주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
CLI 및 API 가이드를 포함하여 로컬로 관리되는 스위치의 설명서를 열려면 여기를 클릭하십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=switch-management-security

보안

Sophos Switch 의 보안 설정을 구성할 수 있습니다. 예를 들어 DoS 공격 방지, 802.1X 인증, 포트 보안을 설정하고 RADIUS 및 TACACS+ 서버를 추가 및 제거할 수 있습니다.

DoS

Sophos Switch는 DoS(서비스 거부) 공격을 모니터링하고 차단할 수 있습니다. DoS 공격은 호스트를 압도하여 네트워크에 대한 연결을 방해하려는 네트워크 트래픽입니다.

DoS 보호를 켜거나 끄려면 켜기 또는 끄기를 선택합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.

DoS를 켜거나 끈 후 업데이트를 클릭하여 변경 사항을 저장합니다.

DoS를 켜면 스위치는 다음 유형의 DoS 공격과 일치하는 패킷을 삭제합니다.

  • 대상 MAC이 소스 MAC과 같음: 소스 및 대상 MAC 주소가 동일한 트래픽을 삭제합니다.
  • LAND 공격 대상 IP가 소스 IP와 같음(IPv4/IPv6): 소스 IP 주소와 대상 IP 주소가 동일한 패킷을 삭제합니다.

  • TCP Blat(대상 TCP 포트와 소스 TCP 포트가 같음): 소스 TCP 포트와 대상 IP 포트가 동일한 TCP 패킷을 삭제합니다.

    참고

    NTP(Network Time Protocol) 클라이언트가 동일한 소스 포트와 대상 포트를 사용하는 경우도 있습니다. DoS 보호를 켜면 Sophos Switch는 이를 TCP Blat 공격으로 감지하고 패킷을 삭제합니다. 동일한 소스 포트와 대상 포트를 사용하는 이전 NTP 클라이언트를 실행하는 경우 DoS 보호를 끄는 것이 좋습니다.

  • UDP Blat(대상 UDP 포트와 소스 UDP 포트가 같음): 소스 UDP 포트와 대상 UDP 포트가 동일한 UDP 패킷을 삭제합니다.

  • 죽음의 핑(IPv4/IPv6): 길이가 64KB보다 큰 패킷을 조각을 통해 삭제합니다.
  • IPv6 최소 조각(바이트): IPv6 조각의 최소 크기를 1240바이트로 제한합니다.
  • ICMP 조각(IPv4/IPv6): 단편화된 ICMP 패킷을 삭제합니다.
  • IPv4 Ping 최대 크기: IPv4 Ping 패킷의 최대 길이를 512바이트로 제한합니다.
  • IPv6 Ping 최대 크기: IPv6 핑 패킷의 최대 길이를 512바이트로 제한합니다.
  • 스머프 공격(넷마스크 길이): 브로드캐스트 ICMP 패킷의 넷마스크 길이를 24(x.x.x.255)로 제한합니다.
  • TCP 최소 헤더 크기(바이트): TCP 헤더의 최소 크기를 20바이트로 제한합니다.
  • TCP-SYN: SYN 플래그가 설정되어 있고 ACK 플래그가 설정되어 있지 않으며 소스 포트가 1024보다 작은 TCP 패킷을 삭제합니다.
  • Null 스캔: 플래그가 설정되지 않고 시퀀스 번호가 0인 TCP 패킷을 삭제합니다.
  • Xmas: 시퀀스 번호가 0이고 FIN, URG 및 PSH 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-FIN: SYN 및 FIN 플래그가 설정된 TCP 패킷을 삭제합니다.
  • TCP SYN-RST: SYN 및 RST 플래그가 설정된 TCP 패킷을 삭제합니다.

802.1X

Sophos Switch RADIUS 또는 TACACS+ 서버를 사용하여 사용자와 장치를 인증하는 802.1X 포트 기반 네트워크 액세스 제어 지원합니다.

전역 설정

전역 설정 탭에서 802.1X 인증을 켜거나 끌 수 있습니다. 게스트 VLAN 할당을 관리하고, 게스트 VLAN ID를 설정하고, 인증 방법을 선택할 수도 있습니다.

다음과 같은 전역 설정을 구성할 수 있습니다.

  • 상태: 802.1X 인증을 켜거나 끄려면 켜기 또는 끄기를 선택하세요. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.
  • 게스트 VLAN: 켜기 또는 끄기를 선택하세요. 게스트 VLAN ID를 설정하려면 켜기를 선택해야 합니다. 스위치에 로컬로 구성된 설정을 사용하려면 설정 안 함을 선택하십시오.
  • 게스트 VLAN ID: 정의된 VLAN 목록에서 VLAN을 선택하십시오.
  • 인증 방법: 드롭다운 목록에서 로컬 사용자, RADIUS 또는 TACACS+를 선택하십시오.

구성 소스는 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

포트 설정

포트 설정 탭에서 포트 설정을 구성하고 802.1X, MAC 인증 우회(MAB) 또는 이 둘의 조합을 사용하여 인증을 설정할 수 있습니다. MAB를 구성하려면 MAC 인증 우회(MAB) 구성을 참조하세요.

구성할 포트를 선택하고 편집을 클릭하십시오.

다음 옵션을 구성할 수 있습니다.

  • 모드: 다음 옵션 중에서 포트 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • 자동: 인터페이스에서 802.1X 인증을 활성화하십시오. 호스트 기반 인증 모드를 사용할 경우 자동을 선택해야 합니다.
    • 인증됨 강제: 인터페이스에서 인증되지 않은 모든 트래픽을 차단합니다.
    • 인증 안 됨 강제: 인터페이스에서 인증되지 않은 모든 트래픽을 허용합니다.

