post by WHITEHATS
웹기반 정보보안 엔지니어 과정 160229 19번째 강의
4.Network Device Management
4.Switch
•Switch 선택 기준
-연결 매체(cable)의 속도
-IOS의 기능 -> (IOS)스위치 또는 라우터의 운영체제를 설치하는 프로그램
-Port 밀도(확장성)
•Router 선택 기준
-Routing 특성
-확장의 필요성
-Port 밀도 (확장성)
-기능
-사용자 Interface
-용량 및 성능
실제적으로 1841모델을 구입하면 뒷면이 저렇게 생겼다. (Physical)
검은색 네모들이 슬롯! (저기에 모듈을 설치해서 확장한다!)
스위치에서는 포트! 라우터에서는 인터페이스! 명칭이 다르다~
스위치 장비에서는 전원 스위치가 없다.
4.Module 명명법
① Module Size
-Slot의 크기에 맞춰서 선택해야 함
-NM(Network Module) → 크기가 큰 Module
-WIC(Wan Interface Card) → 크기가 작은 Module(일반적으로 Serial Interface Module)
② 확장할 수 있는 Interface 개수
③ Interface의 종류
-E → Ethernet(10Mbps) Interface
-FE → Fast Ethernet(100Mbps) Interface
-GE → Gigabit Ethernet(1000Mbps=1Gbps) Interface
-T → Serial Interface
4.Interface 명명법
중간에 - 은 없다. (보기편하라고 나온 것)
순서 : 0번부터 오른쪽 → 왼쪽, 아래 → 위
① Interface 종류
-연결할 수 있는 네트워크 종류 → 해당 interface의 Layer 2에서 지원되는 Protocol
-Ethernet, FastEthernet, GigabitEthernet, Serial …
② Slot 번호
-interface가 장착된 Slot의 번호(위치) → Slot이 없으면 생략 됨
③ Module 번호
-Module 내부에 추가 slot이 제공되는 경우 내부 slot의 번호(위치) → 추가 Slot이 없으면 생략 됨
④ Interface 번호
-해당 Module에서의 interface번호
실습
컨트롤 c -> 엔터
en 치고 show ip inter bri 입력
모듈이 비어있는 상태... 왼쪽에서 모듈을 낄수 있다. 크기가 작아서 WIC로 명칭되어있음.
드래그 했는데 전원 켜져 있다고 한다 오른쪽에 전원부터 끈다.
하나의 wan 인터페이스 사용하기 위해 추가 해준다. 그리고 전원 온!
모듈 추가 하고 인터페이스 목록들이 나온다!
4.IOS (Internetworking Operating System)
•cisco IOS
-cisco사에서 개발한 Router, Switch의 운영체제 Software
•기능
-장비가 제공하는 다양한 네트워킹 기능을 제공 함
--Routing, Switching, Protocol, Qos(Quality of service), Security, Network Service …
-장비가 장착되어 있는 하드웨어를 제어 함
--CPU, Interface(NIC), ROM, RAM, NVRAM, Flash …
nvram은 저장공간이 작다.
그래서 용량큰 Flash에 저장한다~
4.IOS Configuration File
•Running-config
-관리자 모드(Privileged Mode)에서 확인
-RAM에 저장된 Active Config
-장비에 현재 적용되고 있는 명령
-“show running-config”로 확인
이러한 기본적인 명령어는 IOS에 미리 저장되어있다.
•Startup-config
-관리자 모드(Privileged Mode)에서 확인
-NVRAM에 저장된 내용
-장비의 초기 부팅 단계에서 읽어와서 적용하는 설정 내용
-“show startup-config”로 확인
저장되어있는 설정을 볼 수 있다.
현재 저장이 안되있는 것을 확인.
