불필요한 서비스 제거
- 라우터는 관리자 편의를 위해 기본 설정으로 여러 서비스를 제공하는데, 공격자가 네트워크 정보를 얻거나 접근할 수 있으므로 불필요한 서비스는 제거해야 함
ICMP 관련 설정
ICMP MTU Discovery - 처음부터 최적의 MTU 사이즈를 찾아서 그 사이즈로 단편화하는 기술. 단편화 불가 플래그를 설정하여 오류가 안돌아올때까지 계속 보내서 확인함 ICMP를 차단하더라도 ICMP MTU Discovery 패킷은 허용해줘야 하므로, type 3, code 4 패킷만 허용하고 나머진 차단 > enable # conf t (config) # access-list 10 permit icmp any any 3 4 (config) # access-list 10 deny icmp any any (config) # access-list 10 permit ip any any (config) # interface FastEthenet 0/0 (config-if) # ip access-group 10 in (config-if) # end # |
ICMP Redirects - 라우터의 인터페이스로 ICMP Redirect 패킷이 들어오는 것 차단 > enable # conf t (config) # interface FastEthenet 0/0 (config-if) # no ip redirects (config-lf) # end # |
ICMP Directed Broadcast - ICMP echo reply는 특정 호스트가 아닌 해당되는 네트워크 전체에 응답을 전송하여 smurf attack에 이용되므로 차단 > enable # conf t (config) # interface FastEthenet 0/0 (config-if) # no ip directed-broadcast (config-lf) # end # |
ICMP Unreachable - ICMP Unreachable 메시지를 이용해 라우터나 특정 호스트의 특정 포트가 열려있는지 확인할 수 있음 - ICMP Unreachable를 차단하면 포트 상태정보를 얻을 수 없고 스캐닝에 소요되는 시간도 길어지므로 차단 권장 > enable # conf t (config) # interface FastEthenet 0/0 (config-if) # no ip unreachables (config-lf) # end # |
Source Route
Source Route는 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷의 발송자가 설정할 수 있는 기능. 악용될 수 있으니 차단 권고 > enable # conf t (config-if) # no ip source-route (config-lf) # end # |
※ 연관지식
※ 출처 : 알기사 정보보안기사 실기
'정보보안기사&CISSP관련 > Network Security' 카테고리의 다른 글
[Day 117] TCP 연결 설정과정(3-Way Handshake) (0) | 2020.12.05 |
---|---|
[Day 116] TCP Protocol - 구조 (0) | 2020.12.04 |
[Day 97] 라우터 보안 설정(1) (0) | 2020.11.15 |
[Day 96] 라우터 접근제어 방식(standard access-list, extanded access-list) (0) | 2020.11.14 |
[Day 95] 완전 순방향 비밀성(PFS : Perfect Forward Secrecy) (0) | 2020.11.13 |