1. 사용자 권한 설정
[+] 라우터/스위치의 패스워드 생성 시
> enable password 평문장 0(type 0), > enable secret 암호문 5(type 5:MD5), > encryption 7(type7: SHA1) 기법을 사용하듯이,
사용자 생성 시 사용자에게 권한을 주면서 생성 가능하며, 사용자 권한은 권한 0~15까지 있는데 관리자 권한(privilege mode #)은 15이다.
[+] 사용자 추가
[+] 생성된 계정 확인
- 타입/권한 설정을 한 경우 [권한][username]로 기입하여 접속을 시도해야 한다.
2. SSH 설정
- sh ip ssh : 서비스의 기본 정보를 확인
- 설정
> conf t
> enable password dokdo
> access 10 permit host 192.168.1.10(1.10번만 접속)
> access 10 deny any
[+] 인터페이스(int) 접속가능하도록 설정
> int s2/0 (인터페이스 선택
> ip access 10 in
[+] 접속할 사용자 지정(Class)
> line vty 0 4
> login local
> access-class 110 in
> username kim password kim
[+] 사용할 키를 생성
> crypto key generate rsa
**RSA : SSL/TLS에서 사용되는 공개키 암호화 알고리즘(소인수 분해 방식)
[+] 접근 제어 설정
> ip ssh time-out 90 시간초과시 아웃
> ip ssh authentication-retries 2
> line vty 0 4
> transport input ssh
> username paul password paul
-SSH 접속
ssh -l paul 192.168.4.2
3. 사용자별 권한(Level) 설정
라우터/스위치에서 사용자나 명령어의 권한 레벨을 생성하는 이유는 대부분 작업을 관리자 모드인 #에서 수행해야 하기 때문에 매번 관리자의 패스워드를 사용해야 하는 불편함을 없애기 위해서 #에서만 실행할 수 있는 관리자 명령어의 레벨을 낮추고, 특정한 일반 사용자를 해당 명령어의 레벨과 같게 생성하거나, 기존 사용자의 권한을 해당 명령어에 맞춰서 이들 명령어를 실행하게 하는 권한위임(privilege delegation)을 해줄 수 있기 때문이다. 하지만 보안 상 위험이 있을 수 있는 connect, telnet, rlogin. access, log, ..등은 관리자만 실행할 수 있는 level 15로 놔두는 것이 좋다. 다음 두 예를 잘 보고 이해해 보자.
(1) telnet level 0 5이고 hong 사용자의 level이 5라면 hong 사용자가 telnet 연결시 바로 level 15인 #으로 들어가 진다!!!
(2) telnet level 5이고 kang 사용자의 level이 1이라면 kang 사용자의 telnet 연결 시 level 1인 >로 들어가 진다.
여기서 enable 해서 level 15인 #으로 들어가려고 해도 들어갈 수 없다!!!
=>이런 경우 enable 명령어의 레벨을 kang 사용자의 레벨 5로 낮춰서 맞추거나, kang 사용 자의 level을 5로 높이면 된다.
==> 사용자와 명령어에 권한을 주려면 사용자별 권한 레벨 설정은 먼저 확인
- sh privilege : 레벨 확인
[+] 사용자 생성
- mary(평문) steve(레벨2) 와 chuck(레벨5)로 지정해준다.
[+] 설정된 권한 확인
- do sh run
** 사용자 삭제는 username paul식으로 할 수 있다.
[+] 관리자 모드
- secret level 2 korea
- en 2(관리자 레벨 2)
- 관리자 레벨 2는 관리자여도 해당 conf t 명령
을 사용할 수 없다.
- conf t는 레벨 15에서 접속가능하기 때문에 접속이 되지 않는다.
- 다시, en 15레벨로 접속하면, conf t를 사용할 수 있다.
'소소한 IT이야기 > 클라우드' 카테고리의 다른 글
| [WinSER_01] 사용자 계정 관리 및 보안 정책 (1) | 2023.02.27 |
|---|---|
| [NETWORK_12] 라우터 불필요한 서비스 중지하기 (feat. 보안상 취약점) (1) | 2023.02.27 |
| [NETWORK_12] 라우터 로그 수집 (0) | 2023.02.27 |
