KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) identd Disabling Configuration no ip identd https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190925-identd-dos.html Cisco IOS and IOS XE Software IP Ident Denial of Service Vulnerability A vulnerability in the Ident protocol handler of Cisco IOS and IOS XE Software could allow an unauthenticated, remote attacker to cause an affec..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) ICMP unreachable Disabling Configuration no ip unreachable 인터페이스 액세스 리스트로 필터링을 하면 필터링이 된 트래픽의 출발지로 ICMP unreachable 메시지를 전송한다. 이러한 메시지의 생성은 장치의 CPU 사용율의 증가로 이어진다. 이러한 메시지를 no ip unreachables로 Disable 할 수 있다. 2) ICMP Redirect Disabling Configuration no ip redirect 같은 인터페이스 상에서 패킷이 송/수신될 때 Router는 ICMP redirect 메시지를 생성한다. 이 상황에서 Router는 패킷을..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Proxy ARP Disabling Configuration no ip proxy-arp [구성도] - 구성 상태 첫 번째 Router[172.16.0.254/12] - no ip routing 두 번째 Router[172.16.1.254/12 & 192.168.111.3/24] - Interface range Ethernet 0/0-1 = ip proxy-arp = Proxy ARP 중간 매개체 세 번째 Router[192.168.111.150/24] - no ip routing - 첫 번째 Router에서 세 번째 Router로 Ping 출발지 IP : 172.16.0.254 목적지 IP : 192..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) IP Source Route Disabling Configuration no ip source-route [Source route] A source route, in the context of networking, refers to the explicit path that a packet takes from the source (sender) to the destination (receiver) through the network. Unlike traditional routing, where routers along the path determine the route based on their rout..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Disabling IP directed-broadcast no ip directed-broadcast [이해하기] - Directed broadcast is a mechanism in which a packet is sent to all devices on a specific network segment based on the destination IP address. It is a legacy feature that has security implications and is often disabled in modern networks due to potential misuse for various a..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) CDP Disabling Configuration no cdp run * debug cdp events로 cdp 동작 과정 확인 - 지속적으로 아래와 같이 IP / MAC 정보를 주고 받기 때문에, 정보가 유출 될 수 있다. - CDP 기능을 끄면, CDP Cache가 날라가는 것을 확인할 수 있다.

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Bootp Service Disabling Configuration # Bootp Service Disable no ip bootp server # DHCP Service Enable & Bootp Service Disable ip dhcp bootp ignore https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html Cisco Guide to Harden Cisco IOS Devices This document describes the information to help you secure your Cisco IOS® syst..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) TCP/UDP Small Service Disabling Configuration no service tcp-small-servers no service udp-small-servers https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html Cisco Guide to Harden Cisco IOS Devices This document describes the information to help you secure your Cisco IOS® system devices, which increases the overall secu..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) HTTP Server Disabling Configuration no ip http server no ip http secure-server ip http active-session-modules exclude_webexec ip http secure-active-session-modules exclude_webexec https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html Cisco Guide to Harden Cisco IOS Devices This document describes the information to help..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Finger Service Disabling Configuration no service finger no ip finger - 12.1(5) 와 12.1(5)T 이후 IOS 버전은 기본 값이 Disable 이다. https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html Cisco Guide to Harden Cisco IOS Devices This document describes the information to help you secure your Cisco IOS® system devices, which increases ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] 1) TCP Keepalive Timeout Configuration service tcp-keepalives-in service tcp-keepalives-out * Debug 로 TCP Keepalive Timeout 확인해보기 Switch#debug ip tcp packet TCP Packet debugging is on Switch#debug ip tcp transactions TCP special event debugging is on - 1분 경과시 TCP Keepalive Timeout Log 발생 - 2분 경과시 TCP Keepalive Timeout Log 발생 - 3분 경과시 T..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Timestamps Configuration - Uptime 기준 timestamp 출력 service timestamps log uptime - UTC Timezone 기준 시간 출력 service timestamps log datetime - UTC Timezone 기준 시간 초 단위까지 출력 service timestamps log datetime msec - Local Timezone(KST) 기준 시간 출력 service timestamps log datetime localtime - Local Timezone(KST) 기준 시간 / 연도 / 초단위 까지 출력 service timestamps..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) NTP Server Configuration ntp server 106.247.248.106 * 1.kr.pool.ntp.org show ntp status * timezone 한국으로 변경하기 clock timezone KST 9

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 0) Logging Configuration 1) Console Logging logging console ? 2) Buffered Logging logging buffered 3) Monitor Logging logging monitor 4) Syslog Server Logging logging host 192.168.111.1 5) SNMP Traps Logging snmp-server enable traps ? 6) ACL Logging access-list 1 permit 192.168.1.101 access-list 1 deny any log * deny Rule에 대한 Log 발생 결과 *Aug ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Logging Buffer Size Configuration logging buffered 18000 logging buffered information