유사한 도구 배포
3. 모든 정상 라우터 문서화(MAC, IPv6 주소)
4. 1주일 동안 기준 RA/NA 트래픽 캡처
5. 예상치 못한 소스 식별

2단계: 수동 보호 (2주)#

목표: 강제 없이 탐지 활성화

1. 모니터 모드에서 RA Guard 구성(지원되는 경우)
2. 위반에 대한 경고 설정
3. 정상 인프라의 거짓 양성 확인
4. 경고를 기반으로 정책 조정

3단계: 능동 보호 (3-4주)#

목표: 보안 정책 강제

1. 테스트 VLAN에서 차단 모드로 RA Guard 활성화
2. 클라이언트 연결 및 주소 할당 확인
3. 점진적으로 프로덕션 VLAN으로 확장
4. DHCPv6 Guard 및 기타 FHS 기능 추가
5. 예외 및 신뢰할 수 있는 포트 문서화

4단계: 지속적인 관리#

목표: 보안 태세 유지

1. 주간 위반 로그 검토
2. 인프라 변경 시 신뢰할 수 있는 라우터 목록 업데이트
3. 취약성 평가 중 보안 테스트
4. NDP 보안 개념에 대한 팀 교육

구성 모범 사례#

액세스 스위치용#

! 기본 자세: 모든 포트는 호스트 대면
ipv6 nd raguard policy DEFAULT-HOST
 device-role host
 
! 기본적으로 모든 포트에 적용
interface range GigabitEthernet1/0/1-48
 ipv6 nd raguard attach-policy DEFAULT-HOST
 ipv6 dhcp guard attach-policy CLIENT-POLICY
 ipv6 snooping
 
! 명시적으로 업링크 신뢰 (수동 재정의 사용)
interface GigabitEthernet1/0/49
 description Uplink to distribution
 ipv6 nd raguard attach-policy ROUTER-POLICY
 ipv6 dhcp guard attach-policy SERVER-POLICY
 ipv6 snooping trust

원칙: 기본적으로 거부, 명시적으로 허용.

배포/코어용#

! 인프라가 제어되므로 덜 제한적
! 하지만 여전히 소스 확인
ipv6 nd raguard policy INFRA-POLICY
 device-role router
 match ipv6 access-list KNOWN-ROUTERS

무선 컨트롤러용#

게스트 네트워크는 특히 취약합니다:

! 게스트 SSID에서 엄격한 RA 차단
ipv6 nd raguard policy GUEST-POLICY
 device-role host
 no-ra

데이터 센터용#

가상화된 환경에는 가상 스위치에 RA Guard가 필요합니다:

VMware:

• vSphere 6.5+는 IPv6 보안 정책 지원
• 분산 가상 스위치에서 RA Guard 구성
• 모든 게스트 VLAN에 적용

KVM/Linux 브리지:

# 모든 VM 인터페이스에서 RA 보호 활성화
for interface in /sys/class/net/vnet*/brport/protect_ra; do
  echo 1 > "$interface"
done

테스트를 위한 공격 시뮬레이션#

공격자가 테스트하기 전에 방어가 작동하는지 확인하세요.

RA Guard 테스트#

radvd를 사용하여 호스트 포트에서 테스트 라우터 광고를 보내세요:

# radvd 설치
apt-get install radvd
 
# 테스트 RA 구성 (/etc/radvd.conf)
interface eth0 {
  AdvSendAdvert on;
  prefix 2001:db8:bad::/64 {
    AdvOnLink on;
    AdvAutonomous on;
  };
};
 
# radvd 시작
systemctl start radvd
 
# 예상: RA Guard가 이러한 메시지 차단
# 확인: 위반에 대한 스위치 로그 확인

ND 검사 테스트#

이웃 캐시 중독 시도:

# 스푸핑된 이웃 광고 보내기
ndsend eth0 2001:db8::victim -a aa:bb:cc:dd:ee:ff --na-override
 
# 예상: Source Guard 또는 ND 검사 차단
# 확인: 대상에서 이웃 캐시 변경 없음

전문 테스트 도구#

THC IPv6 공격 툴킷:

# 설치
apt-get install thc-ipv6
 
# RA 플러딩 테스트
flood_router6 eth0
 
# DAD 공격 테스트
dos-new-ip6 eth0
 
# 예상: FHS 기능에 의해 모든 공격 차단

사용자 정의 테스트용 Scapy:

from scapy.all import *
 
# 악의적인 RA 작성
ra = IPv6(dst="ff02::1")/ICMPv6ND_RA()/ICMPv6NDOptPrefixInfo(prefix="2001:db8:bad::")
send(ra, iface="eth0")

명시적인 승인이 있는 격리된 테스트 네트워크에서만 공격 테스트를 수행하세요.

