[네트워크장비/로그 관리] 원격 로그서버 사용 (N-19)

원격 로그서버 사용

 

취약점 개요

■ 위험도
- 하

■ 점검 목적
- 네트워크 장비의 로그를 별도의 원격 로그 서버에 보관하도록 설정하여 네 트워크 장비에 이상이 발생하거나 로그 저장 공간 부족, 공격자의 로그 삭제 나 변조 위험에 대비하기 위함

■ 보안 위협
- 별도의 로그 서버를 통해 로그를 관리하지 않을 경우, 네트워크 장비에 이상 이 발생하거나 공격자의 로그 삭제 및 변조가 일어났을 시 사고 원인 분석 에 어려움이 발생함

점검 및 조치 방법

■ 판단 기준
- 양호 : 별도의 로그 서버를 통해 로그를 관리하는 경우
- 취약 : 별도의 로그 서버가 없는 경우

■ 조치 방법
- Syslog 등을 이용하여 로그 저장 설정

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show running-config
Router# show logging
1. Logging 설정 확인
2. Log 정보 확인

ㆍRadware Alteon
/syslog/host에서 syslog host 설정 확인

ㆍJuniper Junos
user@host> configure
[edit]
user@host# show version
root authentication 설정을 이용하여 [edit system] 레벨에서 syslog 설정 확인

ㆍPiolink
configure에서 logging 서버 설정 확인


■ 장비별 조치 방법 예시
ㆍCisco IOS
Step 1) 라우터 로깅 설정
Router# config terminal
Router(config)# logging on (log 를 console 이외도 전달)
Router(config)# logging trap informational (severity level 설정)
Router(config)# logging 192.168.3.1 (syslog 서버)
Router(config)# logging facility local6 (syslog facility 설정)
Router(config)# logging source-interface serial 0 (syslog interface)

ㆍRadware Alteon
Step 1) switch로 접속
Step 2) # cfg
Step 3) # sys
Step 4) 다음과 같이 설정할 수 있음
# /syslog/host: first syslog host의 IP 주소 설정
# /syslog/host2: second syslog host의 IP 주소 설정
Step 5) # apply
Step 6) # save

ㆍJuniper Junos
user@host> configure
[edit]
user@host# edit system syslog
[edit system syslog]
user@host# set system syslog file message any error
user@host# set system syslog host 192.168.0.245 any any
user@host# set archive files 5 sizes 5m world-readable
(files 5는 파일 수를 5개까지 표시하여 데이터를 사용하며, 5m은 최대 사이즈를 5m까지 허용하는 것을 뜻함)

ㆍPiolink PLOS
Step 1) #logging server enable
Step 2) #logging server <ip address><event><level>


■ 용어정리/팁
※ 원격 로그 서버: 정보시스템(서버, 네트워크, 보안장비 등)의 로그를 통합적으로 보관하는 서버
※ 관련 점검 항목: A-29(상)