[네트워크장비/접근 관리] VTY 접속 시 안전한 프로토콜 사용 (N-16)
- 취약점 점검/네트워크장비
- 2021. 8. 17.
VTY 접속 시 안전한 프로토콜 사용
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 암호화 프로토콜을 이용한 터미널 접근만 허용하도록 설정되어 있는지 점검 하여 네트워크 터미널 접근 시 전송되는 데이터의 스니핑 공격에 대한 대비 가 되어 있는지 확인하기 위함
■ 보안 위협
- 암호화 프로토콜이 아닌 평문 프로토콜(telnet)을 이용하여 네트워크 장비에 접근할 경우, 네트워크 스니핑 공격에 의해 관리자 계정 정보(계정, 패스워 드)가 비인가자에게 유출될 위험이 존재함
점검 및 조치 방법
■ 판단 기준
- 양호 : 장비 정책에 VTY 접근 시 암호화 프로토콜(ssh) 이용한 접근만 허용하고 있는 경우
- 취약 : 장비 정책에 VTY 접근 시 평문 프로토콜(telnet) 이용한 접근을 허용하고 있는 경우
■ 조치 방법
- 암호화 프로토콜만 VTY에 접근 할 수 있도록 설정
■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show ip ssh
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3 (활성화)
%SSH has not been enabled (비 활성화)
SSH 활성화 확인
ㆍRadware Alteon
/sys/sshd에서 SSH 활성화 확인
ㆍJuniper Junos
user@host# set ssh
SSH 버전 확인
ㆍPiolink PLOS
(config)# management-access
(config-management-access)# ssh status enable
SSH 버전 확인
■ 장비별 조치 방법 예시
ㆍCisco
Step 1) Cisco IOS 이미지 확인
Router# show version
SSHv2 서버를 지원하는 릴리즈별 k9(3DES) 소프트웨어 이미지를 사용하는지 확인
(예, 7200p-ipbasek9-mz.152-4.M11.bin)
Step 2) SSH 설정
Router# config terminal
Router(config)# hostname <호스트명>
Router(config)# ip domain-name <도메인명>
Router(config)# crypto key generate rsa
!
How many bits in the modulus [512]: 2048
!
Router(config)# ip ssh time-out <초>
Router(config)# ip ssh version 2 (SSH 버전 2 사용)
Router(config)# ip ssh authentication-retries [횟수] <- 재시도 횟수
Step 3) VTY 라인에 SSH 사용 설정
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
ㆍRadware Alteon
Step 1) SSH 설정 방법
# cfg
# /sys/sshd ena
# /sys/sshd on
# apply
# save
ㆍJuniper Junos
Step 1) SSH 활성화
[edit]
root# set system services ssh
[edit]
root# commit
Step 2) Telnet 비활성화
[edit]
root# delete system services telnet
[edit]
root# commit
ㆍPiolink PLOS
Step 1) SSH 활성화
(config)# management-access
(config-management-access)# ssh status enable
(config-management-access)# apply
Step 2) Telnet 비활성화
(config)# management-access
(config-management-access)# telnet status disable
(config-management-access)# apply
■ 용어정리/팁
※ 스니핑(Sniffing) 공격: 스니퍼(Sniffer)는 "컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치"라고 말할 수 있으며 "스니핑"이란 이러한 스니퍼를 이용하여 네트워 크상의 데이터를 도청하는 행위를 말함