[Network] Cisco 스위치 보안 취약점 점검 내용 및 조치 방법

Cisco 스위치의 보안 취약점 점검 내용 및 컨피그에 대해 정리해 보았습니다.

---

구분	번호	취약점 점검 항목	중요도	Configuration
계정관리	N-1	패스워드 설정	상	enable secret 9 xxxxxxxx username xxxx secret 9 xxxxxxxx
	N-2	패스워드 복잡성 설정	상	enable secret 9 xxxxxxxx username xxxx secret 9 xxxxxxxx
	N-3	암호화된 패스워드 사용	상	enable secret 9 xxxxxxxx username xxxx secret 9 xxxxxxxx
	N-4	사용자 명령어별 권한 수준 설정	중	username xxx secret 9 xxxx
접근관리	N-5	VTY 접근(ACL) 설정	상	ip access-list extended ACL_SSH  10 permit tcp host xx.xx.xx.xx any eq 2022  20 permit tcp host xx.xx.xx.xx any eq 2022 ip ssh port 2022 rotary 1 ip ssh version 2 line vty 0 4 access-class ACL_SSH in
	N-6	Session Timeout 설정	상	line vty 0 4 exec-timeout 5 0 line console 0 exec-timeout 5 0
	N-7	VTY 접속 시 안전한 프로토콜 사용	중	line vty 0 4  exec-timeout 5 0  login local  transport input ssh
	N-8	불필요한 보조 입출력 포트 사용 금지	중	line aux 0  no exec
	N-9	로그온 시 경고 메시지 설정	중	banner motd ^C ########################################################################                              !!! WARNING !!!                              !!! WARNING !!! ######################################################################## ^C
패치관리	N-10	최신 보안 패치 및 벤더 권고사항 적용	상	최신 보안 패치 적용
로그관리	N-11	원격 로그서버 사용	하	logging host xx.xx.x.xx logging facility local10 logging source-interface vlan1 logging trap informational loggin on
	N-12	로깅 버퍼 크기 설정	중	logging buffer 1024
	N-13	정책에 따른 로깅 설정	중	logging host xx.xx.x.xx logging facility local10 logging source-interface vlan1 logging trap informational loggin on logging buffer 1024
	N-14	NTP 서버 연동	중	ntp server xx.xx.x.xx
	N-15	Timestamp 로그 설정	하	service timestamps debug datetime msec service timestamps log datetime msec
기능관리	N-16	SNMP 서비스 확인	상	no snmp-server  or snmp-server x.x.x.x
	N-17	SNMP community string 복잡성 설정	상	snmp-server Community <커뮤니티명> <커뮤니티명> 복잡하게 설정
	N-18	SNMP ACL 설정	상	no snmp-server  or ip access-list extended ACLSSH 1 remark SNMP 2 permit ip host xx.xx.x.xx any line vty 0 4  access-class ACLSSH
	N-19	SNMP Commnunity 권한 설정	상	snmp-server community snmp RO
	N-20	TFTP 서비스 차단	상	no service tftp
	N-21	Spoofing 방지 필터링 적용	상	ip access-list extended ACLSSH 100 remark Spoofing 101 deny ip 127.0.0.0 0.255.255.255 any any 102 deny ip 224.0.0.0 31.255.255.255 any any line vty 0 4 access-class ACLSSH in
	N-22	DDoS 공격 방어 설정	상	ip access-list extended ACLSSH 103 remark DDoS 104 deny ip 127.0.0.0 0.255.255.255 any any 105 deny ip 224.0.0.0 31.255.255.255 any any 106 deny ip 0.0.0.0 0.255.255.255 any any 107 deny ip 169.254.0.0 0.0.255.255 any any 108 deny ip 192.0.2.0 0.0.0.255 any any 109 deny ip 10.0.0.0 0.255.255.255 any any line vty 0 4 access-class ACLSSH in
	N-23	사용하지 않는 인터페이스 shutdown	상	interface gi x/x shutdown
	N-24	TCP keepalive 서비스 설정	중	service tcp-keepalives-in
	N-25	Finger 서비스 차단	중	no service finger or no ip finger
	N-26	웹 서비스 차단	중	no ip http server no ip http authentication local no ip http secure-server
	N-27	TCP/UDP small 서비스 차단	중	no service tcp-small-servers no service udp-small-servers
	N-28	Bootp 서비스 차단	중	no ip bootp server
	N-29	CDP 서비스 차단	중	no cdp run
	N-30	Directed-broadcast 차단	중	no ip directed-broadcast
	N-31	Source 라우팅 차단	중	no ip source-route
	N-32	Proxy ARP 차단	중	no ip proxy-arp
	N-33	ICMP unreachable, Redirect 차단	중	interface Vlan1  ip address 10.10.10.10 255.255.0.0  no ip redirects  no ip unreachables
	N-34	identd 서비스 차단	중	no ip identd
	N-35	domain lookup 차단	중	no ip domain lookup
	N-36	pad 차단	중	no service pad
	N-37	mask-rely 차단	중	interface gi x/x no ip mask-reply
	N-38	스위치 보안 강화	하	interface gi x/x switchport port-security switchport port-security mac-add xxxx.xxxx.xxxx

 

위의 내용은 각 보안 취약점에 대한 컨피그 설정 중에 하나이며 장비별, 상황별로 적용해야할 컨피그가 다를 수 있습니다.

참고용으로만 봐주시면 감사하겠습니다.