[네트워크] 스위치 보안점검(장비보안) 점검사항
각 파트별 보안 점검사항들 정리해 봤습니다.
| Ⅰ. 사용자관리 |
| 1.1 ID/Password를 인증서버를 통해서 관리하는가? |
| 1.2 Password-Encryption이 설정되어 있는가? |
| 1.3 Secret 패스워드가 설정되어 있는가? |
| 1.4 Telnet 접속 시 ID와 Password를 모두 사용할 수 있도록 Username을 사용하는가? |
| 1.5 Console 접속 Password를 설정 하였는가? |
| 1.6 VTY접속 패스워드를 설정 하였는가? |
1.7
취약하지 않은 패스워드를 사용하는가? |
| Ⅱ. 네트워크 접근 통제 |
| 2.1 원격제어포트 사용금지 및 운영상 사용 시, ACL 적용이 되어 있는가? |
| 2.2 VTY에 접속을 위해 SSH와 같은 프로토콜을 사용하는가? |
| 2.3 Console, VTY에 대한 Timeout 설정이 되어 있는가? |
| 2.4 불법적인 목적을 가진 접근자에게 경고를 주는 배너 설정을 하였는가? |
| 2.5 HTTP 서비스가 Disable 설정되어 있는가? |
| 2.6 HTTP 서비스를 사용해야 한다면 접속 가능한 IP를 제한 했는가? |
| 2.7 사설IP가 라우팅 되지 않도록 ACL 설정이 되어 있는가? |
2.8 SRC
주소가 Multicast 나 Broadcast 주소인 경우 라우팅 되지 않도록 ACL 설정 |
| Ⅲ. 네트워크 서비스 보안 |
| 3.1 UDP-SMALL-SERVERS-SMALL-SERVERS가 제거되어 있는가 |
| 3.2 SMURF와 같은 DoS를 막기 위해 Directed Broadcast를 차단했는가? |
| 3.3 IP Source Routing Option을 막을 수 있도록 설정되어 있는가 |
| 3.4 ICMP Redirect를 제한하도록 설정되어 있는가? |
| 3.5 Proxy-ARP 기능이 Disable 되어 있는가 |
| 3.6 Finger Service는 Disable되어 있는가? |
| 3.7 IP unreachable notification기능을 금지하고 있는가? |
| 3.8 Domain Name Service를 사용하지 않을 경우 resolve 기능을 제거하였는가? |
3.9
CDP(Cisco Discovery Protocol)서비스가 disable되어 있는가? |
| Ⅳ. 시스템 보안 |
| 4.1 SNMP Community string이 추측하기 어렵게 설정하는가? |
| 4.2 Community String을 RO와 RW로 구분하여 설정하였는가 |
4.3
SNMP 관리를 위한 IP를 제한하여 설정 했는가? |
| Ⅴ. 로깅 |
| 5.1 SNMP 데이터를 수집 후 적절하게 분석하고 있는가? |
| 5.2 ACL을 위반하는 패킷을 log 하고 있는가? |
| 5.3 별도의 로깅 서버가 존재하는가? |
| 5.4 log entry에 timestamp가 남는가? |
| 5.5 충분한 양의 로그를 남길 수 있도록 로그버퍼 크기를 할당하였는가? |
5.6
NTP(Network Time Protocol)를 이용하여 각 장비의 시각 동기화가 구현되어 있는가? |
| Ⅵ. 운영관리 |
6.1 보안 패치된 IOS 버전을 사용하고 있는가? |
| Ⅶ. 운영관리 |
| 7.1 보안 패치된 IOS 버전을 사용하고 있는가? |
| 7.2 네트워크의 이중화하여 안전한 구성을 하고 있는가? |
| 7.3 주기적으로 네트워크 설정 백업을 수행하고 있는가? |
Cisco 스위치 장비들에 대한 적용 config 문의는 댓글로 받겠습니다.
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > CCNA CCNP CCIE' 카테고리의 다른 글
| [네트워크] 기초 - 네트워크란? (0) | 2018.05.17 |
|---|---|
| [네트워크] Cisco L2 스위치 기본 설정 - IOS 기반 (0) | 2016.09.23 |