N-07 SNMP 서비스 확인 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비의 SNMP 서비스를 사용하지 않는 경우 비활성화 상태인지 점검 ■ 점검목적 불필요한 SNMP 서비스 차단하여 SNMP 서비스의 취약점(조작된 MIB 정보를 통한 네트워크 설정 변경, 전송데이터 평문전송 등)을 이용한 공격을 차단하기 위함 ■ 보안위협 불필요한 SNMP 서비스를 비활성화 하지 않은 경우 비인가자가 SNMP에 무단 접근하여 설정 파일 열람 및 수정이나 정보 수집 및 관리자 권한 획득, DoS 등 다양한 형태의 공격이 가능해 짐 ■ 참고 ※ SNMP(Simple Network Management Protocol): TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으..
N-04 VTY 접근(ACL) 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 원격 터미널(VTY) 통해 네트워크 장비 접근 시 지정된 IP에서만 접근이 가능하도록 설정되어 있는지 점검 ■ 점검목적 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있는지 점검하여 비인가자의 터미널 접근을 원천적으로 차단하는지 확인하기 위함 ■ 보안위협 지정된 IP 만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도하여 관리자 계정 패스워드 획득 후 네트워크 장비에 접근하여 장비 설정 (기능, ACL정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생 시킬 수 있는..
N-05 Session Timeout 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 Session Timeout 설정이 적용되어 있는지 점검 ■ 점검목적 Session Timeout 설정 유무를 점검하여 터미널 접속 후 일정 시간(Session Timeout 지정 시간)이 지난 뒤 터미널 세션이 자동으로 종료되어 관리자의 부재(터미널 작업 중 자리 비움, 작업 완료 후 터미널 접속을 종료하지 않음) 시 발생 가능한 비인가자의 터미널 접근 통제가 되는지 확인하기 위함 ■ 보안위협 Session Timeout 정책이 적용되지 않았을 경우, 관리자 부재 시 비인가자가 네트워크 장비 터미널에 접속된 컴퓨터를 통해 네트워크 장비의 정책 변경 및 삭제 등의 행위를 할 수 있는 ..
N-03 암호화 된 패스워드 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 계정 패스워드 암호화 설정이 적용되어 있는지 점검 ■ 점검목적 계정 패스워드 암호화 설정 유무를 점검하여 비인가자의 네트워크 장비 터미널 접근으로 인해 발생할 수 있는 장비 내 계정 패스워드 유출에 대비가 되어 있는지 확인하기 위함 ■ 보안위협 계정 패스워드 암호화 기능이 설정되어 있지 않을 경우, 비인가자가 네트워크 터미널에 접근하여 장비 내에 존재하는 모든 계정의 패스워드를 획득할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 패스워드 암호화 설정을 적용한 경우 취약 패스워드 암..
N-02 패스워드 복잡성 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비에 기관 정책에 맞는 계정 패스워드 복잡성 정책이 적용되어 있는지 점검 패스워드 복잡성 정책 설정 기능이 장비에 존재하지 않을 경우 기관 정책에 맞게 계정 패스워드를 설정하여 사용하는지 점검 ■ 점검목적 패스워드 복잡성 정책이 장비 정책에 적용되어 있는지 점검하여 비인가자의 네트워크 장비 터미널(콘솔, SSH, https 등) 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비 여부를 확인하기 위함 ■ 보안위협 패스워드 복잡성 정책이 적용되어 있지 않을 경우 계정 생성 후 초기 패스워드 설정 및 기존 패스워드 변경 시 패스워드 복잡성 제약 규칙을 적용받지 않아 취약한 패스워드(예 qw..
N-38 스위치, 허브 보안 강화 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 하 ■ 점검내용 스위치나 허브에서 포트 보안, SPAN 설정이 적용되고 있는지 점검 ■ 점검목적 보안설정을 통해 네트워크 트래픽이 비인가자에게 노출 또는 변조되지 않도록 함 ■ 보안위협 포트 보안을 설정하지 않을 경우, 동일 네트워크 내에서 mac flooding, arp spoofing 공격으로 비인가자에게 패킷 정보가 제공될 수 있음 ■ 참고 ※ SPAN: Switch Port Analyzer 로 스위치의 특정 포트에 분석장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술을 말함 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Pioli..
N-36 PAD 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 PAD 서비스를 차단하는지 점검 ■ 점검목적 X.25 프로토콜을 사용하지 않는 경우 PAD 서비스를 중지 ■ 보안위협 PAD와 같이 불필요한 서비스를 차단하지 않을 경우 잠재적인 취약점 및 공격에 노출될 수 있음 ■ 참고 ※ PAD(Packet Assembler/Disassembler): X.25 패킷교환망에 패킷 처리 기능이 없는 비동기형 단말기의 연결을 제공하는 서비스, 비동기형 단말기로부터 수신한 문자 스트림을 X.25 패킷으로 분해하고 반대로 X.25 패킷을 문자 스트림으로 재조합하여 상호 전송 ※ X.25: 패킷교환 데이터 전송 서비스를 위한 ITU-T 표준 프로토콜(1976년 개발), 패킷교환설비와 패킷형 단말기..
N-34 identd 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 identd 서비스를 차단하는지 점검 ■ 점검목적 불필요한 identd 서비스를 차단하여 잠재적인 취약점 및 공격에 노출 방지 ■ 보안위협 identd 서비스는 TCP 세션의 사용자 식별이 가능하여 비인가자에게 사용자 정보가 노출될 수 있음 ■ 참고 ※ identd 서비스: 특정 TCP 연결을 시작한 사용자의 신원을 확인하는 서비스(113/TCP) ※ 사용자가 서버로 TCP 연결을 시작한 경우 서버는 클라이언트의 identd 서비스에 TCP 세션의 포트번호를 보내 클라이언트 운영체제와 사용자 ID를 조회 가능 ※ 클라이언트의 정보에 의존하기 때문에 인증 또는 접근제어 용도로 사용할 수 없음 점검대상 및 판단기준..
N-35 Domain lookup 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Domain Lookup를 차단하는지 점검 ■ 점검목적 명령어를 잘못 입력할 때 발생하는 불필요한 Domain Lookup를 차단 ■ 보안위협 불필요한 DNS 브로드캐스트 트래픽과 사용자 대기시간 발생 ■ 참고 ※ Domain lookup: Cisco 장비는 Privileged Exec 모드에서 명령어가 아닌 문자열을 입력하면 호스트 이름으로 간주하고 Domain Lookup을 시도하며, DNS를 설정하지 않은 경우 DNS 브로드캐스트 쿼리를 수행하는 1분여간 사용자 입력을 받지 않음 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Pi..
N-37 mask-reply 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 mask-reply를 차단하는지 점검 ■ 점검목적 내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정 ■ 보안위협 mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브넷 마스크 정보가 노출될 수 있음 ■ 참고 ※ mask-reply: 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 mask-rep..