YesXYZ

아딸이 함께 만드는 세상

[Network] Cisco 장비 취약점 해소를 위한 권장 설정사항

by · 2023년 07월 28일

불필요 서비스 비활성화
보안 강화에 필요한 서비스 활성화
불필요 IP 프로토콜 비활성화
NTP 서버 설정

불필요 서비스 비활성화
hostname(config)#no service tftp
hostname(config)#no service finger
hostname(config)#no service dhcp
hostname(config)#no service pad : X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지
hostname(config)#no service tcp-small-servers
hostname(config)#no service udp-small-servers

[PAD(Packet Assembler/Disassembler)]
X.25 패킷교환망에 패킷 처리 기능이 없는 비동기형 단말기의 연결을 제공하는 서비스,
비동기형 단말기로부터 수신한 문자 스트림을 X.25 패킷으로 분해하고 반대로 X.25 패킷을 문자 스트림으로 재조합하여 상호 전송
[X.25]
패킷교환 데이터 전송 서비스를 위한 ITU-T 표준 프로토콜(1976년 개발),
패킷교환설비와 패킷형 단말기의 통신절차는 X.25,
패킷교환설비와 비동기형 단말기의 통신절차는 X.3, X.28, X.29를 사용

보안 강화에 필요한 서비스 활성화
hostname(config)#service internal
hostname(config)#service tcp-keepalives-in
hostname(config)#service tcp-keepalives-out
hostname(config)#service timestamps debug datetime msec localtime
hostname(config)#service timestamps log datetime msec localtime
hostname(config)#service password-encryption
hostname(config)#service unsupported-transceiver
hostname(config)#no errdisable detect cause gbic-invalid

[service internal]
내부 테스트에 사용되는 일부 Cisco 명령을 활성화(Cisco IOS 디버그 명령 활성화)
[service tcp-keepalives-in / service tcp-keepalives-out]
Telnet을 통한 원격 관리를 허용하려면 TCP keepalive 서비스를 활성화해야 함
[service timestamps debug datetime msec localtime]
디버깅 로깅 메세지에 타임스태프를 표시하도록 시스템 구성
[service timestamps log datetime msec localtime]
로깅 메세지에 타임스태프를 표시하도록 시스템 구성
[service password-encryption]
패스워드 설정 시 암호화
[service unsupported-transceiver]
타사의 SFP 모듈 인식
[no errdisable detect cause gbic-invalid]
타사의 SFP 모듈을 사용할 때 보통 SFP에 관한 에러 감지 기능 비활성화

불필요 IP 프로토콜 비활성화
hostname(config)#no ip finger
hostname(config)#no ip http server
hostname(config)#no ip bootp server
hostname(config)#no ip domain-lookup
hostname(config)#no ip redirect 
hostname(config)#no ip source-route

[no ip domain-lookup]
privilege mode에서 명령줄에 오타 입력 시 도메인을 찾는 동작 방지
[no ip redirect]
라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도로 사용
보안상의 문제로 Cisco에서는 이 기능을 사용하지 않는 것을 권장
[no ip source-route]
송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정할 수 있는 기능

NTP 서버 설정
hostname(config)#ntp server IP주소
hostname(config)#clock timezone korea 9 0

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다