Cisco 스위치 초기 설정 시 반드시 변경해야 하는 기본 보안 설정
들어가며
기업이나 기관의 네트워크 환경에서 Cisco 스위치는 가장 널리 사용되는 네트워크 장비 중 하나이다. 하지만 많은 관리자들이 장비를 설치한 후 VLAN 구성이나 인터페이스 설정에만 집중하고, 기본적인 보안 설정은 간과하는 경우가 많다.
실제로 네트워크 사고의 상당수는 복잡한 해킹 기법이 아니라 기본 설정 미흡으로 인해 발생한다. 초기 설치 상태의 스위치는 관리 계정, 원격 접속, 사용하지 않는 포트 등 여러 부분에서 보안 취약점을 가지고 있을 수 있다.
특히 스위치는 네트워크의 중심 장비이기 때문에 한 번 침해되면 내부 네트워크 전체가 위험에 노출될 수 있다. 따라서 운영 환경에 투입하기 전 반드시 기본 보안 설정을 적용해야 한다.
이번 글에서는 Cisco L2/L3 스위치를 구축할 때 반드시 수행해야 하는 핵심 보안 설정과 실제 명령어 예제를 함께 살펴보겠다.
1. Enable Password 대신 Enable Secret 사용하기
Cisco 스위치에는 관리자 권한 모드(Privileged EXEC Mode)로 진입하기 위한 암호가 존재한다.
과거에는 아래와 같이 Enable Password를 사용하였다.
Switch(config)# enable password Cisco123하지만 Enable Password는 보안성이 낮아 현재는 권장되지 않는다.
대신 아래와 같이 Enable Secret을 사용해야 한다.
Switch(config)# enable secret C1sco@123설정 확인 시 다음과 같이 암호화된 형태로 저장된다.
Switch# show running-config
enable secret 5 $1$abc123...Enable Secret을 사용해야 하는 이유
- 암호화된 형태로 저장
- Enable Password보다 높은 우선순위
- 보안 감사 시 필수 항목
- 대부분의 보안 가이드에서 권장
특히 장비 설정 파일이 외부로 유출될 경우 평문 암호는 즉시 노출될 수 있기 때문에 반드시 Enable Secret을 사용하는 것이 좋다.
2. 관리자 계정 생성 및 로컬 인증 적용
초기 설치 후 관리자 계정을 생성하지 않은 상태로 운영하는 경우가 종종 있다.
다음과 같이 관리자 계정을 생성한다.
Switch(config)# username admin privilege 15 secret P@ssw0rd!설정 내용
- admin : 계정명
- privilege 15 : 최고 관리자 권한
- secret : 암호화 저장
이후 콘솔 및 원격 접속 시 해당 계정을 사용하도록 설정한다.
Switch(config)# line console 0
Switch(config-line)# login local
Switch(config-line)# exit
Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# exit로컬 계정을 사용하는 이유
- 사용자별 관리 가능
- 계정 변경이 용이
- 권한 분리 가능
- 감사 로그 추적 가능
대규모 환경에서는 TACACS+ 또는 RADIUS 서버를 사용하는 것이 좋지만, 기본 환경에서는 로컬 계정만으로도 상당한 보안 수준을 확보할 수 있다.
3. Telnet 비활성화 및 SSH 사용
Cisco 장비를 처음 접속할 때 Telnet을 사용하는 경우가 많다.
하지만 Telnet은 매우 위험한 프로토콜이다.
Telnet의 문제점
- ID 평문 전송
- 비밀번호 평문 전송
- 패킷 캡처 시 정보 노출
- 보안 규정 위반 가능
따라서 반드시 SSH만 사용하도록 설정해야 한다.
SSH 설정
도메인 이름 설정
Switch(config)# ip domain-name company.localRSA Key 생성
Switch(config)# crypto key generate rsaSSH 버전 지정
Switch(config)# ip ssh version 2VTY 설정
Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# login local설정 확인
Switch# show ip sshSSH를 사용하면 모든 통신이 암호화되어 관리 트래픽의 보안성을 크게 향상시킬 수 있다.
