아빠의 IT 이야기

[네트워크 장비 취약점 진단] 원격 로그서버 사용

 

 

N-19 원격 로그서버 사용

 

■ 점검영역 : 로그 관리

 

■ 항목 중요도 :

 

■ 점검내용

 

네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하였는지를 점검

 

■ 점검목적

 

네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제나 변조 위험에 대비하기 위함

 

■ 보안위협

 

별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석에 어려움이 발생함

 

■ 참고

 

※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

별도의 로그 서버를 통해 로그를 관리하는 경우

 

취약

별도의 로그 서버가 없는 경우

 

■ 조치방법

 

Syslog 등을 이용하여 로그 저장 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS
Router# show running-config
Router# show logging
1. Logging 설정 확인
2. Log 정보 확인


Radware Alteon
/syslog/host에서 syslog host 설정 확인


Juniper Junos
user@host> configure
[edit]
user@host# show version
root authentication 설정을 이용하여 [edit system] 레벨에서 syslog 설정 확인

 

Piolink
configure에서 logging 서버 설정 확인

 

 

■ 장비별 조치방법 예시

 

Cisco IOS

 

Step 1) 라우터 로깅 설정
Router# config terminal
Router(config)# logging on (log 를 console 이외도 전달)
Router(config)# logging trap informational (severity level 설정)
Router(config)# logging 192.168.3.1 (syslog 서버)
Router(config)# logging facility local6 (syslog facility 설정)
Router(config)# logging source-interface serial 0 (syslog interface)

Class-name Ability
Operator clear, network, reset, trace, view
read-only view
Superuser all
unauthorized None

 

Radware Alteon

 

Step 1) switch로 접속


Step 2) # cfg


Step 3) # sys


Step 4) 다음과 같이 설정할 수 있음
# /syslog/host: first syslog host의 IP 주소 설정
# /syslog/host2: second syslog host의 IP 주소 설정


Step 5) # apply


Step 6) # save


Juniper Junos

 

user@host> configure
[edit]
user@host# edit system syslog
[edit system syslog]
user@host# set system syslog file message any error

user@host# set system syslog host 192.168.0.245 any any
user@host# set archive files 5 sizes 5m world-readable
(files 5는 파일 수를 5개까지 표시하여 데이터를 사용하며, 5m은 최대 사이즈를 5m까지 허용하는 것을 뜻함)


Piolink PLOS

 

Step 1) #logging server enable


Step 2) #logging server <ip address><event><level>

 

 

조치 시 영향 : 상세한 로깅 설정은 라우터 성능에 영향을 미칠 수 있음

 

 

저작자표시 비영리 변경금지

'정보보안/네트워크' 관련 글

더 보기

[네트워크 장비 취약점 진단] TCP/UDP Small 서비스 차단

  • 2022.09.03
더 읽기

[네트워크 장비 취약점 진단] VTY 접속 시 안전한 프로토콜 사용

  • 2022.09.03
더 읽기

[네트워크 장비 취약점 진단] 정책에 따른 로깅 설정

  • 2022.09.02
더 읽기

[네트워크 장비 취약점 진단] Finger 서비스 차단

  • 2022.09.02
더 읽기

댓글

Copyright © 아빠의 IT 이야기 All Rights Reserved

Designed by JB FACTORY

티스토리툴바