¶ Cisco Switch Commands (L2)
¶ Cisco Switch Commands (L3)
라우팅/인터페이스 기본
ARP / MAC / 인접 확인
정적 라우팅
¶ 동적 라우팅 (대표 예시)
OSPF
EIGRP (환경에 따라 사용)
ACL (Access Control List)
HSRP/VRRP (게이트웨이 이중화, 장비 지원 시)
멀티캐스트/기타(필요 시)
¶ 아래 링크 확인해볼것
-
CISCO IOS 디바이스 강화 (모범사례)
https://www.cisco.com/c/ko_kr/support/docs/ip/access-lists/13608-21.html -
IOS 보안설정
-
필요한 서비스에 대해 사전 부서장 결재를 통해 사용 가능
-
웹서비스의 경우 필요시에도 https만 활성화 가능
※ 각 서비스 설명
[tcp-small-servers], [udp-small-servers]
- 용도 : TCP 및 UDP 소규모 서버는 진단용으로 유용한 라우터에서 실행되는 서버(Unix 창에서는 데몬)
- 보안위협 : TCP/UDP Small 서비스를 차단하지 않을 경우, DoS 공격의 대상이 될 수 있음
[finger] - 용도 : Finger(사용자 정보 확인 서비스)를 통해서 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인
- 보안위협 : 비인가자에게 사용자 정보가 조회되어 패스워드 공격을 통한 시스템 권한 탈취 가능성 있음
[pad] - 용도 : X.25 패킷교환망에 패킷 처리 기능이 없는 비동기형 단말기의 연결을 제공하는 서비스
- 보안위협 : 불필요한 서비스를 차단하지 않을 경우(X.25 프로토콜 미사용), 잠재적인 취약점 및 공격에 노출될 수 있음
[source-route] - 용도 : 송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는
경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정 할 수 있는 기능 - 보안위협 : 공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를
가로채어 사용자 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있음
[bootp server] or [dhcp bootp] - 용도 : 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP주소를 받게 하는 프로토콜
- 보안위협 : Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음
[domain-lookup] - 용도 : Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력하면 호스트 이름으로 간주하고 Domain Lookup을
시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음 - 보안위협 : 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생
[http server], [http secure-server] - 용도 : 웹서비스를 이용하여 네트워크 장비를 관리할 경우 사용
- 보안위협 : 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점
(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있음
[tftp-server] or [tftp] - 용도 : 파일 전송을 위한 프로토콜로서 FTP서비스 보다 구조가 단순하며 적은 양의 데이트를 보낼 때 사용됨,
주로 원격의 부팅파일을 불러오거나 설치 프로세스를 시작하기 위한 초기 데이터 호출 용도로 사용. - 보안위협 : 서비스 사용시 인증절차가 없어 보안에 취약함.
[identd] - 용도 : 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스(113/TCP)
- 보안위협 : identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음
[redirects] - 용도 : ICMP redirect는 라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도
- 보안위협 : 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌 수 있음
[unreachables] - 용도 : ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있음
- 보안위협 : 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음
[directed-broadcast] - 용도 : 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용
- 보안위협 : smurf 공격에 이용(인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위)
[proxy-arp] - 용도 : 동일 서브넷에서 다른 호스트를 대신하여 ARP Request에 응답하는 기술
- 보안위협 : 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신이 이루어지지 않을 수 있음
[mask-reply] - 용도 : 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공
- 보안위협 : 비인가자에게 내부 서브네트워크의 서브넷 마스크 정보가 노출될 수 있음
[cdp] - 용도 : Cisco 제품의 관리를 목적으로 만든 자체 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하며,
같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공 - 보안위협 : 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며,
Routing Protocol Attack을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음