  • MAB 모드: 다음 옵션 중에서 MAB 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • MAB: MAB만 사용하십시오.
    • 하이브리드: 먼저 802.1X를 사용하여 인증을 시도해 보세요. 세 번의 시도가 실패한 후, 스위치는 MAB를 대신 사용합니다.
    • 사용 안 함: MAB를 사용하지 마세요.

  • 인증 모드: 다음 옵션 중에서 인증 모드를 선택하십시오.

    • 설정되지 않음: 스위치에 로컬로 구성된 설정을 사용하십시오.
    • 포트 기반: 각 포트 에 연결된 호스트를 인증합니다.
    • 호스트 기반: 모든 트래픽을 단일 포트 에서 인증합니다.

  • 최대 호스트 수: 이 설정은 인증 모드가 호스트 기반으로 설정된 경우에만 적용됩니다. 이 설정은 포트 에 연결할 수 있는 최대 호스트 수를 지정합니다. 1에서 10사이의 값을 설정하세요.

  • 게스트 VLAN: 게스트 VLAN을 켜거나 끄세요. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • RADIUS VLAN 지정: RADIUS VLAN 할당을 켜거나 끕니다. 호스트 기반 인증 모드를 사용할 때는 이 기능을 꺼야 합니다.
  • 재인증: 포트 재인증을 켜거나 끄세요.
  • 재인증 기간: 포트 재인증을 해야 하는 시간(초)입니다. 30에서 65535사이의 값을 설정하세요. 기본값은 3600입니다.
  • 대기 기간: 인증 시도 실패 후 스위치가 재인증을 시도하기까지 걸리는 시간(초)입니다. 0에서 65535사이의 값을 설정하세요. 기본값은 60입니다.
  • 신청자 기간: 이 설정은 스위치가 EAP 요청을 보내는 빈도(초 단위)를 제어합니다. 스위치는 MAB로 전환하기 전에 이 간격으로 세 번의 요청을 보냅니다. 0에서 65535사이의 값을 설정하세요. 기본값은 30입니다.
  • 인증된 상태: 지정된 포트 의 인증 상태를 표시합니다.

구성 소스는 포트 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면지우기를 클릭하세요.

인증된 호스트

인증된 호스트 탭 인증된 호스트에 대한 정보가 표시됩니다.

포트 보안

포트 보안 탭에서 스위치가 특정 포트 에서 학습할 수 있는 MAC 주소 수를 제한할 수 있습니다.

다음 옵션을 구성할 수 있습니다.

  • 포트: 설정이 적용되는 포트 .
  • 상태: 포트 보안을 켜거나 끄려면 활성화 또는 비활성화를 선택하십시오.
  • 최대 MAC 주소 수: 지정된 포트 에서 스위치가 학습할 수 있는 최대 MAC 주소 개수를 입력하십시오. 범위는 1 ~ 256입니다.

구성 소스는포트 보안 설정의 출처를 보여줍니다.

설정을 저장하려면 업데이트를 클릭하고, 저장되지 않은 변경 사항을 모두 삭제하려면 지우기를 클릭하세요.

RADIUS 서버

RADIUS 서버를 사용하여 네트워크에 접속하는 사용자를 인증할 수 있습니다. RADIUS 서버는 인증 정보를 포함하는 사용자 데이터베이스를 유지 관리합니다. 스위치는 네트워크 접근을 승인하기 전에 사용자를 인증하기 위해 RADIUS 서버로 정보를 전달합니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 ID: RADIUS 서버의 ID입니다.
  • 서버 IP: RADIUS 서버의 IP 주소입니다.
  • 승인된 포트: RADIUS 서버와의 통신에 사용되는 포트 . 기본 포트 는1812입니다.
  • 공유 암호: 장치 와 RADIUS 서버 간의 모든 RADIUS 통신을 암호화하는 데 사용되는 문자열입니다.
  • 시간 제한: 장치 다음 서버로 전환하기 전에 RADIUS 서버로부터 응답을 기다리는 시간입니다. 기본값은 3입니다.
  • 다시 시도: 오류가 발생하기 전에 RADIUS 서버로 전송된 요청 수입니다. 기본값은 3입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새 RADIUS 서버 항목을 생성하려면 추가를 클릭하십시오.

RADIUS 서버 항목을 삭제하려면 삭제할 서버를 선택하고[삭제]를클릭하십시오.

TACACS+ 서버

TACACS+ 서버는 네트워크 접근을 위한 중앙 집중식 인증을 제공합니다. TACACS+는 주로 네트워크 장치 관리에 사용됩니다.

다음 옵션을 구성할 수 있습니다.

  • 서버 IP: TACACS+ 서버의 IP 주소입니다.
  • 우선순위: TACACS+ 서버의 우선순위. 우선순위는 TACACS+ 서버가 두 개 이상 있는 경우 인증을 위해 어떤 서버에 먼저 연결할지 결정합니다.
  • 승인된 포트: 서버가 인증을 위해 통신하는 데 사용하는 포트 입니다. 기본 포트는 49입니다.
  • 공유 암호: TACACS+ 서버에 구성된 암호화 키 입니다. 이 값은 TACACS+ 서버와 정확히 일치해야 합니다.
  • 시간 제한: 타임아웃 시간(초). 타임아웃은 Sophos Switch 목록에서 다음 TACACS+ 서버를 시도하기 전에 인증 응답을 기다리는 시간을 지정합니다. 기본값은 5입니다.

구성 소스는 RADIUS 서버 설정의 출처를 보여줍니다.

새로운 TACACS+ 서버 항목을 생성하려면 추가를 클릭하십시오.

TACACS+ 서버 항목을 삭제하려면 삭제할 서버를 선택하고 삭제를 클릭하십시오.