Technical/Network55 CISCO 네트워크 보안 취약점 조치 방법(2) 분류 점검항목 항목중요도 접근관리 VTY 접근(ACL) 설정 상 Session Timeout 설정 상 VTY 접속 시 안전한 프로토콜 사용 중 불필요한 보조 입.출력 포트 사용 금지 중 로그온 시 경고 메시지 설정 중 ■ VTY 접근(ACL) 설정 1) 접근 ACL 설정 방법 1 switch# conf t switch(config)# access-list ( 1~99 ) ( permit or deny ) ( Source Network ) ( WildcardMask ) 예시 ) 관리자 IP 10.10.10.10 만 허용 switch(config)# access-list 2 permit 10.10.10.10 // WildcardMask 미 입력시 0.0.0.0 으로 자동 입력 // 마지막 줄은 deny an.. 2021. 9. 6. CISCO 스위치의 SSH 설정 원격 접속 프로토콜은 대표적으로 TELNET과 SSH가 있습니다. 처음 TELNET이 고안되어 많은 장비에서 사용되었지만 따로 패킷을 암호화하지 않아 패킷의 감청에 취약점이 있습니다. 그래서 원격 접속 시 패킷을 암호화하는 SSH가 고안되어 많은 장비에서 사용되고 있습니다. 이번 포스트에서는 CISCO 스위치에서 SSH 설정에 대해 알아보겠습니다. 기본 설정 Switch#conf t Switch(config)#ip domain-name innern ## 도메인 name을 innern으로 설정합니다(필수) Switch(config)#crypto key generate rsa ## ssh의 RSA키를 생성합니다. The name for the keys will be: Switch.innern Choose t.. 2021. 9. 2. 시스코 스마트 라이센스 업그레이드 방법 ( SLR ) 1. 스마트라이센스 등장 과거 시스코 장비는 C9K 이전( C3500 , C2900 )의 스위치 및 백본스위치 장비는 PAK 파일을 통한 라이센스 파일을 FTP전송이나 USB를 연결하여 PAK 파일을 전송하여 자체에서 설치진행하는 방법이였으나, Cisco 사의 C9200 or C9300 모델이 등장함으로써 라이센스 관리 방법이 바뀌게 되었습니다. 오픈된 공인망의 장비를 cisco 포탈을 통해 전송받는 방법과 폐쇄망에서 수동으로 업그레이드 하는 방법이 있습니다. 현재 많은 대한민국의 많은 구축된 장소에서는 방화벽과 같은 보안장비가 구축된 장소가 존재하므로 SLR 방식을 많이 사용하고있습니다. 2. 스마트라이센스 업그레이드 조건 (1) C9K ( ex : C9200 , C9300 , C9500 ) 급 장비 .. 2021. 9. 1. cisco 네트워크 보안 취약점 조치 방법 (1) 분류 점검항목 항목중요도 계정관리 패스워드 설정 상 패스워드 복잡성 상 암호화된 패스워드 사용 상 사용자.명령어별 권한 수준 설정 중 ■ 패스워드 설정 1) enable 패스워드 설정 방법 switch#conf t switch(config)# enable password 사용할패스워드입력 2) Virture terminal 패스워드 설정 방법 switch#conf t switch(config)# line vty 0 4 switch(config-line)# login switch(config-line)# password 사용할패스워드입력 3) console 패스워드 설정 방법 switch#conf t switch(config)# line console 0 switch(config-line)# login s.. 2021. 8. 27. Cisco EEM track 설정방법 Cisco EEM 이란? 1. 일종의 Cisco 논리적 스크립트 명령어이며, 일련의 동작을 감지하면 스크립트 호출을 통해 물리적 & 논리적 동작이 이뤄지는 자동 명령어 스크립트 정도로 이해하면 됩니다. 예시) -> 적용 내용 : 인터페이스 "Ten1/1/1" 링크 프로토콜 다운이 감지되면 "Gi1/0/1 ~ Gi1/0/24"까지 인터페이스 "shut down" 적용 -> 준비사항 : (1) show logging 명령어를 통해 인터페이스 프로토콜 down 증상 로그 수집 (2) 단계별 적용 명령어 정리 ex) event manager applet Track_P1_down event syslog pattern "%LINEPROTO-5-UPDOWN: Line protocol on Interface TenGi.. 2021. 8. 18. 알테온 L4 스위치 HA 모드 (Active-Standby / Active-Hot standby) 1. Active-Standby 및 Active-Hot Standby 모드의 차이 (1). 흔히 사용하는 장비 HA 모드 중 Active-Standby 모드는 말 그대로 장미 Master - Backup의 하드웨어 역할을 나누어 하드웨어 장애 및 서비스 장애 발생시 하드웨어가 역할을 바꾸는 모드입니다. (2) . 모든 서비스 세션은 즉 Active(Master)로 선언된 장비가 모든 통신을 관제한다고 생각하면 됩니다. (3). 설정 예제 ( Active-Standby ) Active-Standby ( Active 장비 ) /c/port 1 pvid 10 // 상단 VLAN 선언 /c/port 2 pvid 20 // 하단 VLAN 선언 /c/port 7 tag ena // 인터링크 Trunk 선언 /c/l.. 2021. 8. 3. Spanning Tree Protocol(STP) 동작원리 spanning tree는 특정 포트를 block 하여 네트워크의 looping현상을 막습니다. 이번 포스트에서는 spanning tree의 block 선출 과정에 대해 정리해보겠습니다. BPDU 스위치들은 spanning tree의 규칙에 따라 root bridge를 선출하고 block 할 포트를 정합니다. 규칙에 따라 spanning tree를 작동하기 위해 스위치들은 서로의 정보를 주고받는데 이 정보를 BPDU라고 합니다. 위 정보를 보시면 BPDU에는 여러 정보들이 있는데 실질적으로 spanning tree 계산에 사용되는 값은 Root ID, Root path cost, Port ID입니다. spanning tree의 연산은 3단계로 이루어집니다. 1. 네트워크의 스위치들은 하나의 root br.. 2021. 7. 31. cisco Nexus 9000 시리즈 tcpdump 확인방법 his 일반적으로 cisco Nexus 9000 장비에서는 다른 장비들과는 다르게 tcpdump 명령어가 없습니다. ethanalyzer 라는 명령어를 통해 확인할 수 있지만 이번에는 bash-shell 을 통해 tcpdump 를 확인하는 방법을 소개하고자 합니다. 1. bash-shell 활성화 여부 확인 hostname# show feature | inc bash // 넥서스 장비 feature 목록 중 bash-shell에 대해 검색 bash-shell 1 disabled // 비활성화 되어있음을 확인 2. bash-shell 활성화 hostname# conf t hostname(config)# feature bash-shell // bash-shell 활성화 명령어 hostname(config)#.. 2021. 7. 29. cisco C9200L 스위치 광 모듈 히든 명령어 버그 몇몇의 시스코 C9200L 스위치에서 시스코 SFP가 아닌 타사 SFP 호환을 위한 히든 명령어에 버그가 발생하고 있습니다. 해당 명령어는 'Service unsupported-transceiver' 라는 명령어로 해당 명령어는 tab 키로는 나오지 않고 정확하게 명령어를 입력해야 됩니다. configure terminal 모드에서 위 명령어를 타이핑 하면 보통의 시스코 스위치에서는 다음과 같은 문구가 나오면서 타사의 SFP 모듈을 인식하기 시작합니다. Switch(config)#Service unsupported-transceiver Warning: When Cisco determines that a fault or defect can be traced to the use of third-party t.. 2021. 6. 5. 이전 1 2 3 4 5 6 7 다음
