[AOS8] security 관련

1. Source 라우팅 차단 - 지원

(WLC_A) [mm] (config) #firewall

(WLC_A) [mm] (config-submode)#deny-source-routing

 

2. Proxy ARP 차단 - 지원
(Hostname) (config) #interface vlan 1
(Hostname) (config-subif)#ip local-proxy-arp

 

3. domain lookup 차단 - 지원

(WLC_A) [mm] (config) #no ip domain lookup

 

 

4. 사용자․명령어별 권한 수준 설정

5. controller 접근(ACL) 설정(ssh, https 제한)

- 최대 RULE 갯수 : 64개

- firewall cp 설정은 유/무선 모두 ACL 적용됨

 

#설정

cd /mm

configure t

firewall cp

ipv4 permit host 60.40.157.254 proto ssh                                ==> SSH 허용할 단말 IP 입력

ipv4 permit host 60.40.157.254 proto 6 ports 4343 4343     ==> WEB 허용할 단말 IP 입력

ipv4 deny any proto ssh                                                              ==> 그외 SSH 모두 차단

ipv4 deny any proto 6 ports 4343 4343                                   ==> 그외 WEB 모두 차단

 

#확인

show firewall-cp

 

#링크

https://arubanetworking.hpe.com/techdocs/CLI-Bank/Content/aos8/firewall-cp.htm

 

6. Session Timeout 설정&VTY 접속 시 안전한 프로토콜 사용

7. 불필요한 보조 입출력 포트 사용 금지
- 무선랜 컨트롤러의 mgmt 포트는 기본적으로 다운으로 해당 사항 없음

 

8. 로그온 시 경고 메시지 설정

9.최신 보안 패치 및 벤더 권고사항 적용(아래 asp 사이트에서 보안 취약점 확인 후 버젼 업데이트 공고)

 https://asp.arubanetworks.com/notifications;notificationCategory=Product;targetAccountId=QWNjb3VudDpmZTIxYjRhOC02NGExLTExZTktYTBkMC05YmQ2NmU5NDM2YjQ%3D

 

10. TFTP 서비스 차단

- AP image upgrade 용도로 차단은 가능하나 비권장

- 차단시 ACL 활용

 

11. 사용하지 않는 인터페이스의 shutdown 설정

- 미사용 포트는 인터페이스 모드에서 shutdown

 

12. Domain lookup 차단

(Pod1-MM) [mm] (config) #no ip domain lookup