행씨네

 알카텔은 해당 없음

 개요 대상 Alcatel-Lucent 위험도 중 code N-16 취약점 개요 VTY 접속 시 Telnet 프로토콜을 많이 사용하지만 , Telnet 은 패킷을 암호화하지 않은 텍스트 형태로 전송하므로 스니핑 공격에 의해 패스워드가 쉽게 노출되는 취약점이 존재함 . 따라서 패킷 자체를 암호화하여 전송하는 SSH 프로토콜 사용을 권장함 . 보안대책 판단기준 양호 : 장비 정책에 VTY 접근 시 암호화 프로토콜 (ssh) 이용한 접근만 허용하고  있는 경우 취약 : 장비 정책에 VTY 접근 시 평문 프로토콜 (telnet) 이용한 접근을 허용하고  있는 경우 조치방법 암호화 프로토콜만 VTY 에 접근 할 수 있도록 설정 조치 show ip service 명령어로 서비스 명령어 확인 위 화면은 AOS6에서 보여지는 화면입니다 Telnet 서비스 비활성화 AOS6 no ip service telnet AOS8 ip service telnet admin-state disable aaa에서 ssh 인증 활성화 aaa authentication ssh local //ssh서비스의 인증을 스위치에 저장된 user table을 참조하겠다. 쉽게 말해서 스위치에서 생성한 계정으로 인증하겠다 기타 보안 관점에서 스위치가 서비스하지 않는 포트는 모두 비활성화 하는것이 좋다

 개요 대상 Alcatel-Lucent 위험도 상 code N-05 취약점 개요 관리자가 네트워크 장비에 로그인 후 세션을 종료하지 않고 자리를 비우는 동안 악의적인 사용자가 접속된 터미널을 이용하여 불법적인 행위를 시도할 수 있음 . 원격 접속 시 일정 시간 동안 키 입력이 없는 경우 연결된 접속을 자동 종료시키는 설정이 필요함 . 보안대책 판단기준 양호 : Session Timeout 시간을 기관 정책에 맞게 설정한 경우 취약 : Session Timeout 시간을 기관 정책에 맞게 설정하지 않은 경우 조치방법 Session Timeout 설정 (5 분 이하 권고 ) 조치 CLI session timeout을 5분으로 설정 session timeout cli 5 기타 그외 session timeout http, session timeout ftp 옵션이 있지만 해당 서비스 모두 비활성화 해야하므로 추가 설정을 하지 않는다 매뉴얼을 보면 session timeout default는 4분으로 되어있다

 개요 대상 Alcatel-Lucent 위험도 상 code N-04 취약점 개요 VTY(Virtual Teletype Terminal) 사용 시 Telnet 이나 SSH 로 원격 접속이 가능함 . 원격 접속 시 평문으로 정보가 전송되는 Telnet 은 패스워드 추측 공격 (Password Guessing) 및 * 스니핑 공격에 취약하므로 보안상 SSH 사용을 권고함 . 인가된 사용자만의 안전한 접근 관리를 위해 접속할 수 있는 IP 를 제한하여 비인가자의 접근을 차단하여야 함 .   * 스니핑 (sniffing): 네트워크상의 데이터를 도청하는 행위 보안대책 판단기준 양호 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있는 경우 취약 : 가상터미널 ( VTY) 접근을 제한하는 ACL 설정이 되어있지 않는 경우 조치방법 가상 터미널 (VTY) 에 특정 IP 주소만 접근 가능하도록 설정 조치 ACL설정 알카텔에선 qos configuration으로 ACL을 설정한다 Source IP : 192.168.0.10 SSH port : TCP 22 의 조건으로 다음의 configuration을 설정 policy service SSH destination tcp port 22 //ACL에서 설정할 TCP 22번의 서비스를 정의 policy network group PERMIT-SSH 192.168.0.10 //ACL에서 허용할 source IP주소를 정의 policy condition PERMIT-SSH source network group PERMIT-SSH destination network group Switch service

