S-16 SNMP Community String 복잡성 설정 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP Community String 이 유추하기 어렵게 설정되어 있는지 점검 ■ 점검목적 SNMP Community String 을 유추하기 어렵도록 설정하여 네트워크상에서 시스템 정보가 비인가자에게 노출되지 않도록 함 ■ 보안위협 SNMP의 Public, Private과 같은 디폴트 Community String이 변경되지 않고 그대로 사용될 경우, 악의적인 사용자가 장비 설정을 쉽게 변경(RW)하여 중요 시스템 정보가 노출될 수 있는 위험이 존재함 ■ 참고 ※ SNMP 버전: v1, v2 ,v3 이 존재하는데 v1, v2 는 community string을 평문 전송하지만 v3..
W-66 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 여부 점검 ■ 점검목적 불필요한 데이터 소스 및 드라이버를 ODBC 데이터 소스 관리자 도구를 이용해 제거하여 비인가자에 의한 데이터베이스 접속 및 자료 유출을 차단하기 위함 ■ 보안위협 불필요한 ODBC/OLE-DB 데이터 소스를 통한 비인가자에 의한 데이터베이스 접속 및 자료 유출 위험 존재 ■ 참고 ※ 특정 샘플 애플리케이션은 샘플 데이터베이스를 위해 ODBC 데이터 소스를 설치하거나 불필요한 ODBC/OLE-DB 데이터베이스 드라이버를 설치하므로 불필요한 데이터 소스나 드라이버는 ODBC 데이터 소스 관리자 ..
S-15 SNMP 서비스 확인 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 서비스 사용 여부 점검 ■ 점검목적 보안장비 관리를 위해 NMS 솔루션과의 연동으로 SNMP 서비스 사용이 필요한 경우가 아니라면 서비스를 중지하도록 함 ■ 보안위협 보안장비 관리를 위해 NMS 솔루션과의 연동으로 SNMP 서비스 사용이 필요한 경우가 아니라면 서비스를 중지하도록 함 ■ 참고 ※ SNMP 서비스: 네트워크 관리를 위한 프로토콜로 네트워크 상의 서버, 프린터, 허브, 스위치, 라우터와 같은 네트워크 장치를 구성하고 정보를 수집하는데 사용됨 ※ SNMP 서비스를 이용해야 할 경우 Community String을 유추가 불가능하게 설정 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN,..
S-14 장비 사용량 검토 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 보안장비에서 제공하는 Dashboard를 통해 보안장비의 가용성에 대한 실시간 검토 여부 점검 ■ 점검목적 보안장비의 가용성에 대한 검토로 인해 네트워크 트래픽의 수준을 파악하게 되고, 그에 따른 가용성 향상을 고려할 수 있음 ■ 보안위협 정기적으로 가용성에 대한 검토를 하지 않을 경우, 성능 및 회선 상태를 파악할 수 없어 보안장비의 가용성 하락이 발생할 가능성이 존재함 ■ 참고 ※ 내부 정책에 맞게 일, 주, 월 등의 주기를 정하여 정기적으로 이행하도록 하며 일반적으로 월 1회 검토를 권고함 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등 양호 보안장비 가용성을..
S-12 최소한의 서비스만 제공 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 방화벽에서 필요한 서비스만 제공하고 있는지 점검 ■ 점검목적 방화벽 정책을 검토하여 사용하지 않는 IP와 Port를 제거하여 네트워크 및 시스템 운영의 보안성을 유지하기 위함 ■ 보안위협 필요한 서비스를 제외한 다른 서비스가 활성화될 경우, 이를 통해 해커의 침입 또는 악성 소프트웨어 전달 등의 보안 위험이 발생할 수 있음 ■ 참고 ※ 방화벽 기존 정책: 방화벽은 기본적으로 all deny 설정을 적용하며 허용할 port와 IP만 추가함으로써 관리 포인트를 최소화 함 점검대상 및 판단기준 ■ 대상 : 방화벽, IPS, VPN, IDS, Anti-DDoS, 웹방화벽 등 양호 all deny 설정을 하고, 방화벽에 ..
S-13 이상징후 탐지 모니터링 수행 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 보안장비에 이상 징후 탐지 모니터링을 수행하고 있는지 점검 ■ 점검목적 이상징후가 탐지되는 경우 사고 예방 및 신속한 조치를 이행하기 위함 ■ 보안위협 이상징후 탐지 모니터링을 수행하지 않을 경우, 보안사고 미연 방지 ■ 참고 ※ 보안사고 미연 방지 및 IT 컴플라이언스 준수 예시 1) 휴일 또는 업무 시간 이외에 비정상적인 패턴으로 중요 문서 또는 고객정보 DB에 접근한다면 정보유출 징후가 있다고 판단 가능함 예시 2) 퇴직 징후가 의심스러운 직원이 휴일이나 업무시간 외에 비정상적으로 중요 문서나 고객 DB에 접근하는 경우 정보유출 가능성이 높기 때문에 이를 사전에 탐지하고 예방할 수 있음 점검대상 및 판..