•설정 내용 저장
-실시간 명령은 Running-config에 저장 됨
-현재 적용되는 명령을 남겨 놓으려면 startup-config에 저장 해야 함
-부팅 마지막 단계에서 startup-config의 명령을 불러와서 재 적용 함
-“copy running-config startup-config”(새로운 이름으로 입력해서 저장) 또는 “write memory”명령(이름은 startup-config로 기본저장)으로 수행
엔터 누르면 된다!
저장되어있는 목록을 확인 할 수 있다.
아까는 저장되어 있는게 없다고 나와 있었지만 현재는 저장되어있는 설정을 볼 수 있다.
•설정 초기화
-현재 장비의 설정의 초기상태로 되돌림 → 공장 초기화
-startup config의 내용 삭제 → 재부팅
-부팅 단계에서 적용할 명령이 없으므로 초기 상태로 부팅 됨
초기 상태로 부팅되는 것 확인!
4.IOS 명명법
•IOS 이름 확인
이름 끝부분에 k9은 방화벽이 있다는 것.
www.cisco.com -> support -> 검색창에 네비게이터 입력후 엔터 -> 결과 클릭!
IOS의 네비게이터 정보들을 모두 볼 수 있다!!
4.IOS 기본 동작
•Router IOS의 기본 동작
-사용자가 직접 초기 구성을 지정해야지 사용 가능 함
•Switch IOS의 기본 동작
-운영체제에서 초기 구성 설정 정보를 제공하므로 전원만 제공되면 사용 가능 함
•장비 관리를 위한 접근 방식
-초기 관리는 반드시 직접 접근 방식을 사용해야 함
-직접 접근 방식
--장비와 PC를 직접 케이블로 연결하여 접근하는 방식
--Console port, Auxiliary Port
-간접 접근 방식
--서비스를 이용하여 네트워크를 통해 접근하는 방식
--Telnet, SSH, TFTP, HTTP, 전용의 관리 프로그램 …
스위치는 전원 들어와있고, 초기설정이 되어있어서 바로 연결 가능하지만,, 라우터는 초기 구성을 해줘야지 연결 가능하다!
초기설정을 하기위해 피씨를 연결해서 접근 하는 직접 접근 방식이 있다. 이때 사용하는 케이블이 Console 케이블이다!
단점은 거리상의 제약이 있다.(노트북을 많이 사용함!!)
간접 접근 방식은 네트워크 통해서 접근! 리눅스에서 Putty를 사용해서 리눅스 관리 했던거 생각하면 된다.
가상환경에서는 Telnet을 이용해서 접근한다.(패킷트레이서)
4.IOS 부팅 과정
•POST 실행
•Bootstrap Loader 실행
패킷트레이서 실행 확인!
•IOS 저장 위치 찾기 및 읽어오기
읽어 오는 상태를 확인할 수 있다.
•초기 설정파일 찾기 → 실행 또는 Setup Mode
setup mode가 기본설정을 도와주는 마법사 모드임..
기본적으론 setup mode는 거의 안쓴다... 그래서 컨트롤 c 눌러서 usermode를 바로 사용한다.
4.IOS CLI (Command Line Interface)
•IOS CLI
-IOS에서 제공되는 기본 사용자 인터페이스
-명령어를 직접 입력하는 방식
-장비 종류 및 IOS 기능에 따라 제공되는 명령어가 달라 짐
-장비에서 제공받을 기능에 따라 다양한 Mode를 통해 명령어를 입력 함
•IOS CLI 기본 기능
-명령어 목록 제공
--지정된 모드 또는 명령어 조합마다 사용할 수 있는 목록만 표시
-에러 메시지 제공 (로그 메세지) -> 특징 : 앞에 %로 나온다!
