라우터 보안 설정
- 누구나 원격에서 라우터에 접속하여 네트워크 설정을 바꾼다면, 특히 악의적으로 이용한다면 심각한 문제가 발생할 수 있다. => 라우터의 패스워드를 별도로 설정하여 운영하도록 한다.
콘솔 패스워드 설정
R1# conf t
R1(config)# line console 0
R1(config-line)# password {password}
R1(config-line)# login
터미널 패스워드 설정
R1# conf t
R1(config)# line vty 0 4
R1(config-line)# password {password}
R1(config-line)# login
패스워드 암호화 설정
R1# conf t
R1(config)# enable password max
R1(config)# enable secret max
R1(config)# enable secret {secret}
R1# conf t
R1(config)# service password-encryption3
R1(config)# exit
R1# copy running-config startup-config
- 라우터를 재기동하면 아래와 같이 패스워드가 걸려 있다.
VLAN 설정
- VLAN은 논리적으로 LAN을 분리해 불필요한 트래픽을 감소시켜 리소스를 줄이고 네트워크 접근을 제한해 네트워크 보안을 강화하려는 경우에 사용한다.
R1# conf t
R1(config)# interface fastEthernet0/1
R1(config-if)# no shutdown
R1(config-if)# interface fastEthernet 0/1.100
R1(config-subif)# encapsulation dot1Q 100
R1(config-subif)# ip address 192.168.100.1 255.255.255.0
R1(config-subif)# interface fastEthernet 0/1.200 // VLAN 200
R1(config-subif)# encapsulation dot1Q 200
R1(config-subif)# ip address 192.168.200.1 255.255.255.0
R1(config-subif)# exit
R1(config)# exit
R1# copy running-config startup-config
라우터 ACL 설정을 통한 네트워크 트래픽 제어
- ACL은 라우터에서 네트워크 패킷 필터링을 이용해 네트워크 트래픽을 제어하려는 경우에 사용하며 단순하지만 라우터 단계에서 강력한 방화벽 역할을 수행할 수 있다.
Standard Access List
- 단순히 패킷 헤더에서 출발지 IP를 검사하고 제어하는 방식
// 사용 예
R1# conf t
R1(config)# access-list 10 deny 192.168.100.0 0.0.0.255
R1(config)# access-list 10 permit any
R1(config)# interface fastEthernet 0/1.100
R1(config-subif)# ip access-group 20 out
R1(config-subif)# exit
R1(config)# interface fastEthernet 0/1.200
R1(config-subif)# ip access-group 10 out
R1(config-subif)# exit- 문법 : access-list {access-list-number} {permit | deny} {source address wild mask | any}
- 인터페이스 적용 : ip access-group {access-list-number} {in | out}
Extended Access List
- 패킷 헤더에서 출발지, 목적지, 포트 번호 등을 검사해 제어하는 방식
R1# access-list 101 deny tcp 192.168.100.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 23- 문법 : access-list {access-list-number} {permit | demy} {protocol | protocol-keyword} {source wildcard | any} {destination wildcard | any} {protocol-options}
네트워크 분리
R1# conf t
R1(config)# access-list 100 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
R1(config)# access-list 100 permit ip any any
R1(config)# access-list 101 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
R1(config)# access-list 101 permit ip any any
R1(config)# interface fastEthernet 0/1.100
R1(config-subif)# ip access-group 100 in
R1(config-subif)# exit
R1(config)# interface fastEthernet 0/1.200
R1(config-subif)# ip access-group 200 in
R1(config-subif)# exit
ACL에서 설정한 내용 확인하기
R1# show access-list
R1# show ip access-list {access-list-number}특정 네트워크 확인 및 차단
- 먼저 차단하려는 특정 IP의 상태를 확인하고 'show arp' 명령어로 라우터에서 특정 IP의 MAC 주소와 인터페이스 정보를 확인한다. => 어느 스위치 포트에 연결되었는지 확인해야 한다.
- show cdp neighbors => 다수의 스위치 장비가 운영되고 있어 특정할 수 없는 경우에는 라우터에 이웃한 장비들을 찾아본다.
- show mac | include {MAC주소} => 연결된 스위치 장비를 확인하였다면 해당 스위치 장비에 접속해 특정 MAC 주소가 존재하는지 확인한다.
- 차단하려는 특정 IP에 대한 MAC를 찾았다면 해당 스위치 장비에서 연결된 포트를 차단하거나 보안 조치가 완료된 후 다시 연결을 허용할 수 있다.
R1# conf t
R1(config)# interface fastEthernet 0/1.100 // 차단하고자 하는 스위치 포트 선택
R1(config-subif)# shutdown
R1(config-subif)# no shutdown // 포트 사용 허용
R1(config-subif)# exit
R1(config)# exit'공부 기록 > 네트워크 & 보안' 카테고리의 다른 글
| [네트워크/보안] 네트워크 보안 실습 환경 구축 - 네트워크 시뮬레이터를 이용한 네트워크 구성 (0) | 2023.07.12 |
|---|---|
| [네트워크/보안] 네트워크 보안 실습 환경 구축 - 네트워크 구축, 가상 머신 환경 구축 (0) | 2023.07.12 |
| [네트워크/보안] 네트워크 기본 이론 - 네트워크 보안 시스템 (0) | 2023.06.28 |
| [네트워크/보안] 네트워크 기본 이론 - 네트워크 서비스, 네트워크 장비 (0) | 2023.06.28 |
| [네트워크/보안] 네트워크 기본 이론 - TCP/IP와 OSI 7 계층 (0) | 2023.06.25 |
