본문 바로가기
서버,보안

시스코 라우터 초기설정

by 세이박스 2008. 10. 21.
반응형
초기 설치 방법
앞에서 라우터에 관해서 간략히 알아 보았는데 라우터를 가지고 최적의 네트워크를 구성하기 위해서는 자사 네트워크의 규모나 특성등을 정확히 파악하여 구축하는 것이 바람직 할 것 같다.  전용회선 구성이 완료되면 라우터를 종단장치와 연결을 하여 초기 셋팅을 한다. 국내에 가장많이 보급된 CISCO 라우터는 초기 셋팅의 편의를 위해 "SETUP"이라는 Command를 제공한다.다음은 라우터로 Access하는 방법과 SETUP명령을 통해 실제로 셋팅하는 방법이다.처음 라우터를 구입하게 되면 각종 라우터 비품과 MANNUAL이 있는데 자세한 내용은 이를 참조한다.
1. CISCO ACCESS 방법

* CONSOLE

CONSOLE 케이블과 단말기(PC,NOTE-BOOK)를 사용하여 직접 연결 장비와 함께 제공되는 CONSOLE 케이블을 이용한다.
통신 포트 셋팅: 9600-NONE-8-1
속도: 9600
흐름제어: XON/OFF
패리티 비트: 8BIT
STOP BIT: 1BTT
* TELNET
TELNET을 이용하여 원격으로 ACCESS 하는 방법 LAN에 연결되어 있는 환경에서는 TELNTE 에뮬레이터를 이용하여 접근
* AUX
AUX PORT를 이용하여 원거리에서 ACCESS하는 방법 많이 사용하지는 않지만, aux port에 모뎀을 연결하여 원거리 지역에서 전화를 걸어서 접속하는 방법이 있다.

2. SETUP 방법
setup command를 이용한 설정(대화형식의 라우터 설정)
예) Router#setup
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes]:        대화형식의 환경설정
First, would you like to see the current interface summary? [yes]:
Interface IP-Address OK? Method Status Protocol
Ethernet0 203.255.112.228 YES NVRAM up up
Serial0 203.231.85.138 YES manual down down
Configuring global parameters:
Enter host name [Router]: router       라우터의 명칭
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret [ ]: router - enable password      암호화된 형태로 enable password 보다 우선
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password [router]: router                enable passwordEnter virtual terminal password [router]: router       외부에서 telnet 접속할 때 필요한 passwordConfigure SNMP Network Management? [yes]:      NMS를 정의Community string [public]:                                SNMP community 설정Configure IP? [yes]:                                          ip address 설정Configure IGRP routing? [no]:                             IGRP 프로토콜 사용 안함Configure RIP routing? [yes]:                              RIP 프로토콜 사용Configuring interface parameters:
Configuring interface Ethernet0:
Is this interface in use? [yes]:        
                    ethnet 인터페이스 사용Configure IP on this interface? [yes]:                        ip address 설정함
IP address for this interface [203.255.112.228]:           사용할 ip address 기입
Number of bits in subnet field [0]:                        subnet 비트 수(0:디폴트)
Class C network is 203.255.112.0, 0 subnet bits; mask is /24
Configuring interface Serial0:
Is this interface in use? [yes]:                             serial 인터페이스 사용
Configure IP on this interface? [yes]:                    ip address 설정함
Configure IP unnumbered on this interface? [no]:       ip address 설정함
IP address for this interface [203.231.85.138]:             사용할 ip address 기입
Number of bits in subnet field [6]:                        6비트로 subnet
Class C network is 203.231.85.0, 6 subnet bits; mask is /30
The following configuration command script-x was created:

hostname router
enable secret 5 $1$msJM$TvuEk.ljvlRD98LBHb5ya/
enable password router

line vty 0 4
password router!
ip routing
!
interface Ethernet0
ip address 203.255.112.228 255.255.255.0
!
interface Serial0
ip address 203.231.85.138 255.255.255.252
!
router rip
network 203.255.112.0
network 203.231.85.0
!
end
Use this configuration? [yes/no]: y           환경 설정 사용함
The enable secret you have chosen is the same as your enable password.
This is not recommended. Re-enter the enable secret.
The enable password you have chosen is the same as your enable secret.
This is not recommended. Re-enter the enable password.
Building configuration...
[OK]
Use the enabled mode 'configure' command to modify this configuration.
router#
 