--장비에서 발생한 이벤트를 표시하여 문제를 해결할 수 있도록 도와 줌
-History
--이전에 사용한 명령을 기억하여 재사용할 수 있음
-단축키
ctrl + z, end 는 관리(최상위)모드로 바로 이동
•IOS CLI Mode
-특정 기능 또는 동작을 제어 할 수 있는 모드를 따로 제공 함
-지정된 기능설정은 지정된 Mode에서만 할 수 있음
-현재의 Mode를 Prompt로 확인 함
> 사용자 모드 # 관리자 모드 (config)# 전역 설정 모드
exit : 바로 한단계 상위 모드 이동
•User Mode
-장비의 초기 모드
-기본적인 정보 확인 가능
-관리를 위해서 권한을 가지고 있는 계정으로 로그인 해야 함
--초기 설정 전에는 그냥 로그인 함
•Privileged Mode : 장비에 대한 관리 설정만 가능하다. 기능설정은 하지 못한다.
-장비의 관리 모드
-시스템의 기본 설정 및 모든 정보의 관리를 위한 명령 수행 모드
-기능 설정은 불가능 함
-권한이 있어야 함
•Global Configuration Mode : 장비 전역 설정 모드 (장비 전체에 영향을 줄 수 있는 기능 설정)
-장비의 기능 설정 모드
-장비 전체에 적용되는 설정
•Regional Setting Mode : 지역 설정 모드
-장비의 부분적인 기능 설정 모드
-interface, line, router, acl 등 특정 기능에 대한 명령이 적용되는 모드
통신을 위한 연결 - 인터페이스
관리를 위한 연결 - 라인
4.IOS Configuration File 관리
•Backup
-장비의 현재 설정 내용 및 중요한 파일(IOS)을 외부 저장소에 보관
-관리자 모드(Privileged Mode)에서 설정
-“copy [원본] [대상]” 명령으로 수행
tftp(적은 용량 빠르게 전송: 그래서 UDP사용)으로 다른 컴퓨터에 파일 전송
1.이름 확인
2.다른 컴퓨터 아이피 입력
3.목적지로 보낼 파일이름으로 맞는가?
show flash로 본 원본데이터 용량과 그림 아래있는 용량이 맞는지 확인!
중간에 표시되는 !가 아닌 .으로 표시되면 전송이 제대로 이루어지지 않았다는 것!
•Restore or Upgrade
-외부 저장소에 보관된 설정 내용 및 중요 파일을 복구
-관리자 모드(Privileged Mode)에서 설정
-“copy [대상] [원본]” 명령으로 수행 (외부에서 다시 장비로 불러 오면 됨)
-원본이 running-config(RAM)이면 Merge 동작이 일어남
1.가져올 목적지의 ip가 맞는지
2.소스 파일이름을 입력
3.목적지의 파일이름이 맞는가
5.복사하기전에 기존 파일 지울건가?
마찬가지로 보내기전에 용량과 전송 후 용량이 맞는지 확인!
4.IOS 정보 확인
•장비의 정보 확인
-정적 정보(장비에 남겨진 명령어) 및 동적 정보(동작의 상태정보들, 장비가 실시간 받게 되는 데이터의 정보) 확인
-관리자 모드(Privileged Mode)에서 확인
•show (정적 정보 확인용)
-미리 설정되어 있는 각 기능 정보 확인
-interface, protocols, performance, media …
•Debug (동적 정보 확인용) -> 모니터링, 트러블슈팅 할 때 사용!!(현재 상태를 검증)
-실시간 장비가 전달받는 트래픽의 정보 및 동작 정보 확인
-트래픽의 흐름 파악 및 설정의 문제점 확인을 위해 사용 함
--전체 debug 해제 → undebug all (디버그가 모두 보여지면 부하가 발생하기 때문에, 지정된 디버그만 보자!)
4.Router 설정 단계
•설정 단계
•기본 설정
-장비 관리를 편리하게 수행하기 위한 설정
-장비 이름, 비밀번호, 인증, 계정, 배너, 편리 기능, 접근 방식에 따른 설정 등
•Interface 설정
-네트워크 통신을 위한 기본설정
-encapsulation, bandwidth, clock rate, ip address 등
(연결된 인터페이스끼리 통신이 되는지 확인!)
•Routing
-Routing 종류 및 종류에 따른 설정
•ETC.
