최근 스위치 납품 후에 국정원 보안 기능 요구사항에 맞춰서 설정을 해달라고 요청하는 사이트가 많아지고 있습니다. 그래서 이번 시간에는 시스코 스위치 국정원 보안 설정 Config 하는 방법 알아보도록 하겠습니다.
1. 시스코 스위치 보안 설정 알아보기
국정원에서 요구하는 보안 설정이 생각보다 리스트가 많아서 준비가 안된 상태에서 하려면 Config도 생각이 나지 않고 시간도 많이 걸리게 됩니다. 그리고 막상 명령어를 다 못 찾아서 못하고 다시 해야 하는 경우도 있죠.
지금도 사이트에 나왔는데 국정원 보안 설정을 다 하고 가라고 하면 갑자기! 막막하시죠. 잘 사용하지 않는 명령어들도 많아서 기억도 안나고 헷갈릴 텐데.^^
저도 이런 경우를 자주 겪거든요. 그래서 보안 설정 Config 알려드릴 테니 , 필요한 부분 찾아서 세팅하시기 바랍니다.
- VTY 접근(ACL) 설정
: access-list 1 permit host 1.1.1.4(호스트 IP) host 1.1.1.1(장비 IP) line vty 0 15 access-class 1 in
- Session Timeout 설정
: exec-timeout 0 10
- VTY 접속 시 안전한 프로토콜 사용(22번 포트 금지 포함)
: ip ssh port 2222 rotary 1
- 불필요한 보조 입출력 포트 사용 금지
: line aux 0 no password transport input none
- 로그온 시 경고 메시지 설정
: banner motd ^CC
============= WARNING!!! WARNING !!! =============
* * * * Unauthorized or improper use of this system may result in administrative disciplinary action and civil and criminal penalties. LOG OFF IMMEDIATELY if you are not authorized to log onto this device. Access to this system is MONITORED and recorded. ============================================================= ^C
line console 0 login local
- 원격 로그서버 사용
: logging 로그서버 IP
- 로깅 버퍼 크기 설정
: logging buffered 32768
- 정책에 따른 로깅 설정
: logging trap 6
- NTP 서버 연동
: ntp server 172.20.18.12
- timestamp 로그 설정
: service timestamps log datetime msec show-timezone
- SNMP community string 복잡성 설정
: Snmp-sever community Test123$% ro
- TFTP 서비스 차단 :
ACL 69번 포트 차단
access-list 100 deny tcp any host 172.30.62.1 eq 69
access-list 100 deny tcp any host 172.30.2.134 eq 69
access-list 100 deny tcp any host 172.30.2.138 eq 69
access-list 100 permit ip any any
interface Vlan10
ip access-group 100 in
interface Vlan100
ip access-group 100 in
interface Vlan200
ip access-group 100 in
- Spoofing 방지 필터링 적용
: 1. enable
2. configure terminal
3. arp access-list acl-name
4. permit ip host sender-ip mac host sender-mac
5. exit
6. ip arp inspection filter arp-acl-name vlan vlan-range [static]
7. interface interface-id
8. no ip arp inspection trust
9. end
10. Use the following show commands
: show arp access-list acl-name
show ip arp inspection vlan vlan-range
show ip arp inspection interfaces
- 사용하지 않는 인터페이스의 shutdown 설정
: interface gi 1/0/1
shutdown
- TCP keepalive 서비스 설정
: service tcp-keepalives-in service tcp-keepalives-out
- Finger 서비스 차단
: no ip finger
- 웹 서비스 차단
: no ip http server
- TCP/UDP small 서비스 차단
: no service tcp-small-servers no service udp-small-servers
- Bootp 서비스 차단
: no ip bootp server
- CDP 서비스 차단
: no cdp run
- Directed-broadcast 차단
: no ip directed-broadcast
- Source 라우팅 차단
: no ip source-route
- Proxy ARP 차단
: no ip proxy-arp
- ICMP unreachable, Redirect 차단
: no ip unreachables no ip redirect
- identd 서비스 차단
- Domain lookup 차단
: no ip domain-lookup
- pad 차단
: no ip service pad
- mask-rely 차단
: no ip mask-reply
저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.
댓글