콘솔, VTY Port Password 설정
- 콘솔 포트는 케이블을 이용하여 직접 터미널에 연결하여 라우터를 조작하는 것으로 반드시 패스워드 설정 필요
> enable
# conf t
(config) # line console 0
(config-line) # login
(config-line) # password cisco
(config-line) # end
#
- VTY 포트는 원격지에서 텔넷을 통해 접속 시 사용되는 패스워드를 설정
> enable
# conf t
(config) # line vty 0 4 <--0부터 4까지 5명 접속 가능
(config-line) # login
(config-line) # password cisco
(config-line) # end
#
텔넷 접근 제한
- 기본적으로 VTY 포트는 외부로부터의 연결시도를 모두 받아들이므로, 무한대 공격시도 가능
- 따라서 라우터로 들어오는 패킷 IP 주소를 차단하여 허가된 IP에게만 연결시도 허용해야 함
> enable
# conf t
(config) # access-list 10 permit host 192.168.0.1
(config) # access-list 10 permit host 192.168.1.1
(config) # access-list 10 deny any
(config) # line vty 0 4
(config-line) # access-list 10 in
(config-line) # end
#
--> 192.168.0.1, 192.168.1.1 IP만 라우터 원격 연결을 허용하고 나머진 차단하는 정책
SNMP 설정
- SNMP는 TCP/IP 네트워크 모니터링 프로토콜인데, 대부분의 시스템에 SNMP의 읽기 권한이 설정되어 있어 보안 설정 필요
- 기본 community string 값은 public으로 SNMP를 지원하는 많은 장비에서 기본값을 변경해야 함
> enable
# conf t
(config) # snmp-server community x27swf3 ro 11
(config) # access-list 11 permit host 192.168.1.1
(config) # access-list 11 deny any
(config) # interface FastEthenet 0/0
(config-if) # ip access-group 11 in
(config-if) # end
#
--> ro는 readonly, 11은 acl번호
- SNMP를 사용하지 않는다면 서비스 제거
> enable
# conf t
(config) # no snmp-server
※ 연관지식 : remybaek.tistory.com/107
[Day 98] 라우터 보안 설정(2)
불필요한 서비스 제거 라우터는 관리자 편의를 위해 기본 설정으로 여러 서비스를 제공하는데, 공격자가 네트워크 정보를 얻거나 접근할 수 있으므로 불필요한 서비스는 제거해야 함 ICMP 관련
remybaek.tistory.com
※ 출처 : 알기사 정보보안기사 실기
'정보보안기사&CISSP관련 > Network Security' 카테고리의 다른 글
| [Day 116] TCP Protocol - 구조 (0) | 2020.12.04 |
|---|---|
| [Day 98] 라우터 보안 설정(2) (0) | 2020.11.16 |
| [Day 96] 라우터 접근제어 방식(standard access-list, extanded access-list) (0) | 2020.11.14 |
| [Day 95] 완전 순방향 비밀성(PFS : Perfect Forward Secrecy) (0) | 2020.11.13 |
| [Day 94] 주요 ICMP Error-Reporting 메시지 (0) | 2020.11.12 |