 Password 설정
1. Console Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password cisco
2. Virtual terminalRouter(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password cisco
3. EnableRouter(config)#enable password cisco
4. SecretRouter(config)#enable secret sanfran
5. 라우터에 Telnet - 특정 ip만 허용
Router(config)#access-list 1 permit 203.255.112.72   <= 특정 ip 만 하나 허용
Router(config)#access-list 1 permit 203.255.113.0 0.0.0.255 
                                                                                  <= c class 통째 허용
Router(config)#access-list 1 permit 203.235.123.0 0.0.0.63 
                                                                                  <= 특정 뒷자리만 허용
- 적용
Router(config-line)#access-class 1 in
 
Enable Password 복구
1. Console 붙인 후, 전원을 껐다 켠다.
System Bootstrap, Version 5.3.2(9) [vatran9], RELEASE SOFTWARE (fc1)
Copyright(c) 1994 by cisco Systems, Inc.
C1000 processor with 8192 Kbytes of main memory
2. Rommon 상태로 들어간다.
하이퍼터미널의 경우 :  Control + Break Key 6회 이상
넷텀의 경우  : Edit 메뉴의 Send Short/Long Break
User break detected at location 0xcfa5c
monitor: command "boot" aborted due to user interrupt
  • Cisco 1005/1600
    rommon 1 > confreg 0x42
    You must reset or power cycle for newconfig to take effect
    rommon 2 > reset
  • Cisco 2500 이상
    >o/r  0x42
    > I
3. 초기 config 모드를 n(No) 한다. (만약 y 했다면 ^C로 취소한다.)
Would you like to enter the initial configuration dialog? [yes/no]:n
Press RETURN to get started!
4. 예전 Config 복구 및 저장한다.
Router# copy startup-config  running-config
Destination filename [running-config]?
505 bytes copied in 2.536 secs (252 bytes/sec)
Router# wr
5. Passwd  변경과 register 값을 원래대로 복구한다.
Router# config t
Router(config)# enable secret router
Router(config)# config-register 0x2102
Router(config)# exit
Router# wr
Router# reload
Proceed with reload? [confirm]
6. Passwd 가 복구되었는지 확인한다.Router> en
Password :
Router#
7. 정상적으로 register 값이 복구되었는지 확인한다.
Router# sh ver
Configuration register is 0x2102
 
  Local에서 IOS 업그레이드
1. 업그레이드시 필요한 것을 준비한다.
콘솔 케이블 , Cross 케이블, CISCO IOS , TFTP Server , Netterm
2. 노트북이나 PC에 TFTP 프로그램 다운 받아서 설치한다.
TFTP Server (TFTPServer-1-980730.exe)를 설치한 뒤에,  
 IOS 파일 (c10-112.bin(Cisco1005-11.2 version, c20-111.bin(Cisco2500-11.1 version)를 C:IOS 디렉토리에 받는다.
3. TFTP Server에서 프로그램 업다운 디렉토리를 선택한다.
Cisco TFTP Server 실행하고 메뉴에서 View => Options => TFTP Server Root 의 Browser 클릭하여 C: IOS 를 선택하여 OK한다.
4. 라우터에 콘솔케이블을 연결한다.
PC는 Com1 Port 에 연결.하이퍼 터미널이나 넷텀으로 콘솔 붙이기
(원격으로 작업할 때는 telnet 으로 연결한다)

하이퍼터미널 설치
Windows CD를 넣고 시작-제어판-프로그램추가/제거- Windows 설치- 통신- 하이퍼터미널부분을 체크- 확인해서 설치한다. (시작-프로그램-보조프로그램-통신 부분에서 하이퍼터미날 실행)

하이퍼터미날 연결 옵션 설정
이름: Consol  
Com1에 직접연결을 선택
초당 바이트수 :9600
데이터비트: 8 ,
패리티 없음,
정지비트 1 ,
흐름제어 : 없음.
바탕화면에 Consol 단축 아이콘을 만들고 실행시킴
에뮬레이션 : vt100  
넷텀, 테라텀 사용시
메뉴 File=>Phone Direceory => Modem Test=> Modem Settings => Port(Com1), Baud Raue(9600), Data Bit(8),Parity(None), Stop Bits:1 , Control :XON/XOFF 만  체크. Dialing Ton 체크안함 => OK , Emulation:VT100 => Connect

