[DBMS/계정관리] 패스워드 재사용에 대한 제약 (D-05)

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 지정된 IP주소 만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단하고자 함

■ 보안 위협
- DB 서버 접속 시 IP주소 제한이 적용되지 않은 경우 비인가자가 내•외부망 위치에 상관없이 DB 서버에 접근할 수 있는 위험이 존재함

점검 및 조치 방법

허용된 IP 및 포트에 대한 접근 통제 적용

■ OS

특정 IP에서만 접속 가능하도록 방화벽 등이 설정되어 있는지 확인

시작> 제어판> 보안 센터> windows 방화벽 설정
• 예외 tab -> 포트추가 -> 1433 -> TCP 추가 -> 범위 변경
• 예외 tab -> 포트추가 -> 135 -> TCP 추가 -> 범위 변경
• 예외 tab -> 포트추가 -> 1434 -> UDP 추가 -> 범위 변경

■ Oracle
1. 원격 OS 인증 방식이 불필요한 경우, SYS 계정으로 접속하여 ‘REMOTE_OS_AUTHENT=FALSE’로 설 정
• spfile 사용하는 경우 아래와 같이 설정
SQL> ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE SCOPE=spfile
• pfile 사용하는 경우 init.ora 파일 안에 아래와 같이 설정
SQL> ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE

2. 원격 OS 인증 방식이 필요한 경우
• 방화벽을 통한 원격 접근 IP 제한
• NAT(Network Address Translation)를 사용하여 비공인 IP 부여 후 외부 접근 제한

■ MySQL
1. mysql.user 테이블과 mysql.db 테이블을 조회하여 host가 “%”인 필드 삭제하고 접속 IP를 지정하 여 등록 mysql> delete from user where host=’%’;
mysql> delete from db where host=’%’;