주정통 - Network 정리

1. 패스워드 설정

- enable

- show running-config

- login: 라인 패스워드 인증

- local login: 로컬 사용자 인증

- no login: 인증 없이 사용자 모드

 

비밀번호 설정 방법

1) enable 패스워드 설정

- enable secret

- enable password

2) 콘솔, vty 비밀번호 설정, AUX(보조 포트)

-> line console | line vty 0 4 -> login

 

***암호화된 패스워드는 secret을 사용해야함!

 

2. ACL 설정

access-list <ACL ID> permit|deny <IP주소>

(console이나 vty) access-class <ACL ID> in|out

(interface) ip access-group <ACL ID> in|out

 

3. 세션 타임아웃

(config-line) exec-timeout [m] [s]

 

4. 버전 확인

# show version

 

5. snmp 버전 확인

# show snmp or show running-config

불필요한 snmp 사용안함

(config)# no snmp-server

 

6. snmp community string 복잡성 설정

# conf t

(config)# snmp-server community <커뮤니티 스트링>

 

7. snmp community string ACL 적용

#conf t

(config)# snmp-server community <커뮤니티 스트링> RO <ACL 번호>

*RO는 read only의 약어임

 

+ RO|RW는 snmp-server community <커뮤니티 스트링> RO|RW를 통해서 설정할 수 있음

 

8. tftp 서비스 제거

(config)# no service tftp

 

9. 사설 네트워크와 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 주소가 ACL으로 deny 되어 있는지 확인 필요함

 

10. 사용자, 명령어 별 권한 수준 설정

권한은 1-15로 설정하고, 15가 가장 높은 권한임

user <계정> privilege <권한> password <비밀번호>

prilvilege exec level <권한> <명령어>

 

11. 배너 설정

- banner motd

- banner login

- banner exec

 

12. 원격 로그서버 사용

- show logging: 로깅 설정 확인

*logging buffered 16000(byte) -> 로깅 버퍼 확인

- logging on 

 

13. ntp 서버 연동

(config)# ntp server <NTP 서버 IP>

 

14. bootp 서비스: 네트워크를 이용해 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게하는 프로토콜

- no ip bootp server

 

15. identd 서비스: 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스임

- no ip identd

 

16. ICMP unreachables, redirect 차단

- no ip unreachables: 어떠한 이유로 전달될 수 없는지 코드들을 포함함

- no ip redirects: 최적 경로를 다시 지정해주는 용도로 사용

 

17. finger 차단

- no ip finger

 

18. http 차단

- no ip http server

- no ip http secure-server

 

19. TCP/UDP small 서비스 차단

- no service tcp-small-servers

- no service udp-small-servers

 

20. cdp 서비스 차단: cisco 제품 관리를 위해 만들어진 프로토콜 

- no cdp run

 

21. directed broadcast 차단

- no ip directed-broadcast -> smurf 공격 차단

 

22. source route 차단

- no ip source-route: 송신 측에서 routing 경로 정보를 송신 데이터에 포함하여 routing 시키는 방법, 라우팅 경로 설정 가능

 

23. proxy arp 차단

 - no ip proxy-arp: 동일 서브넷에서 다른 호스트를 대신하여 ARP request 응답하는 기술 

 

24. domain lookup 차단

- no ip domain-lookupL 문자열을 입력하면 호스트 이름으로 간주하여 domain lookup을 시도함

 

25. no service pad: 비동기형 단말기의 연결을 제공하는 서비스

 

26. no ip mask-reply: 내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 네트워크 장비가 응답하지 않도록 설정

 

+ 부가적인 명령어(참고)

 

패스워드 설정	password <패스워드> secret <패스워드>
비밀번호 설정	login local login no login
ACL 설정	ip access-group <ID> in|out
	access-class <ID> in|out
세션 타임아웃 설정	exec-timout [m] [s]
버전 확인	show version
snmp 서버 사용안함	no snmp-server
snmp 커뮤니티 스트링 설정	snmp-server community <커뮤니티 스트링>
snmp 커뮤니티 스트링 권한 설정	snmp-server community <커뮤니티 스트링> RO | RW
tftp 제거	no service tftp
사용자 권한 설정	user <계정> privilege <권한 1-15> password
명령어 권한 설정	privilege exec level <1-15> <명령어>
배너 설정	banner motd banner login banner exec
원격 로그 서버 설정	logging on
ntp 서버 설정	ntp server <ntp 서버 IP>
bootp	no ip bootp server
identd	no ip identd
icmp unreachables	no ip unreachables
icmp redirects	no ip redirects
finger	no ip finger
http	no ip http server no ip http secure-server
tcp/udp small service 차단	no service tcp-small-servers no service udp-small-servers
cdp 차단	no cdp run
directed broadcast 차단 [smurf 공격 차단함]	no ip directed-broadcast
source route 차단 -> 라우팅 경로를 설정할 수 있음	no ip source-route
proxy arp 서브넷 내 다른 기기가 arp 응답을 대신할 수 있는 서비스	no ip proxy-arp
domain-lookup : 문자열 입력 시 호스트 이름으로 간주하여 domain lookup 실행	no ip domain-lookup
pad	no servcie pad
mask-reply	no ip mask-reply
어떤 사용자도 접속 금지	no password
어떤 입력도 받지 않음	transport input none
어떤 명령도 실행 안 됨	no exec
타임아웃	exec-timout 0 1
tcp 세션	no service tcp-keepalives-in no service tcp-keepalives-out