5. 고객사 라우터의 IOS 버전을 확인한다.
router# sh ver
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 11.2(15), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1998 by cisco Systems, Inc.
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102
6. Enable mode 로 옮긴다.
Router>en
Password:
Router#

7. TFTP 로부터 FLASH Memory 로 Cisco IOS를 Upload 한다.
Cross Cable을 PC와 라우터 Ethernet Port 에 연결한다.
(혹은, 1대1케이블을 허브에 연결해서) PC 와 라우터는 같은 네트웍이어야 한다.
8. TFTP를 이용하여 IOS 파일을 FLASH Memory로 업로드 한다.
# copy tftp flash

Address or name of remote host [203.255.113.37]?
(TFTP Server가 Install 되어 있는 PC의 IP를 입력한다.)
Source filename [c10-112.bin] ?       업그레이드 버젼 파일 입력
Destination filename [c10-112.bin] ?  
Accessing tftp://203.255.113.37/c10-112.bin...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading c10-112.bin from 203.255.113.37 (via Ethernet0): !!!!!!!!!!!!!!
9. 저장 및 재부팅한다.
IOS를 Flash Memory로  업그레이드가 끝나면
CISCO 1005 경우
# wr 
# reload

CISCO 2500 경우 라우터가 자동으로 리부팅 한다.
부팅후 # wr
 
  IP ACCOUNTING 
1. 내부 트래픽 확인 (IP Accounting은 output-packets만 적용)
Serial Interface 적용시 - 유출양 확인
Ethernet Interface 적용시 - 유입양 확인
2. 설정법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0  (또는 int e0)
ROUTER(conf-if)# ip accounting output-packets
ROUTER(conf-if)# ^z

ROUTER# sh ip accounting output-packets
Source                Destination                Packets            Bytes 
203.200.39.50      203.239.36.121                   6                  328
202.109.117.194   203.239.36.122                   1                    40
203.235.205.231   203.239.36.123                195               12849
202.109.117.194   203.239.36.124                   1                    40
203.235.205.231   203.239.36.125                832               51043

접속하는 IP들의 경로와 Packets양을 보여줍니다.

Accounting data age is 0 ----- 분 단위 (30이 넘어가지 않도록 주의한다)  
3. 해지법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0 (또는 int e0) --- 설정했던 인터페이스
ROUTER(conf-if)# no ip accounting output-packets (앞에 no를 붙여준다)
ROUTER(conf-if)# ^z

ROUTER# sh ip accounting output-packets
더 이상 나타나지 않는다. 
4. clear 방법
ROUTER# clear ip accounting
5. 주의사항
Encapsulation이 Frame-relay로 sub-interface로 설정이 되어 있을 경우

ROUTER(config)# int s0.1
ROUTER(config-subif)# ip accounting output-packets (해지시 앞에 no)
ROUTER(config-subif)# ^z
 
Helper-address  



1. Broadcast => Unicast
Interface e 0
ip address
10.10.10.1 255.255.255.0
ip help-address
10.10.20.2
  e0에 도착하는 Subnet Broadcast를 144.253.2.2로 Unicast 한다.

2. 제한된 Unicast
Interface e 0
ip address
10.10.10.1
255.255.255.0
ip help-address
10.10.20.2ip forward-protocol udp 3000
no ip forward-protocol udp 69  
e0에 도착하는 Broadcast를 10.10.20.2로 Unicast 하는데 있어, UDP Destination Port 3000번을 쓰는 Packet은 넘기고, 69번을 쓰는 Packet은 Filtering 한다. 즉 69번을 쓰는 Packet만 Filtering된다.

3. Broadcast => Broadcast
Interface e 0
ip address
10.10.10.1
255.255.255.0
ip help-address
10.10.20.255
  e0에 도착하는 Broadcast를 10.10.20.255로 Broadcast한다.
 