일반적인 실수#

1. 업링크 신뢰 잊기#

명시적으로 업링크를 신뢰하지 않고 모든 포트에서 RA Guard를 구성하면 정상 RA가 차단됩니다. 전체 네트워크가 IPv6 연결을 잃습니다.

증상: RA Guard를 활성화한 후 클라이언트가 주소 수신을 중지합니다.

수정: 정상 라우터에 연결된 포트를 식별하고 신뢰하세요.

2. 일관되지 않은 VLAN 적용 범위#

일부 VLAN에만 보안을 적용하고 다른 VLAN은 적용하지 않습니다. 공격자는 보호되지 않은 VLAN에 연결하고 피벗합니다.

수정: 관리 네트워크를 포함한 모든 VLAN에 first-hop 보안 정책을 적용하세요.

3. 프로덕션 전에 테스트하지 않음#

테스트 없이 차단 모드를 활성화하면 정상 트래픽이 필터링될 때 중단이 발생합니다.

수정: 항상 랩 환경 또는 모니터 모드에서 먼저 테스트하세요.

4. 무선 네트워크 무시#

무선 컨트롤러 및 액세스 포인트는 올바르게 구성되지 않으면 종종 RA Guard를 우회합니다.

수정: 보안 정책이 무선 VLAN에 적용되는지 확인하세요. WiFi 클라이언트에서 테스트하세요.

5. 가상 환경 방치#

VM은 가상 스위치 내에서 RA를 보내 동일한 호스트의 다른 VM을 공격할 수 있습니다.

수정: 가상 스위치 및 하이퍼바이저 네트워킹에서 RA 보호를 활성화하세요.

보안이 정상적인 사용 사례를 깨뜨릴 때#

일부 시나리오에서는 호스트 포트에서 RA가 필요합니다:

브리지 모드 라우터#

브리지/패스스루 모드의 소형 라우터는 업스트림에서 RA를 중계합니다.

해결책: 이러한 포트를 명시적으로 신뢰하거나 다른 네트워크 설계를 사용하세요.

라우터 랩 환경#

OSPF, BGP 또는 라우터 구성 테스트에는 RA 전송이 필요합니다.

해결책: 모든 소스의 RA를 허용하는 랩 VLAN에 대한 전용 보안 정책.

모바일 핫스팟 테더링#

핫스팟 기능을 제공하는 스마트폰은 RA를 보냅니다.

해결책: 게스트 네트워크는 이를 허용할 수 있지만 기업 네트워크는 차단해야 합니다.

모든 예외를 문서화하고 정기적으로 검토하세요.

미래: 진행 중인 작업#

NDP 보안은 진화하지만 과제는 남아 있습니다:

긍정적인 발전:

• 더 광범위한 RA Guard 배포
• 심층 검사를 위한 향상된 스위치 지원
• SIEM/SOC 워크플로와의 더 나은 통합

지속적인 과제:

• SEND 채택은 여전히 최소화
• 많은 IoT 장치가 보안 인식 부족
• IPv4의 단순한 ARP와 비교한 운영 복잡성

새로운 기술:

• 더 유연한 보안 정책을 가능하게 하는 소프트웨어 정의 네트워킹(SDN)
• NDP 트래픽에서 이상 탐지를 위한 기계 학습
• 탐지된 공격에 대한 자동 응답

지금 NDP 보안 시작#

NDP 공격은 실제이며 증가하고 있습니다. 보안 메커니즘이 존재하고 작동합니다. 배포만 필요합니다.

최소한의 NDP 보안:

1. 모든 액세스 스위치에서 RA Guard 활성화
2. 업링크 포트만 신뢰
3. 위반 모니터링
4. 경고에 응답

이것은 최소한의 노력으로 NDP 공격의 95%를 막습니다. 심층 방어를 위해 DHCPv6 Guard, Source Guard 및 포괄적인 모니터링을 추가하세요.

공격이 시작될 때까지 기다리지 말고 NDP 보안을 진지하게 받아들이세요. IPv4 네트워크에는 방화벽 규칙, 포트 보안 및 DHCP 스누핑이 있습니다. IPv6도 동일한 주의가 필요합니다.

관련 글#

• IPv6 이웃 탐색 프로토콜 - NDP 작동 방식 및 필수적인 이유
• IPv6 보안 모범 사례 - 포괄적인 IPv6 보안 가이드
• IPv6 방화벽 구성 - 네트워크 엣지에서 IPv6 보안

자주 묻는 질문#