Cisco interface Config 분석

no ip direct-broadcast 

• CISCO IOS는 Directed Broadcasts가 제한되어 있지 않다.
• Directed Broadcast는 Dos(Denial Of Service)의 일종인 Smurf 공격에 주로 쓰이는 방식으로 목표지점에 도달하기 전까지 Unicast 방식으로 전송되다가 최종 라우터를 통과할 때 비로소 Directed Broadcast를 알아볼 수 있으므로 장치별로 이러한 패킷을 제한할 수 있도록 설정하여야 한다.

no ip unreachable 

• Cisco 장비의 경우 ICMP unreachable 메시지는 목적지 호스트가 네트워크 상에 존재하지 않을 경우,
• 네트워크 장비가 소스 호스트에 전송하는 메시지로서 이를 악용하는 불법 사용자는 이 기능을 이용하여 네트워크 상에 실제로 동작하는 장비를 리스팅하고 스캔 범위를 결정하게 된다.

no ip redirect 

• ICMP redirects는 라우터가 로컬 서브넷의 호스트에게 목적지까지의 경로로서 자신이 아닌 다른 라우터를 사용하게끔 하는 기능
• 호스트가 보유한 라우팅 테이블이 최적의 정보를 갖게 하는 것을 목적으로 한다.
• 악의적인 공격자들은 이런 기능을 하용하여 ICMP redirect를 전송하여 네트워크를 지나는 패킷의 방향을 바꿀 수 있다.

 

no ip proxy-arp

• Cisco 라우터는 디폴트 라우터나 Gateway를 가지고 있지 않는 네트워크의 호스트들에게 ARP 서비스를 제공하는 역할을 한다.
• 이 경우 호스트가 목적지 IP 주소에 대한 MAC 주소를 요청하면 Proxy ARP를 요청하여 라우터가 이에 응답하는 것을 이용하여 라우터워 네트워크에 관련된 정보를 획득할 수 있다.

 

 

 

Command	Context
no ip redirects	host에게 icmp redirect 메시지를 보내지 말라
no ip unreachables	불필요한 서비스나 기능을 차단하여 보안 강화와 성능저하를 방지
no ip proxy-arp	해커들이 라우터와 네트워크에 관련된 정보를 얻지 못하게 하기 위한 사용
no cdp enable	시스코 ios 장치의 인터페이스 discovery protocol을 비활성화
no ip router-cache	SVI구성에서 필요 없는 라우팅 관련 정보들을 받지 않게 하기 위해 사용
Service compress-config	Copy run start 할 때 NVRAM에 압축해서 저장하라, NVRAM 저장 방식 효율적