Log & 시간 설정
1. 라우터에 로그 남기도록 설정하기
Router# config t
Router(config)# service timestamps debug datetime localtime msec
Router(config)# service timestamps log datetime localtime msec
Router(config)# logging buffered
Router(config)# ^Z
  Cisco 1005 는 IOS 11.3 버전 이상부터 default 로 지원된다.

2. 리부팅 후에도 시간 설정 지워지지 않게 설정하기
Router# config t 
Router(config)# clock timezone KST 9
Router(config)# ntp server 203.255.112.34
Router(config)# ntp server 203.255.112.4
Router(config)# ^Z
Router#clock set 18:11:00 10 octo 2000
Router# wr
 
Routing 이란
1. Routing Protocol
  • 라우팅프로토콜은 라우팅을 수행하는 프로토콜이다.
  • 라우팅테이블 구성, 라우팅테이블 Update등의 기능도 있다.
  • Inter-Network 환경에서, 가장 효율적인 경로를 찾아 Routed Protocol 을 라우트한다.
2. Routed Protocol  
  • 실제 라우팅 되는 Protocol로 TCP/IP, IPX/SPX, Appltalk, Decnet Protocol등이 있다.
3. Static Routing & Dynamic Routing
   1) Dynamic Routing  
  • 라우터간에 라우팅 테이블 정보를 교환하여 최적의 경로 테이블 구성 및 업데이트를 담당한다.
  • IGP(Interior Gateway Protocol)와 EGP(Exterior Gateway Protocol)로 구분된다.
  • AS(Autonomous System) 번호는 통상 ISP들이 Internic에서 부여 받는 네트워크 영역 번호로 AS안에는 ISP에서 회선을 공급 받는 고객사 네트워크를 포함하게 된다.
  • 현재 AS 들간의 통신은 EGP인 BGP4를 사용하고, AS 내부에서는 RIP, IGRP, EIGRP ,OSPF를 사용한다.
   2) Static Routing
  • Routing Table을 수동으로 구성한다.
  • 관리자가 직접 라우팅 테이블을 수동적인 입력 방법에 의해 구성한다.
  • Stub Network을 연결하는 라우터 간에는 Static Routing을 구성하여, Dynamic Routing의 OverHead를 줄일 수 있다.
Default Routing

  
1. 할당된 IP 주소
Hansol iGlobe(ISP_Router)
고객사 (Router_A)
인터페이스
IP주소
인터페이스
IP주소
S2/2
10.10.10.1
S0
10.10.10.2
 
E0
203.254.254.254
2. Default Routing 설정 방법

Router_A(config)# ip route 0.0.0.0 0.0.0.0 {ip-address|interface} [distance]
 
   설 명
 ip-address
 상대편 라우터의 시리얼 IP 주소  
 interface
 해당 라우터의 시리얼 인터페이스
 distance
 Administrative distance.  값이 없으면 1 이 디폴트


3. 설정하기 Router_A(config)# ip route 0.0.0.0 0.0.0.0 Serial0 또는 Router_A(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.1


4. 확인 하기Router_A> sh ip route 0.0.0.0 S* 0.0.0.0/0 is directly connected, Serial0
 
Static Routing


  

1. 할당된 IP 주소
Hansol iGlobe(ISP_Router)
고객사 (Router_A)
인터페이스
IP주소
인터페이스
IP주소
S2/2
10.10.10.1
S0
10.10.10.2
 
E0
203.254.254.254
 
2. Static Routing 설정 방법

ISP_Router(config)# ip route network-address subnet-mask {address|interface} [distance]
 
   설 명 
 network-address  목적지 네트워크 주소 (상대편 라우터)
 subnet-mask  목적지의 서브넷 마스크
 ip-address
 다음 hop 라우터의 IP 주소 (상대편 시리얼 IP주소)
 interface
 해당 라우터의 시리얼 인터페이스
 distance
 Administrative distance.  값이 없으면 1 이 디폴트

