네트워크 장비_(중, 하) 항목

 

 

 

1. 계정관리

 

N-15 (중) | 1.4 사용자,명령어별 권한 수준 설정

• 점검내용  
  네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검
• 점검목적  
  업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함
• 보안위협
  계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 
  삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스템 간 데이터 전송 불가)저하 문제가 발생할 위험이 존재함
• 참고
  -관리자 계정: 장비의 모든 기능(계정 생성 및 권한 부여, 장비 정책 설정, 모든 명령어 사용 가능 등)을 제한 없이 사용하거나 설정할 수 있는 계정 
  -일반 계정: 장비의 일부 기능(모니터링, 룰셋적용, 일부 명령어만 사용 등) 만 사용하거나 설정할 수 있는 계정
  
  

 

 

2. 접근 관리

 

N-16 (중) | 2.3 VTY 접속 시 안전한 프로토콜 사용

• 점검내용  
  네트워크 장비 정책에 암호화 프로토콜(ssh)을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검
• 점검목적
   암호화 프로토콜을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검하여 네트워크 터미널 접근 시 전송되는 데이터의 스니핑 공격에 대한 대비가 되어 있는지 확인하기 위함
• 보안위협
   암호화 프로토콜이 아닌 평문 프로토콜(telnet)을 이용하여 네트워크 장비에 접근할 경우, 네트워크 스니핑 공격에 의해 관리자 계정 정보(계정, 패스워드)가 비인가자에게 유출될 위험이 존재함
• 참고
  -스니핑(Sniffing) 공격: 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치"라고 말할 수 있으며 "스니핑"이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말함
  
  
  

N-17 (중) | 2.4 불필요한 보조 입,출력 포트 사용 금지

• 점검내용
  -사용하지 않는 보조(AUX) 포트 및 콘솔 점검  
  -장비 관리나 운용에 쓰이지 않는 포트 및 인터페이스가 비활성화 되어 있는지 점검 
• 점검목적
  -사용하지 않는 보조(Auxiliary) 포트의 사용을 제한하여 비인가 접근을 원천적으로 방지
  -불필요한 포트 및 인터페이스의 비활성화 여부를 점검하여 불필요한 포트 및 인터페이스를 통한 비인가자의 접근을 원천적으로 차단하는지 확인하기 위함
• 보안위협  
  불필요한 포트 및 인터페이스가 활성화되어 있을 경우, 비인가자가 활성화된 포트 및 인터페이스를 통해 네트워크 장비에 접근할 수 있는 위험이 존재함
• 참고
  -보조(AUX) 포트: 모뎀과 연결하여 원격에서 전화를 걸어 접속하거나 다른 네트워크 장비와 널 모뎀 케이블를 연결하여 점검
  
  

 

 

N-18 (중) | 2.5 로그온 시 경고 메시지 설정

• 점검내용  
  터미널 접속 화면에 비인가자의 불법 접근에 대한 경고 메시지를 표시하도록 설정되어 있는지 점검 
• 점검목적
   경고 메시지 표시 설정 적용 유무를 점검하여 비인가자에게 불법 적으로 터미널 접근 시 법적인 처벌에 대해 경각심을 가질 수 있게 하는지 확인하기 위함
• 보안위협
   터미널 접근 시 경고 메시지가 표시 되도록 설정되지 않을 경우, 비인가자가 법 위반에 대한 경각심을 느끼지 않게 되어 더 많은 공격을 시도할 수 있는 원인이 됨
  
  
  

 

4. 로그 관리

 

N-19(하) | 4.1 원격 로그서버 사용

• 점검내용  네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하였는지를 점검
• 점검목적
   네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제나 변조 위험에 대비하기 위함
• 보안위협
   별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석에 어려움이 발생함
• 참고
  -원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버
  
  

 

