라우터 암호 설정
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 2,525 조회
- 0 추천
-
목록
본문
라우터 보안 일반
가장 대표적인 네트워크 장비라 할 수 있는 라우터와 스위치의 기능은 원하는 목적지를 찾아 패킷을 포워딩 또는 스위칭 해 주는 것이지만, 모든 트래픽이 이 장비를 통과하는 만큼 네트워크 장비에서 자체적으로 제공하는 접근통제 기능을 조금만 활용해도 네트워크 보안을 상당 부분 강화할 수 있다.
더군다나 최근의 공격 경향이 단순히 서버에만 그치지 않고 라우터와 스위치 등 네트워크 장비에 대해서도 이루어지거나 영향을 주고 있는 만큼 네트워크 장비 자체에 대한 보안 역시 중요하다 할 것이다.
따라서 여기에서는 네트워크 장비 자체에 대한 보안과 아울러 네트워크 장비를 통한 네트워크 보안 구성 방도에 대해 cisco 라우터를 중심으로 알아보도록 하겠다.
물론 라우터의 설정은 최근 많이 사용되고 있는 Native IOS 계열의 L3 스위치에도 동일하게 적용된다.
11.1.1 라우터 암호 설정
어떠한 장비든 로컬이나 네트워크를 통해 로그인이 가능한 경우 암호 설정은 가장 중요하면서도 기본이 되는 단계이다.
그러나 실제로 PC방이나 중소 규모의 업체에서는 보안의 첫 단계라 할 수 있는 라우터의 암호조차 제대로 설정하지 않고 사용하는 경우가 대부분이다.
그도 그럴 것이 대부분 영세한 업체에서는 라우터를 관리할 수 있는 전문 인력이 부족하고, 또 라우터를 설치해 주는 업체의 직원들도 보안 관념이 부족하여 관리상의 편리함 때문에 암호를 설정하지 않거나 쉽게 추측이 가능한 기본암호를 일괄적으로 설정하기 때문이다.
이렇듯 암호를 신경 쓰지 않는다는 것은 마치 “문은 있지만 잠금 기능을 사용하지 않는 것”과 같을 만큼 매우 위험한 것인데 이 중요성을 간과하는 것은 결코 안 될 것이다.
아래는 라우터에 접근가능한 방법과 각각의 모드에서 라우터의 암호를 설정하는 방법을 보여주고 있다.
물론 암호는 cisco나 router 또는 상호명 등 일반적으로 추측하기 쉬운 암호를 사용하지 않도록 하고, 관리자가 퇴사하거나 부서이동 등이 있을 때에는 즉시 암호를 변경하여야 할 것이다.
[그림] 라우터의 접근 방법
* Console Password (노트북을 이용한 Console 접속 시 사용)
Router#configure terminal (또는 conf t) Router(configure)#line console 0 Router(configure-line)#password xxxxx |
* Terminal(Virtual) Password (Telnet등 원격 접속 시 사용)
Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#password xxxxx |
* Enable Password
Router#configure terminal Router(config)#enable password xxxxx |
* Enable Secret
Router#configure terminal Router(config)#enable secret xxxxx |
라우터의 암호 저장방식은 몇 가지 종류가 있는데, 여기에서 type 0은 평문(cleartext)이고, type 5는 단방향의 md5 hash로서 역함수가 존재하지 않으며(nonreversible) type 7은 역함수가 존재하여 암호화된 암호를 통해 원래의 암호를 알 수 있다(reversible). 라우터에서 제공하는 “service password-encryption”이라는 명령어를 실행할 경우 일부 평문 암호를 암호화하지만(이를 Vigenere 암호화라 한다.
) 아래와 같이 역함수(reverse function)가 존재하여 암호화된 암호를 안다면 원래의 암호를 알 수 있다는 한계가 있다.
그리고 telnet이나 ssh 또는 콘솔 로그인시 기본적으로 주어지는 level 1의 유저(virtual) 모드에서 level 15의 privileged(enable)모드로 접근할 때 "enable password"나 “enable secret” 이렇게 두 가지 방법으로 설정할 수 있는데, 암호화가 취약한 “enable password” 대신 역함수가 존재하지 않는 md5의 type 5인 “enable secret”를 사용하는 것이 좋다.
따라서 "no enable password"를 실행하여 "enable password"를 disable하고 대신 "enable secret"를 사용할 것을 권장한다.
Router(config)# enable secret qwert12345 Router(config)# no enable password Router(config)# exit |
"enable password"에서 지정한 암호는 "enable secret"가 없을 때 적용되며 만약 "enable password"와 "enable secret"가 함께 설정되어 있을 경우에는 "enable secret"가 적용된다.
[라우터 암호 복호화하기]
또한 IOS type7의 암호화된 암호를 복호화 하는(즉 암호화된 암호를 해석하는) 프로그램들도 많이 공개되어 있는데, 대표적인 예는 아래 그림과 같은 윈도우 기반의 프로그램뿐만 아니라 리눅스 기반의 프로그램도 있다.
암호화 함수 복호화 역함수
CISCO --------------> 02050D480809 -------------> CISCO
[그림] solarwinds에서 제공하는 라우터 암/복호화 프로그램>
다음으로는 리눅스 기반의 프로그램을 알아보자.
http://freeworld.thc.org/root/tools/ciscocrack.c
먼저 위 URL에서 파일을 다운로드한 후 아래와 같이 컴파일 한다.
# gcc -Wall -o ciscocrack ciscocrack.c |
이후 아래와 같이 암호화된 암호를 입력하면 복호화된 암호가 출력되는 것을 알 수 있다.
# ./ciscocrack 01178E05590909022A Passwd: d?bbomk |
위의 설정 예는 라우터뿐만 아니라 IOS 계열의 스위치에서도 그대로 적용된다.
만약 CatOS 계열의 스위치 장비일 경우에는 다음과 같이 설정하면 되는데, 여기에서 첫 번째는 telnet으로 로그인시 암호를, 두 번째는 로그인후 enable 모드로 들어갈 때의 암호를 지정하는 예이다.
|
강사 : 라쿠텐 홍석범부매니저
관련자료
-
이전
-
다음
