Cisco ssh port 변경

시스템을 구축, 운영하다보면 가장 기본적으로 해야 할 것이, 보안에 관련된 것이다.

이 중 가장 당연하게 설정 해야 할것이, 잘 알려져 있는 기본 서비스 포트 변경이다.

 

하지만.. 서비스 포트 변경을 한다고 해서 외부 공격을 방어할 수 있을까? 하는 의문은 든다.

사실 포트 스캔 한방이면, 내가 포트를 변경한다고 해커가 못찾는 것도 아니고 말이다.

 

그래도 우리는 최소한의 대비를 해야 한다.

서비스 기본포트 변경, 패스워드 설정, 원격 IP ACL 설정등...

 

우선 가장 많이 사용하는 Cisco 장비에서 SSH Port 22번을 변경해보자. (Telnet은 사용하지 말자)

 

 * SSH RSA  및 계정 생성등은 기본적으로 선행 되어 있어야 아래와 같이 설정할 수 있다.

 

1. SSH 포트 변경

  > ip ssh port (변경하려는 포트) rotary 1

   ex : ip ssh port 1022 rotary 1

 

2. ACL 설정

  > ip access-list extended VTY

  > 10 deny tcp any any eq 22 log 

     * Cisco는 포트 변경을 했다해서, 22번을 차단하지는 않는다.. 22번과 1022 둘다 접속 되기에 ACL로 22번 차단

  > 20 permit ip host 관리자 IP any log 

     * 관리자만 시스템에 접속 할 수 있도록 ACL 설정하자.

      ex : 20 permit ip 192.168.10.1 any log

  > 30 deny ip any any log

     * VTY ACL 설정이기에, 내가 허용한 IP를 제외하고는 모두 차단하자. 

 

3. line con 설정

  > line vty 0 4

     transport input ssh

     rotary 1 

    access-class VTY in

 

 

끝.