N-20(중) | 4.2 로깅 버퍼 크기 설정

• 점검내용  
  버퍼 메모리의 크기를 어느 정도로 설정하고 있는지 점검
• 점검목적  
  장비 성능을 고려하여 최대 용량에 가깝도록 버퍼 크기를 설정하도록 함
• 보안위협  
  버퍼 메모리의 용량을 초과하는 로그가 저장될 경우 로그 정보를 잃게 되어 침해사고 발생 시 침입 흔적을 알 수 없는 상황이 발생함
• 참고
  버퍼 메모리
  -일반적으로 주기억 장치와 중앙 처리 장치 사이에 명령이나 데이터를 일시 유지하는데 사용되는 고속의 기억 장치. 버퍼 메모리는 주기억 장치보다 메모리 용량은 적지만 고속의 기억 소자를 사용함으로써 주기억 장치와 중앙 처리 사이의 정보의 흐름을 원활하게 함. 
  -버퍼 메모리를 달리 로컬 메모리 혹은 캐시(cache)라고도 함
  
  

 

N-21(중) | 4.3 정책에 따른 로깅 설정

• 점검내용  
  정책에 따른 로깅 설정이 이루어지고 있는지 점검
• 점검목적
  로그 정보를 통해 장비 상태, 서비스 정상 여부 파악 및 보안사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함
• 보안위협  
  로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음
  
  

 

N-22(중) | 4.4 NTP 서버 연동

• 점검내용  
  네트워크 장비의 NTP 서버 연동 설정 적용 여부 점검
• 점검목적  
  시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함
• 보안위협  
  시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡
• 참고
  NTP=Network Time Protocol, 네트워크로 구성된 환경에서 운영되는 시스템 시간 동기화
  
  

 

N-23(하) | 4.5 timestamp 로그 설정

• 점검내용 
  네트워크 장비 설정 중 timestamp를 설정하여 로그 시간을 기록할 수 있게 하였는지 점검
• 점검목적
  네트워크 장비 로그에 시간을 기록하게 설정하여 공격자의 악의적인 행위를 파악하기 위한 로그의 신뢰성을 확보하기 위함
• 보안위협
   네트워크 장비에 timestamp를 설정하지 않을 경우, 로그에 시간이 기록 되지 않아 공격 및 침입시도에 관한 정보를 정확히 분석할 수 없고 로그 기록에 대한 신뢰성을 잃게 됨
• 참고
  -timestamp: 네트워크 장비 로그 메시지에 관리자가 지정한 형식으로 시간 정보를 남기도록 하는 설정
  
  

 

 

 

5. 기능 관리

 

N-24 (중) | 5.9 TCP Keepalive 서비스 설정

• 점검내용  
  TCP Keepalive 서비스를 사용하는지 점검
• 점검목적
  네트워크 장비의 Telnet 등 TCP 연결이 원격 호스트 측에 예상치 못한 장애로 비정상 종료된 경우 네트워크 장비가 해당 연결을 지속하지 않고 해제하도록 TCP Keepalive 서비스를 설정
• 보안위협  
  유후 TCP 세션은 무단 접근 및 하이재킹 공격에 취약
• 참고
  -TCP keepalive: TCP 연결이 유효한지 확인하기 위해 유휴 연결에 주기적으로 응답을 요구하는 패킷을 전송하고 원격 호스트가 일정시간 동안 응답이 없으면 연결을 끊음
  
  

 

 

N-25 (중) | 5.10 Finger 서비스 차단

• 점검내용  
  -Finger 서비스를 차단하는지 점검
  -네트워크 장비 서비스 중 Finger 서비스가 활성화되고 있는지를 점검
• 점검목적
  Finger(사용자 정보 확인 서비스)를 통해 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회되는 것을 차단하고자 함
• 보안위협
  -Finger 서비스로 사용하여 네트워크 장비에 로그인한 계정 ID, 접속 IP 등 정보 노출
  -Finger 서비스가 활성화되어 있으면, 장비의 접속 상태가 노출될 수 있고 VTY(Virtual Type terminal)의 사용 현황을 원격에서 파악하는 것이 가능함
• 참고
  -Finger(사용자 정보 확인 서비스): finger 서비스는 접속된 시스템에 등록된 사용자뿐만 아니라 네트워크를 통하여 연결된 다른 시스템에 등록된 사용자들에 대한 자세한 정보를 보여줌

