이번 글에서는 Cisco switch 보안 최적화 방법을 정리해, 실제 운영 환경에서 바로 적용할 수 있도록 구성했습니다.
계정 및 암호 보안 설정
스위치 관리자 계정 보안은 가장 기본적이면서도 중요한 보안 요소입니다.
enable 비밀번호
enable secret으로 암호화된 관리자 비밀번호 사용
복잡한 암호 정책(대문자, 소문자, 숫자, 특수문자 조합) 적용
service password-encryption 명령으로 평문 암호 보호
enable secret [대문자, 소문자, 숫자, 특수문자 조합]
service password-encryptionUsername Login 사용
Switch(config)# username [계정이름] privilege 0 password [대문자, 소문자, 숫자, 특수문자 조합]Default계정을 Disable하고 접속 할 때 계정 생성 및 권한레벨을 지정해 줍니다.
VTY,AUX,Console Login Password 사용
(config) line vty 0 4
(config-line) login local
(config) line con 0
(config-line) login local
(config)line aux 0
(config-line)login local가상 터미널(VTY), 콘솔, 그리고 보조(AUX) 라인에 대한 접근을 설정하고 로컬 인증을 사용하도록 지정하는 것 입니다.
- VTY 라인(0–4): Telnet 또는 SSH를 통한 원격 접속.
- 콘솔 라인(con 0): 콘솔 케이블을 통한 직접 접속.
- 보조 라인(aux 0): 모뎀 등을 통한 대체 접속.
을 의미 합니다.
원격 관리
Cisco 스위치에는 기본적으로 다양한 서비스가 활성화되어 있습니다. 하지만 보안상 필요 없는 기능은 반드시 꺼야 합니다.
SNMP
# 기존 Community 삭제
no snmp-server community public
no snmp-server community private
# 새로운 Community 추가 (예: Read-only, Read-write)
snmp-server community MyStr0ngC0mmunity RO
snmp-server community MyWrit3Community RW
# ex) 관리서버 IP: 192.168.10.100
ip access-list standard SNMP-MGMT
permit 192.168.10.100
deny any
# SNMP community에 ACL 적용
snmp-server community MyStr0ngC0mmunity RO SNMP-MGMT
# 미사용시
no snmp-serverSNMP Community string 변경여부 및 SNMP Agent 관리 접근통제, SNMP 사용시 암호화 혹은 사용 안함
HTTP
(config)#no ip http server
(config)#no ip http secure-serverHTTP 원격관리 사용제한
원격관리대상제한
(config)#access-list 10 permit ip_address
(conig)#access-list 10 permit ip_address
(config)#line vty 0 4
(config-line)# access class 10 in지정된 IP만 원격 접속이 가능해 집니다.
(config)#line vty 0 4
(config-line)# exec-timeout 10 – 10분 설정원격관리시 IDLE time 설정으로 접속 후 지정된 시간이 지나면 세션이 만료됩니다.
이외 불필요한 서비스 차단
no cdp run
no service pad
no ip proxy-arp등이 있습니다.