물리적 보안 설정

물리적 보안 설정의 중요성

보안이라고 하면 흔히 방화벽, IPS 등의 외부트래픽 필터링에 대해서만 생각하기 일수인데, 사실 물리적 보안을 염두해두지 않으면 논리적인 보안설정을 아무리 잘해두어도 소용이 없다. 

장비가 설치된 시설(물리적인 위치)은 대부분의 경우 침입자에 의해 맞닥드려지는 첫 번째이나 마지막 장애물이다. 물리적 보안은 장비들에 대해 손으로 만질 수 있는 물리적인 접근을 하지 못하게 막는다. 물리적 보안은 네트워크 보안보다 더 중요하지만 네트워크 관리자에 의해 자주 무시된다. 물리적 보안이 되어있지 않으면 모든 것을 내어주는 침해로 끝나게 되므로 인가자만 접근할 수 있는 물리적 보안시설을 갖고 있는 것이 절대적으로 중요하다.

※ 침해 순서

장비의 물리적인 무결성(초기침해) → 장비의 정적인 코어설정 → 장비의 동적인 설정과 성능 → 장비를 통과하는 네트워크 트래픽의 흐름 순으로 흘러간다. 

시스코에서 제공하는 세 가지 패스워드 보호방식

평문 패스워드

: 암호화가 안되는 가장 보안에 취약한 패스워드 설정.

(config)# enable password cisco

Type 7 패스워드 (패킷트레이서에서 명령어 실행이 안됨)

: 시스코 전용 암호화 알고리즘을 사용하며, 쉽게 복호화 할 수 있어 보안에 약하다.

  (검색창에 decrypt cisco type 7 password 라고 치면 복호화하는 사이트가 바로 뜬다.)

(config)# enable password 7 cisco

Type 5 패스워드

: MD5 해싱 알고리즘을 사용하여 Type 7보다 강력한 보안설정이 된다.

(config)# enable secret cisco

 

※ Type 7 설정 : enable password, username, line password 명령어에서 사용할 수 있다.

   Type 5 설정 : enable secret, username secret 명령어에서 사용할 수 있다.

그 외 패스워드 보안 설정 (GNS3에서 실습 됨)

security password min-length

최소한의 패스워드 길이를 구체적으로 명시하여 향상된 기능의 보안 접근을 제공한다.

이 명령어가 활성화 된 후에는 정해진 길이 보다 짧은 패스워드는 설정할 수 없지만, 이전에 설정한 패스워드는 계속 동작한다.

security authentication failure rate

로그인 실패 시 로그인의 시도 횟수를 정한다.

지정된 시도 횟수를 초과하는 경우 syslog 메시지를 발생시켜 브루트포스 공격과 같은 것을 막는다.

service password-encryption (PT에서도 실습 됨)

패스워드가 설정될 때, 패스워드가 type 7로 암호화된다.

평문으로 전송되는 Telnet 사용 시에도 암호화되어 보이지 않는다.

이전에 설정한 패스워드는 암호화되지 않으므로, 이 명령어 수행 후 다시 설정해야 한다.