| 분류 | 점검항목 | 항목중요도 |
| 계정관리 | 패스워드 설정 | 상 |
| 패스워드 복잡성 | 상 | |
| 암호화된 패스워드 사용 | 상 | |
| 사용자.명령어별 권한 수준 설정 | 중 |
■ 패스워드 설정
1) enable 패스워드 설정 방법
switch#conf t
switch(config)# enable password 사용할패스워드입력
2) Virture terminal 패스워드 설정 방법
switch#conf t
switch(config)# line vty 0 4
switch(config-line)# login
switch(config-line)# password 사용할패스워드입력
3) console 패스워드 설정 방법
switch#conf t
switch(config)# line console 0
switch(config-line)# login
switch(config-line)# password 사용할패스워드입력
■ 패스워드 복잡성
1. 암호는 최소 8자 이상으로 설정해야 합니다.
2. 사용자 계정 이름이나 이름의 문자를 3개 이상 연속해서 포함하지 않아야 합니다.
3. 암호는 대,소문자,숫자,특수문자 중 3개지 범주 이상의 문자가 포함되야 합니다.
잘못된 예시 - password , password1234 , asdf1234 , qwer1234 , qwerasdf1234 , abcdefgh
■ 암호화된 패스워드 사용
1) enable 패스워드 암호화 확인 방법
1-1) enable 패스워드가 설정되지 않았을 경우
switch#show ru | inc enable
switch# // show run 명령어 입력시 보이지 않는다.
1-2) enable 패스워드가 설정되어있지만 패스워드 암호화 하지 않은 경우
switch#show ru | inc enable
enable password qwer1234 // show run 명령어 입력시 enable 패스워드가 평문 그대로 보인다.
switch#
1-3)enable 패스워드가 설정되어 있고 패스워드 암호화도 적용한 경우
switch#show ru | inc enable
enable password 7 083044A456A15835A4F55 // show run 명령어 입력시 enable 패스워드가 암호화되어 보인다.
switch#
2) enable 패스워드 암호화 방법
switch#show run
enable password qwer1234 //패스워드 평문 노출 상태
switch#conf t
switch(config)# serivce password-encryption // 패스워드 암호화 명령어
switch(config)#exit
switch# show run | inc enable
enable password 7 083044A456A15835A4F55 // 암호화되어 출력된 패스워드 상태
switch#
※ 한번 암호화된 패스워드는 no service password-encryption 명령어로 취소하여도 암호화된 상태로 보인다.
취소한 이후에 다시 enable 패스워드를 설정하면 평문으로 확인할 수 있다.
switch(config)# serivce password-encryption // 패스워드 암호화 명령어
switch# show run | inc enable
enable password 7 083044A456A15835A4F55 // 암호화되어 출력된 패스워드 상태
switch(config)# no serivce password-encryption // 패스워드 암호화 취소
switch# show run | inc enable
enable password 7 083044A456A15835A4F55 // 암호화를 취소해도 암호화로 출력된 패스워드 상태
switch(config)# enable password qwer1234 // enable 패스워드 재설정
switch# show run | inc enable
enable password qwer1234 // 패스워드 암호화를 취소했기 때문에 신규 패스워드는 평문으로 출력.
3) enable secret 패스워드 암호화 방법
※ enable secret 패스워드는 enable password 보다 강력하고 우선적으로 사용되기 떄문에 enable 패스워드 설정 시
enable secret 으로 설정 후 service password-encryption 명령어를 입력해 주시는게 좋습다.
switch#
switch#conf t
switch(config)# enable secret 사용할_패스워드_입력 // enable 패스워드를 암호화하여 저장하는 명령어
switch(config)# serivce password-encryption // 패스워드 암호화 명령어
switch#(config)#exit
switch# show ru | inc enable
enable secret 5 $1$eRer$9EwcfgGFr1end35 // 암호화된 enable 패스워드 .
switch#
■ 사용자.명령어별 권한 수준 설정
1) 사용자, 명령어별 레벨 확인 방법
시스코 IOS에서는 0~15 까지 16개의 서로 다른 권한 수준을 규정하고 있으며 레벨 1,15는 기본적으로 정의되어있다.
사용권한 0에서는 disable, enable ,exit, help , logout 5가지 명령어를 사용할 수 있다.
사용권한 1에서는 설정 및 중요한 내용을 제외하고 기본적으로 장비의 동작을 확인하고 장애를 처리할 수 있는 명령어들을 사용할 수 있다. ( 확장 ping 제외)
사용권한 15는 모든 명령어를 사용할 수 있는 최상위 권한이다.
switch> show privilege
Current privilege level is 1
switch> en
switch# show privilege
Current privilege level is 15
2) 사용자, 명령어별 권한 수준설정
낮은 레벨의 사용자는 높은 레벨에 해당하는 명령어는 사용 할 수 없다.
show 명령어는 기본적으로 레벨 1 명령어이기 때문에 show 명령어의 레벨을 올리거나 다른 명령어들에 대한 권한을 수정하려명 명령어별 권한 수준 설정이 필요하다.
사용자, 명령어별 권한 수준을 설정하는 방법은 아래와 같다.
switch(config)# username 유저ID privilege 0~15까지_적용할_레벨 secret 패스워드
switch(config)# privilege 설정모드 level 0~15사이의_레벨 적용할_명령어
예시
switch(config)# username subadmin1 privilege 5 secret qwer1234 // subadmin1 이라는 레벨 5의 유저 생성
switch(config)# username subadmin2 privilege 6 secret qwer2345 // subadmin2 이라는 레벨 5의 유저 생성
switch(config)# privilege exec level 5 show ip int b // 5레벨 유저는 show ip int b 로 시작하는 명령어 허용
switch(config)# privilege exec level 6 show ip route // 6레벨 유저는 show ip route 로 시작하는 명령어 허용
switch(config)# privilege exec level 6 show ip // 6레벨 유저는 show ip 로 시작하는 명령어 허용
switch(config)# privilege exec level 6 show // 6레벨 유저는 show 로 시작하는 명령어 허용
switch(config)# privilege configure level 6 interface // 6레벨 유저는 설정모드에서 interface로 시작하는 명령어허용
'Technical > Network' 카테고리의 다른 글
| CISCO 스위치의 SSH 설정 (2) | 2021.09.02 |
|---|---|
| 시스코 스마트 라이센스 업그레이드 방법 ( SLR ) (0) | 2021.09.01 |
| Cisco EEM track 설정방법 (0) | 2021.08.18 |
| 알테온 L4 스위치 HA 모드 (Active-Standby / Active-Hot standby) (4) | 2021.08.03 |
| Spanning Tree Protocol(STP) 동작원리 (0) | 2021.07.31 |
댓글