CSPC NAT 라우터에서 PING(ICMP) 비활성화

다운로드 옵션

PDF (398.4 KB)
다양한 디바이스에서 Adobe Reader로 보기

업데이트:2024년 6월 25일

문서 ID:222072

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cent7_NAT 라우터에서 ICMP(ping) 응답을 차단하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

NAT 라우터에 대한 루트 액세스

경고: ICMP를 비활성화하면 traceroute(Linux에서) 및 tracert(Windows에서)를 사용할 수 없게 됩니다.

사용되는 구성 요소

CSPC(테스트 버전: Cent7_NAT_V3.ova)
(선택 사항) ESXI에 액세스(VM에 대한 연결이 끊어진 경우)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

네트워크 다이어그램

NAT 라우터 다이어그램

설정

1. 컬렉터의 IP 및 SSH 클라이언트의 포트 1022를 사용하여 NAT 라우터에 로그인합니다.
2. 사용자를 루트로 변경합니다.

su -

3. /etc/sysctl.conf 파일을 백업합니다.

cp /etc/sysctl.conf /etc/sysctl.conf.bkup<date>

백업 구성 파일

4. 백업한 후 /etc/sysctl.conf 파일을 수정하고 다음 행을 추가합니다.

net.ipv4.icmp_echo_ignore_all = 1

5. net.ipv4.icmp와 일치하는 모든 행을 주석 처리합니다.
6. 변경사항을 저장합니다.

주석 달기

경고: 7단계 이후에 CSPC, NCCM 및 AFM에 대한 SSH 액세스가 손실됩니다.

7. 명령을 사용하여 새 변수를 로드합니다.

sysctl -p

경고: 8단계 이후에 CSPC, NCCM 및 AFM의 연결이 중단됩니다. 이는 NCCM에서 디바이스로 적용되는 지속적인 수집 및 변경에 영향을 미칠 수 있습니다.

8. NAT 라우터를 재부팅합니다.

9. SSH 세션을 열어 CSPC, NCCM 및 AFM(해당되는 경우)과의 연결을 확인합니다.

다음을 확인합니다.

7단계 후에는 Cent7_NAT 라우터 IP 주소에 대한 ping이 응답을 중지합니다.
공격 전:

ping 전

이후:

Ping이 없는 후

문제 해결

Cent7_NAT 라우터를 재부팅할 때 CSPC, NCCM 또는 AFM 상자에 대한 연결이 복구되지 않을 경우 Cent7_NAT 라우터에 로그인하고 3단계의 백업을 사용하여 변경 사항을 되돌립니다.

cp /etc/sysctl.conf.bkup<date> /etc/sysctl.conf

개정 이력

개정	게시 날짜	의견
1.0	26-Jun-2024	최초 릴리스

Cisco 엔지니어가 작성

밀렌코 토미히
TAC 엔지니어