 개요 대상 Alcatel-Lucent 위험도 중 code N-15 취약점 개요 사용자•명령어별 권한 수준이 설정되어 있지 않은 경우 허가되지 않은 사용자가 중요한 프로그램을 실행하거나 모니터링 권한 설정을 변경하는 등의 위험이 발생할 수 있음 . 사용자의 업무 및 권한에 따라 수행할 수 있는 권한과 기능을 제한해야 함 . 보안대책 판단기준 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우 취약 : 업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우 조치방법 업무에 맞게 계정 별 권한 차등 ( 관리자 권한 최소화 ) 부여 조치 user "username" read-write all 계정 : username read-write all 모든 명령어 권한 획득 user username read-write ? : 뒤에 올수 있는 옵션(명령어별 권한 설정 가능) WEBMGT VLAN UDLD TFTP-CLIENT TELNET SYSTEM STP SSH SNMP SLB SESSION SCP-SFTP RMON RIP RDP QOS POLICY PMM NTP NONE MODULE LINKAGG IPX IPV6 IPMS IPMR IP-ROUTING IP-HELPER IP INTERFACE HEALTH FILE ETHERNET-OAM DSHELL DOMAIN-SYSTEM DOMAIN-SERVICE DOMAIN-SECURITY DOMAIN-POLICY DOMAIN-PHYSICAL DOMAIN-NETWORK DOMAIN-LAYER2 DOMAIN-ADMIN DNS DEBUG CONFIG CHASSIS BRIDGE AVLAN ALL AIP AAA 802.1Q

 개요 대상 Alcatel-Lucent 위험도 상 code N-01 취약점 개요 네트워크 장비의 초기 설정 패스워드를 변경하지 않고 사용하는 경우 비인가자의 불법적인 접근이 가능하며 , 기본 패스워드는 인터넷상에서 검색을 통해 노출되어 있어 비인가자의 관리자 권한획득이 가능함 . 네트워크 장비의 초기 설정 패스워드는 반드시 변경 설정하여야 함 . 보안대책 판단기준 양호 : 기본 패스워드를 변경한 경우 취약 : 기본 패스워드를 변경하지 않거나 패스워드를 설정하지 않은 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치 user "username" password "string" read-write all username : 계정 string : 패스워드 read-write all 모든 명령어 권한 획득 user "username" password "string" read-only all username : 계정 string : 패스워드 read-only all 모든 명령어 확인은 가능하지만 수정은 불가능

개요 대상 Alcatel-Lucent 위험도 상 code N-02 취약점 개요 단순하거나 추측하기 쉬운 패스워드를 사용할 경우 악의적인 사용자가 쉽게 장비에 접속할 수 있으므로 암호 복잡성을 적용하여야 함 . 패스워드 복잡성을 적용하지 않은 경우 공격자는 * 무작위 대입 공격 (Brute Force Attack) 을 통하여 패스워드를 쉽게 획득할 수 있음 . 보안대책 판단기준 양호 : 기관 정책에 맞는 패스워드 복잡성 정책을 설정하거나 패스워드 복잡성 설정 기능이 없는 장비는 기관 정책에 맞게 패스워드를 사용하는 경우 취약 : 기관 정책에 맞지 않은 패스워드를 설정하여 사용하는 경우 조치방법 초기 설정 패스워드 변경 및 패스워드 설정 조치  1. admin 패스워드 변경 admin계정 로그인 상태에서 "password" 명령어 입력으로 변경 2. admin 계정 콘솔모드 전용으로 설정 user admin console-only enable 3. 패스워드 정책 변경 user password-policy min-uppercase 숫자 : 최소 대문자 user password-policy min-lowercase 숫자 : 최소 소문자 user password-policy min-digit 숫자 : 최소 숫자 user password-policy min-nonalpha 숫자 : 최소 특수문자 user password-size min 숫자 : 패스워드 최소 길이 user password-expiration 숫자 : 패스워드 변경 일자 user password-expiration 180 -> 180일 이후에 변경해야 함 user password-expirat

시작 ERS 스위치라는 시리즈가 있다. 연식이 좀 된 엔지니어들을 노텔 스위치라고 알고 있을것이고, 노텔에서 AVAYA라는 회사로 인수되었다가 그 후 현재는 EXTREME사로 인수된 상태이다. 벤더사가 여러번 바뀌는 수난을 겪은 라인업이다 보니 시스코나 주니퍼처럼 제대로된 커뮤니티도 없거니와 기술문서를 찾기도 힘들다 그렇다고 자료가 아주 없는건 아닌데, 아무튼 이용해 먹기 아주 까다로운 환경이다 가능하면 이 벤더는 추천하지 않지만 나도 봐야하기 때문에, 메모차원에서 LACP에 관련된 설정 글을 쓴다 주의. MLT가 아니다. ERS에서 쓰는 MLT와 LACP는 아주 깊은 연관이 있는게 사실이지만, MLT = LACP는 틀린말이다 이번 글을 Avaya Switch 5520에서 LACP를 설정하는거에 관련된 글이다  1. Topology 2. Configuraton ※상단 스위치 기준 vlan ports 23,24 tagging tagAll 포트 23,24의 타입을 tagged상태로 설정 vlan create 100 name "VLAN-100" type port vlan create 200 name "VLAN-200" type port VLAN100, 200생성 vlan members remove 1 all vlan members add 100 23,24 vlan members add 200 23,24 포트23,24에 VLAN100,200을 맵핑 interface vlan 100 ip address 172.16.100.10 255.255.255.0 exit interface vlan 200 ip address 172.16.200.10 255.255.255.0 exit SVI 설정 ip routing interface fastEthernet 23,24 lacp key 1 lacp mode active lacp timeout-time short lacp aggregation enable exit LACP설정. 모드는 active. 마

