N-25 Finger 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 중 ■ 점검내용 Finger 서비스를 차단하는지 점검 네트워크 장비 서비스 중 Finger 서비스가 활성화되고 있는지를 점검 ■ 점검목적 Finger(사용자 정보 확인 서비스)를 통해 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회되는 것을 차단하고자 함 ■ 보안위협 Finger 서비스로 사용하여 네트워크 장비에 로그인한 계정 ID, 접속 IP 등 정보 노출 Finger 서비스가 활성화되어 있으면, 장비의 접속 상태가 노출될 수 있고 VTY(Virtual Type terminal)의 사용 현황을 원격에서 파악하는 것이 가능함 ■ 참고 ※ Finger(사용자 정보 확인 서비..
N-23 timestamp 로그 설정 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 하 ■ 점검내용 네트워크 장비 설정 중 timestamp를 설정하여 로그 시간을 기록할 수 있게 하였는지 점검 ■ 점검목적 네트워크 장비 로그에 시간을 기록하게 설정하여 공격자의 악의적인 행위를 파악하기 위한 로그의 신뢰성을 확보하기 위함 ■ 보안위협 네트워크 장비에 timestamp를 설정하지 않을 경우, 로그에 시간이 기록 되지 않아 공격 및 침입시도에 관한 정보를 정확히 분석할 수 없고 로그 기록에 대한 신뢰성을 잃게 됨 ■ 참고 ※ timestamp: 네트워크 장비 로그 메시지에 관리자가 지정한 형식으로 시간 정보를 남기도록 하는 설정 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon..
N-20 로깅 버퍼 크기 설정 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 버퍼 메모리의 크기를 어느 정도로 설정하고 있는지 점검 ■ 점검목적 장비 성능을 고려하여 최대 용량에 가깝도록 버퍼 크기를 설정하도록 함 ■ 보안위협 버퍼 메모리의 용량을 초과하는 로그가 저장될 경우 로그 정보를 잃게 되어 침해사고 발생 시 침입 흔적을 알 수 없는 상황이 발생함 ■ 참고 ※ 버퍼 메모리: 일반적으로 주기억 장치와 중앙 처리 장치 사이에 명령이나 데이터를 일시 유지하는데 사용되는 고속의 기억 장치. 버퍼 메모리는 주기억 장치보다 메모리 용량은 적지만 고속의 기억 소자를 사용함으로써 주기억 장치와 중앙 처리 사이의 정보의 흐름을 원활하게 함. 버퍼 메모리를 달리 로컬 메모리 혹은 캐시(cache)라고..
N-17 불필요한 보조 입·출력 포트 사용 금지 ■ 점검영역 : 접근 관리 ■ 항목 중요도 : 중 ■ 점검내용 사용하지 않는 보조(AUX) 포트 및 콘솔 점검 장비 관리나 운용에 쓰이지 않는 포트 및 인터페이스가 비활성화 되어 있는지 점검 ■ 점검목적 사용하지 않는 보조(Auxiliary) 포트의 사용을 제한하여 비인가 접근을 원천적으로 방지 불필요한 포트 및 인터페이스의 비활성화 여부를 점검하여 불필요한 포트 및 인터페이스를 통한 비인가자의 접근을 원천적으로 차단하는지 확인하기 위함 ■ 보안위협 불필요한 포트 및 인터페이스가 활성화되어 있을 경우, 비인가자가 활성화된 포트 및 인터페이스를 통해 네트워크 장비에 접근할 수 있는 위험이 존재함 ■ 참고 ※ 보조(AUX) 포트: 모뎀과 연결하여 원격에서 전화..
N-18 로그온 시 경고 메시지 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 터미널 접속 화면에 비인가자의 불법 접근에 대한 경고 메시지를 표시하도록 설정되어 있는지 점검 ■ 점검목적 경고 메시지 표시 설정 적용 유무를 점검하여 비인가자에게 불법 적으로 터미널 접근 시 법적인 처벌에 대해 경각심을 가질 수 있게 하는지 확인하기 위함 ■ 보안위협 터미널 접근 시 경고 메시지가 표시 되도록 설정되지 않을 경우, 비인가자가 법 위반에 대한 경각심을 느끼지 않게 되어 더 많은 공격을 시도할 수 있는 원인이 됨 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 로그온 시 접근에 대한 경고 ..
N-14 사용하지 않는 인터페이스의 Shutdown 설정 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 사용하지 않는 인터페이스가 비활성화 상태인지 점검 ■ 점검목적 필요한 인터페이스만 활성화하여 비인가자가 사용하지 않는 인터페이스를 통하여 네트워크에 접근하는 것을 차단하기 위함 ■ 보안위협 사용하지 않는 포트에 연결된 인터페이스를 Shutdown 하지 않을 경우, 물리적인 내부 접근을 통해 비인가자의 불법적인 네트워크 접근이 가능하게되며 이로 인하여 네트워크 정보 유출 및 네트워크 손상이 발생할 수 있음 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 사용하지 않는 인터페이스를 비활성..