4. 사용하지 않는 포트 비활성화
네트워크 보안에서 가장 많이 놓치는 부분 중 하나가 미사용 포트 관리이다.
예를 들어 사무실에서 실제 사용하는 포트가 20개뿐인데 스위치는 48포트라면 나머지 28개 포트가 공격 지점이 될 수 있다.
미사용 포트 비활성화
Switch(config)# interface range g1/0/21-48
Switch(config-if-range)# shutdown확인
Switch# show interfaces status추가로 Description 설정
Switch(config)# interface g1/0/10
Switch(config-if)# description User-PC운영 시 포트 식별이 쉬워져 관리 효율성이 높아진다.
5. 관리 VLAN 분리
많은 현장에서 관리 IP를 사용자 VLAN에 함께 구성하는 경우가 있다.
예시
VLAN 10
├ 사용자 PC
├ 프린터
└ 스위치 관리 IP이 경우 사용자 단말이 감염되면 스위치 관리 트래픽까지 영향을 받을 수 있다.
따라서 별도의 관리 VLAN을 운영하는 것이 좋다.
예시
VLAN 10 : 사용자
VLAN 20 : 서버
VLAN 99 : 관리설정 예시
Switch(config)# vlan 99
Switch(config-vlan)# name MANAGEMENT
Switch(config)# interface vlan 99
Switch(config-if)# ip address 192.168.99.10 255.255.255.0관리 VLAN 분리는 실제 보안 감사에서도 자주 확인하는 항목이다.
6. 패스워드 암호화 적용
장비 설정 파일을 확인하면 암호가 평문으로 저장될 수 있다.
이를 방지하기 위해 아래 설정을 적용한다.
Switch(config)# service password-encryption확인
Switch# show running-config암호가 암호화된 형태로 표시된다.
다만 최신 환경에서는 Enable Secret 및 Secret 명령 사용이 더 중요하며, Service Password Encryption은 보조적인 보안 수단으로 이해하는 것이 좋다.
7. 로그인 배너 설정
외부 감사나 보안 점검 시 로그인 배너 설정 여부를 확인하는 경우가 많다.
설정 예시
Switch(config)# banner motd #
Unauthorized Access Prohibited
All Activities Are Monitored
#로그인 시 다음과 같은 경고 문구가 출력된다.
Unauthorized Access Prohibited
All Activities Are Monitored이는 법적 고지 및 보안 정책 준수 측면에서 도움이 된다.
8. 로그 및 시간 설정
장애 분석 시 가장 중요한 정보 중 하나는 로그이다.
하지만 시간이 맞지 않으면 분석이 어려워진다.
시간대 설정
Switch(config)# clock timezone KST 9NTP 설정
Switch(config)# ntp server 192.168.1.100로그 저장
Switch(config)# logging buffered 16384확인
Switch# show logging정확한 시간 정보는 장애 분석뿐 아니라 보안 사고 조사에서도 매우 중요한 역할을 한다.
마무리
Cisco 스위치는 네트워크의 핵심 장비인 만큼 초기 구축 단계에서 보안 설정을 제대로 적용하는 것이 매우 중요하다. VLAN 구성이나 라우팅 설정보다 먼저 관리자 계정 보호, SSH 적용, 미사용 포트 차단, 관리 VLAN 분리 등의 기본 보안 항목을 점검해야 한다.
정리하면 Cisco 스위치 구축 시 반드시 적용해야 할 보안 설정은 다음과 같다.
- Enable Secret 사용
- 관리자 계정 생성
- Telnet 비활성화 및 SSH 적용
- 미사용 포트 Shutdown
- 관리 VLAN 분리
- 암호화 설정 적용
- 로그인 배너 설정
- 로그 및 NTP 설정
이러한 기본 보안 설정만 적용하더라도 상당수의 보안 위협을 사전에 차단할 수 있으며, 향후 네트워크 운영 안정성과 관리 효율성 또한 크게 향상될 것이다.