[네트워크 장비 취약점 진단] 웹 서비스 차단
- 정보보안/네트워크
- 2022. 9. 4.
N-26 웹 서비스 차단
■ 점검영역 : 기능 관리
■ 항목 중요도 : 중
■ 점검내용
네트워크 장비의 웹 서비스를 비활성화하거나 특정 IP 주소만 접근을 허용하는지 점검
웹서비스를 이용하여 네트워크 장비를 관리할 경우 허용된 IP에서만 접속할 수 있게 ACL을 적용하였는지 점검
웹서비스가 불필요(장비 관리에 사용하지 않은 경우 포함)하게 활성화 되어 있는지 점검
■ 점검목적
허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록하기 위함
■ 보안위협
허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있음
■ 참고
※ IOS 상의 HTTP 서버를 사용해야만 한다면, HTTP WEB_EXEC 서비스를 비활성화 함으로써 위험을 감소시킬 수 있음
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
불필요한 웹 서비스를 차단하거나 허용된 IP에서만 웹서비스 관리 페이지에 접속이 가능한 경우
취약
불필요한 웹 서비스를 차단하지 않은 경우
■ 조치방법
HTTP 서비스 차단 또는 HTTP 서버를 관리하는 관리자 접속 IP 설정
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config 웹 서비스 설정 확인
Juniper Junos
[edit]
user@host# show interface terse
비활성화한 인터페이스는 admin열을 down으로 표시
Radware Alteon
>> Main# /cfg/dump
>> Main# /info/link
Piolink PLOS
switch# show running-config
switch# show port
■ 장비별 조치방법 예시
Cisco IOS
Router# config terminal
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# ^Z
Router# config terminal
Router(config)# ip http active-session-modules exclude_webexec
Router(config)# ip http secure-active-session-modules exclude_webexec
Router(config)# ^Z
Juniper Junos
[edit]
user@host# delete system services web-management
Radware Alteon
>> Main# /cfg/sys/access/https/https dis
>> Main# /cfg/sys/access/http dis (HTTP는 Alteon 29.5 버전부터 지원하지 않음)
>> Main# apply
Piolink PLOS
switch# configure
(config)# management-access
(config-management-access)# http status disable
(config-management-access)# https status disable
■ 조치 시 영향 : 일반적인 경우 영향 없음