[네트워크 장비 취약점 진단] mask-reply 차단
- 정보보안/네트워크
- 2022. 8. 26.
N-37 mask-reply 차단
■ 점검영역 : 기능관리
■ 항목 중요도 : 중
■ 점검내용
mask-reply를 차단하는지 점검
■ 점검목적
내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정
■ 보안위협
mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브넷 마스크 정보가 노출될 수 있음
■ 참고
※ mask-reply: 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
mask-reply를 차단하는 경우
취약
mask-reply를 차단하지 않은 경우
■ 조치방법
각 인터페이스에서 mask-reply 비활성화
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
기본적으로 ip mask-reply 명령은 비활성화 상태이기 때문에 구성 내용에서 no ip mask-reply 명령이 표시되지 않음
Router# show ip interface
Serial1/0 is up, line protocol is up (connected)
!
ICMP mask replies are never sent
!
show ip interface 실행 결과에서 ICMP Address Mask Reply 차단 여부를 표시
■ 장비별 조치방법 예시
Cisco IOS
Interface Configuration 모드에서 no ip mask-reply 명령어를 사용하여 비활성화
Router# config terminal
Router(config)# interface <인터페이스>
Router(config-if)# no ip mask-reply
■ 조치 시 영향 : 일반적인 경우 영향 없음