[네트워크장비/기능 관리] 웹 서비스 차단 (N-26)

웹 서비스 차단

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비 인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록 하기 위함

■ 보안 위협
- 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패 스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : 불필요한 웹 서비스를 차단하거나 허용된 IP에서만 웹서비스 관리 페이 지에 접속이 가능한 경우
- 취약 : 불필요한 웹 서비스를 차단하지 않은 경우

■ 조치 방법
- HTTP 서비스 차단 또는 HTTP 서버를 관리하는 관리자 접속 IP 설정

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show running-config 웹 서비스 설정 확인

ㆍJuniper Junos
[edit]
user@host# show interface terse
비활성화한 인터페이스는 admin열을 down으로 표시

ㆍRadware Alteon
>> Main# /cfg/dump
>> Main# /info/link

ㆍPiolink PLOS
switch# show running-config
switch# show port

■ 장비별 조치 방법 예시
ㆍCisco IOS
Router# config terminal
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# ^Z
Router# config terminal
Router(config)# ip http active-session-modules exclude_webexec
Router(config)# ip http secure-active-session-modules exclude_webexec
Router(config)# ^Z

ㆍJuniper Junos
[edit]
user@host# delete system services web-management

ㆍRadware Alteon
>> Main# /cfg/sys/access/https/https dis
>> Main# /cfg/sys/access/http dis (HTTP는 Alteon 29.5 버전부터 지원하지 않음)
>> Main# apply

ㆍPiolink PLOS
switch# configure
(config)# management-access
(config-management-access)# http status disable
(config-management-access)# https status disable

■ 용어정리/팁
※ IOS 상의 HTTP 서버를 사용해야만 한다면, HTTP WEB_EXEC 서비스를 비활성화 함으 로써 위험을 감소시킬 수 있음