 

 

N-26 (중) | 5.11 웹 서비스 차단

• 점검내용
  -네트워크 장비의 웹 서비스를 비활성화하거나 특정 IP 주소만 접근을 허용하는지 점검 
  -웹서비스를 이용하여 네트워크 장비를 관리할 경우 허용된 IP에서만 접속할 수 있게 ACL을 적용하였는지 점검
  -웹서비스가 불필요(장비 관리에 사용하지 않은 경우 포함)하게 활성화 되어 있는지 점검
• 점검목적
   허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록 하기 위함
• 보안위협
   허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있음
    
  
  

N-27 (중) | 5.12 TCP/UDP Small 서비스 차단

• 점검내용  
  TCP/UDP Small 서비스가 제한되어 있는지 점검
• 점검목적  
  TCP/UDP Small 서비스를 차단하여 보안성을 높이고자 함
• 보안위협  
  TCP/UDP Small 서비스를 차단하지 않을 경우, DoS 공격의 대상이 될 수 있음
• 참고
  -Dos 공격 대상: Cisco 제품의 경우 DoS 공격 대상이 될 수 있는 서비스인 echo, discard, daytime, chargen 을 기본적으로 제공하며 일반적으로 거의 사용하지 않음
  -TCP/UDP Small 서비스는 IOS 11.3 이상에서는 기본적으로 서비스가 제거된 상태이므로 Small 서버들이 Default로 Disable되어 있지만 낮은 버전의 경우는 직접 설정해 주어야 함
  
  
  

N-28 (중) | 5.13 Bootp 서비스 차단

• 점검내용  
  Bootp 서비스의 차단 여부 점검
  
• 점검목적  
  서비스 제거를 통해 비인가자에게 OS 정보가 노출되는 것을 차단함
  
• 보안위협  
  Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음
  
• 참고 
  -Bootp 서비스: 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP주소를 받게 하는 프로토콜임
  

 

 

N-29 (중) | 5.14 CDP 서비스 차단

• 점검내용  
  CDP 서비스를 차단하는지 점검
• 점검목적  
  동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함
• 보안위협
   보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음
• 참고
  -CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함
  
  

 

 

N-30 (중) | 5.15 Directed-broadcast 차단

• 점검내용  
  Directed-broadcast를 차단하는지 점검
• 점검목적  
  Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함
• 보안위협
   IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨
• 참고
  -Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법
  
  

 

 

N-31 (중) | 5.16 Source 라우팅 차단

• 점검내용  
  source routing를 차단하는지 점검
• 점검목적  
  인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함
• 보안위협
   공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있음
• 참고
  -source routing: 송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정 할 수 있는 기능임

 

 

 

N-32 (중) | 5.17 Proxy ARP 차단

• 점검내용  
  Proxy ARP를 차단하는지 점검
• 점검목적  
  Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함
• 보안위협
   Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신이 이루어지지 않을 수 있음
• 참고 
  -Proxy ARP: 동일 서브넷에서 다른 호스트를 대신하여 ARP Request에 응답하는 기술 

 

 

