간단한 라우터 보안 대책
Network | 2007.05.09 19:58


비밀번호 접근 통제

1. service password-encryption 적용

라우터에서 running/startup-configure에 저장되는 password는 기본적으로 평문으로 저장이 된다. service password-encryption은 이 평문의 password를 'vigenere encryption'을 사용하여 암호화 해주게 된다. enable이나 user 모두 vigenere로 암호화되는데 이를 Level 7 password라고 한다.


no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

enable password certcc

!

username cert password 0 certcc

!


router#configure terminal

router(config)#service password-encryption


service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

enable password 7 094F4B1B0D0614

!

username cert password 7 14141719180729

!




2. enable secret 적용

pssword encryption이 평문에 비해 안전할 수는 있으나, vigenere 암호화는 불규칙한 전치를 통하여 암호화하는 단순한 방법이어서 쉽게 해독이 가능하다. 따라서 Cisco 라우터에서는 enble을 위한 Level 5 password를 지원한다.

router#configure terminal

router(config)#enable secret {password}

service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$MLP7$up16G1i40oEDsgKUQvlOd0

enable password 7 094F4B1B0D0614

!

username cert password 7 14141719180729

!


Level 5 password는 MD5를 이용한다. 비록 Level 5 password는 일반 user의 password에는 적용되지 않고 enable에만 적용되긴 하나, 라우터에서 설정을 변경하거나 하는 권한이 enable에게만 있는 점을 감안하면 Level 5 password는 반드시 적용을 하여야 할 것이다.

이렇게 Level 5 password를 적용하더라도 Level 7의 enable password가 남아있게 되는데 이를 지워주는 것도 잊지 말아야 한다.


router#configure terminal

router(config)#no enable password


※ Level 5 password : vigenere encryption

※ Level 7 password : MD5(Message Digest 5)








❑ SNMP 통제

1. snmp-server community 설정

라우터에서 SNMP는 일반적으로 모니터링을 위해 사용하는 경우가 많다. 사용하지 않는다면 서비스를 중지하는 것이 좋지만 꼭 사용을 해야 한다면 access-list를 활용해 접근을 통제하도록 설정해야 한다. 이를 위해서 먼저 SNMP의 기본 설정을 삭제해야 한다. SNMP를 사용할 경우 community 이름이 기본적으로 public이나 private이라는 이름으로 설정되어 있는데, 이 community 이름을 추측하기 어려운 이름으로 변경하고 권한을 RO/RW를 구분하여 주어야 한다.

Router#configure terminal

Router(config)#snmp-server community {community_name} {RO/RW}


community 이름이 추측이 쉬운 public이나 private로 되어 있고 Read-Write 권한을 갖게 되면 라우터의 configure 파일이 다운로드 가능하며, 이 후 Level 7 password의 해독이 가능하다.



2. SNMP 관리 서버 접근 권한 부여

관리 서버에서만 SNMP 정보를 열람/변경하도록 설정한다.

Router#configure terminal

Router(config)#access-list {acl_number} permit {server_ip_address}


신고

 
 
 
태그 :
트랙백7 | 댓글0
아이디 :
비밀번호 :
홈페이지 :
  비밀글로 등록
내용 :
 



위치로그 : 태그 : 방명록 : 관리자
초나미's Blog is powered by Daum / Designed by SSen
관리자  |  글쓰기
BLOG main image
::for Beautiful Life:: ""
 Category
 Media
 TAGS
 Recent Entries
 Recent Comments
 Calendar
 Archive
 Link Site
 Visitor Statistics
+ Total : 54,154
+ Today : 7
+ Yesterday : 16
카피
rss

티스토리 툴바