취약점 진단 (21) 썸네일형 리스트형 정책에 따른 로깅 설정 보안위협 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며,법적 대응을 위한 충분한 증거로 사용될 수 없다 설정방법 NTP 서버 연동 NTP 서버 : Network 상에 연결된 장비와 장비 간에 시간 정보를 동기화하기 위한 프로토콜 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 설정 방법 Router# config terminal Router(config-if)# ntp server ip(NTP 서버) timestamp 로그 설정 timestamp : 네트워크 장비 로그 메시지에 관리자가 지정한 형식으로 시간 정보를 남기도록 하는 설정 보안위협 네트워크 장비에 timestamp를 설정하지 않을 경우, 로그에 시간이 기록 되지 않아 공격 및 침입시도레 대한 정보를 정확히 분석할 수 없고 로그 기록에 대한 신뢰성을 잃게 된다 설정방법 Router# config terminal Router(config-if)# service timestamp log data time msec local show-timezone Finger 서비스 차단 Finger : finger 서비스는 접속된 시스템에 등록된 사용자뿐만 아니라 네트워크를 통하여 연결된 다른 시스템에 등록된 사용자들에 대한 자세한 정보를 보여준다 보안위협 Finger 서비스가 활성화되어 있으면, 장비의 접속 상태가 노출될 수 있고 VTY의 사용 현황을 원격에서 파악하는 것이 가능하다 설정방법 Router# config terminal Router(config-if)# no service finger(이전) Router(config-if)# no ip finger 최근 출시되는 IOS는 no service finger 명령 대신 no ip finger 명령어를 사용하기도 한다 웹 서비스 차단 IOS 상의 HTTP 서버를 사용해야만 한다면, HTTP WEB_EXEC 서비스를 비활성화 함으로써 위험을 감소시킬 수 있다 보안위협 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있다 인젝션 SQL, OS, NoSQL, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리 문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령어를 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다 조치방법 Router# config terminal Router(conf.. TCP/UDP Small 서비스 차단 DOS 공격 대상 : CISCO 제품의 경우 DOS 공격 대상이 되 수 있는 서비스인 echo, discard, daytime, chargen 을 기본적으로 제공하며 일반적으로 거의 사용하지 않는다 ** tcp/udp small 서비스는 IOS 11.3 이상에서는 기본적으로 서비스가 제거된 상태이므로 SMALL 서버들이 Default로 Disable되어 있지만 낮은 버전의 경우 직접 설정해 주어야한다 설정방법 Router# config terminal Router(config-if)# no service tcp-small-server Router(config-if)# no service udp-small-server Bootp 서비스 차단 BOOTP 서비스 : 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP주소를 받게 하는 프로토콜 보안위협 Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 os사본에 접속하여 os 소프트웨어 복사본을 다운로드 할 수 있다 설정방법 Router# config terminal Router(config-if)# no ip bootp server CDP 서비스 차단 CDP : Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 다우터에 IOS version, model, device 등의 정보를 제공한다 보안위협 보안이 검증 되지 않은 거비스로, 비인가자가 다른 cisco 장비의 정보를 획득할수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있다 설정방법 Router# config terminal Router(config-if)# no cdp run Router(config)# interface fastethernet 0/1 Router(config-if)# no cdp run 이전 1 2 3 다음