3. 설정하기
ISP_Router(config)# ip route 203.254.254.0 255.255.255.0 10.10.10.2
 
PPP와 Frame Relay

1. 고객사 라우터 PPP 설정 방법


Router_A# config t
Router_A(config)# int e0
Router_A(config-if)# ip address 203.239.36.70 255.255.255.248
(게이트웨이, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# exit
Router_A(config)# int s0
Router_A(config-if)# descript-xion ### HaHaHa Company ###
Router_A(config-if)# ip address 10.124.100.34 255.255.255.252  
 (시리얼 IP주소, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# encapsulation ppp       
(그 외 type -> frame relay, hdlc)
Router_A(config-if)# bandwidth 56             
 (T1 = 1544, E1 = 2048 등)
Router_A(config-if)# exit
Router_A(config)# ip route 0.0.0.0 0.0.0.0 10.124.100.33  
(디폴트 라우터 설정, ISP쪽 시리얼주소)
Router_A(config)# default-value exec-character-bit 8
Router_A(config)# ip routing
Router_A(config)# ^z    (Ctrl + z)
Router_A# wr
2. 고객사 라우터 Frame Relay 설정 방법
version 11.3
no service password-encryption
!
Hostname Router
!
ip subnet-zero
!
interface Ethernet0
  ip address 203.239.36.70 255.255.255.248
!
interface Serial0
  descript-xion  ### HaHaHa Company ###
  no ip address
  encapsulation frame-relay       (그 외 type -> ppp, hdlc)
  frame-relay lmi-type ansi        (그 외 lmi-type -> cisco, q933a)
!
interface Serial0.1 point-to-point
  descript-xion  ### HaHaHa Company ###
  ip address 10.248.2.254 255.255.255.252   (시리얼 IP주소, Subnet-mask)
  frame-relay interfae-dlci 100    (dlci 설정값 = 100)
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.248.2.253   (디폴트 라우터 설정, ISP쪽 시리얼주소)
default-value exec-character-bit 8
!
line con 0
line vty 0 4
  login
 
Dynamic Routing
1. 설정 방법

Router(config)# router protocol [keyword]
Router(config-router)# network network-number
Router(config-router)# network network-number
 
   설 명 
 protocl
 RIP, IGRP, EIGRP, OSPF 
 keyword
 Autonomous System (AS#)
 network-number
 직접적으로 연결되어 있는 네트워크  주소
 
2. 그 외 설정 명령어

ip subnet-zero
Interface Address에 Subnet 0의 사용을 가능하게 한다.
Routing Table Update의 경우에도 Subnet 0의 사용을 가능하게 한다.
no ip subnet-zero가 Default 값이다.
ip classes
Default Route가 설정되지 않은 상태에서 라우터가 경로가 나오지 않는 Subnet의 Address를 받은 경우, Supernetting 하여 Packet을 해당 루트로 보내라는 명령이다.
default-value exec-character-bits 8
exec 모드에서 사용하는 Character Set을 8bit ASCII로 사용한다는 명령이다.
 
Firewall Router 개요
1. 네트워크 구성도

2. 보안정책
보안문제는 사용자가 점점 더 많은 인터넷 접속을 시도 하고, 자체 네트워크의 규모가 커짐에 따라 더욱 필요하게 되어 가고 있다. 외부 사용자가 내부 네트워크에 대해 접근을 차단하거나 내부사용자에 대해 불건전한 사이트에 대한 접속을 제한하는 등 여러 보안정책을 사용할 수 있다. 보안이 강조될수록 사용자가 이용 할 수 있는 인터넷 서비스는 축소 또는 불편을 겪을 수 있으므로 네트워크 관리자는 네트워크 환경을 면밀하게 분석하여 보안정책을 수립하는 것이 필요하다.
 
