근짱의 정보보안

점검 내용 > 관리 터미널을 통해 네트워크 장비에 접근 시 기본 패스워드를 사용하는지 점검하는 항목

router#show running-config

line con 0

password ########

line aux 0

password ########

line vty 0 4

password ########

line vty 5 10

--> 각 계정(line) 아래 줄에 password 라인이 존재하는지 확인.

password 값을 설정하지 않았기 때문에 해당 vty 계정 취약

참고 1) 보통, 디폴트로 설정해놓은 경우는 거의 없기 때문에 있나 없나 정도 확인하면 될 듯.

참고 2)   cisco 장비에서 사용하는 계정에 대한 설명 

 line con 0 / cisco console 접근에 필요한 계정

 line aux 0 / AUX 보조 포트

 line vty 0 4 / ssh와 telnet과 같은 원격접속을 위해 필요한 계정

                 / vty0, 1,2,3,4 총 5개 계정이 동시에 접속 가능함. default vty 계정 설정 값이 line vty 0 4

 line vty 5 10 / vty5 , 6, 7, 8, 9, 10 총 6개 계정이 동시 접속 가능한 것을 의미.

만약,  config # line vty 2

   config-line # password 1234

   로 설정한다면, vty2의 password 값은 1234 이다. 즉, 개별 설정도 가능하다.

session-timeout과 exec-timeout의 차이

평소 클라이언트에서 cisco 장비에 접근하고 session을 요청하면 cisco 장비가 클라이언트와 세션을 맺는다.

이때 두 timeout의 차이를 보자면, 

exec-timeout은 인증을 거쳐 프롬프트가 생성된 이후 무응답시간.

session-timeout은 세션이 시작되고 나서의 무응답 시간이다.

이를 예를들어 생각해보면,

exec-time은 telnet이나 ssh같은걸로 붙었을 때, 인증 후 프롬프트가 생성된 이후의 무응답 시간

기본은 10분.

session-timeout은 특정 계정으로 로그인 후 세션이 시작 된 후 무응답 시간이라고 생각하면 된다.

기본은 0분

case 1)    lin vty 0

  exec-timeout 3 300          // exec-timeout 3분 300초

case 2)    line vty 1

  session-timeout 1

  exec-timeout 5