N-33 (중) | 5.18 ICMP unreachable, Redirect 차단

• 점검내용  
  ICMP unreachable, ICMP redirect를 차단하는지 점검
• 점검목적
  -ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함
  -ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단함
• 보안위협
  -ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음
  -ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로 패킷 경로를 변경하여 가로챌수 있음
  -연속적으로 ICMP의 port-unreachable frame을 보내서 시스템의 성능을 저하시키거나 마비시킬 수 있음..
• 참고
  -ICMP unreachable: ICMP unreachable 메시지에는 특정 호스트 및 게이트웨이에 패킷을 보냈을 때 어떠한 이유로 전달될 수 없는지 나타내는 코드들을 포함하고 있음
  -ICMP redirect: ICMP redirect는 라우터가 송신 측 호스트에 적합하지 않은 경로로 설정되어 있으면 해당 호스트에 대한 최적 경로를 다시 지정해주는 용도로 사용됨
   

 

N-34 (중) | 5.19 identd 서비스 차단

• 점검내용  
  identd 서비스를 차단하는지 점검
• 점검목적  
  불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지
• 보안위협  
  identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음
• 참고
  -identd 서비스: 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스(113/TCP)
  -사용자가 서버로 TCP 연결을 시작한 경우 서버는 클라이언트의 identd 서비스에 TCP 세션의 포트번호를 보내 클라이언트 운영체제와 사용자 ID를 조회 가능
  -클라이언트의 정보에 의존하기 때문에 인증 또는 접근제어 용도로 사용할 수 없음
  
  

 

 

N-35 (중) | 5.20 Domain lookup 차단

• 점검내용  
  Domain Lookup를 차단하는지 점검
• 점검목적  
  명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단
• 보안위협  
  불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생
• 참고
  -Domain lookup: Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력하면 호스트 이름으로 간주하고 Domain Lookup을 시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음
   

 

 

N-36 (중) | 5.21 PAD 차단

• 점검내용  
  PAD 서비스를 차단하는지 점검
• 점검목적  
  X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지
• 보안위협  
  PAD와 같이 불필요한 서비스를 차단하지 않을 경우 잠재적인 취약점 및 공격에 노출될 수 있음
• 참고
  -PAD(Packet Assembler/Disassembler): X.25 패킷교환망에 패킷 처리 기능이 없는 비동기형 단말기의 연결을 제공하는 서비스, 비동기형 단말기로부터 수신한 문자 스트림을 X.25 패킷으로 분해하고 반대로 X.25 패킷을 문자 스트림으로 재조합하여 상호 전송 
  -X.25: 패킷교환 데이터 전송 서비스를 위한 ITU-T 표준 프로토콜(1976년 개발), 패킷교환설비와 패킷형 단말기의 통신절차는 X.25, 패킷교환설비와 비동기형 단말기의 통신절차는 X.3, X.28, X.29를 사용
  
  

 

N-37 (중) | 5.22 mask-reply 차단

• 점검내용  
  mask-reply를 차단하는지 점검
• 점검목적  
  내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정
• 보안위협  
  mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브넷 마스크 정보가 노출될 수 있음
• 참고
  -mask-reply: 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공
  
  

 

 

N-38 (중) | 5.23 스위치, 허브 보안 강화

• 점검내용  
  스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검
• 점검목적  
  보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함
• 보안위협  
  포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음
• 참고
  -SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함
  
  1. MAC flooding
  - 이더넷 환경에서 스니퍼를 이용한 스니핑 공격을 하여 주요 정보 유출이 될 가능성이 높음
  - MAC flooding 공격은 특정 호스트가 대량의 변조된 MAC 주소를 생성하기 때문에 이를 차단함
  - 포트마다 MAC 주소를 스위치에 설정하거나 수용할 수 있는 최대 MAC 주소의 개수를 제한함
  
  2. ARP spoofing
  - 스위치 장비에 의한 직접적인 공격이 아니라 트래픽의 흐름을 변경하는 공격 유형
  - 시스코의 경우 개인 가상랜(VLAN) 기능을 이용하여 ARP 스푸핑에 대한 대책을 세울 수 있음
  - 개인 가상랜은 같은 가상랜 내에서 포트 단위로 분리할 수 있는 기능으로, promiscuous / isolated/ community의 포트 속성을 정의하여 트래픽 이동에 대한 제한이 가능함