아빠의 IT 이야기

[네트워크 장비 취약점 진단] VTY 접속 시 안전한 프로토콜 사용

 

 

N-16 VTY 접속 시 안전한 프로토콜 사용

 

■ 점검영역 : 접근 관리

 

■ 항목 중요도 :

 

■ 점검내용

 

네트워크 장비 정책에 암호화 프로토콜(ssh)을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검

 

■ 점검목적

 

암호화 프로토콜을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검하여 네트워크 터미널 접근 시 전송되는 데이터의 스니핑 공격에 대한 대비가 되어 있는지 확인하기 위함

 

■ 보안위협

 

암호화 프로토콜이 아닌 평문 프로토콜(telnet)을 이용하여 네트워크 장비에 접근할 경우, 네트워크 스니핑 공격에 의해 관리자 계정 정보(계정, 패스워드)가 비인가자에게 유출될 위험이 존재함

 

■ 참고

 

※ 스니핑(Sniffing) 공격: 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치"라고 말할 수 있으며 "스니핑"이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말함

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

장비 정책에 VTY 접근 시 암호화 프로토콜(ssh) 이용한 접근만 허용하고 있는 경우

 

취약

장비 정책에 VTY 접근 시 평문 프로토콜(telnet) 이용한 접근을 허용하고 있는 경우

 

■ 조치방법

 

암호화 프로토콜만 VTY에 접근 할 수 있도록 설정

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show ip ssh
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3 (활성화)
%SSH has not been enabled (비 활성화)
SSH 활성화 확인

 

Radware Alteon
/sys/sshd에서 SSH 활성화 확인


Passport
# show config
패스워드 설정 확인


Juniper Junos
user@host# set ssh
SSH 버전 확인


Piolink PLOS
(config)# management-access
(config-management-access)# ssh status enable
SSH 버전 확인

 

■ 장비별 조치방법 예시

 

Cisco

 

Step 1) Cisco IOS 이미지 확인
Router# show version
SSHv2 서버를 지원하는 릴리즈별 k9(3DES) 소프트웨어 이미지를 사용하는지 확인
(예, 7200p-ipbasek9-mz.152-4.M11.bin)


Step 2) SSH 설정
Router# config terminal
Router(config)# hostname <호스트명>
Router(config)# ip domain-name <도메인명>
Router(config)# crypto key generate rsa
!
How many bits in the modulus [512]: 2048
!
Router(config)# ip ssh time-out <초>
Router(config)# ip ssh version 2 (SSH 버전 2 사용)
Router(config)# ip ssh authentication-retries [횟수] <- 재시도 횟수


Step 3) VTY 라인에 SSH 사용 설정
Router(config)# line vty 0 4
Router(config-line)# transport input ssh

 

Radware Alteon


Step 1) SSH 설정 방법
# cfg
# /sys/sshd ena
# /sys/sshd on
# apply
# save


Juniper Junos

 

Step 1) SSH 활성화
[edit]
root# set system services ssh
[edit]
root# commit

 

Step 2) Telnet 비활성화
[edit]
root# delete system services telnet
[edit]
root# commit


Piolink PLOS

 

Step 1) SSH 활성화
(config)# management-access
(config-management-access)# ssh status enable
(config-management-access)# apply


Step 2) Telnet 비활성화
(config)# management-access
(config-management-access)# telnet status disable
(config-management-access)# apply

 

조치 시 영향 : 일반적인 경우 영향 없음

 

 

저작자표시 비영리 변경금지

'정보보안/네트워크' 관련 글

더 보기

[네트워크 장비 취약점 진단] Bootp 서비스 차단

  • 2022.09.03
더 읽기

[네트워크 장비 취약점 진단] TCP/UDP Small 서비스 차단

  • 2022.09.03
더 읽기

[네트워크 장비 취약점 진단] 원격 로그서버 사용

  • 2022.09.03
더 읽기

[네트워크 장비 취약점 진단] 정책에 따른 로깅 설정

  • 2022.09.02
더 읽기

댓글

Copyright © 아빠의 IT 이야기 All Rights Reserved

Designed by JB FACTORY

티스토리툴바