KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Timestamps Configuration - Uptime 기준 timestamp 출력 service timestamps log uptime - UTC Timezone 기준 시간 출력 service timestamps log datetime - UTC Timezone 기준 시간 초 단위까지 출력 service timestamps log datetime msec - Local Timezone(KST) 기준 시간 출력 service timestamps log datetime localtime - Local Timezone(KST) 기준 시간 / 연도 / 초단위 까지 출력 service timestamps..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) NTP Server Configuration ntp server 106.247.248.106 * 1.kr.pool.ntp.org show ntp status * timezone 한국으로 변경하기 clock timezone KST 9

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 0) Logging Configuration 1) Console Logging logging console ? 2) Buffered Logging logging buffered 3) Monitor Logging logging monitor 4) Syslog Server Logging logging host 192.168.111.1 5) SNMP Traps Logging snmp-server enable traps ? 6) ACL Logging access-list 1 permit 192.168.1.101 access-list 1 deny any log * deny Rule에 대한 Log 발생 결과 *Aug ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Logging Buffer Size Configuration logging buffered 18000 logging buffered information

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Remote Log Server Configuration logging on logging trap informational logging 192.168.111.1 logging facility local6 logging source-interface serial0 - Log Server에서 확인 가능

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Login 완료 후, 출력 Banner banner motd # @@@@@@@@@@@@@@@@@@@ @ Only authorized actions are permitted. @ @ All commands typed are recorded. @ @@@@@@@@@@@@@@@@@@@ # * 메모장 기준으로 입력하였습니다. 2) Login 진입 전 출력 Banner banner login # @@@@@@@@@@@@@@@@@@@ @ Only authorized actions are permitted. @ @ All commands typed are recorded. @ @@@@@@@@@@@@@@@@@@@ # *..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) 물리적 포트 사용 금지 - RJ45 포트락 사용 2) Interface Shutdown [Cisco] 네트워크 장비 취약점 점검 N-14 [5.8 사용하지 않는 인터페이스의 Shutdown 설정] [Cisco] 네트워크 장비 취약점 점검 N-14 [5.8 사용하지 않는 인터페이스의 Shutdown 설정] KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Interface Shutdown IOU1(config)#interface e0/2 IOU1(config-if)#shutdown IOU1(config-if)# IOU1(config-if)#exit *..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] 1) SSH Configuration hostname Switch ip domain-name ciso crypto key generate rsa ! How many bits in the modulus [512]: 1024 ! # Session Time-out 10초 ip ssh time-out 10 ip ssh version 2 # 접속 기회 3번 ip ssh authentication-retries 3 ! line vty 0 4 transport input ssh - SSH 상태 확인 show ip ssh 2) SSH Remote Connection - SecureCRT에서 접속하기 - 접속 완..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] - Switch에 User를 생성한다. 권한별로 생성하여, 접속 후 권한을 확인해본다. username tiene10 privilege 10 secret cisco username tiene0 secret cisco - username에 별다른 privilege 값이 부여되지 않으면 0 으로 접속한다. - tiene10으로 접속하면, 자동으로 권한이 10 으로 부여되며, Prompt의 상태가 # 임을 알 수 있다. - running-config을 볼 수 없는 권한이다. - 반면, tiene0은 Prompt가 > 으로 접속되었다. * show running-config를 보기 위한 권한은 오직 Pr..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Interface Shutdown IOU1(config)#interface e0/2 IOU1(config-if)#shutdown IOU1(config-if)# IOU1(config-if)#exit * Cisco Interface 상태 확인 - Router & Switch 공통 show ip interface brief - administratively down = shutdown 상태 - Switch show interfaces status - Port 별 상태 / VLAN / Autonego 상태 확인 - Router show interface stats - Port 별 패킷 & Data의 송/수신의..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] 1) DDoS Denial ACL Configuration configure terminal access-list 100 deny ip 0.0.0.0 0.255.255.255 any access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip 169.254.0.0 0.0.255.255 any access-list 100 deny ip 172.16.0.0 0.15.255.255 any access-list 100 deny ip 192...

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 특수용도 주소 리스트 [구성도] 1) Spoofig Denial ACL Configuration configure terminal access-list 100 deny ip 0.0.0.0 0.255.255.255 any access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip 169.254.0.0 0.0.255.255 any access-list 100 deny ip 172.16.0.0 0.15.255.255 any access-list 1..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) TFTP 관련 내용 - GNS3에서 테스트했을 때, 상세가이드에서 제시한 명령어가 없었다. - IOS Version 에 따라서 달라질 수 있어서 CISCO 문서를 뒤져보았다. - 나온 결과로는 show running-config | include tftp-server 로 명령어가 검색되지 않으면, tftp 설정이 없다고 한다. - 그래도 만약의 Configuration에 대비하여, 완전히 Disabling 하는 방법까지 제시하였다. - 요약하자면, show running-config에서 나오는 tftp 관련 Configuration 앞에 전부 no를 붙여서 입력하라는 것이다. - Version 별로 취..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) SNMP 설정 확인 show running-config | include snmp show snmp community * SNMP Community 값 관련 설정 항목

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] 1) SNMP ACL Configuration - NMS Server (192.168.111.1)만 SNMP 정보 접근 허용 - WIN2003 (192.168.111.131)은 SNMP 정보 접근 불가 IOU2(config)#access-list 1 permit 192.168.111.1 IOU2(config)#access-list 1 deny any log IOU2(config)#snmp-server community tiene188 RO 1 IOU2(config)#exit 2) Configuration 설정 동작 확인 - 192.168.111.1 -> 192.168.111.3 SNMP 정보 접근..