CISCO 네트워크 보안 취약점 조치 방법(7)

 

분류	점검항목	항목 중요도
기능관리	Source 라우팅 차단	중
	Proxy ARP 차단	중
	ICMP unreachable, redirect 차단	중
	identd 서비스 차단	중
	Domain lookup 차단	중
	pad 차단	중
	mask-rely 차단	중
	스위치 허브 보안 강화	하

 

 

■ Source 라우팅 차단

 

1) Source 라우팅 차단 방법

 

Router# config terminal
Router(config)# no ip source-route

 

■ Proxy ARP 차단

 

1) Proxy ARP 차단 방법

   (예시: 이더넷 인터페이스에 차단설정 )

Router# config terminal
Router(config)# interface gi 1/0/10

Router(config-line)# no ip proxy-arp

 

■ ICMP unreachable, redirect 차단 차단

 

※ 인터페이스에 no ip unreachables를 실행하여 차단하면 스캔 시 소요되는 시간도 길어져 스캔 공격을 지연,차단 가능함

 

Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )

Router(config-line)# no ip unreachables

 

※ RIP,OSPF 등의 프로토콜을 사용함으로써 ICMP Redirect 제거 가능

 

Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )

Router(config-line)# no ip redirects

 

■ identd 서비스 차단 

 

1) identd 서비스 차단 방법

 

Router# config terminal
Router(config)# no ip identd

 

■ Domain lookup 차단

 

1)Domain lookup 차단 방법

 

Router# config terminal
Router(config)# no ip domain-lookup

 

■ pad 차단

 

1) pad 차단 방법

 

Router# config terminal
Router(config)# no service pad

 

■ mask-rely 차단

 

1) mask-rely 차단 방법

 

Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )

Router(config-line)# no ip mask-reply

 

■ 스위치 허브 보안 강화

 

1) port-security 설정 조건

   * Trunk, access 포트에서 설정 가능하지만 가능한 access 포트에 설정하는것을 권장함

   * etherchannel 에서는 설정 불가

   
2) port-security 수동 제한 설정 예시 

  hostname#config
  hostname(config)# interface gi 0/1  // range로 범위 설정도 가능 

  hostname(config-if)# switchport mode access 

  hostname(config-if)# switchport port-security maximum 3  // 최대 3개를 등록

  hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0001 // 맥주소 수동 등록

  hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0002

  hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0003

  hostname(config-if)# switchport port-security violation restrict // 등록된 주소 이외가 탐지될 경우 포트를 shutdow하고 로그 기록.

  hostname(config-if)# switchport port-security  // 설정 적용

 

3) port-security 동적 제한 설정 예시 

 

  hostname#config
  hostname(config)# interface gi 0/1  // range로 범위 설정도 가능 

  hostname(config-if)# switchport mode access 

  hostname(config-if)# switchport port-security maximum 3  // 최대 3개를 등록

  hostname(config-if)# switchport port-security mac-address sticky // 동적으로 맥주소를 학습

  hostname(config-if)# switchport port-security violation restrict // 등록된 주소 이외가 탐지될 경우 포트를 shutdow하고 로그 기록.

  hostname(config-if)# switchport port-security  // 설정 적용

 

4) port-security 옵션 설명 

 

● switchport port-security mac-address ( sticky / static )
  - sticky : 스위치가 mac 주소를 동적으로 학습하며 학습된 주소를 저자할 수 있다.

  - static : 수동으로 학습을 원하는 mac 주소를 지저한다. ( ex: switch port-security mac-address 1111.1111.1111.1111 )

 

● switchport port-security violation ( protect / restrict / shutdown )

  - protect : 등록되지 않은 장비는 통신 차단하고 허용된 장비는 통신 가능

  - restrict : protect 기능 + log 발생 

  - shutdown : 미등록 장비 통신 발생 시 포트 down. 인터페이스 상태는 err-disabled 로 변경.

 

5) 차단된 포트 복구 방법.

 

a.  수동 복구
     hostname(config)# interface gi 0/1     //차단된 포트로 접속
     hostname(config-if)# shutdown         

     hostname(config-if)# no shutdown

b.  자동 복구
     hostname(config)# errdisable recovery cause psecure-violation  // 차단된 포트 복구 설정

     hostname(config)# errdisable recovery interval 30         // 차단 발생 30초 뒤 다시 해제.