본문 바로가기
정보보안기사&CISSP관련/Network Security

[Day 97] 라우터 보안 설정(1)

by minimalist_2022 2020. 11. 15.

콘솔, VTY Port Password 설정

  • 콘솔 포트는 케이블을 이용하여 직접 터미널에 연결하여 라우터를 조작하는 것으로 반드시 패스워드 설정 필요

> enable
# conf t
(config) # line console 0
(config-line) # login
(config-line) # password cisco
(config-line) # end
#

 

  • VTY 포트는 원격지에서 텔넷을 통해 접속 시 사용되는 패스워드를 설정

> enable
# conf t
(config) # line vty 0 4  <--0부터 4까지 5명 접속 가능
(config-line) # login
(config-line) # password cisco
(config-line) # end
#

 

텔넷 접근 제한

  • 기본적으로 VTY 포트는 외부로부터의 연결시도를 모두 받아들이므로, 무한대 공격시도 가능
  • 따라서 라우터로 들어오는 패킷 IP 주소를 차단하여 허가된 IP에게만 연결시도 허용해야 함

> enable
# conf t
(config) # access-list 10 permit host 192.168.0.1
(config) # access-list 10 permit host 192.168.1.1
(config) # access-list 10 deny any
(config) # line vty 0 4
(config-line) # access-list 10 in
(config-line) # end
#

--> 192.168.0.1, 192.168.1.1 IP만 라우터 원격 연결을 허용하고 나머진 차단하는 정책

 

SNMP 설정

  • SNMP는 TCP/IP 네트워크 모니터링 프로토콜인데, 대부분의 시스템에 SNMP의 읽기 권한이 설정되어 있어 보안 설정 필요
  • 기본 community string 값은 public으로 SNMP를 지원하는 많은 장비에서 기본값을 변경해야 함

> enable
# conf t
(config) # snmp-server community x27swf3 ro 11  
(config) # access-list 11 permit host 192.168.1.1
(config) # access-list 11 deny any
(config) # interface FastEthenet 0/0
(config-if) # ip access-group 11 in
(config-if) # end
#
--> ro는 readonly, 11은 acl번호

 

  • SNMP를 사용하지 않는다면 서비스 제거

> enable
# conf t
(config) # no snmp-server

 

※ 연관지식 : remybaek.tistory.com/107

 

[Day 98] 라우터 보안 설정(2)

불필요한 서비스 제거 라우터는 관리자 편의를 위해 기본 설정으로 여러 서비스를 제공하는데, 공격자가 네트워크 정보를 얻거나 접근할 수 있으므로 불필요한 서비스는 제거해야 함 ICMP 관련

remybaek.tistory.com

※ 출처 : 알기사 정보보안기사 실기