- 그 외 통신을 위해 필요한 추가 설정
- acl, nat, 보안, 인증, 서비스 등
4.Router 기본설정
실습!
라우터 끼리 연결 할 수 있는 시리얼 케이블이 없다.
확장 시켜주자!
모든 라우터에도 WIC-2T 모듈 확장!!
클릭 순서 대로 DCE 선택된다.!! (무조건 왼쪽 방향부터 클릭!!)
위에 옵션 클릭 -> Preferences
이렇게 연결!
본사 WAN 지사
라우터의 관리를 위해 (직접관리) PC한대를 더 추가해서 콘솔 케이블로 연결해준다. RS-232 <-> Console
CLI 창으로 가기 위해 거치는 단계.. 기본값으로 건들이지 말고 ok!
컨트롤 C 눌러서 유저모드로 빠진 것을 확인!!
관리자 모드를 거쳐 전역 모드로 빠지자!
확인!@
각각의 이름을 변경시킨다! 이름부분에 한번 클릭하고 수정!
4.Router 기본설정
•Router 이름 변경
바로 변경되는 것을 확인 할 수 있다!!
•배너 설정
-Router에 접근하는 사용자에게 보여줄 메시지 설정
-불법 접근 시 받게 되는 경고 문구 → 법적 처벌 시 근거 자료
로그아웃 하고 다시 들어가면
아까 설정했던 배너 나온다!!
•관리자 모드 접근 비밀번호
-User mode에서 Privileged mode로 접근할 때 사용되는 인증정보(비밀번호)
--password → 비밀번호를 평문으로 저장 함
--secret → 비밀번호를 암호화(MD5)하여 저장 함
본사는 패스워드 지사는 시크릿으로 지정해서 차이점을 알아보자~!
컨트롤 z disable logout 하고 다시 로그인하면 패스워드 치라고 나온다 패스워드 치고~
저 명령어 입력하면 평문으로 저장된 암호가 나온다!!
4.Router 기본설정
•이름해석 기능 비 활성화
-오타를 도메인 이름으로 해석하는 기능 해제
명령어 입력이 안된다 ㅠㅠ
중단 가능!!! ctrl + shift + 6 으로 해제 가능!
명령어 입히고 다시 확인해보니까 모르는 명령어라고 나온다!!
•직접(Console) 접근 시 기능 설정
-Console을 통한 직접 접근의 대한 설정
-Console 연결 유지 시간(0 : 무한대), 인증, 로그 동기화 등
-접근 인증 방식
--인증 없음 → no login
--비밀번호 인증 → login(password [비밀번호])
--계정 인증 → login local(전역모드에서 계정 생성)
privilidge가 권한 설정하는 것이다. 0~15단계로 권한을 주는데 높을수록 권한이 높다.
관리자는 15를 준다.
5초 주니까 5초뒤에 자동으로 꺼짐 ㅠㅠ
다시 해지하면 된다 ㅠ
-계정 인증실습
계정 입력하라고 나온다..
로그인하니까 관리자 모드로 로그인되는걸 확인할 수 있다.
로깅 싱크로너스를 해주는 이유가 실무에는 로그 메세지가 느리게 나오기 때문에 입력시에도 로그메세지가 출력될 수 있다.
예를들어 logg~ 까지 쳤는데 그 뒤에 로그 정보가 붙어 명령어 치기에 까다로움이 있다는 것이다.
그래서 로그 출력을 끝내주고 명령어를 따로 치기 용이하게 해주는 명령어이다.
실 장비에서는 반드시 입력해주면 좋다!
4.Router 기본설정
•간접(telnet) 접근 시 기능 설정
-telnet을 통한 원격 접근의 대한 설정
-가상 터미널(Virtual Terminal)을 통한 연결을 제공 함
--기본적으로 5개씩 연결을 제공 함
-접근 인증 방식
--인증 없음 → no login
--비밀번호 인증 → login(password [비밀번호])
--계정 인증 → login local(전역모드에서 계정 생성)
-반드시 관리자 모드 비밀번호(enable [비밀번호])가 설정되어야 함
--원격 접근 시 user mode로 접근 됨
-보안성이 떨어지므로 권장하지 않음 (전달되는 명령이 평문으로 전달..)
