본문 바로가기
소프트웨어

Cisco Catalyst Switch Security Script Setting (L2/L3)

by Sweeny 2008. 2. 6.
반응형

## password 및 snmp 기타 설정은 넘어가겠다.

configure terminal
no service udp-small-servers
no service tcp-small-servers
no service finger
no ip domain-lookup
no ip http server

no cdp run
service password-encryption
access-list 23 permit 1.1.1.1
!
line vty 0 4
access-class 23 in
exec-timeout 1 0
transport input telnet
login
!
line con 0
exec-timeout 1 0
login
exit

access-list 61 permit 1.1.1.2
snmp-server community network RO 61
end

no service udp-small-servers
no service tcp-small-servers
## DoS(Denial Of Service) 침입에 대비한 것으로 TCP/UDP small server에 대한 서비스를 막음으로 침입에 대비함
## TCP : echo, chargen, discard, daytime / UDP : echo, discard, chargen

no service finger

## 접속한 사용자의 목록을 finger port를 통하여 제공함. 당연히 username 등 정보가 공개 되므로 off
## 제가 파악하기로는 IOS 12.0 version 이하에서는 default service로 실행되고 있고 12.1부터는 빠져있음

no ip domain-lookup

## Hostname을 이용하여 사용용도를 파악 하지 않는 경우 off
## 오타의 경우 DNS를찾기 때문에 귀찮고 부하도 올라감


no ip http server

## Web을 통하여 GUI로 사용하지 않는다면 필히 off

no cdp run

## 원격의 시스코 장비에 대한 정보를 확인할 수 있는 CDP(Cisco Discovery Protocol)는 사용하지 않는다면 off
## 차후 Vlan 사용 시 Native vlan missmatch 발생 소지가 있음

service password-encryption
## vigenere chipher 알고리즘을 사용하여 암호를 encryption 함 -> password 보호

access-list 23 permit 1.1.1.1
!
line vty 0 4
access-class 23 in        ## 원격 접속시 Access-list 통하여 허용된 IP만 들어오게 함
exec-timeout 1 0            ## 접속 후 1분동안 입력정보가 없으면 session 종료, default는 안재봐서 모르겠음
transport input telnet      ## telnet protocol 만 허용
login                            ## 로그인 시 암호를 확인 함.

line con 0
exec-timeout 1 0
login
## 콘솔로 접근했을 경우 1분이 동안 입력이 없으면 접속 session 끊어 버리고 로그인 시 암호을 물어보게 설정

access-list 61 permit 1.1.1.2
snmp-server community network RO 61

## 보통의 경우 snmp를 모니터링을 위해 사용하지만 사용하지 않는 다면 필히 off (snmp에 스위치 정보가 담겨있습니다)
## snmp community는 기본(public/private)값을 변경해주고 모니터링 수집서버만 ACL 걸어 허용한다.(RO -> Read only)


gSdsSTc29gS3vXjOz8e6C6QNrb3

반응형