[네트워크장비/기능관리] mask-reply 차단 (N-37)

mask-reply 차단

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 내부 네트워크의 서브넷 마스크 정보를 요청하는 ICMP 메시지에 네트워크 장비가 응답하지 않도록 mask-reply를 차단 설정

■ 보안 위협
- mask-reply를 차단하지 않는 경우 비인가자에게 내부 서브네트워크의 서브 넷 마스크 정보가 노출될 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : mask-reply를 차단하는 경우
- 취약 : mask-reply를 차단하지 않은 경우

■ 조치 방법
- 각 인터페이스에서 mask-reply 비활성화

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show running-config
기본적으로 ip mask-reply 명령은 비활성화 상태이기 때문에 구성 내용에서 no ip mask-reply 명령이 표시되지 않음
Router# show ip interface
Serial1/0 is up, line protocol is up (connected)
!
ICMP mask replies are never sent
!
show ip interface 실행 결과에서 ICMP Address Mask Reply 차단 여부를 표시

■ 장비별 조치 방법 예시
ㆍCisco IOS
Interface Configuration 모드에서 no ip mask-reply 명령어를 사용하여 비활성화
Router# config terminal
Router(config)# interface <인터페이스>
Router(config-if)# no ip mask-reply

■ 용어정리/팁
※ mask-reply: 네트워크 장비는 ICMP Address Mask Request 메시지에 대한 응답으로 인터페이스의 서브넷 마스크 정보를 제공