S-11 DMZ 설정 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 상 ■ 점검내용 내부 네트워크와 외부 서비스 네트워크(DMZ)를 구분하고 있는지 점검 ■ 점검목적 외부 네트워크로 서비스를 제공하는 호스트에서 내부 네트워크로의 접근이 통제되고 있는지 확인하기 위함 ■ 보안위협 DMZ 설정을 통해 내부 네트워크와 외부 서비스 네트워크를 구분하도록 설정되어 있지 않은 경우, 외부 네트워크를 통해서 서비스를 제공받는 악의적인 사용자가 DMZ 내 호스트를 통해 내부 네트워크로 불법적 연결을 시도할 수 있음 ■ 참고 ※ DMZ: 조직의 내부 네트워크와 외부 네트워크 사이에 위치하는 네트워크 망으로 DMZ 내 컴퓨터는 외부 네트워크에만 연결할 수 있도록 하고, 내부 네트워크로는 연결할 수 없도록 구성함 점검대상 및..
N-09 SNMP ACL 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 서비스 사용 시 네트워크 장비 ACL(Access list)을 설정하여 SNMP 접속 대상 호스트를 지정하여 접근이 가능한 IP를 제한하였는지 점검 ■ 점검목적 SNMP ACL 설정을 함으로써 임의의 호스트에서 SNMP 접근을 차단하여 네트워크 정보의 노출을 제한하기 위함 ■ 보안위협 비인가자의 SNMP 접근을 차단하지 않을 경우, 공격자가 Community String 추측 공격 후 MIB 정보를 수정하여 라우팅 정보를 변경하거나 터널링 설정을 하여 내부망에 침투할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, ..
N-08 SNMP community string 복잡성 설정 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 SNMP 서비스 사용 시 Community String을 기본 설정(public, private)으로 사용하고 있는지 점검 ■ 점검목적 SNMP Community String을 공격자가 쉽게 유추하지 못하도록 설정하여 Community String 탈취에 대한 위험을 줄이기 위함 ■ 보안위협 SNMP Community String을 기본 설정(public, private) 또는 유추하기 쉽게 설정하여 사용하는 경우, 공격자가 자동화된 방법을 통하여 community string을 탈취하여 서비스거부공격(DoS), 비인가 접속, MIB 값 수정 등 다양한 공격을 할 수 있음 ■ 참고 ..
N-11 TFTP 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비 서비스 중 불필요한 TFTP 서비스가 구동되어 있거나 TFTP 서비스 사용 시 ACL을 적용하여 허용된 시스템에서만 TFTP 서비스를 사용하도록 설정되어 있는지 점검 ■ 점검목적 인증 기능이 없는 TFTP 단점을 보완하기 위해 사용이 허용된 시스템만 TFTP 서비스를 사용하게 하여 TFTP를 이용한 비인가자의 내부 정보 유출을 막고 중요정보(예: 장비 설정파일) 등의 정보 유출을 막기 위함 ■ 보안위협 TFTP 서비스는 인증절차 없이 누구나 사용이 가능한 서비스로 공격자가 TFTP를 통해 악성 코드가 삽입된 파일을 올려 사용자에게 배포할 수 있고, 네트워크 설정 파일이나 중요한 내부 정보를 유출할 ..
N-06 최신 보안 패치 및 벤더 권고사항 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 패치 적용 정책에 따라 주기적인 패치를 하고 있는지 점검 ■ 점검목적 네트워크 장비의 보안 수준을 높이고 성능 및 기능 향상을 위해서 버전 업그레이드 및 보안 패치 작업을 수행해야 함 ■ 보안위협 알려진 네트워크 장비의 버그나 취약점을 통하여 관리자 권한 획득이나 서비스 거부 공격 등을 발생시킬 수 있음 ■ 참고 - 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 주기적으로 보안 패치 및 벤더 권고사항을 적용하는 경우 취약 주기적으로 보안 패치 및 벤더 권고사항을 적용하지 않는 경우 ■ 조치방법 장비 별 ..
N-01 패스워드 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리 터미널(콘솔, SSH, https 등)을 통해 네트워크 장비 접근 시 기본 패스워드(기본 관리자 계정도 함께 변경하도록 권고)를 사용하는지 점검 ■ 점검목적 기본 패스워드를 변경 후 사용하는지 점검하여 기본 패스워드를 변경하지 않고 사용함으로써 발생할 수 있는 비인가자의 네트워크 장비 접근에 대한 통제가 이루어지는지 확인하기 위함 ■ 보안위협 장비 출고 시 설정된 기본 패스워드를 변경하지 않고 그대로 사용할 경우 비인가자가 인터넷을 통해 벤더사 별 네트워크 장비 기본 패스워드를 쉽게 획득할 수 있음 획득한 패스워드를 사용하여 기본 패스워드를 변경하지 않고 관리 운용 중인 네트워크 장비에 접근하여 장비의 내부 설정(A..
N-07 SNMP 서비스 확인 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 상 ■ 점검내용 네트워크 장비의 SNMP 서비스를 사용하지 않는 경우 비활성화 상태인지 점검 ■ 점검목적 불필요한 SNMP 서비스 차단하여 SNMP 서비스의 취약점(조작된 MIB 정보를 통한 네트워크 설정 변경, 전송데이터 평문전송 등)을 이용한 공격을 차단하기 위함 ■ 보안위협 불필요한 SNMP 서비스를 비활성화 하지 않은 경우 비인가자가 SNMP에 무단 접근하여 설정 파일 열람 및 수정이나 정보 수집 및 관리자 권한 획득, DoS 등 다양한 형태의 공격이 가능해 짐 ■ 참고 ※ SNMP(Simple Network Management Protocol): TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으..