Cisco Device Hardening
Password는1 ~ 25문자사이에길이를갖는다.
Password 최소길이를 10문자정도로 설정한다. (권장사항)
Password는 다음을 포함한다:
알파벳
대문자와 소문자
기호와Spaces
Password 첫 번째 문자에 숫자를 사용 할 수 없다.
Password에 첫 번째 공백은 무시되지만, 첫 문자 이후에 공백은 무시되지 않는다.
정기적으로 Password 를 변경 한다.
Router(config)#
Line console 0
Line aux 0 -> 일반적으로 Modem에 연결된다
Line vty 0 4 -> ethrnet 이나 telnet, ssh로 접속하게 설정
|
|
|||
|
|
이 명령어는 로그인은 할 수 있게 설정 하였지만 패스워드를 주지 않음으로써 로그인을 못하게 하는 설정이다 | ||
|
|
Line vty 0 4 Login No password |
||
|
|
|
|
|||
|
|
Router(config)# Security passwords min-length length |
||
|
|
모든 cisco IOS password에 최소 암호 길이를 설정한다. | ||
|
|
Router(Config)#security passwords min-length 10
|
|
|||
|
|
Password를 10자 이상이 되어야 설정이 된다 | ||
|
|
Router(config)# service password-encryption |
||
|
|
Router configureation file 에 모든 Password를 암호화 한다.
Router에 접근 할 수 있는 user/ID 생성하기
Router(config)# username name password secret 0 password
맨 처음 Root 사용자의 login password를 잃어 버렸을 때 rommon mode 에서 password를 다시 재 설정 할 수 있는데 이를 방지 하는 명령어가 있다.
Router(config)# no service password-recovery
만약 이렇게 설정 한 후에 password를 잃어 먹으면 cisco service center로 가서 service를 받아야 복구가 가능하므로 조심해서 설정 해야 한다. 이 명령어를 설정하게 되면 warning 이 뜨는걸 확인 할 수 있다.
생성한 유저가 로그인 할 때 실패 가능한 로그인 수를 구성할 수 있다.
Default로 Router는 10개의 Login 시도를 15초 후 재시도 하도록 허용한다. 구성된 값을 초과하게 되면 Syslog 서버에 TooMANY AUTHEFAILS 메시지를 전송하게 된다!
참고로 로그 메시지는 시스템 메시지로서 설정으로 로그를 뜨지 않게 할 수는 없다. 100대의 라우터를 관리를 한다고 할 때 일일이 모니터를 봐가면서 log를 확인 할 수 없으니 log server를 만들어서 모든 장비의 log를 하나의 모니터에서 확인 할 수 있게 하며 위험수준이 높아질 경우에는 문자 메시지나 빨간색 로그, 경보음으로 관리자에게 알려주게 된다.
또한 설정된 시간 이내에 Attempt 값만큼 logini 실패가 발생하면 within Seconds에 설정된 시간 동안 접속 할 수 없다.
|
|
|||
|
|
10회의 password를 잘못 입력하면 로그를 뿌려줘라 100초 동안 2번의 password를 잘 못 입력하면 100초 동안 접속 거부 | ||
|
|
Router(config)# security authentication failure rate 10 log Router(config)# login block-for 100 attempts 2within 100 |
||
|
|
Router에 login 시도를 하지 못하게 설정 할 수도 있다. 하지만 관리자는 login을 해야 하기 때문에 나만의 ACL을 생성한 후에 그 ACL은 login 시도를 할 수 있도록 설정 해 준다
Router(config)# login quiet-mode access-class myACL
CLI : 사용자 분류 체제를 조금 더 확실히 나누어 놓는 기능
CLI Access 기반에 Privilege level과 enable password 접속 제한은 적은 제어를 제공한다.
특정 interface에 access control을 적용할 수 없으며 높은 privilege level에서 사용 가능한 명령은 낮은
privilege level사용자에 의해 사용될 수 없다!!
CLI View는 하나하나의 제어를 제공하며 Access 가능한 command 와 interface를 포함하며 View 접속시 secret으로 보호된다(암호인증)
Role-Based CLI Details
Root view는 highest administrative view이다
Root view는 view또는 super view를 생성하고 변경하는 것이 가능하며 Root view와 privilege 15와의 차이점은 root view가 사용자의 view super view를 생성하고 수정할 수 있다는 점이다
CLI vies AAA new-model 명령은 필수다! (CLI를 설정하기 위해서..)
최대 15개의 CLI view를 기존 root view에 추가할 수 있다.
Microsoft Office OneNote 2007을 사용하여 작성했습니다.
모든 노트 및 정보를 한 곳에서 볼 수 있습니다.
