KISA 한국인터넷진흥원 21-03-31 기준
KISA 한국인터넷진흥원
www.kisa.or.kr
1) ICMP unreachable Disabling Configuration
no ip unreachable
인터페이스 액세스 리스트로 필터링을 하면 필터링이 된 트래픽의 출발지로 ICMP unreachable 메시지를 전송한다. 이러한 메시지의 생성은 장치의 CPU 사용율의 증가로 이어진다. 이러한 메시지를 no ip unreachables로 Disable 할 수 있다.
2) ICMP Redirect Disabling Configuration
no ip redirect
같은 인터페이스 상에서 패킷이 송/수신될 때 Router는 ICMP redirect 메시지를 생성한다. 이 상황에서 Router는 패킷을 보내고, ICMP redirect 메시지를 원래 패킷의 송신자에게 다시 보냅니다. 이러한 행동은 송신자가 Router 를 bypass 하고, 목적지를 향하여 직접적으로 향후에 송신될 패킷을 보낼 수 있도록한다. 정상적인 IP network 에서는 Router는 Local Subnet에 있는 Host에만 리다이렉션을 보낸다. 다른 말로는 ICMP redirect는 절대 Layer 3 를 넘지 않는다.
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc78
Cisco Guide to Harden Cisco IOS Devices
This document describes the information to help you secure your Cisco IOS® system devices, which increases the overall security of your network.
www.cisco.com
'IT > ㄴ Cisco Switch Vulnerabilities' 카테고리의 다른 글
| [Cisco] 네트워크 장비 취약점 점검 N-35 [5.20 Domain lookup 차단] (0) | 2023.08.06 |
|---|---|
| [Cisco] 네트워크 장비 취약점 점검 N-34 [5.19 identd 서비스 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-32 [5.17 Proxy ARP 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-31 [5.16 Source 라우팅 차단] (0) | 2023.08.06 |
| [Cisco] 네트워크 장비 취약점 점검 N-30 [5.15 Directed-broadcast 차단] (0) | 2023.08.06 |