Access List 개요
1. Access List
  • IP 트래픽에 대한 필터링 기능을 수행한다.
  • Standard IP Access List와 Extended IP Access List가 있다.
2. Standard IP Access List
  • Source IP 주소만으로 Access를 통제한다. 
  • Access List 번호 1-99번을 사용한다.
  • Access List 가 특정 IP 주소를 Reject 하는 경우, 라우터는 패킷을 버리고
    “Host Unreachable” ICMP Message를 돌려준다.
  • Deny 하려는 Traffic의 목적지에 가장 가까운 인터페이스에 적용한다.
3. Extended IP Access List
  • 송신지의 IP 주소, Port 번호, 도착지의 IP 주소, Port 번호를 사용하여
    Access를 통제한다.
  • Access List 번호 100-199번을 사용한다.
  • Deny하려는 Traffic의 송신지에 가장 가까운 인퍼페이스에 적용한다.
4. Helper Addressing
  • 라우터는 기본적으로 브로드 캐스트를 차단한다.
  • Helper Service는 브로드 캐스트를 목적 서버에 Direct로 Forwarding할 수 있게 한다.
Extended IP Access-list
1. 문법
  • 일반적인 형태
    Router(config)#access-list access-list-number {permit | deny} {protcol | protocol-keyword} {source-wildcard | any}
    {destination-wildcard | any} {protocol-options}
  • ICMP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} icmp {source wildcard | any} {destination wildcard | any}
    {destination wildcard | any} [icmp-type[icmp-code] | icmp-message]
  • TCP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} tcp {source wildcard | any } [operator source-port |source-port]
    {destination woldcard | any} [poerator destination-port | destination-port] [established]
    - tcp port number 혹은 keyword로 제어가능
    - “established”가 지원되는 것이 특징
  • UDP Protocol에 대한 Extended Access List
    Router(config)#access-list access-list-number {permit | deny} udp {source wildcard | any} [ operator source-port | source-port]
    {destination wildcard | any} [operator destination-port | destination-port]
    - udp port 혹은 keyword로 제어가능
    - ‘edtablished’가 지원되지 않음
2. 예제
192.168.1.0 네트워크에 있는 서버A (192.168.1.11)에 Telnet 만을 제외하고 모든 TCP Access를 막는다. 192.168.3.0 에서는 192.168.5.0 에 Access할 수 없다. 192.168.1.0과 192.168.5.0 네트워크는 상호 통신 가능해야 한다.
RouterA# config t
RouterA(config)# access-list 100 deny tcp any host 192.168.1.11 eq telent
RouterA(config)# access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
RouterA(config)# access-list 100 permit ip any any

RouterA(config)# interface serial 0
RouterA(config-if)# ip access-group 100 in

RouterC# config t
RouterC(config)# interface serial 0
RouterC(config-if)# ip access-group 100 in
3. FAQ
3-1) 외부에서 내부네트웍에 대해 Telnet 안되도록 설정하는 방법
Router#config t
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 permit tcp 203.255.113.0 0.0.0.255 any eq telnet
Router(config)#access-list 100 deny tcp any any eq telnet
Router(config)#access-list 100 permit ip any any
Router(config)#^Z
Router#config t
Router(config)#int s0
Router(config-if)#ip access-group 100 in
Router(config-if)#^Z

3-2) 외부에서 내부로 들어오는 백오리피스 포트 막는 방법
Interface Serial0
Ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny tcp any any eq 31337
Access-list 119 deny udp any any eq 31337
Access-list 119 permit ip any any

3-3) 외부에서 내부로 공유폴더 access 안되게 하는 방법
Interface Serial0
ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny udp any any eq netbios-ns
Access-list 119 deny udp any any eq netbios-dgm
Access-list 119 deny tcp any any eq 139
Access-list 119 permit ip any any

3-4) 외부에서 라우터 Telnet, Ping 등 제한하는 방법
interface Serial0
ip address 203.231.89.34 255.255.255.252
ip access-group 102 in
encapsulation ppp
!
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq discard
access-list 102 deny icmp any host 203.227.80.180
access-list 102 deny icmp any host 203.231.89.34
access-list 102 deny udp any host 203.231.89.34 eq time
access-list 102 deny udp any host 203.227.80.180 eq time
access-list 102 deny udp any host 203.231.89.34 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq snmp
access-list 102 deny udp any host 203.231.89.34 eq snmp
access-list 102 deny icmp any host 203.227.80.181
access-list 102 permit ip any any
line vty 0 4
access-class 101 in
password wooju
login

3-5) 가변포트에 대한 필터링 하는 방법(소리바다 : 9000~9999)
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 deny tcp any any range 9000 9999
Router(config)#access-list 100 deny udp any any range 9000 9999
Router(config)#access-list 100 permit ip any any
Router(config)#int s0
Router(config-if)#ip access-group 100 in
 
SNMP 보안문제와 필터링법
1. 영향

SNMP는 UDP를 이용하기 때문에 공격 주소를 속여서 DoS (Denial of Service) 공격을 할 수 있다. 이것은 곧 라우터의 성능 저하, 크래쉬(crash) 및 리로드(reload) 결과를 초래하게 된다. 게다가 read-only community string을  획득하게 되면 SNMP access control를 속이는 것도 문제라 하겠다.

