네트워크 장비 진단 시 기본 비활성화 및 활성화

1. 상단 보안 장비와 관련이 있는 항목

Spoofing 방지 필터링 적용

DDoS 공격 방어 설정 또는 DDoS 장비 사용

 

2. 기본 비활성화

IOS 12.0 이후부터: IP directed-broadcast 

IOS 12.0 이후부터: small services

IOS 12.1 이후부터: Finger

IOS 12.2 이후부터: Bootp 

NX-OS의 Telnet 서버

TFTP / Identd 

 

3. 기본 활성화

IP source-routing -> 주의 필요

CDP -> 주의 필요

 

1. IP directed-broadcast (IOS 12.0 이후 기본 비활성화)

• 기능: 한 네트워크 세그먼트에서 특정 브로드캐스트 주소로 패킷을 전송하면, 라우터가 이를 해당 세그먼트의 모든 호스트로 전달하는 기능.
• 문제점: Smurf 공격 같은 DDoS 증폭 공격에 악용될 수 있음 (공격자가 ICMP Echo Request를 네트워크의 directed-broadcast 주소로 보내면, 네트워크의 모든 호스트가 응답).
• 보안 권장: no ip directed-broadcast (IOS 12.0부터는 기본 차단).

---

2. Telnet 서버 (NX-OS)

• 기능: 네트워크 장비 원격 관리 프로토콜(기본 TCP/23).
• 문제점: 평문으로 ID/패스워드를 전송하므로 도청·중간자 공격에 취약.
• NX-OS 기본값: 기본 비활성화, feature telnet 명령으로만 활성화 가능.
• 보안 권장: Telnet 대신 SSH(v2) 사용, VTY line에 transport input ssh 설정.

---

3. TFTP (Trivial File Transfer Protocol)

• 기능: 장비 간 설정파일/IOS 이미지 전송에 사용되는 단순 파일 전송 프로토콜(UDP/69).
• 문제점: 인증·암호화가 없어 파일 위·변조, 불법 다운로드 위험.
• Cisco 기본값: 최신 IOS/XE/NX-OS에서는 기본 비활성화.
• 보안 권장: 필요할 때만 내부망에서 제한적으로 사용, 가능하면 SCP/FTP(S)로 대체.

---

4. Identd (Identification Protocol)

• 기능: TCP 연결 시 서버가 요청 클라이언트의 사용자 ID를 알려주는 프로토콜(TCP/113).
• 문제점: 불필요한 사용자 정보 노출 → 공격자가 계정명 등을 획득할 수 있음.
• Cisco 기본값: IOS/NX-OS에서 기본 비활성화, ip identd 명령으로만 켤 수 있음.
• 보안 권장: 특별한 레거시 요구사항 없으면 비활성화 유지.

---

5. Finger 서비스 (IOS 12.1 이후 기본 비활성화)

• 기능: 호스트의 사용자 로그인 상태/세션 정보를 알려주는 고전적 서비스(TCP/79).
• 문제점: 사용자 계정명, 로그인 시간 등이 노출 → 공격자 계정 사전 공격에 이용.
• Cisco 기본값: IOS 12.1부터 기본 비활성화.
• 보안 권장: 사용 금지(no service finger).

---

6. Bootp 서비스 (IOS 12.2 이후 기본 비활성화)

• 기능: IP 주소 자동 할당 프로토콜(BOOTP, 후에 DHCP로 대체됨).
• 문제점: 악성 서버가 잘못된 IP 제공 가능, 필요 없는 경우 보안 취약점이 됨.
• Cisco 기본값: IOS 12.2부터 기본 비활성화.
• 보안 권장: no ip bootp server 유지, DHCP를 사용하되 필요 시 ACL로 보호.

---

7. Small services (TCP/UDP small services, IOS 12.0 이후 기본 비활성화)

• 기능: 디버깅 목적의 소규모 네트워크 서비스들 (echo, chargen, discard, daytime 등).
  • TCP/7 echo: 받은 입력을 그대로 돌려줌
  • TCP/19 chargen: 무작위 문자 스트림 출력
  • TCP/9 discard: 모든 입력 무시
  • TCP/13 daytime: 날짜·시간 제공
• 문제점: 공격자가 이 서비스들을 이용해 DoS 공격이나 포트 증폭 공격 수행 가능.
• Cisco 기본값: IOS 12.0부터 기본 비활성화.
• 보안 권장: no service tcp-small-servers, no service udp-small-servers.