 본인이 겪은 이야기인데, reddit의 도움을 받았습니다 출처는  EVE-NG를 사용하다 보면 다양한 이미지들을 등록하게 되는데 이미지 등록 후 꼭 마지막에 권한 설정을 하라고 매뉴얼에 나옵니다 그 때 명령어가 /opt/unetlab/wrappers/unl_wrapper -a fixpermissions 이렇게 되어 있죠 본인은 EVE-NG Community Edition 을 사용하는데 여기서 이상하게 ARISTA이미지를 올리면 zerotouch disable 후 무한 재부팅으로 빠집니다 이런저런 시도를 해보다가 OVF가 아닌 Ubuntu모드로 EVE-NG를 다시 설치하게 되었는데 그 이후 ARISTA이미지를 등록하는 과정에서 다음과 같은 오류를 봤습니다 "PHP Warning: file_get_contents (/opt/unetlab/platform/): failed to open stream: No such file or directory in /opt/unetlab/html/includes/init.php on line 71 이렇게요. 해결을 위해 구글링 하다 어렵지 않게 원인을 찾아냅니다 OVF와 ISO설치의 차이점 때문인데요 결론만 이야기하자면 VM의 옵션 설정입니다 정확히는 CPU에서의 옵션 부분이죠 그림에서 처럼 Processors 부분에서 Virtualization engine옵션을 그림과 같이 맞춰줘야 합니다 "Virtualize Intel VT-x/EPT or AMD-V/RVI" 이 부분이 언체크 되어 있었고 그래서 해당 에러가 발생했던 거죠 위 그림과 같이 바꾸고 하니깐 잘 되더군요 언젠가, 저랑 똑같은 난관에 빠진 분이 잘 해결되길 바라며 ㅎㅎ 다들 힘내요 ㅎ

 시작하며 EVE-NG Cisco vWLC 설치하기 직원 내부교육상 필요하게 되어서 vWLC를 설치하게 되었다 참 좋은세상이다, 대부분 가상화 플랫폼으로 구현이 가능하다니... 라떼 생각해보면 정말 격세지감을 느낀다 이 WLC를 설치해서 EVE-NG <-> 물리적 스위치 <-> AP까지 연결해서 WLAN서비스 하는게 최종 목표이다 이번 글에서는 WLC를 EVE-NG에 등록해서 vWLC를 구동하는 단계까지 해보겠다 도움을 받은 곳 1. https://youtu.be/orf252USzPY?si=h2v_aRThbl3R35x7 vWLC설치방법을 구글링하면 쉽게 찾을 수 있다 실제 ova파일도 이 사람이 공유해줘서 쉽게 진행할 수 있었다 2. https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-vwlc-virtual-wireless-lan-controller/ eve-ng 공식 사이트 여기서 설명을 보면 8.3 이후 버전과 그 이전 버전의 설치 방법이 조금 다르다 앞에서 말씀드렸듯, 본인은 유튜버가 공유한 파일을 이용하였고 버전이 8_2_170_0였으므로 구버전 설치 방법으로 진행하였다 설치하기 다른 이미지를 등록하는것과 크게 다르지 않다 먼저 본인PC의 터미널 프로그램을 이용해서 eve-ng 서버로 접속한다 (SSH) 이미지 파일을 서버에 복사하기 위해 임의의 디렉토리를 만든다. eve-ng는 항상 abc를 만들고 지우더라;; cd / mkdir abc ls mobaxterm이건 winscp건 filezilla건 아무거나 상관없다. 적당히 가상화 파일을 abc디렉토리로 업로드 한다. 여기서 파일명은 AIR_CTVM-K9_8_2_170_0.ova 이다 파일을 복사한후에 ova파일의 압축을 해제한다 명령어는 tar -xvf AIR_CTVM-K9_8_2_170_0.ova 이미지 파일을 eve-ng에서 쓸수 있도록 컨버팅한다. 여기서 참고한 유튜버랑 파일이름이 조금 다른데 본인은