4.Router 기본설정
•간접(SSH) 접근 시 기능 설정
-SSH을 통한 원격 접근의 대한 설정
-암호화를 위한 키 생성
--키의 기본값 → hostname, Domain Address
--키 생성
---키의 size가 1024이하 → SSH version 1 지원
---키의 size가 1024이상 → SSH version 1,2 지원
•간접(SSH) 접근 시 기능 설정
-가상 터미널(Virtual Terminal)을 통한 연결을 제공 함
--기본적으로 5개씩 연결을 제공 함
--SSH를 통한 연결만 허용
-접근 인증 방식
--계정 인증 → login local(전역모드에서 계정 생성)
기본값은 transport input all 이다. all 대신 ssh로 꼭 쓰자!
-SSH Version 2만 사용하도록 변경
version 1은 보안성이 떨어진다. 그래서 version 2만 사용하도록 변경한다.
-원격 접근 시 privilege mode로 접근 됨
실습
cr은 clear 여기까지 입력해도 된다라는 뜻.
version 2도 사용하기 위해 1024로 입력!
버추얼 터미널을 0번부터 4번까지 총 5개 만들겠다!
보안성은 내부로 받을때부터 체크해야지 보안성이 높다. 그리고 보안성이 높은 ssh만 허용하기 위해 ssh 입력한다.!
ssh version 2 만 접근할수 있게 설정!
4.Router 기본설정
•설정 정보 확인
-기본 설정 확인
--running-config에서 현재 적용된 명령 확인
결과가 많이 나온다.
-More
--추가 정보가 있음을 표시 함
--space bar → 한 페이지 씩 더 보기
--enter → 한 줄 씩 더 보기
--ETC. → 종료
4.Router 기본설정
•접근 정보 확인
-현재 직접/간접 접근 정보 확인
--* → 현재 접근 line
CTY는 콘솔 접근!!!!
clear line으로 불법적인 접근한 사람의 접근을 끊어버릴수 있다.
-SSH key 정보 확인 (간접접근)
아까 입력한 도메인도 나온다.
-SSH 정보 확인(간접접근)
버전정보 확인 가능!!
로그인 연결을 유지할수 있는 시간 120초 (로그인시 120초 동안 입력 없으면 연결 끊어진다.)
brute forcing 을 막기 위해 연결 횟수 3회로 제한되어있는 것을 확인 할 수 있다.
enable
conf t
hostname W5
banner motd #
+_+/#
enable secret cisco1234
no ip domain-lookup
line console 0
exec-timeout 0
password cisco1234
login
logging syn
exit
ip domain-name W5.router.com
crypto key generate rsa
1024
line vty 0 4
transport input ssh
login local
exit
username admin pri 15 secret cisco1234
conf t
hostname W5
banner motd #
+_+/#
enable secret cisco1234
no ip domain-lookup
line console 0
exec-timeout 0
password cisco1234
login
logging syn
exit
ip domain-name W5.router.com
crypto key generate rsa
1024
line vty 0 4
transport input ssh
login local
exit
username admin pri 15 secret cisco1234
ip ssh version 2
메모장에서 복사 붙여넣기로 바로 이용하는게 좋다!!
whitehats 하얀모자
'▶ 웹기반 정보보안 과정 > Network' 카테고리의 다른 글
| 160302 20번째 강의 - 2 (0) | 2016.03.15 |
|---|---|
| 160302 20번째 강의 - 1 (0) | 2016.03.15 |
| 160226 18번째 강의 - 2 (0) | 2016.02.27 |
| 160226 18번째 강의 - 1 (0) | 2016.02.27 |
| 160225 17번째 강의 (0) | 2016.02.27 |
