라우터 보안 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
==패스워드 설정== | |||
*패스워드 암호화를 활성화 | *패스워드 암호화를 활성화 | ||
18번째 줄: | 17번째 줄: | ||
Router#configure terminal | Router#configure terminal | ||
Router(config)# enable password | Router(config)# enable password | ||
</pre> | </pre> | ||
49번째 줄: | 23번째 줄: | ||
=== 종류 === | === 종류 === | ||
* '''Ingress | * '''Ingress 필터링''' | ||
** 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링 | ** 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링 | ||
** 패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부 | ** 패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부 | ||
** 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역 | ** 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역 | ||
** (대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함) | ** (대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함) | ||
* '''Egress filtering''' | * '''Egress filtering''' | ||
66번째 줄: | 39번째 줄: | ||
* '''Unicast RPF''' | * '''Unicast RPF''' | ||
** 인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인 | ** 인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인 | ||
===ACL(Access List)=== | ===ACL(Access List)=== | ||
81번째 줄: | 53번째 줄: | ||
// 그 외 모든 패킷 거부 | // 그 외 모든 패킷 거부 | ||
Router(config)# access-list deny ip any any | Router(config)# access-list deny ip any any | ||
</pre> | |||
==no ip source-route== | |||
*'''Source Routing''' | |||
**일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다. | |||
**하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다. | |||
*'''No Source Routing''' | |||
**IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다. | |||
**보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다. | |||
**예시 | |||
<pre class="shell"> | |||
(config) # no ip source-route | |||
</pre> | |||
==no ip unreachables== | |||
*'''ICMP Unreachable 메시지''' | |||
**송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다. | |||
**이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다. | |||
**포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다. | |||
*'''No IP Unreachable''' | |||
**라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다. | |||
**예시 | |||
<pre class="shell"> | |||
(config-if) # no ip unreachables | |||
</pre> | </pre> | ||