N-15 사용자·명령어별 권한 수준 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비 사용자의 업무에 따라 계정 별로 장비 관리 권한을 차등(관리자 권한은 최소한의 계정만 허용) 부여하고 있는지 점검 ■ 점검목적 업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함 ■ 보안위협 계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스템 간 데이터 전송..
N-12 Spoofing 방지 필터링 적용 또는 보안장비 사용 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 사설 네트워크, 루프백 등 특수 용도로 배정하여 라우팅이 불가능한 IP 주소를 스푸핑 방지 필터링(Anti-Spoofing Filtering)을 적용하여 차단하는지 점검 ■ 점검목적 네트워크 경계에서 소스 IP 주소가 명백히 위조된 트래픽을 차단하여 IP 스푸핑 기반 DoS 공격으로부터 인프라를 보호 ■ 보안위협 IP 스푸핑 기반 DoS 공격 트래픽이 네트워크 장비의 한계용량을 초과하는 경우 정상적인 서비스 불가 ■ 참고 ※ IP Spoofing: 호스트의 원본 주소가 아닌 다른 소스 주소로 IP 데이터그램을 조작 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco,..
N-10 SNMP 커뮤니티 권한 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 커뮤니티에 반드시 필요하지 않은 쓰기 권한을 허용하는지 점검 ■ 점검목적 불필요한 SNMP 커뮤니티의 쓰기 권한을 제거함으로써 공격자의 SNMP를 통한 라우터 정보 수정을 막기 위함 ■ 보안위협 SNMP 커뮤니티 권한이 불필요하게 RW로 설정되어 있으면, 공격자가 Community String 추측 공격을 통해 Community String을 탈취했을 시 SNMP를 이용하여 네트워크 설정 정보를 변경하여 내부망 침투가 가능해 짐 ■ 참고 ※ SNMP Community String 권한에는 RO(Read Only)와 RW(Read Write) 모드가 있으며 RO 모드의 경우 네트워크 설정 값에 대한..
N-09 SNMP ACL 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 서비스 사용 시 네트워크 장비 ACL(Access list)을 설정하여 SNMP 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한하였는지 점검 ■ 점검목적 SNMP ACL 설정을 함으로써 임의의 호스트에서 SNMP 접근을 차단하여 네트워크 정보의 노출을 제한하기 위함 ■ 보안위협 비인가자의 SNMP 접근을 차단하지 않을 경우, 공격자가 Community String 추측 공격 후 MIB 정보를 수정하여 라우팅 정보를 변경하거나 터널링 설정을 하여 내부망에 침투할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, ..
N-08 SNMP community string 복잡성 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검 ■ 점검목적 SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함 ■ 보안위협 SNMP Community String을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격을 할 수 있음 ■ 참고 ..
N-11 TFTP 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비 서비스 중 불필요한 TFTP 서비스가 구동되어 있거나 TFTP 서비스 사용 시 ACL을 적용하여 허용된 시스템에서만 TFTP 서비스를 사용하도록 설정되어 있는지 점검 ■ 점검목적 인증 기능이 없는 TFTP 단점을 보완하기 위해 사용이 허용된 시스템만 TFTP 서비스를 사용하게 하여 TFTP를 이용한 비인가자의 내부 정보 유출을 막고 중요정보(예: 장비 설정파일) 등의 정보 유출을 막기 위함 ■ 보안위협 TFTP 서비스는 인증절차 없이 누구나 사용이 가능한 서비스로 공격자가 TFTP를 통해 악성 코드가 삽입된 파일을 올려 사용자에게 배포할 수 있고, 네트워크 설정 파일이나 중요한 내부 정보를 유출할 ..
N-06 최신 보안 패치 및 벤더 권고사항 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 패치 적용 정책에 따라 주기적인 패치를 하고 있는지 점검 ■ 점검목적 네트워크 장비의 보안 수준을 높이고 성능 및 기능 향상을 위해서 버전 업그레이드 및 보안 패치 작업을 수행해야 함 ■ 보안위협 알려진 네트워크 장비의 버그나 취약점을 통하여 관리자 권한 획득이나 서비스 거부 공격 등을 발생시킬 수 있음 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 주기적으로 보안 패치 및 벤더 권고사항을 적용하는 경우 취약 주기적으로 보안 패치 및 벤더 권고사항을 적용하지 않는 경우 ■ 조치방법 장비 별 ..
N-01 패스워드 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리 터미널(콘솔, SSH, https 등)을 통해 네트워크 장비 접근 시 기본 패스워드(기본 관리자 계정도 함께 변경하도록 권고)를 사용하는지 점검 ■ 점검목적 기본 패스워드를 변경 후 사용하는지 점검하여 기본 패스워드를 변경하지 않고 사용함으로써 발생할 수 있는 비인가자의 네트워크 장비 접근에 대한 통제가 이루어지는지 확인하기 위함 ■ 보안위협 장비 출고 시 설정된 기본 패스워드를 변경하지 않고 그대로 사용할 경우 비인가자가 인터넷을 통해 벤더사 별 네트워크 장비 기본 패스워드를 쉽게 획득할 수 있음 획득한 패스워드를 사용하여 기본 패스워드를 변경하지 않고 관리 운용 중인 네트워크 장비에 접근하여 장비의 내부 설정(A..