보안 검열에 항상 나오는 주제인 포트스캔에 대해서 알아보려고 합니다. 열려 있는 포트를 막는다면 해당 포트로 장비에 원격 접속을 못하니 장비들 관리가 어려워집니다. 그래도 보안 때문에 막아야 한다면 어쩔 수 없이 차단해야 하는데요. 장애 시에 대처가 어렵고 가까운 위치에 장비가 있다면 복구하는데 오랜 시간이 걸리진 않지만 장비 거리가 멀다면 장애 및 복구 시간이 오래 걸리니 원격을 막는 것은 좋지 못하다고 생각이 듭니다.
테스트 장비
장비명 : WS-C2960X-24TS-LL
OS VERSION : 15.2(4)E6
설정은 텍스트로 아래 첨부해 두었습니다.
Switch#show run
Building configuration...
Current configuration : 1883 bytes
!
! Last configuration change at 02:43:14 UTC Mon Apr 18 2022
! NVRAM config last updated at 02:43:15 UTC Mon Apr 18 2022
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
enable secret admin123
!
username admin password 0 admin123
no aaa new-model
!
!
!
!
!
!
!
ip domain-name cisco.com
vtp mode transparent
!
!
!
!
!
!
!
!
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
vlan 10,999
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface Vlan1
ip address 192.168.10.123 255.255.255.0
!
ip default-gateway 192.168.10.1
ip http server
ip http secure-server
!
ip ssh port 2000 rotary 1
ip ssh version 2
!
ip access-list extended ssh_block
permit tcp any any eq 2000
no vstack
!
line con 0
line vty 0 4
access-class ssh_block in
login local
rotary 1
transport input ssh
line vty 5 15
login
!
end
위와 같이 ssh 접속 테스트를 위한 기본 설정을 완료하고 실제로 2000번 포트만 열리는지 포트스캔 프로그램을 이용해서 열어보니 아래와 같이 제가 미처 생각 못했던 포트들이 열려 있는 걸 확인할 수 있었습니다. 실제로 보안 감사 때 아래와 같이 사용하지 않는 포트들이 나온다면 지적 대상이겠죠.
포트 스캔 프로그램은 구글에서 검색하셔서 받으시면 되는데 따로 공개는 하지 않고 각자 알아서 다운 받으시길 바랍니다. 막아야 할 포트들이 많은데요. 보시면 http와 https 2000번 포트는 열려 있는 게 이해가 가는데 telnet은 안 열어 놨는데 스캔에 나왔죠. 아시는 분은 아시겠지만 line vty 0 4 가 있고 line 5 15 두 개가 있습니다. 제가 line 5 15 은 설정을 안해놨기 때문에 포트 스캔 시 나오는 이유입니다. 그럼 한 개씩 막아 보겠습니다.
no ip http server = http 차단
no ip http secure-server = https 차단
line vty 0 4 / line vty 5 15 양쪽 적용
transport input none = telnet ssh 차단
위에 설정들을 하셨다면 실제로도 아래와 같이 원격 접근도 안되시는 걸 확인 하실 수 있습니다. 읽어주셔서 감사합니다.
'네트워크 팁 > Cisco' 카테고리의 다른 글
| Cisco Flexlink switchport Active Backup / interface backup / Cisco REP config (0) | 2022.08.26 |
|---|---|
| Cisco Switch Password recovery(패스워드 리커버리) & 초기화 (0) | 2022.03.15 |