2. 공격 가능한 경우
1) 취약한(Vulnerable) IOS Version을 설치한 상태에서 아래 장비를 사용중일 때  (Catalyst 는 CatOS를 사용 중 일 때 해당이 안됨)
  • Cisco 800, 1000, 1400, 1600, 1700, 2000, 2500, 2600, 3011, 3200, 3600, MC3810, 4000, 4500, 4700, 6400-NRP, 6400-NSP series routers
  • Cisco 6000 series IP DSL switches
  • uBR900 series cable access routers
  • CVA120 series cable voice adapters
  • IAD2400 series Integrated Access Devices
  • Catalyst 2900XL, 2950, 3500XL, 3550, 4000, 4840G, 4908G-L3 series switches
  • Cisco AS5000 series access servers
  • Catalyst 6000 MSM, 6000 MSFC & MSFC2, 6000 Hybrid Mode, 6000 Native Mode, 6000 Supervisor modules
  • Cisco RSM, RSFC, 7000, 7010, 7100, 7200, uBR7200, 7300, 7400, 7500, 7600, uBR10000, 10700, 10000 ESR, and 12000 series routers
  • Lightstream 1010 ATM switches
  • DistributedDirector 2500 and 4700 series
  • Catalyst 8510CSR, 8510MSR, 8540CSR, 8540MSR series switches
  • Cisco ONS 15540 Optical Transport Platform
  • Cisco ONS 15303/15304
  • Cisco ISR 3303
  • Cisco OSR 7609
  • Cisco SOHO-70 Small Office/Home Office router
  • Cisco AGS, AGS+, CGS, IGS, MGS series routers
  • Cisco 1000 series LAN Extender
  • Cisco AccessPro PC card router
  • Cisco 200, ASM-CS, and 500-CS series access servers
  • Cisco 2500 FRAD series router
  • 3011 WAN module for the Catalyst 3200 switch
  • Cisco AccessPath TS-3 system shelf

3. 해결안
   1) 불필요한 snmp 서비스 off 시키기
  • Router(config)#no snmp-server
  • 확인방법
    Router#show snmp
    %SNMP agent not enabled
  • 주의사항
    Router(config)#no snmp-server community public ro
    이 명령어로 snmp 서비스가 죽지 않는다.
   2) access-list 를 이용하여 특정 호스트만 열어주기 (port : 161,162)
  • Router(config)#access-list 100 permit ip host 203.254.254.254 any  
    Router(config)#access-list 100 deny udp any any eq snmp
    Router(config)#access-list 100 deny udp any any eq snmptrap
    Router(config)#
    access-list 100 permit ip any any
  • 해당 interface에 설정한다.
    Router(config)#interface serial 0
    Router(config-if)#
    ip access-group 100 in
  • Catalyst Switch 장비인 경우에는 vlan 에 설정한다.
    Router(config)#interface vlan 1
    Router(config-if)#ip access-group 100 in
   3) Cisco SNMP 서비스 취약성 권고안
본사 - 지사 구성

1. 본사 라우터 설정하기
interface Ethernet0
ip address 210.109.165.241 255.255.255.240
!
interface Serial0
ip address 10.207.1.6 255.255.255.252
!
interface Serial1
ip address 10.10.10.1 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.207.1.5
ip route 203.239.36.64 255.255.255.248 10.10.10.2

2. 지사 라우터 설정하기
interface Ethernet0
ip address 203.239.36.65 255.255.255.248
!
interface Serial0
ip address 10.10.10.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
양쪽의 라우터가 CISCO Router를 사용해 본사와 지사를 연결하는 데이터 전용회선일 경우. 각 라우터의 controller를 참고하여 DTE, DCE를 구별한다. DCE로 설정된 라우터에 clock rate를 설정해 준다.
Router#sh controllers s 0 (DCE 확인)

Router#conf t
Router(conf)#clock rate 40000 (최대로 준다)

반응형