유비쿼스 스위치 - 보안취약점 설정 방법(E6300 , E4020)

요즘은 스위치들도 보안에 대한 취약점 설정을 해달라고 하는 사이트가 많으시죠? 솔직히 점점 갈수록 엔지니어가 해야 할 일들이 많이 늘어나고 있네요.

 

그렇다고 국정원 보안취약점 조치를 안 할 수도 없고 , 점점 힘들어지네요.ㅎㅎ  이번 시간에는 유비쿼스 스위치 보안 취약점 설정하는 방법에 대해서 알아보도록 하겠습니다. 

 

 

1. 유비쿼스 보안 설정 방법 알아보기

 

 

한가지 벤더만 다루는 엔지니어라면 몰라도 여러 벤더를 다루는 엔지니어분들은 모든 보안 취약점 설정을 외워서 쉽게 하실 수 있는 분들은 거의 없을 거예요. 아무래도 자주 사용하는 명령어가 아니다 보니 찾아서 하는 것도 버겁게 느껴질 때가 있죠.

 

 

그래서 유비쿼스 E6300 , E4020 스위치 보안 설정 하는 방법 올려드릴 테니 참고하시기 바랍니다.

 

- 패스워드 설정 (최초 로그인시 설정)

Switch login: root
Change default ID "root". Default ID can't use anymore.
New username: kkkadmin
New password: Dbqlznjtm&$55
Retype new password: Dbqlznjtm&$55

 

 

Switch(config)# username test password username test privilege 15 password
New password: Frontier1!
Retype new password: Frontier1!

 

 

 

- 사용자 명령어별 권한 수준 설정

Switch(config)# username test privilege 15 password 
New password:  Frontier1!
Retype new password:  Frontier1!
Switch(config)# username test1 privilege 6 password 
New password:  Frontier1!
Retype new password:  Frontier1!
Switch(config)# aaa authorization commands 7 default local

 

 

 

 

- VTY 접근(ACL)설정

Switch(config)# access-list 23 permit 10.10.10.10 0.0.0.0
Switch(config)# access-list 23 deny any
Switch(config)# ip option telnet-acl access-group 23

 

 

 

 

- Session Timeout 설정

Switch(config)# line vty 0
Switch(config-line)# exec-timeout 5 0
Switch(config)# line console 0
Switch(config-line)# exec-timeout 5 0

 

 

 

 

- VTY 접속 시 안전한 프로토콜 사용

Switch(config)# no service telnet 
Switch(config)# service ssh
Switch(config)# ip ssh port 2000

 

 

 

- 불필요한 보조 입/출력 포트 사용 금지

Switch(config)#interface gi0/1
Switch(config-if-Giga0/1)#shutdown

 

 

 

 

- 로그온 시 경고 메시지 설정

Switch(config)#banner motd  ^C
Enter TEXT message. End with the character '^'.
#####################  W A R N I N G  ######################

A notice that any unauthorized use of the system is unlawful,

and may be subject to civil and/or criminal penalties. 

* Any of your attempt to connect to the system is logged *
############################################################
^C

 

 

 

 

- 원격 로그서버 사용

Switch(config)# logging 10.4.11.236  
Switch(config)# logging trap informational 

 

 

 

- Timestamp 로그 설정

Switch(config)# service timestamps log datetime localtime

 

 

 

- SNMP 설정 및 차단

Switch(config)# access-list 50 permit 10.4.11.236 0.0.0.0

Switch(config)# access-list 50 deny any

Switch(config)# ip option snmp-acl access-group 50

Switch(config)#snmp-server community ro

New password: public1234!@#$

Retype new password: public1234!@#$

Switch(config)#snmp-server community rw

New password: public1234!@#$

Retype new password: public1234!@#$

 

 

 

- TFTP 서비스 차단

Switch(config)# access-list 101 deny udp any any eq 69

Switch(config)# interface gi0/1

Switch(config-if-Giga0/1)# ip access-group 101 in

 

 

 

 

- Spoofig 방지 필터링 적용 / DDoS 공격 방어 설정

Switch(config)# access-list 101 deny ip 127.0.0.0 0.255.255.255 any

Switch(config)# access-list 101 deny ip 169.254.0.0 0.0.255.255 any

Switch(config)# access-list 101 deny ip 172.16.0.0 0.15.255.255 any

Switch(config)# access-list 101 deny ip 192.0.2.0 0.0.0.255 any

Switch(config)# access-list 101 deny ip 192.168.0.0 0.0.255.255 any

Switch(config)# access-list 101 deny ip 224.0.0.0 31.255.255.255 any

Switch(config)# interface gi0/1

Switch(config-if-Giga0/1)# ip access-group 101 in

 

 

 

- TCP Keepalive 서비스 설정

Switch(config)# ip option tcp_keepalive_time XXXX

 

 

 

 

- Finger 서비스 차단

Switch(config)# access-list 101 deny tcp any any eq 79

Switch(config)# interface gi0/1

Switch(config-if-Giga0/1)# ip access-group 101 in

 

 

 

 

- TCP/UDP Small 서비스 차단

Switch(config)# access-list 101 deny tcp any any eq 7

Switch(config)# access-list 101 deny tcp any any eq 9

Switch(config)# access-list 101 deny tcp any any eq 13

Switch(config)# access-list 101 deny tcp any any eq 19

Switch(config)# access-list 101 deny udp any any eq 7

Switch(config)# access-list 101 deny udp any any eq 9

Switch(config)# access-list 101 deny udp any any eq 13

Switch(config)# access-list 101 deny udp any any eq 19

Switch(config)# interface gi0/1

Switch(config-if-Giga0/1)# ip access-group 101 in

 

 

 

 

- Bootp 서비스 차단

Switch(config)#no service dhcp relay

 

 

 

 

 

- Proxy ARP 차단

Switch(config)#int vlan1

Switch(config-if-Vlan1)#no ip proxy-arp

 

 

 

 

- ICMP unreachble , Redirect 차단

Switch(config)# no ip option icmp-unreachable-send

icmp redirect 기능 미지원(Default 차단)

 

 

 

 

- Domain lookup 차단

Switch(config)# no ip domain-lookup

 

 

 

 

- Mask-rely 차단

Switch(config)#access-list 101 deny icmp any any icmp-type mask-reply

 

 

이번 시간에는 유비쿼스 스위치 보안 취약점 설정하는 방법에 대해서 알아봤는데요. 자주 사용하시지는 않겠지만 필요할 때 유용하게 도움이 되셨으면 좋겠네요. 

 

 

 

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.