 시나리오 가상으로 LAB을 만들면 어떤 형태로건 테스트가 꼭 필요한 상황에 직면한다. 이럴 때 가장 써먹기 좋은게 PC인데 GNS3와 만찬가지로 EVE-NG도 VPCS 템플릿이 존재한다. 무슨말이냐고? 가상의 PC를 그냥 쓸 수 있다는 이야기 시뮬레이터에서 PC가 얼마나 중요한 존재냐면, 아주 옛날부터 쬐끔씩 쬐끔씩 슬만해지는 시스코의 패킷트레이서도 처음부터 가상 PC의 성능은 괜찮았다. 테스트를 하면 패킷의 이동경로가 애니메이션으로 표현되기 까지!!! 아무튼 말이 길어졌는데 가상 PC를 설정하는 방법이다 준비물 1. EVE-NG 서버 2. 끝 심플하다. 따로 이미지를 등록하지 않아도 자체적으로 템플릿을 가지고 있기 때문이다 시작 [이번 작을 위한 LAB] 직전 포스팅에서 모처럼 ARISTA vEOS를 등록했으니 이걸 이용해서 진행하도록 한다 다음은 아리스타 스위치의 pre-config이다. vEOS - show running-config configure terminal vlan 10 name LEFT exit vlan 20 name RIGHT exit interface vlan 10 ip address 172.16.10.254/24 interface vlan 20 ip address 172.16.20.254/24 interface et1 no shutdown switchport switchport mode access switchport access vlan 10 interface et2 switchport switchport mode access switchport access vlan 20 exit ip routing 다음에 써먹을 SSH 및 관리 ACL을 위해 미리 config 한 내용이고 이번 포스팅에서는 vlan10번만 쓰여진다 1. 개체 등록 왼쪽 상단의 +클릭 > Add an object 클릭 > node 클릭 [Virtual PC 노드 등록] 맨 하단에 우리가 등록하려는 VPCS노트가 파란색으로 표시되어 있다. 클릭한다 [VPCS

 EVE-NG에 ARISTA vEOS를 등록하는 과정을 기록해보겠다 이제는 필드에서 노인네 취급받을 나이지만 그래도 계속 공부하고 무언가를 시도한다는 점에서 내가 직업을 아주 잘 택한지에 대한 의문이 든다 여기까지 찾아오신 분들은 이미 EVE-NG가 뭔지 다 아실테고 기본적으로 CISCO관련 이미지는 쉽게 등록해서 사용하실거라 믿는다 EVE-NG는 요즘 많이 사용하는 가상 시뮬레이터인데 많은 장비를 다룰 수 있고 그에 따른 문서화도 잘 되어있는게 장점이다 ARISTA도 가상 시뮬레이션용 OS인 vEOS파일이 릴리즈 되고 있고 당연히 EVE-NG도 이를 등록해서 구동할 수 있다 아래는 그에 대한 안내가 나와있는 URL이다 https://www.eve-ng.net/index.php/documentation/howtos/howto-add-arista-veos/ [EVE-NG ARISTA vEOS 등록 문서 화면. 다른 장비들도 다수 소개되고 있다] 웹에 나와있는 가이드를 보면 OS버전이 조금 다른데 나는 vEOS-lab-4.25.4M.vmdk 파일을 가지고 있으므로 이걸 가지고 등록을 하겠다 기본적인 명령어는 모두 동일하고 파일명이 다를 뿐이니 다른 버전의 vEOS파일을 가지고 계시다면 적당히 바꿔서 사용하면 될 듯 하다 준비물 1. EVE-NG 서버 2. vEOS 파일, Aboot 파일 vEOS-lab-4.25.4M.vmdk Aboot-veos-serial-8.0.0.iso 3. putty나 SecureCRT 등 터미널 프로그램 4. Winscp와 같은 SFTP프로그램 나는 3번과 4번을 MobaXterm 으로 한꺼번에 해결한다. 요즘 주력으로 쓰고있는 프로그램이다 MobaXterm URL https://mobaxterm.mobatek.net/ 준비물이 갖추어 지면 나머지는 EVE-NG에서 알려주는대로 따라가면 된다 EVE-NG 서버로 접속한다 [MobaXterm을 이용하여 eve-ng 서버에 접속한 화면] EVE-NG도 리눅스 기반의 서버다. 접속하면 우측은 명