N-26 웹 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 웹 서비스를 비활성화하거나 특정 IP 주소만 접근을 허용하는지 점검 웹서비스를 이용하여 네트워크 장비를 관리할 경우 허용된 IP에서만 접속할 수 있게 ACL을 적용하였는지 점검 웹서비스가 불필요(장비 관리에 사용하지 않은 경우 포함)하게 활성화 되어 있는지 점검 ■ 점검목적 허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록하기 위함 ■ 보안위협 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대..
N-22 NTP 서버 연동 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 점검목적 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 ※ IOS 12.2 이전 버전을 사용하는 장비에는 접근 통제(ACL) 설정이 되어 있어야 양호 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 NTP 서버를 통한 시스템 간 실시간 시간 동기화가 설정된 경우 취약 NT..
N-29 CDP 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 CDP 서비스를 차단하는지 점검 ■ 점검목적 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함 ■ 보안위협 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음 ■ 참고 ※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함 점검대..
N-32 Proxy ARP 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Proxy ARP를 차단하는지 점검 ■ 점검목적 Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안위협 Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신이 이루어지지 않을 수 있음 ■ 참고 ※ Proxy ARP: 동일 서브넷에서 다른 호스트를 대신하여 ARP Request에 응답하는 기술 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 Proxy ARP를 차단하는 경우 취약..
N-33 ICMP unreachable, Redirect 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 ICMP unreachable, ICMP redirect를 차단하는지 점검 ■ 점검목적 ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함 ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함 ■ 보안위협 ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음 ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로..
N-31 Source 라우팅 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 source routing를 차단하는지 점검 ■ 점검목적 인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함 ■ 보안위협 공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있음 ■ 참고 ※ source routing: 송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정 할 수 있는..
N-30 Directed-broadcast 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Directed-broadcast를 차단하는지 점검 ■ 점검목적 Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함 ■ 보안위협 IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨 ■ 참고 ※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법..
N-13 DDoS 공격 방어 설정 또는 DDoS 장비 사용 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 DDoS 공격 방어 설정을 적용하거나 DDoS 대응장비를 사용하는지 점검 ■ 점검목적 네트워크 장비 또는 DDoS 대응장비에 DDoS 공격 방어 설정을 적용하여 DDoS 공격 발생 시 피해를 최소화 ■ 보안위협 DDoS공격으로 인해 사용 가능한 네트워크 및 시스템 리소스 속도가 느려지거나 서버가 손상 될 수 있음 ■ 참고 ※ DDoS(Distributed Denial of Service): 해커에 의해 감염된 다수의 좀비 PC로부터 다량의 트래픽이 특정 서버로 유입되어 시스템, 네트워크에 가용성을 저해시켜 서비스를 방해하는 공격 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 :..
N-24 TCP Keepalive 서비스 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 중 ■ 점검내용 TCP Keepalive 서비스를 사용하는지 점검 ■ 점검목적 네트워크 장비의 Telnet 등 TCP 연결이 원격 호스트 측에 예상치 못한 장애로 비정상 종료된 경우 네트워크 장비가 해당 연결을 지속하지 않고 해제하도록 TCP Keepalive 서비스를 설정 ■ 보안위협 유후 TCP 세션은 무단 접근 및 하이재킹 공격에 취약 ■ 참고 ※ TCP keepalive: TCP 연결이 유효한지 확인하기 위해 유휴 연결에 주기적으로 응답을 요구하는 패킷을 전송하고 원격 호스트가 일정시간 동안 응답이 없으면 연결을 끊음 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Pa..
N-28 Bootp 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Bootp 서비스의 차단 여부 점검 ■ 점검목적 서비스 제거를 통해 비인가자에게 OS 정보가 노출되는 것을 차단함 ■ 보안위협 Bootp 서비스를 차단하지 않을 경우, 다른 라우터 상의 OS 사본에 접속하여 OS 소프트웨어 복사본을 다운로드 할 수 있음 ■ 참고 ※ Bootp 서비스: 네트워크를 이용하여 사용자가 OS를 로드할 수 있게 하고 자동으로 IP 주소를 받게 하는 프로토콜임 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 Bootp 서비스가 제한되어 있는 경우 취약 Bootp 서비스가 제한되어 있지 않는 경우 ■..
N-27 TCP/UDP Small 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 TCP/UDP Small 서비스가 제한되어 있는지 점검 ■ 점검목적 TCP/UDP Small 서비스를 차단하여 보안성을 높이고자 함 ■ 보안위협 TCP/UDP Small 서비스를 차단하지 않을 경우, DoS 공격의 대상이 될 수 있음 ■ 참고 ※ Dos 공격 대상: Cisco 제품의 경우 DoS 공격 대상이 될 수 있는 서비스인 echo,discard, daytime, chargen 을 기본적으로 제공하며 일반적으로 거의 사용하지 않음 ※ TCP/UDP Small 서비스는 IOS 11.3 이상에서는 기본적으로 서비스가 제거된 상태이므로 Small 서버들이 Default로 Disable되어 있지만 낮..
N-16 VTY 접속 시 안전한 프로토콜 사용 ■ 점검영역 : 접근 관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비 정책에 암호화 프로토콜(ssh)을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검 ■ 점검목적 암호화 프로토콜을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검하여 네트워크 터미널 접근 시 전송되는 데이터의 스니핑 공격에 대한 대비가 되어 있는지 확인하기 위함 ■ 보안위협 암호화 프로토콜이 아닌 평문 프로토콜(telnet)을 이용하여 네트워크 장비에 접근할 경우, 네트워크 스니핑 공격에 의해 관리자 계정 정보(계정, 패스워드)가 비인가자에게 유출될 위험이 존재함 ■ 참고 ※ 스니핑(Sniffing) 공격: 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러 다니는 트래픽을..
N-19 원격 로그서버 사용 ■ 점검영역 : 로그 관리 ■ 항목 중요도 : 하 ■ 점검내용 네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하였는지를 점검 ■ 점검목적 네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제나 변조 위험에 대비하기 위함 ■ 보안위협 별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석에 어려움이 발생함 ■ 참고 ※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, A..
N-21 정책에 따른 로깅 설정 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 정책에 따른 로깅 설정이 이루어지고 있는지 점검 ■ 점검목적 로그 정보를 통해 장비 상태, 서비스 정상 여부 파악 및 보안사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함 ■ 보안위협 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 로그 기록 정책에 따라 로깅 설정이 되어있는 경우 취약 로그 기록 정책 미 수립 또는 로깅 설정이 미흡한 경우 ■ 조치방법 로그 기록 정책을 수립하고 정책에..