[보안장비/IPS/IDS/방화벽] 원격 로그 서버 사용
- 정보보안/보안장비
- 2022. 9. 3.
S-22 원격 로그 서버 사용
■ 점검영역 : 로그관리
■ 항목 중요도 : 중
■ 점검내용
보안장비 로그 설정(syslog)에 원격 로그 서버로 보안장비 로그를 별도 보관하도록 설정되어 있는지 점검
■ 점검목적
보안 장비 로그를 원격 로그 서버에 별도 보관하도록 설정되어 있는지 점검하여 보안장비에 문제(장비 이상, 비인가자의 공격 및 침해 등)가 생겨 발생할 수 있는 로그 삭제나 변조 위험에 대비하고 있는지 확인하기 위함
■ 보안위협
원격 로그 서버에 로그를 별도 보관하도록 설정되어 있지 않을 경우 보안장비 문제 발생 시 로그가 삭제되거나 변조되어 사고 원인 분석에 어려움이 발생함
■ 참고
※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버
점검대상 및 판단기준
■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등
양호
별도의 로그 서버를 구축하여 통합 로그관리를 하는 경우
취약
별도의 로그 서버가 없는 경우
■ 조치방법
보안장비 로그 설정 메뉴에서 syslog 설정 또는 주기적으로 별도 저장매체에 백업
(syslog 지원하지 않을 경우)
점검 및 조치 방법
■ 점검방법
Step 1) 보안장비 로그 설정 메뉴에서 syslog 설정 확인
■ 조치방법
Step 1) 원격 syslog 로그 수집 서버 설정
Step 2) 로컬에서 별도의 저장매체를 통해 수동으로 로그 백업(syslog를 지원하지 않는 경우)
■ 조치 시 영향 : 일반적인 경우 영향 없음