KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 계정 정책> 계정 잠금 정책 2) "계정 잠금 임계값"을 "5"이하의 값으로 설정

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> LUSRMGR.MSC> 사용자 2) 등록된 계정 중 불필요한 사용자 선택> 속성> "계정 사용 안 함"에 체크하거나 계정 삭제

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> LUSRMGR.MSC> 사용자> GUEST> 속성 2) "계정 사용 안 함"에 체크

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Window NT, 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 프로그램> 제어판> 관리도구> 로컬 보안 정책> 로컬 정책> 보안옵션 2) "계정: Administrator 계정 이름 바꾸기"를 유추하기 어려운 계정 이름으로 변경

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Port-Security Configuration [CISCO] Port-Security 기초 및 추가 옵션 [GNS3] [CISCO] Port-Security 기초 및 추가 옵션 [GNS3] - Switch 엔지니어는 Switch만 챙길 수 없다. - 결국, Host 들 사이의 통로를 만들어주는 것이고, Host의 특성과 특징들도 잘 알아두어야한다. - 그리고, Switch의 특성답게 수많은 Host가 연결되는데, 대부 a-gyuuuu.tistory.com https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc78 Ci..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Mask-reply Disabling Configuration no ip mask-reply https://www.stigviewer.com/stig/cisco_ios_xe_router_rtr/2020-09-23/finding/V-216656 The Cisco router must be configured to have Internet Control Message Protocol (ICMP) mask reply messages disabled on all externa Security Technical Implementation Guides (STIGs) that provides a methodolog..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) PAD Disabling Configuration no service pad https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc78 Cisco Guide to Harden Cisco IOS Devices This document describes the information to help you secure your Cisco IOS® system devices, which increases the overall security of your network. www.cisco.com

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Domain Lookup Disabling Configuration no ip domain-lookup * debug ip domain 으로 ip domain-lookup 살펴보기 - www.naver.com를 입력하면, 입력한 문자열에 대하여 IP 주소를 얻으려고 Query를 보낸다. - 이때, 어떠한 입력을 하지 못하고 대기해야한다. (Ctrl + Alt + 6을 누르면 바로 취소된다.) - Domain 을 찾는 명령어를 입력하고 다시 한번 더 입력하고 살펴본다. - 찾는 과정이 없어진다. https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) identd Disabling Configuration no ip identd https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190925-identd-dos.html Cisco IOS and IOS XE Software IP Ident Denial of Service Vulnerability A vulnerability in the Ident protocol handler of Cisco IOS and IOS XE Software could allow an unauthenticated, remote attacker to cause an affec..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) ICMP unreachable Disabling Configuration no ip unreachable 인터페이스 액세스 리스트로 필터링을 하면 필터링이 된 트래픽의 출발지로 ICMP unreachable 메시지를 전송한다. 이러한 메시지의 생성은 장치의 CPU 사용율의 증가로 이어진다. 이러한 메시지를 no ip unreachables로 Disable 할 수 있다. 2) ICMP Redirect Disabling Configuration no ip redirect 같은 인터페이스 상에서 패킷이 송/수신될 때 Router는 ICMP redirect 메시지를 생성한다. 이 상황에서 Router는 패킷을..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Proxy ARP Disabling Configuration no ip proxy-arp [구성도] - 구성 상태 첫 번째 Router[172.16.0.254/12] - no ip routing 두 번째 Router[172.16.1.254/12 & 192.168.111.3/24] - Interface range Ethernet 0/0-1 = ip proxy-arp = Proxy ARP 중간 매개체 세 번째 Router[192.168.111.150/24] - no ip routing - 첫 번째 Router에서 세 번째 Router로 Ping 출발지 IP : 172.16.0.254 목적지 IP : 192..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) IP Source Route Disabling Configuration no ip source-route [Source route] A source route, in the context of networking, refers to the explicit path that a packet takes from the source (sender) to the destination (receiver) through the network. Unlike traditional routing, where routers along the path determine the route based on their rout..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Disabling IP directed-broadcast no ip directed-broadcast [이해하기] - Directed broadcast is a mechanism in which a packet is sent to all devices on a specific network segment based on the destination IP address. It is a legacy feature that has security implications and is often disabled in modern networks due to potential misuse for various a..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) CDP Disabling Configuration no cdp run * debug cdp events로 cdp 동작 과정 확인 - 지속적으로 아래와 같이 IP / MAC 정보를 주고 받기 때문에, 정보가 유출 될 수 있다. - CDP 기능을 끄면, CDP Cache가 날라가는 것을 확인할 수 있다.

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Bootp Service Disabling Configuration # Bootp Service Disable no ip bootp server # DHCP Service Enable & Bootp Service Disable ip dhcp bootp ignore https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html Cisco Guide to Harden Cisco IOS Devices This document describes the information to help you secure your Cisco IOS® syst..