문서API 참조
Documentation
Start typing to search…

Cisco IOS-XR

Cisco의 IOS‑XR은 Linux 기반 라우터 운영 체제입니다. Linux 시스템을 스캔하려면 Sandfly는 호스트로 ssh 접속이 가능해야 하며, 로그인 즉시 sh 유형의 셸이 제공되어야 하고, sudo를 사용해 권한 상승 명령을 실행할 수 있어야 합니다.

설정

IOS‑XR은 SSH 서버를 실행하지만, 사용자가 로그인 시(IOS CLI가 아닌) 셸 프롬프트를 받도록 보장하는 공식적으로 지원되는 방법은 보이지 않습니다. 셸은 run bash IOS 명령으로 접근할 수 있지만, Sandfly가 SSH command channel을 통해 명령을 실행하는 방식 때문에 로그인 직후 셸이 제공되어야 한다는 요구 사항을 충족하지 못합니다.

그러나 현재 IOS‑XR에는 다른 포트에서 추가 SSH 서버를 실행하여 사용자를 바로 셸로 진입시키는 서비스가 포함되어 있습니다. Sandfly로 IOS‑XR 장치를 스캔하려면 이 추가 SSH 서버를 활성화하고 Sandfly 사용자 계정을 생성해야 합니다.

주의사항

사용자는 이 추가 서비스를 활성화함으로써 라우터에 발생할 수 있는 추가 위험과, Sandfly로 장치를 스캔함으로써 얻는 이점 간의 균형을 신중히 고려해야 합니다. Sandfly는 이 추가 SSH 서비스의 의도된 목적을 알지 못하며, 본 사용 방법이 Cisco에서 지원하는 활동이라고 기대하지 않습니다.

추가 SSH 서비스에는 다음과 같은 두 가지 제약이 있습니다:

  1. 테스트 결과, 이 서비스는 라우터의 관리 IP 주소가 속한 로컬 서브넷에서만 접근 가능한 것으로 확인되었습니다. 기본 "main" queue를 사용하는 Sandfly Node가 다른 서브넷에 있다면, 라우터의 관리 IP와 동일한 서브넷에서 동작하는 다른 named queue를 가진 Node를 실행해야 합니다.
  2. 이 서비스를 활성화해도 재부팅 후에는 유지되지 않습니다. 라우터가 재부팅되면 추가 SSH 서비스를 다시 시작해야 합니다.

이러한 제한 사항과 지원되지 않을 가능성을 고려할 때, Cisco가 SSH를 통해 직접 셸 액세스를 제공하는 지원 방법에 대한 지침을 제시하기 전까지(또는 제시하지 않는 한) 사용자는 기준선 확보를 위한 간헐적인 수동 스캔 및 사고 대응(IR) 활동 시에만 일시적으로 SSH 서비스를 활성화하는 방안을 고려할 수 있습니다.

SSH 서비스 활성화

포트 57722에서 수신 대기하는 추가 SSH 서비스를 활성화하려면 IOS CLI에서 다음 명령을 실행하십시오:

run service sshd_operns start

이제 관리 IP와 동일한 서브넷에서 포트 57722로 라우터에 SSH 접속하면 IOS CLI 대신 bash 셸로 진입하게 됩니다.

라우터가 재부팅될 때마다 이 서비스를 다시 시작해야 합니다.

❗️

중요: 추가 SSH 서비스는 재부팅 후 유지되지 않습니다

Sandfly 스캔을 계속 수행하려면 라우터가 재부팅될 경우 추가 SSH 서비스를 다시 시작해야 합니다. 따라서 기준선 확보를 위한 간헐적인 수동 스캔과 사고 대응(IR) 활동 시에만 일시적으로 SSH 서비스를 활성화하는 방안을 고려할 수 있습니다.

사용자 설정

구성 모드에서 sandfly 사용자를 생성합니다:

RP/0/RP0/CPU0:cisco-iosxrv-01(config)# username sandfly
RP/0/RP0/CPU0:cisco-iosxrv-01(config-un)# password EnterSecurePasswordHere

구성을 커밋하여 사용자를 생성합니다.

자격 증명 탈취 위험을 최소화하기 위해 인증에는 SSH 키 사용을 강력히 권장합니다. IOS‑XR에서 SSH 공개 키 인증을 활성화하는 방법은 Cisco 문서를 참고하십시오. 이는 이 간단한 안내의 범위를 벗어납니다.

마지막으로, 해당 사용자에게 sudo 권한을 부여합니다:

RP/0/RP0/CPU0:cisco-iosxrv-01# run echo "sandfly ALL=(ALL) ALL" > /etc/sudoers.d/sandfly

이제 "sandfly" 사용자 계정은 라우터의 관리 IP와 동일한 서브넷에서 포트 57722로 라우터에 SSH 접속할 수 있으며, 셸 프롬프트를 받고 sudo를 사용할 수 있습니다.

Sandfly 설정

일반적인 호스트 추가 절차를 사용해 라우터를 Sandfly에 추가하십시오. SSH 포트는 57722이며, SSH로 접속하려는 라우터의 관리 IP와 동일한 로컬 서브넷에서 동작하는 Sandfly Node에 해당하는 queue 이름을 선택해야 합니다.

Updated 7 days ago

이 페이지가 도움이 되었나요?