Security

IzzyMenu.com

SECURITY 관련 자료 강의 자료

로그인 회원가입

접속 권한

ANTON

2012-07-04 11:10:54, 조회 : 190, 추천 : 52

시스코 라우터는 레벨 1에서 레벨 15까지 15 단계의 권한 수준이 있다.
enable 명령어를 사용하여 privileged EXEC 모드로 레벨을 변경하면 조회뿐만 아니라 설정 변경 등의 작업을할 수 있다.
privileged EXEC 모드로 변경할 때 사용하는 enable 패스워드를 설정하기 위해서는 enable password와 enable secret의 두 가지 명령어를 사용할 수 있다.

enable password 명령어는 기본적으로 패스워드를 암호화하지 않는다. enable password 명령을 실행한 다음 service password-encryption 명령을 사용하면 패스워드를 암호화할 수 있지만 암호화 방법이 비교적 취약하여 보안 유지가 어렵다. enable password 명령어 를 사용하여 패스워드를 설정하기 위해서는 아래와 같은 명령을 사용한다.
enable secret
enable secret는 MD5 알고리즘을 이용하여 암호화된 패스워드를 설정한다.
enable pssword [사용을 원하는 패스워드]
service password-encryption

Service password-encryption [모든 패스워드를 MD5로 암호화]

Line consol 0
Password 비번
Login
콘솔 연결시 Password를 묻도록 설정

Logging synchronous
명령어 입력중 시스템 메시지가 뜨면 자동으로 줄을 바꾸어 입력중인 명령어를 다시 표시한다.

Exec-timeout 30
30분동안 입력이 없으면 Session 종료

Access-list 23 permit 1.1.1.1
Access-list 23 deny any
텔넷 접촉을 위한 ACL

Exec-timeout 30
30분동안 입력 없으면 끊어버리기

Transport input telnet
telnet protocol 만 허용하겠다.

Password 비번
텔넷비번 설정
Access-class 23 in : 23번  ACL 적용
IP 주소 필터링을 통한 텔넷 연결 제한
VTY 포트는 기본적으로 외부의 연결 시도를 모두 받아들이므로 연결을 시도하는 패킷의 IP 주소를 필터링하여 허가된 IP에게만 연결 시도를 허용하도록 하여야 한다. 다음은 172.16.5.105, 172.16.5.106 IP 주소만 VTY 포트로 접속할 수 있게 하는 ACL을 생성하고적용하는 방법이다.

안전한 텔넷 연결을 위한 추가 설정
추가적으로 VTY 접속을 보다 안전하게 하기 위해서 아래의 명령어가 사용될 수 있다.

exec-timeout [분] [초]

service tcp-keepalives-in 명령어를 사용하면 라우터의 모든 연결을 계속 모니터링하여 비정상적으로 종료된 세션을 발견하면 이를 종료시킨다. 명령어의 사용법은 아래와 같다.

service tcp-keepalives-in

아래 화면은 VTY 라인에 service tcp-keepalives-in 명령을 적용하고 exec-timeout을 5분 0초로 적용하는 예를 보여준다.

SSH를 사용한 텔넷 접속
SSH를 설정하는 방법은 다음과 같다

Router(config)# hostname [router name]
Router-name(config)# ip domain-name [domain name]
Router-name(config)# crypto key generate rsa
Router-name(config)# ip ssh time-out [time out value]
Router-name(config)# ip ssh authentication-retries [retries value]
Router-name(config)# line vty 0 4
Router-name(config-line)# transport input ssh

추천하기

목록보기