라우터 보안: Difference between revisions

From IT Wiki
No edit summary
No edit summary
Line 1: Line 1:
== 패스워드 설정 ==
* 패스워드 암호화를 활성화
<pre class='shell'>
Router#configure terminal
Router(config)# service password-encryption
</pre>
* 패스워드를 암호화해서 저장
<pre class='shell'>
Router#configure terminal
Router(config)# enable secret
</pre>
* 패스워드를 평문으로 저장
<pre class='shell'>
Router#configure terminal
Router(config)# enable password
</pre>
== ACL(Access List) ==
== ACL(Access List) ==
* 기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션]
* 기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션]
Line 38: Line 55:


[[분류:보안]]
[[분류:보안]]
[[분류:정보보안 기사]]
[[분류:네트워크]]
[[분류:정보보안기사]]

Revision as of 23:37, 20 May 2018

패스워드 설정

  • 패스워드 암호화를 활성화
Router#configure terminal
Router(config)# service password-encryption
  • 패스워드를 암호화해서 저장
Router#configure terminal
Router(config)# enable secret
  • 패스워드를 평문으로 저장
Router#configure terminal
Router(config)# enable password

ACL(Access List)

  • 기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션]
  • 예시
// 192.168.5.0 대역에서 SSH 허용
Router(config)# access-list 1 permit tcp 192.168.5.0 any eq 22

// 192.168.5.5로 나가는 UDP 100~150번 포트 허용
Router(config)# access-list 1 permit udp any 192.168.5.5 range 100 150

// 그 외 모든 패킷 거부
Router(config)# access-list deny ip any any

no ip source-route

  • Source Routing
    • 일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다.
    • 하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다.
  • No Source Routing
    • IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다.
    • 보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다.
    • 예시
(config) # no ip source-route

no ip unreachables

  • ICMP Unreachable 메시지
    • 송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다.
    • 이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다.
    • 포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다.
  • No IP Unreachable
    • 라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다.
    • 예시
(config-if) # no ip unreachables