본문 바로가기
Technical/Network

CISCO 네트워크 보안 취약점 조치 방법(5)

by 알 수 없는 사용자 2021. 12. 7.
           분류                                  점검항목                    항목 중요도
         기능관리 TFTP 서비스 차단                          상
Spoofing 방지 필터링 적용 또는 보안장비 사용                          상
DDoS 공격 방어 설정 또는 DDoS 장비 사용                          상
사용하지 않는 인터페이스 Shutdown 설정                          상
TCP Keepalive 서비스 설정                          중

 

 

■ TFTP 서비스 차단

 

1) 서비스 차단 설정 방법

 

hostname# config terminal

hostname(config)# no service tftp

 

 

■ Spoofing 방지 필터링 적용 또는 보안장비 사용

 

1) 필터링 설정 방법

 

hostname# config t

hostname(config)# access-list 1 deny ip 0.0.0.0 0.255.255.255 any

hostname(config)# access-list 1 deny ip 10.0.0.0 0.255.255.255 any

hostname(config)# access-list 1 deny ip 127.0.0.0 0.255.255.255 any

hostname(config)# access-list 1 deny ip 169.254.0.0 0.0.255.255 any

hostname(config)# access-list 1 deny ip 172.16.0.0 0.15.255.255 any

hostname(config)# access-list 1 deny ip 192.168.0.0 0.0.255.255 any

hostname(config)# access-list 1 deny ip 224.0.0.0 15.255.255.255 any

hostname(config)# access-list 1 permit ip any any

 

hostname(config)# interface serial <인터페이스>  ( 서비스제공업체(SP)와 연결된 인터페이스에 ACL 적용)

hostname(config-if)# ip access-group 1 in

 

2) 특수 용도 주소 설명

0.0.0.0/8                  자체 네트워크 (This host on this network, RFC1122)

10.0.0.0/8                 사설 네트워크 (Private-User, RFC1918)

127.0.0.0/8               루프백 (Loopback, RFC1122)

169.254.0.0/16          링크 로컬(Link Local, RFC3927)

172.16.0.0/12            사설 네트워크(Private-Use, RFC1918)

192.168.0.0/16          사설 네트워크(Private-Use, RFC1918) 

224.0.0.0/4               멀티캐스트(Multicast, RFC5771)

 

3) 조치 시 영향

- ACL 로그가 과도하게 발생할 경우 네트워크 장비의 CPU 사용률 증가에 영향을 주므로 로그 설정을 조절하거나 비활성화 할 필요가 있다.

 

■ DDoS 공격 방어 설정 또는 DDoS 장비 사용

 

※ DDoS 공격 방어 설정은 DDoS 공격 발생 시 공격 유형과 상황을 고려하여 적용.

※ 필터링 적용 시 사용하는 ACL은 라우터 성능에 많은 영향을 미칠 수 있다. 

 

1) 적용 예시

 

! the TRINOO DDoS systems

access-list 170 deny tcp any any eq 27665 log

access-list 170 deny udp any any eq 31335 log

access-list 170 deny udp any any eq 27444 log

! the Stacheldraht DDoS system

access-list 170 deny tcp any any eq 16660 log

access-list 170 deny tcp any any eq 65000 log

! the TrinityV3 system

access-list 170 deny tcp any any eq 33270 log

access-list 170 deny tcp any any eq 39168 log

! the Subseven DDoS system and some variants

access-list 170 deny tcp any any range 6711 6712 log

access-list 170 deny tcp any any eq 6776 log

access-list 170 deny tcp any any eq 6669 log

access-list 170 deny tcp any any eq 2222 log

access-list 170 deny tcp any any eq 7000 log


■ 사용하지 않는 인터페이스 Shutdown 설정

 

1) 미사용 인터페이스 확인 방법

 

hostname# show interface status

 

2) 미사용 인터페이스 Shutdown 설정 방법

 

hostname# conf t

hostname(config)# interface fa 0/1

hostname(config-line)# shutdown

 

■ TCP Keepalive 서비스 설정

 

1) 설정 확인 방법

 

hostname# show run | inc keepalive 

 

2-1) 네트워크 장비로 들어오는 TCP 연결에 TCP Keepalive 서비스 설정

 

hostname(config)# service tcp-keepalives-in

 

2-2)네트워크 장비에서 나가는 TCP 연결에 TCP keepalive 서비스 설정

 

hostname(config)# service tcp-keepalives-out

 

'Technical > Network' 카테고리의 다른 글

Apache Log4j 2(Log for java) 취약점 및 밴더 장비별 답변  (0) 2022.01.07
CISCO 네트워크 보안 취약점 조치 방법(6)  (0) 2021.12.29
VMware Alteon L4 이중화(vrrp) 구성  (0) 2021.12.06
광케이블 및 GBIC 포설 유의사항  (0) 2021.12.03
CISCO 네트워크 보안 취약점 조치 방법(4)  (0) 2021.11.03

관련글

댓글

티스토리툴바