분류 | 점검항목 | 항목 중요도 |
기능관리 | Source 라우팅 차단 | 중 |
Proxy ARP 차단 | 중 | |
ICMP unreachable, redirect 차단 | 중 | |
identd 서비스 차단 | 중 | |
Domain lookup 차단 | 중 | |
pad 차단 | 중 | |
mask-rely 차단 | 중 | |
스위치 허브 보안 강화 | 하 |
■ Source 라우팅 차단
1) Source 라우팅 차단 방법
Router# config terminal
Router(config)# no ip source-route
■ Proxy ARP 차단
1) Proxy ARP 차단 방법
(예시: 이더넷 인터페이스에 차단설정 )
Router# config terminal
Router(config)# interface gi 1/0/10
Router(config-line)# no ip proxy-arp
■ ICMP unreachable, redirect 차단 차단
※ 인터페이스에 no ip unreachables를 실행하여 차단하면 스캔 시 소요되는 시간도 길어져 스캔 공격을 지연,차단 가능함
Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )
Router(config-line)# no ip unreachables
※ RIP,OSPF 등의 프로토콜을 사용함으로써 ICMP Redirect 제거 가능
Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )
Router(config-line)# no ip redirects
■ identd 서비스 차단
1) identd 서비스 차단 방법
Router# config terminal
Router(config)# no ip identd
■ Domain lookup 차단
1)Domain lookup 차단 방법
Router# config terminal
Router(config)# no ip domain-lookup
■ pad 차단
1) pad 차단 방법
Router# config terminal
Router(config)# no service pad
■ mask-rely 차단
1) mask-rely 차단 방법
Router# config terminal
Router(config)# interface gi 1/0/10 ( 인터페이스 선택 )
Router(config-line)# no ip mask-reply
■ 스위치 허브 보안 강화
1) port-security 설정 조건
* Trunk, access 포트에서 설정 가능하지만 가능한 access 포트에 설정하는것을 권장함
* etherchannel 에서는 설정 불가
2) port-security 수동 제한 설정 예시
hostname#config
hostname(config)# interface gi 0/1 // range로 범위 설정도 가능
hostname(config-if)# switchport mode access
hostname(config-if)# switchport port-security maximum 3 // 최대 3개를 등록
hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0001 // 맥주소 수동 등록
hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0002
hostname(config-if)# switchport port-security mac-address 1111.2222.3333.0003
hostname(config-if)# switchport port-security violation restrict // 등록된 주소 이외가 탐지될 경우 포트를 shutdow하고 로그 기록.
hostname(config-if)# switchport port-security // 설정 적용
3) port-security 동적 제한 설정 예시
hostname#config
hostname(config)# interface gi 0/1 // range로 범위 설정도 가능
hostname(config-if)# switchport mode access
hostname(config-if)# switchport port-security maximum 3 // 최대 3개를 등록
hostname(config-if)# switchport port-security mac-address sticky // 동적으로 맥주소를 학습
hostname(config-if)# switchport port-security violation restrict // 등록된 주소 이외가 탐지될 경우 포트를 shutdow하고 로그 기록.
hostname(config-if)# switchport port-security // 설정 적용
4) port-security 옵션 설명
● switchport port-security mac-address ( sticky / static )
- sticky : 스위치가 mac 주소를 동적으로 학습하며 학습된 주소를 저자할 수 있다.
- static : 수동으로 학습을 원하는 mac 주소를 지저한다. ( ex: switch port-security mac-address 1111.1111.1111.1111 )
● switchport port-security violation ( protect / restrict / shutdown )
- protect : 등록되지 않은 장비는 통신 차단하고 허용된 장비는 통신 가능
- restrict : protect 기능 + log 발생
- shutdown : 미등록 장비 통신 발생 시 포트 down. 인터페이스 상태는 err-disabled 로 변경.
5) 차단된 포트 복구 방법.
a. 수동 복구
hostname(config)# interface gi 0/1 //차단된 포트로 접속
hostname(config-if)# shutdown
hostname(config-if)# no shutdown
b. 자동 복구
hostname(config)# errdisable recovery cause psecure-violation // 차단된 포트 복구 설정
hostname(config)# errdisable recovery interval 30 // 차단 발생 30초 뒤 다시 해제.
'Technical > Network' 카테고리의 다른 글
SLA기능을 이용한 PBR Track 설정하기 (0) | 2022.03.04 |
---|---|
X-Forwarded-For(XFF) alteon L4스위치 및 서버 설정 방법 (0) | 2022.03.03 |
LAG PSC , LACP bonding 구성시 포트별 트래픽 고르게 분산 하기 (0) | 2022.02.11 |
Apache Log4j 2(Log for java) 취약점 및 밴더 장비별 답변 (0) | 2022.01.07 |
CISCO 네트워크 보안 취약점 조치 방법(6) (0) | 2021.12.29 |
댓글