## password 및 snmp 기타 설정은 넘어가겠다.
configure terminal
no service udp-small-servers
no service tcp-small-servers
no service finger
no ip domain-lookup
no ip http server
no cdp run
service password-encryption
access-list 23 permit 1.1.1.1
!
line vty 0 4
access-class 23 in
exec-timeout 1 0
transport input telnet
login
!
line con 0
exec-timeout 1 0
login
exit
access-list 61 permit 1.1.1.2
snmp-server community network RO 61
end
no service udp-small-servers
no service tcp-small-servers
## DoS(Denial Of Service) 침입에 대비한 것으로 TCP/UDP small server에 대한 서비스를 막음으로 침입에 대비함
## TCP : echo, chargen, discard, daytime / UDP : echo, discard, chargen
no service finger
## 접속한 사용자의 목록을 finger port를 통하여 제공함. 당연히 username 등 정보가 공개 되므로 off
## 제가 파악하기로는 IOS 12.0 version 이하에서는 default service로 실행되고 있고 12.1부터는 빠져있음
no ip domain-lookup
## Hostname을 이용하여 사용용도를 파악 하지 않는 경우 off
## 오타의 경우 DNS를찾기 때문에 귀찮고 부하도 올라감
no ip http server
## Web을 통하여 GUI로 사용하지 않는다면 필히 off
no cdp run
## 원격의 시스코 장비에 대한 정보를 확인할 수 있는 CDP(Cisco Discovery Protocol)는 사용하지 않는다면 off
## 차후 Vlan 사용 시 Native vlan missmatch 발생 소지가 있음
service password-encryption
## vigenere chipher 알고리즘을 사용하여 암호를 encryption 함 -> password 보호
access-list 23 permit 1.1.1.1
!
line vty 0 4
access-class 23 in ## 원격 접속시 Access-list 통하여 허용된 IP만 들어오게 함
exec-timeout 1 0 ## 접속 후 1분동안 입력정보가 없으면 session 종료, default는 안재봐서 모르겠음
transport input telnet ## telnet protocol 만 허용
login ## 로그인 시 암호를 확인 함.
line con 0
exec-timeout 1 0
login
## 콘솔로 접근했을 경우 1분이 동안 입력이 없으면 접속 session 끊어 버리고 로그인 시 암호을 물어보게 설정
access-list 61 permit 1.1.1.2
snmp-server community network RO 61
## 보통의 경우 snmp를 모니터링을 위해 사용하지만 사용하지 않는 다면 필히 off (snmp에 스위치 정보가 담겨있습니다)
## snmp community는 기본(public/private)값을 변경해주고 모니터링 수집서버만 ACL 걸어 허용한다.(RO -> Read only)
gSdsSTc29gS3vXjOz8e6C6QNrb3
'소프트웨어' 카테고리의 다른 글
VMware 라이센스 및 시리얼키 재발급(재인증) 받는 방법 (14) | 2008.04.13 |
---|---|
컴퓨터안의 또 다른 컴퓨터! 가상머신 VMware Workstation (9) | 2008.03.08 |
EditPlus에서 C컴파일 연동하기 (1) | 2007.08.01 |