[네트워크장비/로그관리] 정책에 따른 로깅 설정 (N-21)

정책에 따른 로깅 설정

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 로그 정보를 통해 장비 상태, 서비스 정상 여부 파악 및 보안사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함

■ 보안 위협
- 로깅 설정이 되어 있지 않을 경우 원인 규명이 어려우며, 법적 대응을 위한 충분한 증거로 사용할 수 없음

점검 및 조치 방법

■ 판단 기준
- 양호 : 로그 기록 정책에 따라 로깅 설정이 되어있는 경우
- 취약 : 로그 기록 정책 미 수립 또는 로깅 설정이 미흡한 경우

■ 조치 방법
- 로그 기록 정책을 수립하고 정책에 따른 로깅 설정

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router> enable
Router# show logging
로그에 대한 정보 확인

ㆍJuniper Junos
user@host> configure
[edit]
user@host# show log messages
로그에 대한 정보 확인

■ 장비별 조치 방법 예시
ㆍCisco IOS, Juniper Junos
라우터에 기본적으로 설정된 로그 파일 설정을 변경하지 않으면 로깅을 효율적으로 사용할 수 없으므로 크게 6가지로 이루어진 아래의 방법을 활용하여야 함

 

1. 콘솔 로깅
콘솔 로그 메시지는 오직 콘솔 포트에서만 보이므로 이 로그를 보기 위해서는 반드시 콘솔 포트에 연결하여야 함

 

2. Buffered 로깅
Buffered 로깅은 로그를 라우터의 RAM에 저장하는데 이 버퍼가 가득 차게 되면 오래된 로그는 자동으로 새로운 로그에 의해 대체됨

 

3. Terminal 로깅
Terminal monitor 명령을 사용하여 로깅을 설정하면 라우터에서 발생하는 로그 메시지를 VTY terminal에 보냄

 

4. Syslog
시스코 라우터는 라우터의 로그 메시지가 외부의 syslog 서버에 저장되도록 설정할 수 있음

 

5. SNMP traps
SNMP trap이 설정되면 SNMP는 특별한 상황을 외부의 SNMP 서버에 전송하도록 설정할 수 있음

 

6. ACL 침입 로깅
표준 또는, 확장된 액세스 리스트를 설정할 때 특정한 룰에 매칭 하였을 경우 해당 패킷 정보를 로그에 남기도록 설정할 수 있는데, 이는 액세스 리스트 룰의 끝에 로그나 로그 인풋을 추가하면 됨. 로그 인풋은 로그와는 달리 인터페이스 정보도 함께 남기게 되므로 어떤 인터페이스를 통해 로그가 남았는지를 알 수 있음