리눅스포털

공지사항 ▶

로그인 | 회원가입 | 마이페이지 | 사이트맵

강좌

HOME > 강좌 >

강좌| 리눅스 및 오픈소스에 관련된 강좌를 보실 수 있습니다.

웹서버구축 보안점검가이드[2] - 네트워크 취약점 점검

제 3 장 네트워크 취약점 점검

제1절 네트워크 장비의 원격 접근 제한 설정

패스워드를 아무리 어렵게 설정하였다 하더라도 관리자 중에 퇴사자나 부서 이동자가 있을 수 있고 또는 관리의 부주의 등으로 패스워드가 유출될 수도 있다. 또한 무작위로 대입하는 brute force 프로그램을 이용하여 일일이 패스워드를 입력해 보는 방법으로도 패스워드를 알 수 있으므로 단순히 패스워드를 추측하기 어렵게 설정하는 것만으로는 확실한 대안이 될 수 없으며 패스워드를 설정한 후에는 허용된 ip 외에는 telnet이나 ssh를 통해 라우터에 원격접속을 할 수 없도록 제한하는 것이 좋다.

제2절 SNMP 접근 제한 설정

SNMP(Simple Network Management Protocol)는 그 이름이 뜻하는 바와 같이 단순한 네트워크 관리를 위한 목적으로 주로 서버나 네트워크 장비에서 SNMP를 설정한 후 mrtg프로그램을 이용하여 트래픽 관리 등을 위해 사용되고 있다. 그러나 트래픽 정보뿐만 아니라 전체 네트워크의 구성이나 MAC 주소, IP주소, IOS 버전등 소프트웨어 정보 및 각종 하드웨어 정보까지 제공하는 등 관리자 입장에서는 매우 중요한 정보를 제공하므로 이의 보안에 신경을 쓰도록 하여야 한다. 더군다나 SNMP에 대한 읽기 권한 뿐 아니라 쓰기 권한까지 있을 경우에는 config 파일을 열람하거나 직접 네트워크 설정을 변경할 수도 있다.
SNMP는 버전별로 v1과 v2c가 주로 사용되고 있지만 두 버전은 거의 유사하며 최근의 v3에서는 인증을 위해 암호화가 제공되고 있다.

가. community 문자열(string)
SNMP에서 community 문자열(string)은 SNMPd(데몬)와 클라이언트가 데이터를 교환하기 전에 인증하는 일종의 패스워드로서 초기값으로 public 또는 private로 설정되어 있다. 이는 비단 라우터뿐만 아니라 대부분의 서버에서도 public으로 되어 있는데, 이를 그대로 사용하는 것은 패스워드를 사용하지 않는 계정을 사용하는 것 이상 위험하다. 그럼에도 불구하고 대부분의 시스템, 네트워크 관리자들이 기본적인 문자열인 public을 그대로 사용하거나 다른 문자열로 변경을 해도 상호나 monitor, router, mrtg 등 사회공학적으로 추측할 수 있는 문자열을 사용하고 있어 문제가 되고 있다. community 문자열(string)은 뒤에서 설명할“service password-encryption”라는 명령어로도 암호화되지 않으므로 반드시 기존의 public 대신 누구나 추측하기 어렵고 의미가 없는 문자열로 변경하도록 하여야 한다. 그리고 SNMP에서는 RO(Read Only)와 RW(Read Write) 모드를 제공하는데, 대부분 RO모드를 사용하지만 일부 관리자들은 SNMP를 이용한 쉬운 관리를 위해 RW(Read Write) community 문자열을 사용하는 경우도 있는데, 이러한 경우 보안 설정을 확실하게 하지 않을 경우 SNMP를 이용하여 설정을 수정할 수 있는 등 심각한 보안문제를 유발할 수 있으니 가급적 사용을 자제하되 부득이 사용하여야 한다면 각별히 주의하여야 한다.

나. 암호화 여부
SNMP(v1, v2c)에서 클라이언트와 데몬간의 get_request(요청)와 get_response(응답) 과정은 암호화가 아닌 평문으로 전송되므로 전기적인 도청인 스니핑(sniffing)이 가능하다. 따라서 아무리 community 문자열을 어렵게 수정하였다 하더라도 중간 네트워크에서 스니핑을 하면 community 문자열을 알 수 있으므로 라우터에서 access-list를 이용하여 SNMP에 대한 접근을 엄격히 제한하여야 한다.

제3절 네트워크 장비의 디폴트 아이디/패스워드 사용금지
기본적으로 네트워크 장비로의 접속은 내부에서만 가능하게 하도록 하며, 단지 관리상의 편리함 때문에 로그인 패스워드를 설정하지 않거나 상호 등 쉽게 추측이 가능한 기본 패스워드를 일괄적으로 설정하지 말아야 한다. 또한 사전에 존재하는 단어와 숫자 등의 추측이 쉬운 아이디와 패스워드를 사용하지 않는다.

제4절 불필요한 서비스의 중단
서버 시스템과 마찬가지로 네트워크 장비 역시 처음에 설치를 하거나 IOS 등을 업그레이드 한 후에는 사용하지 않거나 보안상 불필요한 서비스나 기능이 너무 많이 활성화되어 있는 경우가 많다. 따라서 불필요한 서비스는 반드시 중지하도록 한다.

제5절 설정을 통한 로그인시간 제한
로그인 한 후 일정 시간동안 아무런 명령어를 입력하지 않으면 자동으로 접속을 종료하거나 로그아웃이 되도록 설정하는 것이 좋은데, 이는 실수로 로그아웃을 하지 않고 자리를 뜨는 경우에 대비하기 위함이다.

제6절 로그 관리
서버든 라우터와 같은 네트워크 장비든 관계없이 로그는 매우 중요한 의미를 가진다. 시스템에서 자체적으로 제공하는 로그를 통해 다양한 현상이나 장애등을 인지할 수 있으며 access-list와 같은 특정한 룰에 매칭되었을 경우 로그를 남길 수 있도록 함으로써 모니터링의 용도로도 중요한 역할을 하게 된다. 그러나 대부분 라우터에서 로그를 남기는 설정을 하지 않고 사용하는데, 관리상의 목적으로 또는 보안상의 목적으로도 반드시 설정할 것을 권장한다.

출처 :

[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1687

krcert

인터넷 침해사고대응지원센터의
허락하에 본 사이트에서 pdf 파일 형식으로 배포 됩니다.

회사소개 사이트맵 이용약관 개인정보취급방침 책임한계와 법적고지

상호 : (주)에스유소프트 | 대표자 : 박성수 | 전화 : 1544-8128 | Fax : 051-744-4970 | 사업자번호 : 220-88-56770
통신판매업신고번호 : 2015-경기성남-0883호
서울: 경기도 성남시 분당구 성남대로 295 대림아크로텔 B동 436호
부산: 부산광역시 해운대구 센텀중앙로 48, 914호(우동, 에이스하이테크21)
기업부설연구소: 부산광역시 해운대구 센텀중앙로 48, 914호(우동, 에이스하이테크21)