[네트워크장비/계정 관리] 사용자·명령어별 권한 수준 설정 (N-15)
- 취약점 점검/네트워크장비
- 2021. 8. 13.
사용자·명령어별 권한 수준 설정
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 업무에 따라 계정 별 권한이 차등 부여되어 있는지 점검하여 계정 별 권한 에 따라 장비의 사용 및 설정 가능한 기능을 제한하는지 확인하기 위함
■ 보안 위협
- 계정 별 권한이 차등 부여되어 있지 않은 경우, 일반 계정으로 장비의 모든 기능을 제어할 수 있어 일반 계정이 비인가자에 노출되었을 때 비인가자가 획득한 계정 정보를 통해 네트워크 장비에 접근하여 장비의 설정(ACL) 변경, 삭제 등의 행위를 하여 장비의 가용성(해당 장비를 통해 통신하는 정보시스 템 간 데이터 전송 불가)저하 문제가 발생할 위험이 존재함
점검 및 조치 방법
■ 판단 기준
- 양호 : 업무에 맞게 계정의 권한이 차등 부여 되어있을 경우
- 취약 : 업무에 맞게 계정의 권한이 차등 부여 되어있지 않을 경우
■ 조치 방법
- 업무에 맞게 계정 별 권한 차등(관리자 권한 최소화) 부여 ※ 한명의 관리자가 네트워크 장비를 관리할 경우는 해당하지 않음
■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show privilege
사용자·명령어별 레벨 설정 확인
ㆍRadware Alteon
사용자의 접근 레벨이 7단계로 나누어져 있는지 확인
ㆍJuniper Junos
[edit system login]에서 superuser, read-only 클래스를 분리, 운영하는지 확인
ㆍPiolink PLOS
슈퍼유저(root)와 일반유저로 권한을 부여하여 관리하는지 확인
■ 장비별 조치 방법 예시
ㆍCisco IOS
시스코 IOS에서는 0에서 15까지 16개의 서로 다른 권한 수준을 규정하고 있으며, 레벨
1과 레벨 15는 기본적으로 정의되어 있음
사용자 EXEC 모드는 레벨 1에서 실행되며 privileged EXEC 모드는 레벨 15에서 실행되
고, IOS 각 명령어는 레벨 1이나 레벨 15 중 어느 하나의 레벨이 사전에 기본적으로
지정되어 있음
레벨 1에서는 라우터의 설정 조회만 가능하고 레벨 15에서는 라우터의 전체 설정을 조
회하고 변경할 수 있으므로 중요한 명령어의 권한 수준을 높여서 제한하는 것이 보안
상 안전함
Step 1) 사용자별 권한 수준 지정
Router# config terminal
Router(config)# username [ID] privilege [1-15] secret [PASS]또는
Router(config)# username [ID] privilege [1-15] password [PASS]
Step 2) 명령어별 권한 수준 지정
Router(config)# privilege exec level [1-15] [서비스명]
※ 아래의 중요한 명령어에는 반드시 레벨 15를 적용해야 함
connect, telnet, rlogin, show ip access-list, show logging
Router# config terminal
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-list
Router(config)# privilege exec level 15 show logging
ㆍRadware Alteon
사용자의 접근 및 권한 레벨은 7단계로 나누어져 있음
Step 1) switch로 접속
Step 2) # cfg
Step 3) # sys
Step 4) 다음 중에 해당하는 경우를 선택
# /user/명령어
usrpw - user 암호 설정 및 변경
sopw - SLB operator 암호 설정 및 변경
l4opw - L4 operator 암호 설정 및 변경
opw - operator 암호 설정 및 변경
sapw - SLB administrator 암호 설정 및 변경
l4apw - L4 administrator 암호 설정 및 변경
admpw - administrator 암호 설정 및 변경
Step 5) 암호 및 설정 변경
Step 6) # apply
Step 7) # save
ㆍ Juniper Junos
장비 구성 변경 시 사용하는 superuser 클래스와 monitoring 용으로 사용하는
read-only 클래스를 분리하여 사용할 것을 권장함. 장비 내 기본적으로 다음과 같은 클
래스별 사용 권한 설정 및 세부 옵션 추가로 기능 제한을 할 수 있고, 특정 명령어 사
용 제한을 계정마다 따로 설정할 수 있으므로 특정한 사용자 계정의 생성이 필요한 경
우 사용 권한을 부여하여야 함
Step 1) [edit system login] hierarchy level:
Step 2) [edit system]
login {10
class class-name {
allow-commands “regular-expression”;
deny-commands “regular-expression”;
idle-timeout minutes;
permissions [ permissions ];
}
}
ㆍ Piolink PLOS
디폴트 계정인 슈퍼유저(root)와 관리목적에 따라 신규로 등록할 수 있는 일반유저, 2
단계로 나누어져 있음. 슈퍼유저는 모든 권한이 부여되어 있으나 일반유저의 경우 장비
의 설정을 변경할 수 있는 권한이 없음. 따라서 사용자의 업무 및 권한에 따라 계정을
부여하여 관리하는 것이 보안상 중요함
■ 용어정리/팁
※ 관리자 계정: 장비의 모든 기능(계정 생성 및 권한 부여, 장비 정책 설정, 모든 명령어 사용 가능 등)을 제한 없이 사용하거나 설정할 수 있는 계정 ※ 일반 계정: 장비의 일부 기능(모니터링, 룰셋적용, 일부 명령어만 사용 등) 만 사용하거 나 설정할 수 있는 계정